Ita
Parla con le vendite Accedi Registrati

Accordo per l'elaborazione dei dati

Il presente Accordo per il trattamento dei dati ("DPA") integra le Condizioni d'uso, che vengono aggiornate di volta in volta tra l'utente (insieme alle società controllate e affiliate, collettivamente, "Cliente") e Claspo.io (insieme alle sue società controllate, congiuntamente denominate "Claspo.io") quando il GDPR si applica all'uso da parte del Cliente dei Servizi Claspo.io per il trattamento dei dati del Cliente.

Il presente DPA entra in vigore dalla data in cui il Cliente accetta le Condizioni d'uso. In caso di conflitto tra il presente DPA e le Condizioni d'uso, prevalgono i termini pertinenti del presente DPA.

Si prega di contattare il nostro Responsabile della protezione dei dati (DPO) all'indirizzo info@claspo.io se avete bisogno di consigli o raccomandazioni sull'interpretazione o l'applicazione delle norme sulla protezione dei dati.

IL PRESENTE ACCORDO È STIPULATO TRA:

1. Cliente

E

2. ARDAS INTERNATIONAL INC, COUNTY OF SUSSEX, USA, debitamente rappresentata da Andrii Ryzhokhin con i poteri e l'autorità necessari ai fini della presente, con sede principale 16192 COASTAL HIGHWAY, LEWES, DE 19958, COUNTY OF SUSSEX, USA.

SI CONVIENE QUANTO SEGUE:

1. Ambito di applicazione e ordine di precedenza

Il presente accordo (l'"Accordo sul trattamento dei dati") si applica al trattamento da parte dell'utente dei dati personali forniti a Claspo.io dal cliente, come ulteriormente specificato nell'accordo stipulato tra Claspo.io e il cliente alla data in cui il cliente accetta le Condizioni d'uso (l'"Accordo").

Il presente Contratto di elaborazione dati è soggetto ai termini del Contratto ed è incorporato nel Contratto. Salvo quanto diversamente stabilito nel presente Contratto di elaborazione dati, in caso di conflitto tra i termini del Contratto e i termini del presente Contratto di elaborazione dati, i termini pertinenti del presente Contratto di elaborazione dati avranno la precedenza.

2. Definizioni

I termini in maiuscolo non altrimenti definiti nel presente Contratto di elaborazione dati avranno il rispettivo significato assegnato loro nel Contratto.

Per "Cliente" o "Controllore" si intende il Cliente.

Per "Direttiva" si intende la Direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995, e successive modifiche, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

"Clausole tipo" indica le clausole contrattuali tipo allegate alla Decisione della Commissione UE 2021/914/UE del 4 giugno 2021 relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (trasferimenti dal responsabile del trattamento all'incaricato del trattamento), come possono essere modificate, superate o sostituite di volta in volta.

"Dati personali" indica qualsiasi informazione relativa a una persona fisica identificata o identificabile che (i) il Cliente o qualsiasi persona che agisce per conto del Cliente fornisce a Claspo.io o (ii) Claspo.io elabora come parte dei servizi forniti ai sensi dell'Accordo. Una persona fisica identificata o identificabile (un "Soggetto interessato") è una persona che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificatore come un nome, un numero di identificazione, dati di localizzazione, un identificatore online o a uno o più fattori specifici dell'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica.

"Processo" o "Trattamento" indica qualsiasi operazione o insieme di operazioni eseguite da Claspo.io nell'ambito dell'Accordo sui Dati Personali, con o senza mezzi automatici, come la raccolta, la registrazione, l'organizzazione, la strutturazione, l'archiviazione, l'adattamento o l'alterazione, il recupero, la consultazione, l'uso, la divulgazione tramite trasmissione, diffusione o altrimenti messa a disposizione, l'allineamento o la combinazione, la restrizione, la cancellazione o la distruzione.

Per "Processore" o "Claspo.io" si intende l'entità sopra menzionata.

Per "Subprocessore" si intende un subappaltatore terzo ingaggiato da Claspo.io che, come parte del ruolo del subappaltatore di fornire i servizi ai sensi dell'Accordo, tratterà i Dati personali appartenenti al Cliente.

Per "Regolamento" si intende il Regolamento 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

Gli altri termini hanno le definizioni previste dal Contratto o come diversamente specificato di seguito.

3. Categorie di dati personali e finalità del trattamento dei dati personali

Le tipologie di Dati Personali della Società da trattare:

A. Clienti e utenti: dati identificativi e di contatto (nome, indirizzo, titolo, dati di contatto, nome utente); informazioni finanziarie (dati del conto, dati di pagamento); dati relativi all'impiego (datore di lavoro, titolo di lavoro, ubicazione geografica, area di responsabilità);

B. Abbonati: dati identificativi e di contatto (nome, data di nascita, sesso, generalità, professione o altre informazioni demografiche, indirizzo, titolo, dati di contatto, compreso l'indirizzo e-mail), interessi o preferenze personali (compresa la cronologia degli acquisti, le preferenze di marketing); informazioni informatiche (indirizzi IP, dati di utilizzo, dati dei cookie, dati di navigazione online, dati di localizzazione, dati del browser).

Il trattamento di categorie particolari di dati personali è vietato.

I dati vengono trasferiti su base continua.

Il trattamento dei dati consiste nella raccolta, selezione, salvataggio, trasferimento, limitazione e cancellazione dei dati del titolare del trattamento per fornire comunicazioni di marketing pertinenti.

Lo scopo del trattamento è quello di aiutare il titolare del trattamento a fornire comunicazioni di marketing pertinenti.

I dati personali saranno trattati e conservati per tutto il tempo necessario all'esecuzione dell'Accordo e saranno rimossi su richiesta del responsabile del trattamento e in conformità alle istruzioni del responsabile del trattamento.

4. Istruzioni del controllore

Durante la durata dell'Accordo, il Cliente può fornire istruzioni a Claspo.io in aggiunta a quelle specificate nell'Accordo per quanto riguarda il trattamento dei Dati Personali. Claspo.io si atterrà a tutte queste istruzioni senza costi aggiuntivi nella misura necessaria a Claspo.io per conformarsi alle leggi applicabili a Claspo.io come responsabile del trattamento dei dati nell'esecuzione dell'Accordo.

