Addendum sulla Protezione dei Dati SparkPost
Documenti
Contenuti
Nell'ambito della fornitura del servizio SparkPost ai nostri clienti, SparkPost può elaborare dati personali per conto dei nostri clienti laddove tali dati personali siano soggetti a leggi sulla protezione dei dati dell'UE come il GDPR. A tal fine, offriamo un addendum sulla protezione dei dati (DPA) come indicato di seguito. Il DPA sarà legalmente vincolante ed efficace solo se: (1) è eseguito qui; e (2) sei cliente di SparkPost alla data in cui è completamente eseguito. Si prega di notare che, poiché abbiamo così tanti clienti, non siamo in grado di modificare il DPA per alcun cliente particolare. Tuttavia, se hai domande sul DPA, ti preghiamo di contattarci all'indirizzo privacy@sparkpost.com.
Definizioni
“Affiliate” significa qualsiasi entità che direttamente o indirettamente controlla, è controllata da, o è sotto controllo comune con l'entità soggetta. “Controllo,” ai fini di questa definizione, significa proprietà diretta o indiretta o controllo di più del 50% degli interessi di voto dell'entità soggetta.
“Accordo” significa i Termini di Utilizzo e l'Ordine correlato, che insieme regolano la fornitura e l'uso del Servizio.
“CCPA” significa il California Consumer Privacy Act del 2018 e qualsiasi regolamento emanato ai sensi dello stesso, in ogni caso, come modificato di volta in volta.
“Clausole Contrattuali Standard Controller/Processor” significa i moduli “Controller to Processor” (Modulo 2) delle Clausole Contrattuali Standard per il trasferimento di dati personali verso paesi terzi ai sensi del GDPR e della Decisione di Implementazione della Commissione Europea (UE) 2021/914 del 4 giugno 2021.
“Leggi sulla Protezione dei Dati” significa tutte le leggi e regolamenti di qualsiasi giurisdizione applicabile alla riservatezza, privacy, sicurezza o Trattamento dei Dati Personali ai sensi dell'Accordo, inclusi, ove applicabile, il GDPR, il CCPA e tutte le altre leggi e regolamenti relativi alla privacy, marketing diretto o protezione dei dati. “Titolare del Trattamento” significa un'entità, da sola o congiuntamente ad altri, che determina le finalità e i mezzi del Trattamento dei Dati Personali.
“Responsabile del Trattamento” significa un'entità che tratta i Dati Personali per conto di un Titolare del Trattamento. “Interessato” significa l'individuo a cui i Dati Personali si riferiscono.
“Richiesta dell'Interessato” significa la richiesta di un Interessato di esercitare i diritti di quella persona ai sensi delle Leggi sulla Protezione dei Dati in relazione ai Dati Personali di quella persona, incluso, senza limitazioni, il diritto di accesso, correzione, modifica, trasferimento, ottenere una copia, opporsi al trattamento, bloccare, cancellare o rinunciare alla vendita di tali Dati Personali. “SEE” significa l'Area Economica Europea e la Svizzera.
“GDPR” significa o (i) il Regolamento 2016/679 del Parlamento Europeo e del Consiglio sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati); oppure (ii) unicamente per quanto riguarda il Regno Unito, il Data Protection Act 2018.
“Dati Personali” significa qualsiasi informazione che identifica, si riferisce, descrive, o è ragionevolmente capace di essere associata con una persona fisica identificata o identificabile o nucleo familiare.
“Trattamento” significa qualsiasi operazione o insieme di operazioni eseguite sui Dati Personali o su insiemi di Dati Personali, con o senza mezzi automatizzati, come raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, recupero, consultazione, utilizzo, divulgazione mediante trasmissione, diffusione o messa a disposizione in altro modo, allineamento o combinazione, limitazione, cancellazione o distruzione.
“Clausole Contrattuali Standard Processor/Sub-Processor” significa i moduli “Processor to Processor” (Modulo 3) delle Clausole Contrattuali Standard per il trasferimento di dati personali verso paesi terzi ai sensi del GDPR e della Decisione di Implementazione della Commissione Europea (UE) 2021/914 del 4 giugno 2021.
“Regolatore” significa l'autorità europea per la protezione dei dati o altra autorità di regolamentazione, governativa o di sorveglianza con autorità su tutta o parte di (a) la fornitura o ricezione del Servizio; (b) il Trattamento dei Dati Personali in connessione con il Servizio; o (c) l'attività o il personale di SparkPost in relazione al Servizio.
“Incidente di Sicurezza” significa qualsiasi distruzione, perdita, alterazione, divulgazione, accesso non autorizzato o illegale, o crittografia accidentale di Dati Personali.
“Servizio” significa qualsiasi prodotto o servizio fornito da SparkPost al Cliente ai sensi dell'Accordo.
“Clausole Contrattuali Standard SEE” significa o (i) le Clausole Contrattuali Standard Controller/Processor; oppure (ii) le Clausole Contrattuali Standard Processor/Sub-Processor, individualmente o collettivamente, ove applicabile.
“Sub-responsabile del Trattamento” significa l'entità che tratta i Dati Personali per conto di un'entità che agisce come Responsabile del Trattamento o un Sub-responsabile del Trattamento.
“Clausole Contrattuali Standard del Regno Unito” significa le clausole contrattuali standard per il trasferimento di dati personali ai responsabili del trattamento stabiliti in paesi terzi nella forma stabilita dalla Decisione della Commissione Europea 2010/87/UE, come può essere modificata, aggiornata o sostituita dalla Commissione Europea.
Relazione con l'accordo
Le parti concordano che questo DPA sostituirà qualsiasi addendum sulla protezione dei dati o accordo simile che le parti potrebbero aver stipulato precedentemente in connessione con i Servizi.
