Introduzione

Le parti concordano che il presente Accordo sulla Protezione dei Dati ("DPA") stabilisce i diritti e gli obblighi di ciascuna di esse in relazione al trattamento e alla sicurezza dei Dati Personali del Cliente in relazione al Software e ai Servizi forniti da MetaCompliance Ltd.. Il DPA è incorporato come riferimento nelle Condizioni Generali (Condizioni Commerciali). Le parti concordano inoltre che, a meno che non esista un DPA separato firmato dalle parti, il presente DPA regola il trattamento e la sicurezza dei Dati Personali del Cliente.

Le disposizioni dei Termini del DPA sostituiscono qualsiasi disposizione contrastante della Dichiarazione sulla Privacy di MetaCompliance che altrimenti potrebbe essere applicata al trattamento dei Dati Personali del Cliente. Per chiarezza, in linea con le Clausole Contrattuali Standard 2021 definite di seguito, quando le Clausole Contrattuali Standard 2021 sono applicabili, le Clausole Contrattuali Standard 2021 prevalgono su qualsiasi altro termine del Contratto di Trattamento dei Dati.

ACCORDO SUL TRATTAMENTO DEI DATI EFFETTIVO DAL 1 maggio 2022

  1. Parti

    Il Cliente come definito nelle Condizioni Generali (il "Cliente") e

    1.1.1 MetaCompliance Limited costituita e registrata nell'Irlanda del Nord con numero di società NI049166, la cui sede legale si trova al Third Floor Old City Factory 100 Patrick Street, Londonderry BT48 7EL (il "Fornitore").

  2. Sfondo

    Il Cliente e il Fornitore hanno stipulato un Contratto che può richiedere al Fornitore di trattare i Dati personali per conto del Cliente.

    Il presente Accordo per il trattamento dei dati ("DPA") stabilisce i termini, i requisiti e le condizioni aggiuntive in base ai quali il Fornitore tratterà i Dati personali durante la fornitura dei Servizi ai sensi del Contratto. Il presente DPA contiene le clausole obbligatorie richieste dall'articolo 28(3) del Regolamento generale sulla protezione dei dati ((UE) 2016/679 e dalla legislazione britannica GDPR) per i contratti tra responsabili e incaricati del trattamento.

    Il presente DPA è soggetto ai termini del Contratto ed è incorporato nel Contratto. I termini utilizzati nel presente DPA hanno il significato indicato nel presente DPA. I termini in maiuscolo non altrimenti definiti nel presente documento avranno il significato loro attribuito nei Termini e Condizioni del Contratto.

    Gli allegati fanno parte del presente DPA e avranno effetto come se fossero riportati integralmente nel presente DPA. Qualsiasi riferimento al presente DPA include gli Allegati.

    In caso di conflitto tra una qualsiasi disposizione del presente DPA e una o più clausole del Contratto, per quanto riguarda l'oggetto del presente Contratto, prevarranno le disposizioni del presente DPA.

  3. Definizioni
    I seguenti termini del presente DPA avranno il seguente significato:

"Leggi sulla protezione dei dati"

indica tutte le leggi e i regolamenti applicabili relativi al Trattamento dei Dati Personali in qualsiasi momento durante la durata del presente DPA, tra cui (1) il Regolamento Generale sulla Protezione dei Dati (GDPR, UE 2016/679); (2) il Regolamento Generale sulla Protezione dei Dati del Regno Unito (UK GDPR) come adattato dal Data Protection Act 2018; (3) la Direttiva ePrivacy 2002/58/CE come implementata dagli Stati membri dell'UE, e qualsiasi legislazione successiva e qualsiasi altro regolamento, guida e codice di pratica relativi alla protezione dei dati e alla privacy, in ogni caso come modificato, aggiornato o sostituito di volta in volta.

"Dati personali del cliente"

indica i Dati Personali trattati da MetaCompliance esclusivamente ai fini della fornitura dei Servizi e come indicato dal Cliente.

"Clausole contrattuali standard

indica le Clausole contrattuali standard della Commissione europea per il trasferimento di dati personali dall'Unione europea a incaricati del trattamento stabiliti in paesi terzi (trasferimenti da responsabile del trattamento a incaricato del trattamento), come stabilito nell'allegato alla decisione 2021/914/UE della Commissione del 4 giugno 2021 e adottato con l'addendum del Regno Unito del 21 marzo 2022.