Claspo.io informerà immediatamente il Cliente se, a giudizio di Claspo.io, un'istruzione viola la Direttiva, il Regolamento o altre disposizioni applicabili in materia di protezione dei dati e della privacy.

Il controllo dei Dati Personali rimane al Cliente e, per quanto riguarda il Cliente e Claspo.io, il Cliente rimarrà in ogni momento il responsabile del trattamento dei dati ai fini dell'Accordo e del presente Accordo sul Trattamento dei Dati. Il Cliente è responsabile del rispetto dei suoi obblighi in qualità di titolare del trattamento dei dati ai sensi delle leggi sulla protezione dei dati, in particolare per le sue decisioni e azioni relative al Trattamento e all'uso dei dati.

5. Diritti dell'interessato

Claspo.io si impegna ad assistere il Cliente nel rispondere alle richieste degli interessati che esercitano i loro diritti di accesso, rettifica, cancellazione, limitazione, portabilità dei dati o opposizione.

In particolare, su istruzioni del Cliente, Claspo.io cancellerà, rilascerà, correggerà o limiterà l'accesso a qualsiasi dato personale specifico e si impegna a trasmettere tempestivamente al Cliente qualsiasi richiesta di accesso, rettifica, cancellazione, limitazione o opposizione di un singolo interessato ai dati personali trattati ai sensi dell'Accordo.

6. Obblighi del processore

In aggiunta alle altre disposizioni del presente Accordo sul Trattamento dei Dati, Claspo.io si impegna a:

  1. nominare un responsabile della protezione dei dati, ove richiesto dalla legge applicabile, e fornire al Cliente i suoi dati di contatto;
  2. garantire che tutte le persone che hanno accesso ai Dati Personali appartenenti al Cliente ai sensi dell'Accordo e del Contratto di Trattamento dei Dati si impegnino a mantenere la riservatezza e abbiano firmato accordi con Claspo.io contenenti protezioni non meno rigorose di quelle qui previste e saranno informate da Claspo.io di qualsiasi requisito di protezione dei dati relativo al Trattamento dei Dati Personali, compresa la limitazione dell'uso allo scopo specifico dell'Accordo e alle istruzioni del Cliente; e
  3. assistere il Cliente nel garantire il rispetto dei suoi obblighi in termini di sicurezza dei dati personali. In particolare, Claspo.io si impegna a notificare tempestivamente al Cliente qualsiasi violazione dei dati come descritto nella sezione 11 di seguito e a fornire tutta l'assistenza ragionevole al Cliente nell'esecuzione di una valutazione dell'impatto sulla protezione dei dati correlata direttamente o indirettamente all'Accordo e/o all'Accordo sul trattamento dei dati.
7. Trasferimento transfrontaliero e successivo dei dati

Claspo.io tratterà tutti i Dati personali in conformità con i requisiti dell'Accordo e del presente Accordo sul trattamento dei dati in tutte le sedi a livello globale.

Nella misura in cui i dati personali provenienti dal SEE vengono trasferiti dal Cliente a Claspo.io, o a uno qualsiasi dei Subprocessori di Claspo.io situati in paesi al di fuori del SEE che non hanno ricevuto una decisione vincolante di adeguatezza da parte della Commissione europea ai sensi degli articoli 25(6) e 31(2) della Direttiva o, in alternativa, ai sensi dell'articolo 45 del Regolamento o da parte di un'autorità nazionale competente per la protezione dei dati, tali trasferimenti devono essere gestiti come segue:

  1. I trasferimenti dal Cliente a Claspo.io, se del caso, saranno soggetti ai termini del presente Accordo sul trattamento dei dati e alle Clausole Modello riprodotte nell'Appendice 3.
  2. Per i trasferimenti da Claspo.io ai Subprocessori di Claspo.io, se del caso, Claspo.io garantirà che tali trasferimenti siano soggetti a (i) qualsiasi meccanismo di trasferimento appropriato che fornisca un livello adeguato di protezione in conformità ai requisiti applicabili degli articoli 25 e 26 della Direttiva/articolo 45 del Regolamento, o (ii) esegua Clausole Modello che incorporino requisiti di sicurezza e altri requisiti di privacy dei dati almeno altrettanto restrittivi di quelli del presente Accordo sul Trattamento dei Dati.

Nessun trasferimento in un paese al di fuori del SEE deve essere effettuato senza il previo consenso scritto del Cliente.

8. Sottoprocessori

Claspo.io non subappalterà nessuna delle operazioni di elaborazione eseguite per conto del Cliente ai sensi del Contratto senza il previo consenso scritto del Cliente.

Il Cliente acconsente espressamente all'utilizzo da parte di Claspo.io dei Subprocessori elencati nell'Appendice 1.

Laddove Claspo.io si avvalga di subprocessori con il consenso del Cliente, Claspo.io lo farà solo tramite un accordo scritto con il subprocessore che imponga al subprocessore gli stessi obblighi imposti a Claspo.io ai sensi del presente Accordo sul trattamento dei dati.

Claspo.io rimane responsabile in ogni momento del rispetto dei termini dell'Accordo e del presente Contratto di Trattamento dei Dati da parte dei Subprocessori di Claspo.io.

Il Cliente può richiedere che Claspo.io verifichi il Subprocessore o fornisca la conferma che tale verifica è avvenuta (o, se disponibile, ottenere o assistere il Cliente nell'ottenere un rapporto di verifica di terzi relativo alle operazioni del Subprocessore) per garantire il rispetto dei suoi obblighi. Il Cliente avrà inoltre il diritto, su richiesta scritta, di ricevere copia dei termini pertinenti dell'accordo di Claspo.io con i Subprocessori che possono trattare i Dati Personali.

9. Misure tecniche e organizzative

Quando elabora i Dati Personali per conto del Cliente in relazione all'Accordo, Claspo.io garantisce che Claspo.io ha implementato e manterrà adeguate misure di sicurezza tecniche e organizzative per l'elaborazione di tali dati, comprese le misure specificate nell'Appendice 2.