Questo DPA si applica solo nella misura in cui SparkPost Elabora Dati Personali soggetti a Leggi sulla Protezione dei Dati nel corso della fornitura del Servizio ai sensi del Contratto.
Fatte salve le modifiche apportate da questo DPA, il Contratto rimane invariato e pienamente in vigore. In caso di conflitto tra i termini di questo DPA e i termini dell'Accordo, questo DPA prevarrà nella misura di tale conflitto. In circostanze in cui SparkPost si affida alle Clausole Contrattuali Standard dell’EEA o del Regno Unito (collettivamente, “Clausole Contrattuali Standard”), come applicabile, per trasferire Dati Personali, le Clausole Contrattuali Standard applicabili prevarranno in caso di conflitto con questo DPA.
Eventuali reclami presentati in base o in connessione con questo DPA saranno soggetti ai termini e alle condizioni, tra cui, a titolo esemplificativo ma non esaustivo, le esclusioni e le limitazioni stabilite nel Contratto. Le parti concordano che nessuna limitazione di responsabilità stabilita nell'Accordo si applicherà alla responsabilità di una parte nei confronti dei Soggetti dei Dati ai sensi delle disposizioni per beneficiari terzi delle Clausole Contrattuali Standard nella misura in cui la limitazione di tale responsabilità sia vietata dalle Leggi sulla Protezione dei Dati.
Questo DPA sarà regolato e interpretato in conformità con le disposizioni di legge e di giurisdizione nel Contratto, a meno che non sia richiesto diversamente dalle Leggi Applicabili sulla Protezione dei Dati. Questo DPA rimarrà in vigore finché SparkPost Elabora Dati Personali, indipendentemente dalla scadenza o risoluzione del Contratto. RUOLI E AMBITO DEL TRATTAMENTO.
Ruolo delle Parti.
Le parti riconoscono e concordano che, tra SparkPost e Cliente: per quanto riguarda i Dati Personali di qualsiasi individuo che accede e/o utilizza il Servizio tramite l'Account del Cliente (“Utenti”), il Cliente è il Titolare del trattamento e SparkPost è il Responsabile del trattamento dei Dati Personali degli Utenti; e per quanto riguarda i Dati Personali di qualsiasi individuo: (i) il cui indirizzo email è incluso nella lista dei destinatari del Cliente; (ii) le cui informazioni sono memorizzate o raccolte tramite il Servizio, o (ii) a cui gli Utenti inviano email o con cui comunicano tramite il Servizio (collettivamente, “Destinatari”), il Cliente è il Responsabile del trattamento e SparkPost è il Sub-responsabile del trattamento dei Dati Personali dei Destinatari.
Elaborazione dei Dati Personali da parte del Cliente.
Il Cliente accetta che rispetterà i suoi obblighi ai sensi delle Leggi Applicabili sulla Protezione dei Dati riguardo alla sua Elaborazione dei Dati Personali in connessione con il Servizio e riguardo a qualsiasi istruzione documentata di Elaborazione che emette a SparkPost.
Elaborazione dei Dati Personali da parte di SparkPost. Il Cliente istruisce SparkPost a Elaborare Dati Personali in conformità con il Contratto (incluso, senza dubbio, per adempiere agli altri obblighi e esercitare i suoi diritti ai sensi del Contratto) e a conformarsi alle altre istruzioni ragionevoli del Cliente (es. tramite email) laddove tali istruzioni siano coerenti con il Contratto. SparkPost: (i) Elaborerà i Dati Personali solo per conto del Cliente e in conformità con le istruzioni documentate e legali del Cliente e tratterà i Dati Personali come informazioni riservate soggette alle disposizioni di riservatezza del Contratto; (ii) notificherà immediatamente per iscritto al Cliente se, a parere ragionevole di SparkPost, ritiene che qualsiasi istruzione data dal Cliente violi le Leggi sulla Protezione dei Dati; (iii) eseguirà il Servizio ed elabora Dati Personali in conformità con le Leggi sulla Protezione dei Dati e il Contratto; (iv) notificherà tempestivamente al Cliente qualsiasi non conformità con questo DPA. Le parti concordano che questo DPA e il Contratto stabiliscono le istruzioni complete e finali del Cliente a SparkPost in relazione al trattamento dei Dati Personali e qualsiasi trattamento al di fuori di queste istruzioni (se presente) richiederà un accordo scritto preventivo tra Cliente e SparkPost.
Dettagli dell'Elaborazione dei Dati.
Oggetto: L'oggetto del trattamento dei dati ai sensi di questo DPA sono i Dati Personali.Durata: Tra SparkPost e Cliente, la durata del trattamento dei dati ai sensi di questo DPA è fino alla cessazione del Contratto in conformità con i suoi termini.
Scopo: Lo scopo del trattamento dei dati ai sensi di questo DPA è la fornitura del Servizio al Cliente e l'esecuzione di SparkPost ai sensi del Contratto (incluso questo DPA) o come altrimenti concordato dalle parti.
Natura del trattamento: SparkPost fornisce un servizio di recapito email, analisi e intelligenza e altri servizi correlati, come descritto nel Contratto.Categorie di soggetti interessati: Utenti e Destinatari.
Tipi di Dati Personali:
Cliente e Utenti: dati di identificazione e contatti (nome, indirizzo, titolo, dettagli di contatto, nome utente); informazioni finanziarie (dettagli del conto, informazioni sul pagamento); dettagli occupazionali (datore di lavoro, titolo di lavoro, posizione geografica, area di responsabilità);
Destinatari: dati di identificazione e contatti (nome, indirizzo email e altri dati demografici e di segmentazione forniti dal Cliente); informazioni IT (indirizzi IP, dati di utilizzo, dati dei cookie, dati di navigazione online, dati di posizione, dati del browser).