"Sottoprocessore"

indica un subappaltatore terzo ingaggiato dal Fornitore che, nell'ambito del ruolo del subappaltatore di fornire i servizi, tratterà i Dati personali per conto del Cliente.

"Titolare del trattamento", "Interessato", "Responsabile del trattamento", "Trattamento", "Dati personali", "Violazione dei dati personali".

hanno il significato loro attribuito nel GDPR del Regno Unito e dell'UE.

4. Trattamento dei dati personali

4.1 Le parti riconoscono e concordano che, ai fini delle leggi sulla protezione dei dati e per quanto riguarda il trattamento dei dati personali del Cliente, il Fornitore è il Responsabile del trattamento e il Cliente è il Titolare del trattamento.

4.2 Il Cliente garantisce e dichiara che: (i) il trasferimento dei Dati personali del Cliente al Fornitore è conforme sotto tutti gli aspetti alle Leggi sulla protezione dei dati (inclusi, senza limitazioni, i termini di raccolta e utilizzo); e (ii) che il trattamento equo e tutti gli altri avvisi appropriati sono stati forniti ai Soggetti dei Dati personali del Cliente (e tutti i consensi necessari da parte di tali Soggetti sono stati ottenuti e mantenuti in ogni momento) nella misura richiesta dalle Leggi sulla protezione dei dati in relazione a tutte le attività di trattamento che possono essere intraprese dal Fornitore e dai suoi Subprocessori in conformità con il presente Contratto;

4.3 Il Fornitore si impegna a trattare i Dati personali del Cliente solo: (i) nella misura necessaria a fornire i Servizi; (ii) in conformità alle istruzioni scritte del Cliente; e (iii) in conformità ai requisiti delle Leggi sulla protezione dei dati.

4.4 Il Cliente, nell'utilizzo dei Servizi, tratterà i Dati personali in conformità ai requisiti delle Leggi sulla protezione dei dati. Il Cliente dovrà garantire che qualsiasi istruzione impartita al Fornitore in relazione al Trattamento dei Dati personali del Cliente sia conforme alle Leggi sulla protezione dei dati.

4.5 Le istruzioni del Cliente al Fornitore in merito all'oggetto e alla durata del Trattamento, alla natura e alle finalità del Trattamento, ai tipi di Dati personali e alle categorie di Soggetti interessati sono descritte nell'Allegato A. A scanso di equivoci, le parti riconoscono e concordano che le istruzioni per il Trattamento indicate nel presente DPA e nell'Allegato A costituiscono l'insieme completo delle istruzioni del Cliente al Fornitore in quanto applicabili.

4.6 Il Fornitore comunicherà immediatamente al Cliente se, secondo la ragionevole opinione del Fornitore, qualsiasi istruzione impartita dal Cliente è suscettibile di violare le leggi sulla protezione dei dati.

4.7 Il Fornitore non tratterà, trasferirà, modificherà, modificherà o altererà i Dati personali del Cliente, né divulgherà o permetterà di divulgare i Dati personali del Cliente a terzi al di fuori delle istruzioni dettagliate nel presente DPA, a meno che ciò non sia specificamente autorizzato per iscritto dal Cliente.

4.8 Il personale del Fornitore impegnato nel trattamento dei Dati personali del Cliente sarà informato della natura riservata dei Dati personali del Cliente e riceverà una formazione adeguata sulle proprie responsabilità. Tale personale sarà soggetto ad adeguati impegni di riservatezza.

4.9 Tenendo conto della natura del Trattamento dei dati personali nei Servizi forniti, il Fornitore dovrà, come richiesto dall'articolo 32 del GDPR del Regno Unito e dell'UE, mantenere misure tecniche e organizzative adeguate per garantire la sicurezza del Trattamento, compresa la protezione contro il Trattamento non autorizzato o illegale, e contro la distruzione, la perdita o l'alterazione o il danneggiamento accidentali o illegali, la divulgazione non autorizzata o l'accesso ai Dati personali del Cliente. Le parti riconoscono e concordano che le misure di sicurezza specificate nel presente DPA e più specificamente nell'Allegato B costituiscono misure di sicurezza tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio.