Tali misure hanno lo scopo di proteggere i Dati personali dalla perdita, dalla distruzione, dall'alterazione, dalla divulgazione o dall'accesso accidentali o non autorizzati e da qualsiasi altra forma di trattamento illecito. Ulteriori informazioni relative a tali misure possono essere specificate nell'Accordo.

Claspo.io si impegna a documentare l'implementazione delle misure tecniche e organizzative per fornire tale documentazione al Cliente su richiesta e a presentare al Cliente qualsiasi aggiornamento di tale documentazione.

10. Diritti di revisione

Il Cliente può verificare, a proprie spese, il rispetto da parte di Claspo.io dei termini dell'Accordo e del presente Accordo sul trattamento dei dati. Se la verifica deve essere condotta da una terza parte, questa deve essere concordata dal Cliente e da Claspo.io e deve sottoscrivere un accordo scritto di riservatezza prima di condurre la verifica.

Per richiedere un audit, il Cliente deve presentare a Claspo.io un piano di audit almeno due settimane prima della data di audit proposta, descrivendo l'ambito, la durata e la data di inizio dell'audit. Claspo.io esaminerà il piano di audit e fornirà al Cliente eventuali dubbi o domande che Claspo.io si impegna a collaborare con il Cliente per concordare un piano di audit definitivo.

L'audit sarà condotto durante il normale orario di lavoro presso la struttura applicabile e non potrà interferire in modo irragionevole con le attività commerciali di Claspo.io.

Il Cliente fornirà a Claspo.io una copia di qualsiasi rapporto di audit generato in relazione a qualsiasi audit ai sensi della presente sezione, a meno che non sia vietato dalla legge. Il Cliente può utilizzare i rapporti di audit solo al fine di soddisfare i propri requisiti di audit normativi e/o confermare la conformità ai requisiti dell'Accordo, del presente Contratto di elaborazione dati e della legge applicabile. I rapporti di audit sono informazioni riservate delle parti ai sensi dell'Accordo.

Claspo.io si impegna a fornire un'assistenza ragionevole per qualsiasi verifica condotta dal Cliente.

Claspo.io accetta che l'autorità competente per la protezione dei dati abbia il diritto di effettuare un'ispezione di Claspo.io e di qualsiasi Subprocessore.

Claspo.io si impegna a mettere a disposizione del Cliente e/o dell'autorità competente per la protezione dei dati tutte le informazioni necessarie a dimostrare il rispetto degli obblighi previsti dal presente Accordo per il trattamento dei dati e dalla legge applicabile e a collaborare pienamente con il Cliente e/o con qualsiasi autorità competente per la protezione dei dati nel corso di qualsiasi audit e/o ispezione.

11. Notifica di violazione dei dati

Ai fini della presente sezione, per "violazione della sicurezza" si intende una violazione della sicurezza che porta alla distruzione accidentale o illegale, alla perdita, all'alterazione, alla divulgazione non autorizzata o all'accesso ai Dati Personali trasmessi, memorizzati o altrimenti elaborati sui sistemi Claspo.io o sull'ambiente Claspo.io. Claspo.io informerà tempestivamente il Cliente se Claspo.io determina che i Dati Personali sono stati oggetto di una violazione della sicurezza (anche da parte di uno dei dipendenti di Claspo.io) o di qualsiasi altra circostanza in cui il Cliente è tenuto a fornire una notifica ai sensi della legge applicabile.

Claspo.io indagherà prontamente sulla violazione della sicurezza e adotterà misure ragionevoli per identificarne le cause principali e prevenire il ripetersi della violazione. Man mano che le informazioni vengono raccolte o diventano disponibili, Claspo.io fornirà al Cliente una descrizione della violazione della sicurezza, il tipo di dati che sono stati oggetto della violazione e altre informazioni che il Cliente può ragionevolmente richiedere riguardo alle persone colpite. Le parti concordano di coordinarsi in buona fede per sviluppare il contenuto di qualsiasi dichiarazione pubblica o di qualsiasi avviso richiesto per le persone colpite e/o le autorità competenti per la protezione dei dati.

12. Restituzione e cancellazione dei dati personali al termine del contratto o su richiesta del cliente

Se non diversamente previsto nell'Accordo, in seguito alla risoluzione dell'Accordo, Claspo.io restituirà o renderà altrimenti disponibili per il recupero tutti i Dati Personali del Cliente.

A seguito della restituzione dei dati, o come altrimenti specificato nell'Accordo, Claspo.io cancellerà prontamente tutte le copie dei Dati personali di cui Claspo.io può disporre, salvo quanto richiesto dalla legge.

13. Divulgazione richiesta dalla legge

Salvo quanto diversamente richiesto dalla legge, Claspo.io notificherà prontamente al Cliente qualsiasi citazione in giudizio, ordine giudiziario, amministrativo o arbitrale di un'agenzia esecutiva o amministrativa o di un'altra autorità governativa ("Richiesta") che riceve e che si riferisce ai Dati Personali che Claspo.io sta trattando per conto del Cliente.

Su richiesta dell'Utente, Claspo.io fornirà all'Utente informazioni ragionevoli in possesso di Claspo.io che possano rispondere alla Richiesta e qualsiasi assistenza ragionevolmente necessaria all'Utente per rispondere alla Richiesta in modo tempestivo.

Da: ………………………………

In nome e per conto di ARDAS INTERNATIONAL INC, debitamente autorizzato a firmare il presente Accordo.

Da: ………………………………

In nome e per conto del Cliente debitamente autorizzato a firmare il presente Contratto.