California Consumer Privacy Act.
SparkPost si conformerà al CCPA e tratterà tutti i Dati Personali soggetti al CCPA (“Dati Personali CCPA”) in conformità con le disposizioni del CCPA. Per quanto riguarda i Dati Personali CCPA, SparkPost è un fornitore di servizi ai sensi del CCPA. SparkPost non (a) vende Dati Personali CCPA; (b) conserva, usa o divulga alcun Dato Personale CCPA per qualsiasi scopo diverso dal fornire i Servizi specifici, incluso conservare, usare o divulgare Dati Personali CCPA per uno scopo commerciale diverso dal fornire i Servizi; o (c) conserva, usa o divulga Dati Personali CCPA al di fuori del rapporto commerciale diretto tra SparkPost e il Cliente. Le parti riconoscono e concordano che l'Elaborazione dei Dati Personali CCPA autorizzata dalle istruzioni del Cliente descritte nel Contratto e in questo DPA è parte integrante e compresa nella fornitura dei Servizi da parte di SparkPost e nel rapporto commerciale diretto tra le parti. Le parti riconoscono e concordano che l'accesso di SparkPost ai Dati del Cliente non costituisce parte della controprestazione scambiata dalle parti in relazione al Contratto. Nella misura in cui qualsiasi Dato di Utilizzo è considerato Dato Personale CCPA, SparkPost è l'azienda con riferimento a tali dati e elaborerà tali dati in conformità con la sua Privacy Policy, che può essere trovata su https://www.sparkpost.com/policies/privacy/. I termini “azienda”, “scopo commerciale”, “fornitore di servizi” e “vendere” così come utilizzati in questa Sezione hanno i significati a loro attribuiti nel CCPA. SparkPost e Cliente certificano di comprendere e rispettare gli obblighi e le restrizioni stabiliti in questo DPA e nel Contratto come richiesto dal CCPA.
Interessi Legittimi.
Il Cliente riconosce che SparkPost avrà il diritto di usare e divulgare dati relativi all'operazione, supporto e/o uso del Servizio per i suoi scopi commerciali legittimi, come fatturazione, gestione account, supporto tecnico e sviluppo prodotto. Nella misura in cui tali dati siano considerati Dati Personali ai sensi delle Leggi sulla Protezione dei Dati, SparkPost è il Titolare del trattamento di tali dati e di conseguenza elaborerà tali dati in conformità con la Privacy Policy di SparkPost e le Leggi sulla Protezione dei Dati.
Tecnologie di Tracciamento.
Il Cliente riconosce che in connessione con l'esecuzione del Servizio, SparkPost utilizza web beacon, pixel di tracciamento e tecnologie di tracciamento simili (“Tecnologie di Tracciamento”). Il Cliente manterrà una base giuridica appropriata per il trattamento come richiesto dalle Leggi sulla Protezione dei Dati per consentire a SparkPost di distribuire le Tecnologie di Tracciamento legalmente e raccogliere dati dai dispositivi dei Destinatari in conformità e come descritto nella Privacy Policy di SparkPost.
Subprocessamento
Sub-responsabili autorizzati. Il cliente accetta che SparkPost possa coinvolgere sub-responsabili per elaborare i dati del cliente per conto del cliente. I sub-responsabili coinvolti da SparkPost e autorizzati dal cliente alla data di entrata in vigore sono elencati a: https://www.sparkpost.com/policies/subprocessors. Obblighi del sub-responsabile. SparkPost deve: (i) stipulare un accordo scritto con il sub-responsabile imponendo termini di protezione dei dati che richiedono al sub-responsabile di proteggere i dati del cliente secondo lo standard richiesto dalle leggi sulla protezione dei dati; e (ii) rimanere responsabile per il suo rispetto degli obblighi di questo DPA e per qualsiasi atto o omissione del sub-responsabile che causi a SparkPost di violare uno qualsiasi dei suoi obblighi ai sensi di questo DPA.
Notifica. SparkPost deve (i) fornire un elenco aggiornato dei sub-responsabili che ha nominato su richiesta scritta del cliente; e (ii) notificare al cliente (per il quale la posta elettronica sarà sufficiente) se aggiunge un sub-responsabile almeno dieci (10) giorni prima di tali modifiche.
Obiezione. Il cliente può obiettare per iscritto alla nomina di un nuovo sub-responsabile da parte di SparkPost entro cinque (5) giorni da tale notifica, a condizione che tale obiezione sia basata su motivi ragionevoli relativi alla protezione dei dati. In tal caso, le parti discuteranno tali preoccupazioni in buona fede con l'obiettivo di raggiungere una risoluzione. Se non si raggiunge una risoluzione entro un tempo ragionevole, il cliente può risolvere l'Ordine(i) applicabile solo in relazione al servizio specifico che non può essere fornito da SparkPost senza l'utilizzo del nuovo sub-responsabile contestato, fornendo notifica scritta a SparkPost.
Security
Politica di Sicurezza.
Tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, portata, contesto e finalità del Trattamento, nonché del rischio di probabilità e gravità variabili per i diritti e le libertà delle persone fisiche, SparkPost si impegna ad implementare e mantenere misure di sicurezza tecniche e organizzative appropriate per proteggere i Dati Personali da Incidenti di Sicurezza e preservare la sicurezza, l'integrità, la disponibilità, la resilienza e la riservatezza dei Dati Personali e dei sistemi SparkPost utilizzati per il Trattamento dei Dati Personali.
Aggiornamenti delle Misure di Sicurezza.