4.10 Il Fornitore assisterà il Cliente con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile e tenendo conto della natura del Trattamento dei Dati Personali del Cliente, nell'adempimento degli obblighi di conformità del Cliente ai sensi delle Leggi sulla Protezione dei Dati, anche in relazione ai diritti dell'Interessato, alle valutazioni d'impatto sulla protezione dei dati (relative all'uso dei Servizi MetaCompliance da parte del Cliente) e alla segnalazione e consultazione delle autorità di vigilanza (in relazione a una valutazione d'impatto sulla protezione dei dati relativa ai Servizi MetaCompliance).

4.11 Qualora i Soggetti interessati, le autorità competenti o qualsiasi altra terza parte richiedano al Fornitore informazioni in merito al trattamento dei Dati personali del Cliente, il Fornitore riferirà tale richiesta al Cliente, a meno che non sia richiesto diversamente per ottemperare alle leggi sulla protezione dei dati, nel qual caso il Fornitore informerà preventivamente il Cliente di tale requisito legale, a meno che tale legge non vieti tale divulgazione per importanti motivi di interesse pubblico.

5. Sottoprocessori

5.1 Il Cliente riconosce e accetta che il Fornitore possa, in relazione alla fornitura dei Servizi, avvalersi di Subprocessori che possono essere affiliati del Fornitore e/o terzi, come più specificamente descritto nell'Allegato C.

5.2 Il Fornitore non assumerà un nuovo Subprocessore per il trattamento dei Dati personali del Cliente senza un contratto scritto con tale Subprocessore che imponga a quest'ultimo obblighi di protezione dei dati equivalenti a quelli stabiliti nel presente DPA per quanto riguarda la protezione dei Dati personali del Cliente nella misura applicabile alla natura dei servizi forniti da tale Subprocessore.

5.3 Se il Fornitore propone di aumentare il numero dei Subprocessori da lui assunti o di sostituire uno di essi, ne informerà il Cliente in conformità alla clausola 5.5 di seguito riportata e il Cliente avrà la possibilità di opporsi a tale modifica per motivi ragionevoli.

5.4 Nel caso in cui il Cliente si opponga a un nuovo Subprocessore, il Fornitore compirà ogni ragionevole sforzo per mettere a disposizione del Cliente una modifica dei Servizi o raccomandare una modifica commercialmente ragionevole dei Servizi per evitare il trattamento dei Dati personali del Cliente da parte del nuovo Subprocessore in questione. Se non è possibile alcuna alternativa, le parti hanno il diritto di risolvere il Contratto tra loro.

5.5 Il Fornitore informerà il Cliente delle modifiche nell'utilizzo dei Subprocessori per iscritto con un preavviso di almeno 30 giorni e fornirà al Cliente un Allegato C aggiornato. Il Fornitore manterrà l'Allegato C aggiornato.

5.6 Il Fornitore resterà responsabile nei confronti del Cliente per l'adempimento degli obblighi dei Subprocessori.

6. Trasferimenti di dati

6.1 Ai sensi dell'articolo 28(3)(a) del GDPR del Regno Unito e dell'UE, il Fornitore non trasferirà, e non consentirà ad alcun Subprocessore di trasferire, i Dati personali del Cliente al di fuori del SEE o del Regno Unito (a seconda dei casi) senza il previo consenso del Cliente. A scanso di equivoci, il Cliente acconsente al trasferimento e al trattamento dei Dati personali come specificato nell'Allegato A, a seconda dei casi.

6.2 Il Fornitore riconosce che, in conformità al GDPR del Regno Unito e dell'UE, deve esistere un'adeguata protezione dei Dati personali dopo qualsiasi trasferimento al di fuori del Regno Unito o del SEE (direttamente o tramite trasferimento successivo) e dovrà stipulare un accordo appropriato con il Cliente e/o qualsiasi subprocessore per disciplinare tale trasferimento. Questo includerà le Clausole contrattuali standard applicabili, a meno che non esista un altro meccanismo di adeguatezza per il trasferimento.

7. Violazione dei dati personali

In caso di violazione dei dati personali del Cliente, il Fornitore dovrà:

7.1.1 notificare al Cliente senza indebito ritardo per consentire al Cliente di adempiere agli obblighi di comunicazione del GDPR del Regno Unito e dell'UE e per fornire un'assistenza ragionevole al Cliente quando è tenuto a comunicare una violazione dei dati personali a un Soggetto interessato.