Appendice 1: Elenco dei subprocessori (se applicabile)

Nome del sottoprocessore Indirizzo Attività del sottoprocessore per Claspo.io Misure di sicurezza dei subprocessori
Servizi Web di Amazon Dublino, Irlanda affittare server e altre risorse per elaborare i dati https://aws.amazon.com/products/security
Intercom California, USA soluzioni di live chat & help desk https://www.intercom.com/security
Hetzner Online GmbH Gunzenhausen, Germania affittare server e altre risorse per ospitare servizi online https://www.hetzner.com/unternehmen/zertifizierung/
Google Ireland Ltd. Dublino, Irlanda data warehousing, creazione di dashboard analitici https://www.google.com/about/datacenters/data-security/
Stripe, Inc. Dublino, Irlanda elaborazione dei pagamenti online https://stripe.com/docs/security

Appendice 2: Misura organizzativa e tecnica implementata da Claspo.io

  1. Controllo dell'accesso fisico (misure per impedire a persone non autorizzate di accedere alle apparecchiature di trattamento dei dati (ad esempio dispositivi, server di database e applicazioni e relativo hardware) in cui i dati personali sono trattati o utilizzati)

    2. Elaborazione in outsourcing: Ospitiamo il nostro Servizio presso fornitori di infrastrutture cloud in outsourcing. Inoltre, intratteniamo rapporti contrattuali con i fornitori al fine di fornire il Servizio in conformità con la nostra DPA. Ci affidiamo agli accordi contrattuali, alle politiche sulla privacy e ai programmi di conformità dei fornitori per proteggere i dati elaborati o archiviati da questi fornitori.

    Sicurezza fisica e ambientale: L'infrastruttura dei nostri prodotti è ospitata da fornitori di infrastrutture in outsourcing multi-tenant. I controlli di sicurezza fisica e ambientale dei fornitori sono sottoposti a verifiche per la conformità SOC 2 di tipo II e ISO 27001, tra le altre certificazioni.

  2. Controllo dell'accesso al sistema (misure per impedire che i sistemi di elaborazione dati siano utilizzati da persone non autorizzate)

    3. Autorizzazione: I dati dei clienti sono archiviati in sistemi di archiviazione multi-tenant accessibili ai clienti solo tramite interfacce utente e interfacce di programmazione delle applicazioni. Ai clienti non è consentito l'accesso diretto all'infrastruttura applicativa sottostante. Il modello di autorizzazione in ciascuno dei nostri prodotti è progettato per garantire che solo le persone opportunamente incaricate possano accedere alle funzioni, alle visualizzazioni e alle opzioni di personalizzazione pertinenti. L'autorizzazione ai set di dati viene effettuata mediante la convalida dei permessi dell'utente rispetto agli attributi associati a ciascun set di dati.

    Autenticazione: Implementiamo una politica di password uniforme per i nostri prodotti per i clienti. I clienti che interagiscono con i prodotti tramite l'interfaccia utente devono autenticarsi prima di accedere ai dati non pubblici dei clienti.

  3. Controllo dell'accesso ai dati (misure volte a garantire che le persone autorizzate a utilizzare i sistemi di elaborazione dei dati possano accedere ai dati solo nell'ambito e nella misura previsti dal rispettivo permesso di accesso (autorizzazione) e che i dati personali non possano essere letti, copiati o modificati o rimossi senza autorizzazione)

    4. Accesso ai prodotti: Un sottoinsieme dei nostri dipendenti ha accesso ai prodotti e ai dati dei clienti tramite interfacce controllate. L'intento di fornire l'accesso a un sottoinsieme di dipendenti è quello di fornire un'assistenza efficace ai clienti, di risolvere potenziali problemi, di individuare e rispondere agli incidenti di sicurezza e di implementare la sicurezza dei dati. L'accesso è consentito attraverso richieste di accesso "just in time"; tutte le richieste sono registrate. Ai dipendenti viene concesso l'accesso in base al ruolo e le revisioni delle concessioni di privilegi ad alto rischio vengono avviate quotidianamente. I ruoli dei dipendenti vengono rivisti almeno una volta ogni sei mesi.

    Controlli sul passato: Tutti i dipendenti vengono sottoposti a un controllo dei precedenti personali da parte di terzi prima di ricevere un'offerta di lavoro, in conformità con le leggi vigenti e secondo quanto consentito dalle stesse. Tutti i dipendenti sono tenuti a comportarsi in modo coerente con le linee guida aziendali, i requisiti di non divulgazione e gli standard etici.

  4. Controllo della trasmissione (misure per impedire che i dati personali vengano letti, copiati, alterati o cancellati da persone non autorizzate durante la loro trasmissione o il trasporto dei supporti di dati)

    5. In transito: Rendiamo disponibile la crittografia HTTPS (detta anche SSL o TLS) su tutte le interfacce di accesso. La nostra implementazione HTTPS utilizza algoritmi e certificati standard del settore.

    A riposo: Memorizziamo le password degli utenti secondo politiche che seguono le pratiche standard del settore per la sicurezza. Abbiamo implementato tecnologie per garantire che i dati memorizzati siano crittografati a riposo.

  5. Controllo dell'input (misure per garantire che sia possibile verificare e stabilire se e da chi i dati personali sono stati inseriti nei sistemi di elaborazione dati o rimossi)

    6. Rilevamento: Abbiamo progettato la nostra infrastruttura per registrare ampie informazioni sul comportamento del sistema, sul traffico ricevuto, sull'autenticazione del sistema e su altre richieste di applicazione. I sistemi interni aggregano i dati di registro e avvisano i dipendenti appropriati di attività dannose, non intenzionali o anomale. Il nostro personale, compreso quello addetto alla sicurezza, alle operazioni e all'assistenza, reagisce agli incidenti noti.

    Risposta e monitoraggio: Manteniamo un registro degli incidenti di sicurezza noti che include la descrizione, le date e gli orari delle attività pertinenti e la disposizione dell'incidente. Gli incidenti di sicurezza sospetti e confermati vengono analizzati dal personale addetto alla sicurezza, alle operazioni o all'assistenza e vengono identificate e documentate le misure di risoluzione appropriate. Per qualsiasi incidente confermato, adotteremo le misure appropriate per ridurre al minimo i danni al prodotto e al cliente o la divulgazione non autorizzata. La notifica al cliente avverrà in conformità ai termini del Contratto.