Il Cliente è responsabile di esaminare le informazioni messe a disposizione da SparkPost relative alla sicurezza dei dati e di fare una determinazione indipendente sul fatto che tali informazioni soddisfino i requisiti e gli obblighi legali del Cliente ai sensi delle Leggi sulla Protezione dei Dati. Il Cliente riconosce che la Politica di Sicurezza è soggetta a progressi e sviluppi tecnici e che SparkPost può aggiornare o modificare la Politica di Sicurezza di tanto in tanto, a condizione che tali aggiornamenti e modifiche non comportino la degradazione della sicurezza complessiva del Servizio acquistato dal Cliente.
Responsabilità del Cliente.
Nonostante quanto sopra, il Cliente concorda che è responsabile di proteggere le credenziali di autenticazione del proprio Account in custodia o controllo del Cliente e di proteggere la sicurezza dei Dati Personali durante il transito da e verso il Servizio nella misura in cui tali Dati Personali sono in custodia o controllo del Cliente.
Personale di SparkPost.
SparkPost garantirà che il suo personale impegnato nel Trattamento dei Dati Personali sia informato della natura riservata dei Dati Personali, abbia ricevuto una formazione adeguata sulle proprie responsabilità e abbia sottoscritto accordi scritti di riservatezza in relazione ai Dati Personali che sopravvivono alla cessazione dell'incarico del personale.
Rapporti di revisione e audit
Rapporto di Audit.
SparkPost è regolarmente sottoposto a verifiche rispetto ai controlli SOC 2 Tipo II (o equivalenti) da parte di revisori indipendenti. Su richiesta, SparkPost fornirà al Cliente una copia sommaria del suo rapporto di audit (“Rapporto di Audit”), affinché il Cliente possa verificare la conformità di SparkPost agli standard di audit ai quali è stato sottoposto, e a questa DPA. Tali Rapporti di Audit, così come qualsiasi conclusione o risultato specificati in essi, sono Informazioni Riservate di SparkPost.
Audit.
SparkPost metterà a disposizione del Cliente tutte le informazioni necessarie per dimostrare la conformità agli obblighi dei Responsabili del Trattamento dei Dati stabiliti nell'Articolo 28 del GDPR (“Requisiti dell’Articolo 28”). A tal fine, SparkPost fornirà risposte scritte a tutte le richieste ragionevoli di informazioni effettuate dal Cliente, comprese le risposte ai questionari di sicurezza delle informazioni e di audit necessari a confermare la conformità di SparkPost ai Requisiti dell’Articolo 28, a condizione che il Cliente non eserciti questo diritto più di una volta l'anno. Tali risposte sono Informazioni Riservate di SparkPost. Se SparkPost non è in grado di fornire tutte le informazioni necessarie a dimostrare la conformità ai Requisiti dell’Articolo 28 tramite le risposte scritte, allora SparkPost consentirà e contribuirà a audit, comprese le ispezioni, condotte dal Cliente o da un altro revisore rappresentante del Cliente. Tutte le informazioni ottenute da SparkPost durante tale audit o ispezione sono Informazioni Riservate di SparkPost.
Trasferimenti internazionali
Luoghi di Elaborazione.
SparkPost può trasferire ed elaborare Dati del Cliente ovunque nel mondo dove SparkPost, le sue Affiliate o i suoi Sub-processori mantengono operazioni di elaborazione dei dati. SparkPost fornirà sempre un livello adeguato di protezione per i Dati del Cliente elaborati, in conformità con i requisiti delle Leggi sulla Protezione dei Dati.
Clausole Contrattuali Standard.
Nella misura in cui SparkPost Elabora qualsiasi Dato Personale ai sensi dell'Accordo che richiede un meccanismo di trasferimento successivo per trasferire legalmente Dati Personali dall'EEA o dal Regno Unito (il “UK”) a un altro paese o territorio che non è stato determinato come fornisce un livello adeguato di protezione per i diritti e le libertà dei Soggetti dei Dati dalla Commissione Europea (o, specificamente per quanto riguarda il UK, come può essere determinato dall'ente regolatore UK) (un “Trasferimento Ristretto”), le parti concordano quanto segue:
Clausole Contrattuali Standard EEA.
Le parti concordano di conformarsi alle Clausole Contrattuali Standard EEA per qualsiasi Trasferimento Ristretto dall'EEA (un “Trasferimento Ristretto EEA”). Quando il Cliente è un Controllore e SparkPost è un Processore come ulteriormente descritto nella Sezione 3.1, le Clausole Contrattuali Standard del Controllore/Processore si applicheranno a tale Trasferimento Ristretto EEA. Quando il Cliente è un Processore e SparkPost è un Sub-processore come ulteriormente descritto nella Sezione 3.1, le Clausole Contrattuali Standard del Processore/Sub-processore si applicheranno a tale Trasferimento Ristretto EEA. SparkPost sarà considerato l'importatore di dati e il Cliente sarà considerato l'esportatore di dati ai sensi delle Clausole Contrattuali Standard EEA. La firma di ciascuna parte di questo DPA sarà considerata come la firma delle Clausole Contrattuali Standard EEA applicabili, che saranno considerate incorporate in questo DPA. I dettagli richiesti ai sensi dell'Annex 1 e Annex 2 delle Clausole Contrattuali Standard EEA sono disponibili nell'Allegato 1 e Allegato 2 di questo DPA. In caso di conflitto o incongruenza tra questo DPA e le Clausole Contrattuali Standard EEA, queste ultime prevarranno solo in relazione ai Trasferimenti Ristretti EEA. Dove le Clausole Contrattuali Standard EEA richiedono alle parti di scegliere tra clausole opzionali e di inserire informazioni, le parti hanno scelto come indicato di seguito:
La Clausola Opzionale 7 “Clausola di adesione” non sarà adottata.