7.1.2 Compiere ogni ragionevole sforzo per identificare la causa di tale violazione dei dati personali e adottare le misure che il Fornitore ritiene ragionevolmente praticabili al fine di porre rimedio alla causa di tale violazione dei dati personali.

7.1.3 Nel rispetto dei termini del presente DPA, fornire assistenza e cooperazione ragionevoli, come richiesto dal Cliente, per portare avanti qualsiasi correzione o rimedio di qualsiasi violazione dei dati personali.

8. Registrazioni del trattamento

8.1 Nella misura in cui è applicabile al Trattamento del Fornitore per il Cliente, il Fornitore manterrà tutti i registri richiesti dall'articolo 30(2) del GDPR del Regno Unito e dell'UE e li metterà a disposizione del Cliente su richiesta.

9. Diritti di revisione

9.1 Il Fornitore metterà a disposizione del Cliente, e farà in modo che i suoi Sub-Processori lo facciano su richiesta, le informazioni ragionevoli necessarie a dimostrare il rispetto dei suoi obblighi di protezione dei dati ai sensi del presente DPA e consentirà e contribuirà alle verifiche, compresa l'ispezione presso i suoi locali, da parte del Cliente o di un revisore incaricato dal Cliente in relazione al trattamento dei Dati personali del Cliente, a condizione che tale revisore non sia un concorrente del Fornitore.

10. Termine

10.1 Il presente DPA rimarrà in vigore a tutti gli effetti fino a quando:

10.1.1 Il Contratto rimane in vigore; oppure

10.1.2 Il Fornitore conserva tutti i Dati personali del Cliente in suo possesso o controllo.

10.2 Qualsiasi disposizione del presente DPA che, espressamente o implicitamente, debba entrare o rimanere in vigore al momento della risoluzione del Contratto o successivamente, al fine di proteggere i Dati personali del Cliente, rimarrà in vigore a tutti gli effetti.

11. Restituzione e distruzione dei dati

11.1 Il Fornitore, a discrezione del Cliente e previa richiesta scritta del Cliente, cancellerà o restituirà al Cliente tutti i Dati personali del Cliente al termine della fornitura dei Servizi relativi all'Elaborazione e cancellerà le copie esistenti, a meno che la legge applicabile del SEE o di uno Stato membro non richieda la conservazione dei Dati personali del Cliente. In assenza di richiesta scritta da parte del Cliente, il Fornitore cancellerà i Dati personali del Cliente 90 giorni dopo la cessazione del Contratto.

11.2 Su richiesta del Cliente, il Fornitore fornirà una comunicazione scritta delle misure adottate in merito ai Dati personali del Cliente.

12. Indennizzo

12.1 Il Fornitore si impegna a tenere indenne il Cliente da tutti i costi diretti, le richieste di risarcimento, i danni o le spese sostenute dal Cliente a causa del mancato rispetto da parte del Fornitore o dei suoi dipendenti, subprocessori, subappaltatori o agenti di uno qualsiasi dei suoi obblighi ai sensi del presente DPA o delle Leggi sulla protezione dei dati in conformità con l'articolo 82 del GDPR del Regno Unito e dell'UE.

12.2 In deroga a qualsiasi disposizione contraria contenuta nel presente DPA o nel Contratto (compresi, a titolo esemplificativo, gli obblighi di indennizzo di una delle parti), nessuna delle parti sarà responsabile di eventuali multe GDPR emesse o riscosse ai sensi dell'articolo 83 del GDPR nei confronti dell'altra parte da parte di un'autorità di regolamentazione o di un ente governativo in relazione alla violazione del GDPR da parte di tale altra parte.

12.3 Fatti salvi gli obblighi di legge di cui alla clausola 12.1 e le limitazioni di cui alla clausola 12.2, la responsabilità di ciascuna parte ai sensi del presente DPA sarà soggetta alle esclusioni e alle limitazioni di responsabilità stabilite nel Contratto. Qualsiasi riferimento a "limitazioni di responsabilità" di una parte nel Contratto deve essere interpretato come la responsabilità complessiva di una parte e di tutte le sue Controllate e Affiliate ai sensi del Contratto e del presente DPA.