  6. Controllo del lavoro (misure per garantire che i dati siano trattati in modo strettamente conforme alle istruzioni del Cliente)

    7. Il nostro sistema si trova in un cloud sicuro, utilizziamo la crittografia per tutti i dati sensibili, la gestione centralizzata degli accessi con ruoli rigorosi e un accesso molto limitato ai database per i nostri collaboratori. Inoltre, registriamo qualsiasi azione sui server e sulla piattaforma cloud.

  7. Controllo della disponibilità (misure per garantire che i dati siano protetti da distruzione o perdita accidentale)

    8. Disponibilità dell'infrastruttura: I fornitori dell'infrastruttura compiono sforzi ragionevoli dal punto di vista commerciale per garantire un tempo di attività minimo del 99,95%. I fornitori mantengono una ridondanza minima di N+1 per l'alimentazione, la rete e i servizi HVAC.

    Tolleranza ai guasti: Le strategie di backup e di replica sono progettate per garantire la ridondanza e le protezioni di failover in caso di guasto significativo dell'elaborazione. Il backup dei dati dei clienti viene eseguito su più archivi di dati durevoli e replicato in più zone di disponibilità.

    Repliche e backup online: Ove possibile, i database di produzione sono progettati per replicare i dati tra non meno di 1 database primario e 1 secondario. Tutti i database sono sottoposti a backup e manutenzione utilizzando almeno i metodi standard del settore.

    I nostri prodotti sono progettati per garantire la ridondanza e il failover continuo. Anche le istanze dei server che supportano i prodotti sono progettate con l'obiettivo di evitare singoli punti di guasto. Questo design aiuta le nostre operazioni a mantenere e aggiornare le applicazioni e il backend dei prodotti limitando i tempi di inattività.

  8. Segregazione dei dati (misure per separare il trattamento per finalità e/o operazioni diverse)

    9. a) Gli ambienti utilizzati per lo sviluppo, il collaudo e la produzione sono fisicamente separati.

    b) Non è consentito l'uso di dati di produzione non anonimizzati nell'ambiente di sviluppo.

Appendice 3: Clausole modello (se applicabile)

Unità C.3: Protezione dei dati

Decisione della Commissione C (2010)593

Clausole contrattuali standard (processori)

Ai fini dell'articolo 26, paragrafo 2, della direttiva 95/46/CE, per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati.

Nome dell'organizzazione che esporta i dati:Cliente

Cliente

Tel: N/A; fax: N/A; e-mail:

Altre informazioni necessarie per identificare l'organizzazione: N/A

(l'esportatore di dati)

E

Nome dell'organizzazione che importa i dati: ARDAS INTERNATIONAL INC.

Indirizzo: 16192 COASTAL HIGHWAY, LEWES, DE 19958, CONTEA DI SUSSEX, USA

e-mail: info@claspo.io

(l'importatore di dati)

ciascuna "parte"; insieme "le parti",

HANNO CONVENUTO le seguenti clausole contrattuali (le Clausole) al fine di fornire adeguate garanzie in materia di tutela della privacy e dei diritti e delle libertà fondamentali delle persone fisiche per il trasferimento da parte dell'esportatore dei dati all'importatore dei dati personali specificati nell'Appendice 1.

Clausola 1
Definizioni

Ai fini delle Clausole:

(a) "dati personali", "categorie particolari di dati", "processo/elaborazione", "responsabile del trattamento", "incaricato del trattamento", "persona interessata" e "autorità di controllo" hanno lo stesso significato della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati1;

(b) "l'esportatore di dati": il responsabile del trattamento che trasferisce i dati personali;

(c) "l'importatore di dati": l'incaricato del trattamento che accetta di ricevere dall'esportatore di dati i dati personali destinati al trattamento per suo conto dopo il trasferimento in conformità alle sue istruzioni e ai termini delle clausole e che non è soggetto a un sistema di un paese terzo che garantisca una protezione adeguata ai sensi dell'articolo 25, paragrafo 1, della direttiva 95/46/CE;

(d) per "subincaricato" si intende qualsiasi incaricato del trattamento incaricato dall'importatore o da qualsiasi altro subincaricato dell'importatore che accetti di ricevere dall'importatore o da qualsiasi altro subincaricato dell'importatore dati personali destinati esclusivamente ad attività di trattamento da svolgere per conto dell'esportatore dopo il trasferimento in conformità alle sue istruzioni, ai termini delle Clausole e ai termini del contratto di subappalto scritto;

(e) "legge applicabile in materia di protezione dei dati": la legislazione che tutela i diritti e le libertà fondamentali delle persone fisiche e, in particolare, il loro diritto alla privacy in relazione al trattamento dei dati personali, applicabile a un responsabile del trattamento nello Stato membro in cui è stabilito l'esportatore di dati;

(f) "misure di sicurezza tecniche e organizzative": le misure volte a proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale, dall'alterazione, dalla divulgazione o dall'accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati in rete, e da qualsiasi altra forma illecita di trattamento.

1Le parti possono riprodurre le definizioni e i significati contenuti nella Direttiva 95/46/CE all'interno della presente clausola se ritengono che sia meglio che il contratto sia indipendente.

Clausola 2
Dettagli del trasferimento

I dettagli del trasferimento e in particolare le categorie speciali di dati personali, ove applicabili, sono specificati nell'Appendice 1 che costituisce parte integrante delle Clausole.

Clausola 3
Clausola del terzo beneficiario

L'interessato può far valere nei confronti dell'esportatore di dati la presente clausola, la clausola 4, lettere da b) a i), la clausola 5, lettere da a) a e), e da g) a j), la clausola 6, paragrafi 1 e 2, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 in qualità di terzo beneficiario.

L'interessato può far valere nei confronti dell'importatore la presente clausola, la clausola 5, lettere da a) a e) e g), la clausola 6, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12, nei casi in cui l'esportatore di dati sia scomparso di fatto o abbia cessato di esistere giuridicamente, a meno che un'entità subentrante non abbia assunto tutti gli obblighi giuridici dell'esportatore di dati per contratto o per effetto di legge, con conseguente assunzione dei diritti e degli obblighi dell'esportatore di dati, nel qual caso l'interessato può farli valere nei confronti di tale entità.