Per la Clausola 9 “Uso di sub-processori”, le parti scelgono la seguente opzione: “Opzione 2 Autorizzazione scritta generale: L'importatore di dati ha l'autorizzazione generale del controllore per l'ingaggio di sub-processore(i) da un elenco concordato. L'importatore di dati informerà specificamente il controllore per iscritto di eventuali modifiche intese a quell'elenco attraverso l'aggiunta o la sostituzione di sub-processori almeno 30 giorni di calendario in anticipo, fornendo così al controllore tempo sufficiente per poter opporsi a tali modifiche prima dell'ingaggio del sub-processore(i). L'importatore di dati fornirà al controllore le informazioni necessarie per consentire al controllore di esercitare il suo diritto di obiezione. L'importatore di dati informerà l'esportatore di dati dell'ingaggio del sub-processore(i).
”Per la Clausola 11 (a) “Rimedi”, le parti non adottano l'opzione.
Per la Clausola 17 “Legge governativa”, le parti scelgono la seguente opzione: “Opzione 1. Queste Clausole saranno governate dalla legge di uno degli Stati Membri dell'UE, a condizione che tale legge consenta diritti di beneficiario terzo. Le Parti concordano che questa sarà la legge dei Paesi Bassi.
”Per la Clausola 18 (b) “Scelta del Foro e Giurisdizione”: “Le Parti concordano che queste saranno le corti dei Paesi Bassi.
”Clausole Contrattuali Standard UK. Le parti concordano di conformarsi alle Clausole Contrattuali Standard UK per qualsiasi Trasferimento Ristretto dal UK (un “Trasferimento Ristretto UK”). SparkPost sarà considerato l'importatore di dati e il Cliente sarà considerato l'esportatore di dati ai sensi delle Clausole Contrattuali Standard UK. La firma di ciascuna parte di questo DPA sarà considerata la firma delle Clausole Contrattuali Standard UK, che saranno considerate incorporate in questo DPA. I dettagli richiesti ai sensi dell'Annex 1 e Annex 2 delle Clausole Contrattuali Standard UK sono disponibili nell'Allegato 1 e Allegato 2 di questo DPA. In caso di conflitto o incongruenza tra questo DPA e le Clausole Contrattuali Standard UK, queste ultime prevarranno solo in relazione ai Trasferimenti Ristretti UK.
Cooperazione.
Se SparkPost non è in grado di conformarsi a questo requisito o se le autorità o i tribunali competenti cessano di riconoscere le Clausole Contrattuali Standard EEA o le Clausole Contrattuali Standard UK, come applicabile, quindi che forniscono un adeguato livello di protezione, SparkPost informerà il Cliente e coopererà ragionevolmente con il Cliente per assicurarsi che qualsiasi Elaborazione di Dati Personali sia conforme alle Leggi sulla Protezione dei Dati e a eventuali restrizioni di trasferimento in esse, inclusa l'ottenimento di certificazioni alternative, come applicabile e necessario.
Meccanismo Alternativo di Trasferimento.
Le parti concordano che la soluzione di esportazione dei dati identificata nella Sezione 7.2 (Clausole Contrattuali Standard) non si applicherà se e nella misura in cui SparkPost adotta o mantiene una soluzione alternativa di esportazione dei dati per il trasferimento lecito dei Dati Personali (come riconosciuto dalle Leggi sulla Protezione dei Dati) al di fuori dell'EEA e/o UK e che è stata approvata dal Cliente per iscritto prima di qualsiasi trasferimento o altro Trattamento di Dati Personali (“Meccanismo Alternativo di Trasferimento”), nel qual caso, il Meccanismo Alternativo di Trasferimento si applicherà invece (ma solo nella misura in cui tale Meccanismo Alternativo di Trasferimento si estenda ai territori in cui i Dati Personali sono trasferiti).
Sicurezza aggiuntiva
Riservatezza del Trattamento.
SparkPost garantirà che qualsiasi persona autorizzata da SparkPost a trattare Dati Personali (compreso il suo personale, agenti e subappaltatori) sia soggetta a un'appropriata obbligazione di riservatezza (sia essa un dovere contrattuale o legale).
Risposta e Notifica agli Incidenti di Sicurezza.
Dopo essere venuto a conoscenza di un Incidente di Sicurezza, SparkPost notificherà il Cliente senza ingiustificato ritardo e fornirà tempestivamente informazioni relative all'Incidente di Sicurezza man mano che diventano note o come ragionevolmente richiesto dal Cliente.
Restituzione o cancellazione dei dati
Alla cessazione o scadenza dell'Accordo, SparkPost eliminerà o restituirà (a discrezione del Cliente) al Cliente tutti i Dati Personali (comprese le copie) in suo possesso o controllo, fermo restando che questo requisito non si applicherà nella misura in cui SparkPost è tenuto dalla legge applicabile a conservare alcuni o tutti i Dati Personali, o ai Dati Personali che ha archiviato su sistemi di backup, che SparkPost isolerà e proteggerà in modo sicuro da qualsiasi ulteriore elaborazione, salvo nella misura richiesta dalla legge applicabile. COOPERAZIONE.
Indennizzo.
Entrambe le parti concordano di difendere e indennizzare l'altra (inclusi i suoi direttori, funzionari, dipendenti e agenti) da e contro qualsiasi pretesa di terzi (incluso da autorità governative e Destinatari) e relative spese e costi (incluse le spese legali ragionevoli) derivanti dalla sua effettiva o presunta violazione di questo DPA.
Richieste dei Soggetti dei Dati.