Allegato A

Finalità e dettagli del trattamento dei dati personali

Oggetto del trattamento

Dettagli

Si applica a:

Scopo

Specificare tutte le finalità per le quali i Dati Personali saranno trattati dal Fornitore
Accesso al sistema Amministrazione del sistema Consegna dei contenuti del sistema in base ai moduli sottoscritti. Vedi sotto:

Politiche, valutazioni delle conoscenze

eLearning, altri media

Indagini sulla privacy

Recensioni sull'incidente

Campagne di phishing simulate
Trasferimento SCORM all'LMS del cliente
Tutti i clienti
Clienti che si abbonano ai moduli Policy (PolicyLite, MetaEngage e MetaPolicy)
Clienti che si abbonano a moduli di Elearning (MetaLearning Fusion)
Clienti che sottoscrivono il modulo MetaPrivacy
Clienti che sottoscrivono il modulo MetaIncident
Clienti abbonati a MetaPhish
Clienti che si iscrivono al trasferimento SCORM

Tipi di dati personali

Specificare i Dati Personali che verranno trattati dal Fornitore
Nome, cognome, indirizzo e-mail, reparto, registro di formazione
Unità organizzativa (OU) di Active Directory
ID LMS
Tutti i clienti
Clienti che utilizzano Azure AD o AD on premise
I clienti con abbonamenti al trasferimento SCORM

Categorie di soggetti interessati

Specificare le categorie di soggetti i cui dati personali saranno trattati dal Fornitore.

Dipendenti del cliente, appaltatori, fornitori, partner e/o affiliati.

Tutti i clienti in conformità con i dati dell'interessato forniti al Fornitore. Il Cliente può limitare questa possibilità a seconda dell'uso che intende fare dei Servizi.

Operazioni di lavorazione

Specificare tutte le attività di lavorazione che il Fornitore deve condurre
Elaborazione e archiviazione dei dati personali dei clienti al fine di creare e mantenere gli account degli utenti autorizzati sulla piattaforma MyCompliance. Distribuzione di varie e-mail di notifica avviate dal sistema MyCompliance di MetaCompliance.
Distribuzione di e-mail di phishing simulato specificate avviate dal Cliente tramite la piattaforma MyCompliance di MetaCompliance.
Memorizzazione dei dati personali inseriti dal cliente tramite il modulo MetaPrivacy di MetaCompliance.

Comunicare con l'LMS del cliente e valutare il numero di licenze.

Tutti i clienti
Clienti che si iscrivono al modulo MetaPhish
Clienti che sottoscrivono il modulo MetaPrivacy
Clienti che si iscrivono al trasferimento SCORM

Ubicazione delle operazioni di trattamento

Specificare tutte le sedi in cui i Dati Personali saranno trattati dal Fornitore
Regno Unito (MetaCompliance) Irlanda (MetaCompliance, Microsoft Azure, AWS Europe). AWS Europe è un provider di posta elettronica transazionale che verrà utilizzato a seconda dell'ubicazione del Cliente - vedi Allegato C. Olanda (Microsoft Azure) U.S.A. (Twilio per i servizi Sendgrid - opzione di provider di e-mail transazionali in base all'ubicazione del Cliente - vedi Allegato C)
Tutti i clienti, a seconda dei casi. Per ulteriori dettagli si rimanda all'Allegato C.

Requisiti di conservazione

Se applicabile, specificare il tempo di conservazione dei Dati personali del cliente conservati dal Fornitore.
Quando un abbonamento del Cliente è scaduto o è terminato, tutti i Dati personali del Cliente associati vengono conservati per 90 giorni prima di essere effettivamente cancellati, al fine di recuperare una cancellazione accidentale dell'abbonamento.
Tutti i clienti
Oggetto del trattamento Dettagli Si applica a.

Finalità
Specificare tutte le finalità per le quali i Dati Personali saranno trattati dal Fornitore.

Accesso al sistema Amministrazione del sistema Consegna dei contenuti del sistema in base ai moduli sottoscritti. Vedi sotto:
Tutti i clienti

Politiche, valutazioni delle conoscenze

Clienti che si abbonano ai moduli Policy (PolicyLite, MetaEngage e MetaPolicy)
eLearning, altri media
Clienti che si abbonano a moduli di Elearning (MetaLearning Fusion)
Indagini sulla privacy
Clienti che sottoscrivono il modulo MetaPrivacy
Recensioni sull'incidente
Clienti che sottoscrivono il modulo MetaIncident
Campagne di phishing simulate
Clienti abbonati a MetaPhish
Trasferimento SCORM all'LMS del cliente
Clienti che si iscrivono al trasferimento SCORM
Oggetto del trattamento Dettagli Si applica a.