L'interessato può far valere nei confronti del subincaricato la presente Clausola, la Clausola 5 (da a) a (e) e (g), la Clausola 6, la Clausola 7, la Clausola 8 (2) e le Clausole da 9 a 12, nei casi in cui sia l'esportatore che l'importatore dei dati siano di fatto scomparsi o abbiano cessato di esistere giuridicamente o siano diventati insolventi, a meno che un'entità subentrante non abbia assunto tutti gli obblighi legali dell'esportatore dei dati per contratto o per effetto di legge, assumendo così i diritti e gli obblighi dell'esportatore dei dati, nel qual caso l'interessato può farli valere nei confronti di tale entità. Tale responsabilità di terzi del subprocessore sarà limitata alle proprie operazioni di trattamento ai sensi delle Clausole.

Le parti non si oppongono a che una persona interessata sia rappresentata da un'associazione o da un altro organismo se la persona interessata lo desidera espressamente e se ciò è consentito dalla legislazione nazionale.

Clausola 4
Obblighi dell'esportatore di dati

L'esportatore di dati accetta e garantisce:

a. che il trattamento, compreso il trasferimento stesso, dei dati personali è stato e continuerà ad essere effettuato in conformità alle disposizioni pertinenti della legge sulla protezione dei dati applicabile (e, se del caso, è stato notificato alle autorità competenti dello Stato membro in cui è stabilito l'esportatore di dati) e non viola le disposizioni pertinenti di tale Stato;

b. di aver istruito e per tutta la durata dei servizi di trattamento dei dati personali istruirà l'importatore a trattare i dati personali trasferiti solo per conto dell'esportatore e in conformità con la legge applicabile sulla protezione dei dati e le Clausole;

c. che l'importatore dei dati fornisca garanzie sufficienti in merito alle misure di sicurezza tecniche e organizzative specificate nell'Appendice 2 del presente contratto;

d. che, dopo aver valutato i requisiti della legge applicabile in materia di protezione dei dati, le misure di sicurezza siano adeguate a proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale, dall'alterazione, dalla divulgazione non autorizzata o dall'accesso, in particolare quando il trattamento comporta la trasmissione di dati in rete, e da qualsiasi altra forma illecita di trattamento, e che tali misure garantiscano un livello di sicurezza adeguato ai rischi presentati dal trattamento e alla natura dei dati da proteggere, tenendo conto dello stato dell'arte e del costo della loro attuazione;

e. che garantirà il rispetto delle misure di sicurezza;

f. che, se il trasferimento riguarda categorie particolari di dati, la persona interessata sia stata informata o sarà informata prima, o il più presto possibile dopo, il trasferimento che i suoi dati potrebbero essere trasmessi a un paese terzo che non fornisce una protezione adeguata ai sensi della direttiva 95/46/CE;

g. inoltrare qualsiasi notifica ricevuta dall'importatore dei dati o da qualsiasi subprocessore ai sensi della clausola 5(b) e della clausola 8(3) all'autorità di controllo della protezione dei dati se l'esportatore dei dati decide di continuare il trasferimento o di revocare la sospensione;

h. mettere a disposizione degli interessati, su richiesta, una copia delle Clausole, ad eccezione dell'Appendice 2, e una descrizione sintetica delle misure di sicurezza, nonché una copia di qualsiasi contratto per servizi di subelaborazione che debba essere stipulato in conformità alle Clausole, a meno che le Clausole o il contratto non contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali;

i. che, in caso di sottoelaborazione, l'attività di trattamento sia svolta in conformità alla Clausola 11 da un subprocessore che garantisca almeno lo stesso livello di protezione dei dati personali e dei diritti dell'interessato rispetto all'importatore dei dati ai sensi delle Clausole; e

j.di garantire la conformità con la clausola 4 (a) - (i).

Clausola 5
Obblighi dell'importatore di dati2

L'importatore di dati accetta e garantisce:

a. trattare i dati personali solo per conto dell'esportatore e in conformità alle istruzioni di quest'ultimo e alle Clausole; se non è in grado di fornire tale conformità per qualsiasi motivo, si impegna a informare tempestivamente l'esportatore della sua incapacità di conformarsi, nel qual caso l'esportatore ha il diritto di sospendere il trasferimento dei dati e/o di risolvere il contratto;

b. di non avere motivo di ritenere che la legislazione ad esso applicabile gli impedisca di adempiere alle istruzioni ricevute dall'esportatore di dati e ai suoi obblighi ai sensi del contratto e che, in caso di modifica di tale legislazione che possa avere un effetto negativo sostanziale sulle garanzie e sugli obblighi previsti dalle Clausole, notificherà tempestivamente la modifica all'esportatore di dati non appena ne sarà a conoscenza, nel qual caso l'esportatore di dati avrà il diritto di sospendere il trasferimento dei dati e/o di risolvere il contratto;

c. di aver implementato le misure di sicurezza tecniche e organizzative specificate nell'Appendice 2 prima di trattare i dati personali trasferiti;

d. che comunicherà tempestivamente all'esportatore di dati:

i. qualsiasi richiesta legalmente vincolante di divulgazione di dati personali da parte di un'autorità preposta all'applicazione della legge, a meno che non sia altrimenti vietato, come ad esempio un divieto previsto dal diritto penale per preservare la riservatezza di un'indagine delle forze dell'ordine,

ii. qualsiasi accesso accidentale o non autorizzato e

iii. qualsiasi richiesta ricevuta direttamente dagli interessati senza rispondere a tale richiesta, a meno che non sia stato altrimenti autorizzato a farlo;

e. a rispondere prontamente e correttamente a tutte le richieste dell'esportatore di dati relative al trattamento dei dati personali oggetto del trasferimento e ad attenersi al parere dell'autorità di controllo in merito al trattamento dei dati trasferiti;