Il Servizio fornisce al Cliente una serie di controlli che il Cliente può utilizzare per recuperare, correggere, eliminare o limitare i Dati del Cliente, che il Cliente può utilizzare per assisterlo in relazione ai suoi obblighi ai sensi delle Leggi sulla Protezione dei Dati, inclusi, ad esempio, i suoi obblighi relativi alla risposta alle Richieste dei Soggetti dei Dati. Nella misura in cui il Cliente non è in grado di accedere autonomamente ai relativi Dati del Cliente all'interno del Servizio, SparkPost fornirà una cooperazione ragionevole per assistere il Cliente a rispondere tempestivamente a qualsiasi Richiesta del Soggetto dei Dati relativa al trattamento dei Dati Personali nell'ambito dell'Accordo entro qualsiasi termine imposto dalle Leggi sulla Protezione dei Dati. Nel caso in cui una tale richiesta venga fatta direttamente a SparkPost, SparkPost notificherà per iscritto al Cliente tale richiesta prontamente al ricevimento della stessa.
Registri del Trattamento.
Su richiesta del Cliente, SparkPost metterà a disposizione tempestivamente le informazioni necessarie richieste dal Cliente per dimostrare la conformità di SparkPost ai suoi obblighi ai sensi delle Leggi sulla Protezione dei Dati e ai sensi di questo DPA.
Richieste del Governo.
Se un'agenzia di applicazione della legge invia una richiesta a SparkPost per Dati Personali (ad esempio, tramite citazione in giudizio o ordine del tribunale), SparkPost tenterà di reindirizzare l'agenzia di applicazione della legge per richiedere tali dati direttamente al Cliente. Come parte di questo sforzo, SparkPost potrebbe fornire all'agenzia di applicazione della legge le informazioni di contatto di base del Cliente. Se costretto a divulgare i Dati del Cliente a un'agenzia di applicazione della legge, SparkPost darà al Cliente un preavviso ragionevole della richiesta per consentire al Cliente di cercare un'ordinanza protettiva o un altro rimedio adeguato, a meno che SparkPost non sia legalmente proibito dal farlo.
Valutazioni di Impatto sulla Protezione dei Dati.
Nel caso in cui SparkPost sia tenuto ai sensi delle Leggi sulla Protezione dei Dati applicabili, SparkPost fornirà informazioni ragionevolmente richieste relative al Servizio per consentire al Cliente di realizzare valutazioni di impatto sulla protezione dei dati o consultazioni preventive con le autorità di protezione dei dati come richiesto dalla legge o ai sensi degli Articoli 35 e 36 del GDPR, rispettivamente.
***
ALLEGATO 1
ALLEGATO I ALLE CLAUSOLE CONTRATTUALI STANDARD SEE
Se applicabile, questo Allegato 1 servirà come Allegato I alle Clausole Contrattuali Standard SEE.
ALLEGATO 1, PARTE A: ELENCO DELLE PARTI
Esportatore di Dati: Customer
Dettagli di Contatto dell'Esportatore di Dati: L'indirizzo elencato nel blocco di firma di Customer sopra, oppure l'indirizzo email del proprietario dell'account di Customer, o all'indirizzo(i) email per il quale Customer sceglie di ricevere notifiche secondo l'Accordo.
Ruolo dell'Esportatore di Dati: Il ruolo dell'Esportatore di Dati è delineato nella Sezione 3 del DPA.
Firma & Data: L'Esportatore di Dati è considerato aver firmato le Clausole Contrattuali Standard SEE incorporate qui come alla Data di Efficacia del DPA.
Importatore di Dati: Message Systems, Inc. (dba SparkPost)
Dettagli di Contatto dell'Importatore di Dati: SparkPost Data Protection Officer – privacy@sparkpost.com
Ruolo dell'Importatore di Dati: Il ruolo dell'Importatore di Dati è delineato nella Sezione 3 del DPA.
Firma & Data: L'Importatore di Dati è considerato aver firmato le Clausole Contrattuali Standard SEE incorporate qui come alla Data di Efficacia del DPA.
ALLEGATO 1, PARTE B: DESCRIZIONE DEL TRASFERIMENTO
Le categorie dei soggetti dei dati i cui dati personali sono trasferiti sono descritte nella Sezione 3.4 del DPA.Le categorie di dati personali trasferiti sono descritte nella Sezione 3.4 del DPA.I dati sensibili trasferiti (se applicabile) e le restrizioni o salvaguardie applicate che tengono pienamente in considerazione la natura dei dati e i rischi coinvolti, come per esempio una limitazione rigorosa dello scopo, restrizioni di accesso (incluso l'accesso solo per il personale che ha seguito una formazione specializzata), mantenimento di un registro degli accessi ai dati, restrizioni per trasferimenti successivi o misure di sicurezza aggiuntive:
NessunoLa frequenza del trasferimento (ad esempio se i dati sono trasferiti una tantum o continuamente):I dati sono trasferiti continuamente per la durata dell'Accordo.
La natura del trattamento è descritta nella Sezione 3.4 del DPA.Lo scopo o gli scopi del trasferimento dei dati e dell'ulteriore trattamento sono descritti nella Sezione 3.4 del DPA.
Il periodo per il quale i dati personali saranno conservati, o, se non è possibile, i criteri utilizzati per determinare tale periodo:
Per la durata dell'Accordo o più a lungo come richiesto dalla legge applicabile e come permesso dall'Accordo.
Per i trasferimenti ai sub-responsabili, specificare anche l'oggetto, la natura e la durata del trattamento:
Per i trasferimenti ai sub-responsabili, l'oggetto e la natura del trattamento sono delineati presso https://www.sparkpost.com/policies/subprocessors/ e la durata è per la durata dell'Accordo.
ALLEGATO 1, PARTE C: AUTORITÀ DI CONTROLLO COMPETENTE
L'Autorità Olandese per la Protezione dei Dati (Autoriteit Persoonsgegevens) sarà l'autorità di controllo competente.
***
ALLEGATO 2 ANNEX II ALLE CLAUSOLE CONTRATTUALI STANDARD SEE
Dove applicabile, questo Allegato 2 servirà come Allegato II alle Clausole Contrattuali Standard. Di seguito sono fornite ulteriori informazioni riguardanti le misure tecniche e organizzative di sicurezza di SparkPost illustrate qui sotto.