Tipi di Dati Personali
Specificare i Dati Personali che saranno trattati dal Fornitore.

Nome, cognome, indirizzo e-mail, reparto, registro di formazione
Tutti i clienti
Unità organizzativa (OU) di Active Directory
Clienti che utilizzano Azure AD o AD on premise
ID LMS
I clienti con abbonamenti al trasferimento SCORM

Categorie di Soggetti
Specificare le categorie di Soggetti i cui Dati Personali saranno trattati dal Fornitore.

Dipendenti del cliente, appaltatori, fornitori, partner e/o affiliati.
Tutti i clienti in conformità con i dati dell'interessato forniti al Fornitore. Il Cliente può limitare questa possibilità a seconda dell'uso che intende fare dei Servizi.
Oggetto del trattamento Dettagli Si applica a.

Operazioni di lavorazione
Specificare tutte le attività di lavorazione che il Fornitore deve svolgere.

Elaborazione e archiviazione dei dati personali dei clienti al fine di creare e mantenere gli account degli utenti autorizzati sulla piattaforma MyCompliance. Distribuzione di varie e-mail di notifica avviate dal sistema MyCompliance di MetaCompliance.
Tutti i clienti
Distribuzione di e-mail di phishing simulato specificate avviate dal Cliente tramite la piattaforma MyCompliance di MetaCompliance.
Clienti che si iscrivono al modulo MetaPhish
Memorizzazione dei dati personali inseriti dal cliente tramite il modulo MetaPrivacy di MetaCompliance.
Clienti che sottoscrivono il modulo MetaPrivacy

Categorie di Soggetti
Specificare le categorie di Soggetti i cui Dati Personali saranno trattati dal Fornitore.

Memorizzazione dei dati personali inseriti dal cliente tramite il modulo MetaPrivacy di MetaCompliance.
Clienti che si iscrivono al trasferimento SCORM
Oggetto del trattamento Dettagli Si applica a.

Luogo delle operazioni di trattamento
Specificare tutti i luoghi in cui i Dati Personali saranno trattati dal Fornitore.

Regno Unito (MetaCompliance) Irlanda (MetaCompliance, Microsoft Azure, AWS Europe). AWS Europe è un provider di posta elettronica transazionale che verrà utilizzato in base all'ubicazione del Cliente - si veda l'Allegato C. Olanda (Microsoft Azure) U.S.A. (Twilio for Sendgrid Services - opzione di provider di posta elettronica transazionale in base all'ubicazione del Cliente - si veda l'Allegato C)
Tutti i clienti, a seconda dei casi. Per ulteriori dettagli si rimanda all'Allegato C.

Requisiti di conservazione
Se applicabile, specificare il tempo di conservazione dei Dati personali del cliente conservati dal Fornitore.

Quando un abbonamento del Cliente è scaduto o è terminato, tutti i Dati personali del Cliente associati vengono conservati per 90 giorni prima di essere effettivamente cancellati, al fine di recuperare una cancellazione accidentale dell'abbonamento.
Tutti i clienti

Allegato B

Disposizioni di sicurezza

Il Fornitore, al fine di assistere il Cliente nell'adempimento dei suoi obblighi legali, tra cui, a titolo esemplificativo e non esaustivo, le misure di sicurezza e le valutazioni dei rischi per la privacy, è tenuto ad adottare misure tecniche e organizzative adeguate per proteggere i Dati personali del Cliente che vengono trattati. Tali misure dovranno garantire almeno un livello di sicurezza adeguato, tenendo conto di quanto segue:

(a) le possibilità tecniche esistenti;

(b) i costi di realizzazione delle misure;

(c) i rischi particolari associati al Trattamento dei Dati Personali del Cliente; e

(d) la sensibilità dei Dati Personali del Cliente che vengono trattati.