f. su richiesta dell'esportatore, sottoporre le proprie strutture di trattamento dei dati a una verifica delle attività di trattamento coperte dalle Clausole, che sarà effettuata dall'esportatore o da un organismo di controllo composto da membri indipendenti e in possesso delle qualifiche professionali richieste, vincolati da un obbligo di riservatezza, selezionati dall'esportatore, se del caso, in accordo con l'autorità di controllo;

g. mettere a disposizione dell'interessato, su richiesta, una copia delle clausole o di qualsiasi contratto di subelaborazione esistente, a meno che le clausole o il contratto non contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali, ad eccezione dell'appendice 2 che sarà sostituita da una descrizione sintetica delle misure di sicurezza nei casi in cui l'interessato non sia in grado di ottenerne una copia dall'esportatore di dati;

h. che, in caso di subelaborazione, abbia preventivamente informato l'esportatore dei dati e ottenuto il suo consenso scritto;

i. che i servizi di trattamento da parte del subprocessore saranno eseguiti in conformità alla Clausola 11;

j. inviare tempestivamente all'esportatore dei dati una copia di qualsiasi accordo di sottoelaborazione concluso ai sensi delle Clausole.

2Requisiti obbligatori della legislazione nazionale applicabile all'importatore di dati che non vanno oltre quanto necessario in una società democratica sulla base di uno degli interessi elencati all'articolo 13, paragrafo 1, della direttiva 95/46/CE, ossia se costituiscono una misura necessaria per salvaguardare la sicurezza nazionale, la difesa, la sicurezza pubblica, la prevenzione, la ricerca, l'accertamento e il perseguimento di reati o di violazioni della deontologia delle professioni regolamentate, un importante interesse economico o finanziario dello Stato o la protezione della persona interessata o dei diritti e delle libertà altrui, non sono in contraddizione con le clausole contrattuali standard. Alcuni esempi di tali requisiti obbligatori che non vanno al di là di quanto necessario in una società democratica sono, tra l'altro, le sanzioni riconosciute a livello internazionale, gli obblighi di segnalazione fiscale o gli obblighi di segnalazione antiriciclaggio.

Clausola 6
Responsabilità

Le parti convengono che qualsiasi soggetto interessato, che abbia subito un danno a causa di una violazione degli obblighi di cui alla Clausola 3 o alla Clausola 11 da parte di qualsiasi soggetto o subprocessore, ha il diritto di ricevere un risarcimento dall'esportatore di dati per il danno subito.

Se l'interessato non è in grado di presentare una richiesta di risarcimento ai sensi del paragrafo 1 nei confronti dell'esportatore di dati, derivante da una violazione da parte dell'importatore di dati o del suo subincaricato di uno degli obblighi di cui alla clausola 3 o alla clausola 11, perché l'esportatore di dati è di fatto scomparso o ha cessato di esistere giuridicamente o è diventato insolvente, l'importatore dei dati accetta che l'interessato possa presentare un reclamo contro l'importatore dei dati come se fosse l'esportatore dei dati, a meno che un'entità successiva non abbia assunto tutti gli obblighi legali dell'esportatore dei dati per contratto o per effetto di legge, nel qual caso l'interessato può far valere i propri diritti contro tale entità. L'importatore di dati non può invocare la violazione dei propri obblighi da parte di un subprocessore per evitare le proprie responsabilità.

Se l'interessato non è in grado di far valere un diritto nei confronti dell'esportatore o dell'importatore dei dati di cui ai paragrafi 1 e 2, derivante dalla violazione da parte del subprocessore di uno degli obblighi di cui alla clausola 3 o alla clausola 11, perché sia l'esportatore che l'importatore dei dati sono di fatto scomparsi o hanno cessato di esistere giuridicamente o sono diventati insolventi, il subprocessore accetta che l'interessato possa far valere i propri diritti nei confronti del subprocessore in relazione alle proprie operazioni di trattamento ai sensi delle Clausole, come se fosse l'esportatore o l'importatore dei dati, a meno che un soggetto subentrante non abbia assunto tutti gli obblighi giuridici dell'esportatore o dell'importatore dei dati per contratto o per effetto di legge, nel qual caso l'interessato potrà far valere i propri diritti nei confronti di tale soggetto. La responsabilità del subprocessore sarà limitata alle proprie operazioni di trattamento ai sensi delle Clausole.

Clausola 7
Mediazione e giurisdizione

L'importatore di dati accetta che se l'interessato invoca nei suoi confronti i diritti di terzi beneficiari e/o chiede il risarcimento dei danni ai sensi delle Clausole, l'importatore di dati accetterà la decisione dell'interessato:

  • sottoporre la controversia alla mediazione di un soggetto indipendente o, se del caso, dell'autorità di vigilanza;
  • di deferire la controversia ai tribunali dello Stato membro in cui è stabilito l'esportatore di dati.

Le parti convengono che la scelta effettuata dall'interessato non pregiudicherà i suoi diritti sostanziali o procedurali di chiedere rimedi in conformità ad altre disposizioni del diritto nazionale o internazionale.

Clausola 8
Cooperazione con le autorità di vigilanza

L'esportatore di dati si impegna a depositare una copia del presente contratto presso l'autorità di vigilanza, qualora questa lo richieda o qualora tale deposito sia richiesto dalla legge applicabile in materia di protezione dei dati.

Le parti convengono che l'autorità di vigilanza ha il diritto di condurre un audit dell'importatore dei dati e di qualsiasi subprocessore, che ha la stessa portata ed è soggetto alle stesse condizioni che si applicherebbero a un audit dell'esportatore dei dati ai sensi della legge sulla protezione dei dati applicabile.

L'importatore di dati informa tempestivamente l'esportatore dell'esistenza di una legislazione applicabile a lui o a un subprocessore che impedisca lo svolgimento di una verifica dell'importatore di dati o di un subprocessore ai sensi del paragrafo 2. In tal caso, l'esportatore di dati ha il diritto di adottare le misure previste dalla clausola 5 (b). In tal caso, l'esportatore di dati avrà il diritto di adottare le misure previste dalla clausola 5 (b).

Clausola 9
Legge applicabile

Le Clausole sono disciplinate dalla legge dello Stato membro in cui ha sede l'esportatore dei dati.