Ulteriori informazioni sulle misure tecniche e organizzative di sicurezza di SparkPost per proteggere i Dati del Cliente, un riepilogo delle quali è disponibile su: https://www.sparkpost.com/policies/security/ (“Security Policy”).
Misure di sicurezza tecniche e organizzative:
Misure di pseudonimizzazione e crittografia dei dati personali: SparkPost mantiene i Dati del Cliente in un formato crittografato a riposo e in transito utilizzando SSL, HTTPS e TLS opportunistico, ove applicabile.
Misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza continua dei sistemi e dei servizi di elaborazione: SparkPost accetta obblighi di riservatezza nei suoi accordi con i clienti. SparkPost sottoscrive anche accordi che contengono disposizioni di riservatezza sostanzialmente simili con i dipendenti, i contraenti, i fornitori e i sub-processori di SparkPost. SparkPost mantiene alta disponibilità e resilienza dei sistemi e dei servizi attraverso più zone di disponibilità dei data center indipendenti dai guasti. Inoltre, SparkPost ha implementato e mantiene un Piano di Continuità Operativa e Recupero di Emergenza per garantire che i Dati del Cliente siano preservati e i Servizi possano continuare ad essere forniti.
Misure per garantire la capacità di ripristinare la disponibilità e l'accesso ai Dati Personali in modo tempestivo in caso di incidente fisico o tecnico: i Dati del Cliente sono ospitati da Amazon Web Services (“AWS”), che fornisce ridondanza attraverso più zone di disponibilità. Come indicato sopra, SparkPost ha anche implementato e mantiene un Piano di Continuità Operativa e Recupero di Emergenza.
Processi per il test, la valutazione e la verifica regolare dell'efficacia delle misure tecniche e organizzative per garantire la sicurezza dell'elaborazione: SparkPost mantiene un programma di sicurezza delle informazioni scritto e completo, che include controlli fisici, tecnici e amministrativi adeguati per proteggere la sicurezza, l'integrità, la riservatezza e la disponibilità dei Dati del Cliente, incluso, senza limitazioni, proteggere i Dati del Cliente da qualsiasi acquisizione, accesso, uso, divulgazione o distruzione non autorizzata o illegale. Questo programma di sicurezza è stato progettato tenendo conto del tipo di servizi forniti da SparkPost e delle dimensioni e complessità del business di SparkPost. Oltre al nostro team di sicurezza interno che monitora costantemente la nostra sicurezza internamente, SparkPost utilizza un terzo per condurre test di vulnerabilità e penetrazione interni ed esterni per convalidare la postura difensiva perimetrale e interna con regolarità.
Misure per l'identificazione e l'autorizzazione degli utenti: i dipendenti di SparkPost sono tenuti a utilizzare credenziali di accesso utente uniche e password per l'autorizzazione. SparkPost utilizza i principi del privilegio di accesso minimo quando fornisce l'accesso al sistema, tenendo conto della funzione lavorativa, del ruolo e delle responsabilità di ciascun dipendente per determinare il livello e la durata appropriati dell'accesso. L'accesso richiede l'approvazione prima di essere fornito e viene prontamente rimosso in caso di cambio di ruolo o cessazione.
Misure per la protezione dei dati durante la trasmissione: i Dati del Cliente vengono crittografati quando sono in transito tra Cliente e Servizi di SparkPost utilizzando HTTPS. I Dati del Cliente vengono crittografati quando sono in transito tra SparkPost e il Destinatario utilizzando TLS opportunistico. Misure per la protezione dei dati durante l'archiviazione: i Dati del Cliente vengono archiviati crittografati utilizzando il Advanced Encryption Standard.
Misure per garantire la sicurezza fisica delle sedi in cui vengono elaborati i dati personali: la sede principale e gli uffici di SparkPost dispongono di (i) monitoraggio della sicurezza fisica e sorveglianza; (ii) controlli di accesso per limitare l'accesso fisico; e (iii) registri dei visitatori. Tutti i contraenti e i visitatori devono registrare il loro ingresso e uscita negli uffici. I Servizi sono operati su AWS e sono protetti dai controlli fisici, tecnici, organizzativi e amministrativi di Amazon. Informazioni dettagliate sulla sicurezza di AWS sono disponibili su https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/, e https://aws.amazon.com/compliance/iso-27001-faqs/. Per i Report SOC di AWS, consultare https://aws.amazon.com/compliance/soc-faqs/.
Misure per garantire la registrazione degli eventi: le attività del registro dell'infrastruttura di produzione di SparkPost vengono raccolte centralmente e sono protette nel tentativo di prevenire manomissioni e vengono monitorate per rilevare anomalie da un team di sicurezza addestrato.
Misure per garantire la configurazione dei sistemi, inclusa la configurazione predefinita: SparkPost valuta le modifiche alla sua piattaforma, applicazioni e infrastruttura di produzione in modo da ridurre al minimo i rischi e tali modifiche vengono implementate solo in conformità con la Politica di Sicurezza. SparkPost esegue numerose attività relative alla sicurezza per i Servizi in diverse fasi del ciclo di vita della creazione del prodotto, dalla creazione della documentazione dei requisiti e progettazione del prodotto fino alla fase di go-live. Queste attività includono lo svolgimento di (i) revisioni di sicurezza interne prima del deploy dei nuovi Servizi; (ii) test di penetrazione annuali da parte di terzi indipendenti; e (iii) analisi delle minacce per i nuovi Servizi per rilevare eventuali minacce e vulnerabilità di sicurezza. SparkPost aderisce a un processo di gestione delle modifiche per gestire le modifiche all'ambiente di produzione per i Servizi, comprese le modifiche al software, alle applicazioni e ai sistemi sottostanti. È attivo un monitoraggio per notificare al team di sicurezza i cambiamenti effettuati all'infrastruttura critica e ai servizi che non aderiscono ai processi di gestione delle modifiche.