Il Fornitore dovrà mantenere un'adeguata sicurezza per i Dati personali del Cliente. Il Fornitore dovrà proteggere i Dati personali del Cliente dalla distruzione, dalla modifica, dalla diffusione illegale o dall'accesso illegale. I Dati Personali del Cliente saranno inoltre protetti da ogni altra forma di Trattamento illecito. Tenendo conto dello stato dell'arte e dei costi di implementazione e tenendo conto della natura, dell'ambito, del contesto e delle finalità del Trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone, le misure tecniche e organizzative che il Fornitore dovrà implementare includeranno, a seconda dei casi:

(a) la pseudonimizzazione e la crittografia dei dati personali del cliente;

(b) la capacità di garantire la costante riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali del cliente;

(c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai Dati personali del cliente in caso di incidente fisico o tecnico; e

(d) un processo per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del Trattamento.

Oltre alle misure tecniche e organizzative di cui sopra, il Fornitore dovrà attuare le seguenti misure:

(a) protezione dell'accesso fisico, in base alla quale le apparecchiature informatiche e i dati rimovibili contenenti i Dati personali dell'utente presso i locali del Fornitore saranno chiusi a chiave quando non sono sotto controllo, al fine di proteggere dall'uso non autorizzato, dall'impatto e dal furto.

(b) un processo di verifica della lettura dopo il ripristino dei Dati personali del cliente da copie di backup.

(c) controllo delle autorizzazioni, in base al quale l'accesso del Fornitore ai Dati personali del Cliente è gestito attraverso un sistema tecnico di controllo delle autorizzazioni. L'autorizzazione sarà limitata a coloro che hanno bisogno dei Dati personali del cliente per il loro lavoro. Gli ID utente e le password saranno personali e non potranno essere trasferiti a terzi. Esistono procedure per l'assegnazione e la rimozione delle autorizzazioni.

(d) tenere un registro dei soggetti che hanno accesso ai Dati personali del cliente.

(e) comunicazione sicura, in base alla quale le connessioni esterne per la comunicazione dei dati saranno protette utilizzando funzioni tecniche che assicurino che la connessione sia autorizzata, nonché la crittografia dei contenuti per i dati in transito nei canali di comunicazione al di fuori dei sistemi controllati dal Fornitore.

(f) un processo per garantire la distruzione sicura dei dati quando i supporti di memorizzazione fissi o rimovibili non vengono più utilizzati per il loro scopo.

(g) le routine per la stipula di accordi di riservatezza con i fornitori che forniscono riparazione e assistenza delle apparecchiature utilizzate per memorizzare i dati personali del cliente.

(h) le routine per la supervisione del servizio svolto dai fornitori presso i locali del Fornitore. I supporti di memorizzazione contenenti i Dati personali del cliente dovranno essere rimossi se la supervisione non è possibile.

Allegato C

Subprocessori approvati

Sottoprocessore

Posizione

Si applica a:

Microsoft Azure (ospita i servizi nel cloud)
AWS Europe (fornitore di e-mail transazionali)
Twilio per i servizi Sendgrid (provider di e-mail transazionali)

Olanda
Dublino

Dublino
U.S.A.
Tutti i clienti
Tutti i clienti con sede nel Regno Unito o nei paesi SEE.
Tutti i clienti con sede al di fuori del Regno Unito o dei paesi SEE
Sottoprocessore Posizione Si applica a.

Microsoft Azure (ospita i servizi nel cloud)

Olanda
Dublino

Tutti i clienti

AWS Europe (fornitore di e-mail transazionali)

Dublino

Tutti i clienti con sede nel Regno Unito o nei paesi SEE.

Twilio per i servizi Sendgrid (provider di e-mail transazionali)

STATI UNITI D'AMERICA

Tutti i clienti con sede al di fuori del Regno Unito o dei paesi SEE

Il Cliente utilizzerà un solo provider di posta elettronica transazionale come dettato dall'indirizzo fornito al momento della stipula del contratto, a meno che non presenti una richiesta scritta di cambio di provider.

Tutti i clienti che hanno stipulato un contratto con MetaCompliance prima del 1° gennaio 2011.maggio 2022 che non hanno firmato il DPA maggio 2022 e che non hanno sottoscritto un DPA, utilizzeranno i servizi di posta elettronica transazionale di Twilio per i servizi Sendgrid. Se desiderate utilizzare i servizi di AWS Europe, contattate il vostro Customer Success Manager.