Clausola 10
Variazione del contratto

Le parti si impegnano a non variare o modificare le Clausole. Ciò non preclude alle parti la possibilità di aggiungere clausole su questioni commerciali, ove necessario, a condizione che non siano in contraddizione con la Clausola.

Clausola 11
Sottoelaborazione

L'importatore di dati non potrà subappaltare alcuna delle operazioni di trattamento eseguite per conto dell'esportatore di dati ai sensi delle Clausole senza il previo consenso scritto dell'esportatore di dati. Qualora l'importatore di dati subappalti i propri obblighi ai sensi delle Clausole, con il consenso dell'esportatore, lo farà solo tramite un accordo scritto con il subprocessore che imponga al subprocessore gli stessi obblighi imposti all'importatore di dati ai sensi delle Clausole3. Qualora il subprocessore non adempia ai propri obblighi di protezione dei dati ai sensi di tale accordo scritto, l'importatore dei dati rimarrà pienamente responsabile nei confronti dell'esportatore per l'adempimento degli obblighi del subprocessore ai sensi di tale accordo.

Il contratto scritto preliminare tra l'importatore e il subincaricato deve inoltre prevedere una clausola di responsabilità civile di cui alla Clausola 3 per i casi in cui l'interessato non sia in grado di far valere la richiesta di risarcimento di cui al paragrafo 1 della Clausola 6 nei confronti dell'esportatore o dell'importatore di dati, in quanto questi ultimi sono scomparsi di fatto o hanno cessato di esistere giuridicamente o sono diventati insolventi e nessun soggetto subentrante ha assunto tutti gli obblighi giuridici dell'esportatore o dell'importatore di dati per contratto o per legge. Tale responsabilità del subprocessore sarà limitata alle proprie operazioni di trattamento ai sensi delle Clausole.

Le disposizioni relative agli aspetti della protezione dei dati per la subelaborazione del contratto di cui al paragrafo 1 sono disciplinate dalla legge dello Stato membro in cui è stabilito l'esportatore dei dati.

L'esportatore di dati conserva un elenco degli accordi di subelaborazione conclusi ai sensi delle clausole e notificati dall'importatore di dati ai sensi della clausola 5 (j), che viene aggiornato almeno una volta all'anno. L'elenco è a disposizione dell'autorità di controllo della protezione dei dati dell'esportatore.

3Questo requisito può essere soddisfatto dal subincaricato che cofirma il contratto stipulato tra l'esportatore e l'importatore di dati ai sensi della presente decisione.

Clausola 12
Obbligo dopo la cessazione dei servizi di trattamento dei dati personali

Le parti concordano che al termine della fornitura di servizi di elaborazione dati, l'importatore di dati e il subprocessore dovranno, a scelta dell'esportatore di dati, restituire tutti i dati personali trasferiti e le relative copie all'esportatore di dati o distruggere tutti i dati personali e certificare all'esportatore di dati di averlo fatto, a meno che la legislazione imposta all'importatore di dati non gli impedisca di restituire o distruggere tutti o parte dei dati personali trasferiti. In tal caso, l'importatore garantisce che garantirà la riservatezza dei dati personali trasferiti e non tratterà più attivamente i dati personali trasferiti.

L'importatore e il subincaricato garantiscono che, su richiesta dell'esportatore e/o dell'autorità di controllo, sottoporranno le proprie strutture di trattamento dei dati a un audit delle misure di cui al paragrafo 1.

A nome dell'esportatore di dati:

Nome (scritto per intero):

Posizione del cliente:

Indirizzo:

Altre informazioni necessarie affinché il contratto sia vincolante (se presenti):

Firma ……………………………………….
(timbro dell'organizzazione)



Per conto dell'importatore di dati:

Nome (scritto per intero): Andrii Ryzhokhin

Posizione: Direttore

Indirizzo: 16192 COASTAL HIGHWAY, LEWES, DE 19958, COUNTY OF SUSSEX, USA

Altre informazioni necessarie affinché il contratto sia vincolante (se presenti):

Firma ……………………………………….
(timbro dell'organizzazione)

APPENDICE 1 ALLE CLAUSOLE CONTRATTUALI STANDARD

La presente Appendice costituisce parte integrante delle Clausole e deve essere compilata e firmata dalle parti.

Gli Stati membri possono completare o specificare, in base alle loro procedure nazionali, tutte le informazioni aggiuntive necessarie che devono essere contenute nella presente appendice.

Esportatore di dati

L'esportatore dei dati è (specificare brevemente le attività rilevanti per il trasferimento):

Cliente

Importatore di dati

L'importatore dei dati è (specificare brevemente le attività rilevanti per il trasferimento):

un servizio online progettato per creare e inviare messaggi di marketing e transazionali a terze parti

Soggetti interessati

I dati personali trasferiti riguardano le seguenti categorie di soggetti (specificare):

Si veda quanto specificato nell'articolo 3.2 dell'Accordo sul trattamento dei dati.

Categorie di dati

I dati personali trasferiti riguardano le seguenti categorie di dati (specificare):

Si veda quanto specificato nell'articolo 3.1 dell'Accordo sul trattamento dei dati.

Categorie particolari di dati (se del caso)

I dati personali trasferiti riguardano le seguenti categorie particolari di dati (specificare): N/A

Operazioni di lavorazione

I dati personali trasferiti saranno oggetto delle seguenti attività di trattamento di base (specificare):

Si veda quanto specificato nel Contratto di servizio.

ESPORTATORE DI DATI

Nome: Cliente

Firma autorizzata

IMPORTATORE DI DATI

Nome: ARDAS INTERNATIONAL INC.

Firma autorizzata

APPENDICE 2 ALLE CLAUSOLE CONTRATTUALI STANDARD

La presente Appendice costituisce parte integrante delle Clausole e deve essere compilata e firmata dalle parti.

Descrizione delle misure di sicurezza tecniche e organizzative attuate dall'importatore dei dati in conformità alle clausole 4(d) e 5(c) (o documento/legislazione allegato):

Si veda l'Appendice 2 dell'Accordo sul trattamento dei dati.