Misure per la governance e la gestione della sicurezza IT interna: SparkPost mantiene un programma di sicurezza basato sulla valutazione dei rischi, che include protezioni amministrative, organizzative, tecniche e fisiche ragionevolmente progettate per proteggere i Servizi e la riservatezza, integrità e disponibilità dei Dati del Cliente. Il programma di sicurezza di SparkPost è stato progettato tenendo conto della natura dei Servizi e delle dimensioni e complessità del business di SparkPost. SparkPost ha un team di sicurezza dedicato che gestisce il programma di sicurezza delle informazioni di SparkPost e facilita e supporta audit e valutazioni indipendenti eseguiti da terze parti. Il framework di sicurezza di SparkPost si basa sull'attestazione SOC2 Type II e include i seguenti criteri di servizi fidati: Sicurezza, Disponibilità, Riservatezza e Privacy. La sicurezza è gestita ai livelli più alti dell'azienda, con il VP di Conformità e Sicurezza IT che incontri regolarmente la direzione esecutiva per discutere problemi e coordinare le iniziative di sicurezza e IT a livello aziendale. Le politiche e gli standard di sicurezza delle informazioni vengono riviste e approvate dalla direzione almeno annualmente e sono rese disponibili a tutti i dipendenti SparkPost rilevanti per il loro riferimento.
Misure per la certificazione/assicurazione di processi e prodotti: SparkPost conduce vari audit di terzi per attestare vari framework, incluso SOC 2 Type II e test regolari di vulnerabilità delle applicazioni e penetrazione. Misure per garantire la minimizzazione dei dati: SparkPost non memorizza il corpo del messaggio di un'Email dopo che è stato consegnato al Destinatario o è stato respinto o altrimenti rifiutato dal provider di caselle di posta, cosa che avviene tipicamente in pochi secondi. In caso di rifiuto o respingimento, SparkPost conserverà il corpo del messaggio per un periodo di tempo limitato per consentire il ritentativo della trasmissione dell'Email. Se la trasmissione continua a non avere successo, il corpo del messaggio viene cancellato in modo permanente. SparkPost memorizza solo i Dati Personali del Destinatario in forma grezza per un tempo limitato dopo la trasmissione di un'Email a un Destinatario. Dopo il periodo iniziale di conservazione, i Dati Personali vengono pseudonimizzati attraverso un hash unidirezionale e vengono conservati solo in forma pseudonimizzata. Per ulteriori informazioni su questo processo, consultare le nostre FAQ sui Dati disponibili a: https://www.sparkpost.com/policies/data-faq/. Inoltre, SparkPost ha integrato una funzionalità self-service nei Servizi che consente ai Clienti di eliminare determinati Dati del Cliente, come gli indirizzi Email dei Destinatari e eventi associati al messaggio, su richiesta, la cui documentazione è disponibile a: https://developers.sparkpost.com/api/data-privacy/.
Misure per garantire la rendicontazione: SparkPost ha adottato misure per garantire la rendicontazione, tra cui lo svolgimento di audit di terzi regolari per garantire la conformità con i nostri standard di privacy e sicurezza. SparkPost implementa anche politiche di protezione dei dati in conformità con la legge applicabile e pubblica una panoramica della Politica di Sicurezza (collegata sopra). SparkPost ha nominato un Responsabile della Protezione dei Dati e mantiene documentazione delle sue attività di elaborazione, incluso registrare e riferire Incidenti di Sicurezza relativi ai Dati Personali quando applicabile.
Misure per permettere la portabilità dei dati e garantire la cancellazione: i Clienti hanno rapporti diretti con i loro Destinatari e sono responsabili di rispondere alle richieste dei loro utenti finali che desiderano esercitare i loro diritti in base alle Leggi sulla Protezione dei Dati. SparkPost ha integrato una funzionalità self-service nei Servizi che consente ai Clienti di eliminare determinati Dati del Cliente, come gli indirizzi Email dei Destinatari e eventi associati al messaggio su richiesta, la cui documentazione è disponibile a: https://developers.sparkpost.com/api/data-privacy/. Inoltre, SparkPost ha integrato una funzionalità self-service per sopprimere futuri Invii di Email ai Destinatari (cioè, annullare l'iscrizione), la cui documentazione è disponibile a https://developers.sparkpost.com/api/suppression-list/. Nella misura in cui il Cliente non è in grado di accedere in modo indipendente ai Dati del Cliente rilevanti all'interno del Servizio, SparkPost fornirà una ragionevole collaborazione per assistere il Cliente a rispondere tempestivamente a qualsiasi Richiesta del Soggetto dei Dati relativa all'elaborazione dei Dati Personali ai sensi dell'Accordo entro le scadenze imposte dalle Leggi sulla Protezione dei Dati. Nel caso in cui tale richiesta venga fatta direttamente a SparkPost, SparkPost consiglierà al Soggetto dei Dati di presentare la propria richiesta al Cliente, e il Cliente sarà responsabile di rispondere a tale richiesta.
Per i trasferimenti a [sub]-processori, descrivere anche le specifiche misure tecniche e organizzative da adottare dal [sub]-processore per poter fornire assistenza al titolare e, per i trasferimenti da un processore a un [sub]-processore, al data exporter: quando SparkPost si avvale di un sub-processore ai sensi del presente DPA, SparkPost e il sub-processore stipulano un accordo con termini di protezione dei dati sostanzialmente simili a quelli contenuti nel presente.
V2.0 2 novembre 2021
