Ultima modifica: 2 novembre 2020
Jibe e la controparte che accetta questo addendum ("Società") hanno stipulato un contratto per la fornitura dei Servizi del responsabile (come di volta in volta modificato, il "Contratto").
Il presente Addendum per il trattamento dei dati (incluse le appendici, "Addendum per il trattamento dei dati") è stipulato da Jibe e dalla Società e integra il Contratto. Questo Addendum sul trattamento dei dati entrerà in vigore e sostituirà qualsiasi precedente termine applicabile in merito al relativo oggetto (inclusi eventuali termini relativi all'elaborazione e alla sicurezza dei dati correlati ai Servizi del responsabile), a partire dalla Data di validità dei termini.
Se accetti questo Supplemento per il trattamento dei dati per conto della Società, dichiari e garantisci quanto segue: (a) di avere la piena autorità legale per vincolare la Società al presente Supplemento per il trattamento dei dati; (b) di aver letto e compreso il presente Supplemento per il trattamento dei dati e (c) di accettare il presente Supplemento per il trattamento dei dati per conto della Società. Se non disponi dell'autorità legale per vincolare la Società, non accettare questo Supplemento relativo al trattamento dei dati.
1. Introduzione
Questo Addendum sul trattamento dei dati riflette l'accordo tra le parti sui termini che regolano il trattamento e la sicurezza dei Dati personali della Società in relazione alla Legislazione europea sulla protezione dei dati e a determinate normative della Legislazione non europea sulla protezione dei dati.
2. Definizioni e interpretazione
2.1 Nel presente Addendum per il trattamento dei dati:
Per "Prodotto aggiuntivo" si intende un prodotto, servizio o applicazione fornito da Jibe o da terze parti, che: (a) non fa parte dei Servizi del responsabile; e (b) è accessibile per l'utilizzo dall'interfaccia utente dei Servizi del responsabile oppure è integrato in altro modo ai Servizi del responsabile.
Per "Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati" si intendono i termini aggiuntivi a cui si fa riferimento nell'Allegato 3, che riflettono l'accordo tra le parti sui termini che regolano il trattamento di determinati dati in relazione a determinate Legislazioni non europee sulla protezione dei dati.
Per "Società consociata" si intende una persona giuridica che direttamente o indirettamente controlla una parte, è controllata da una parte o è soggetta al controllo di una parte in comune con un altro soggetto.
Per "Dati personali dell'azienda" si intendono i dati personali trattati da Jibe per conto dell'azienda nell'ambito della fornitura dei Servizi dell'responsabile da parte di Jibe.
Per "Incidente relativo ai dati" si intende una violazione della sicurezza di Jibe che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso accidentali o illeciti ai Dati personali della Società presenti nei sistemi gestiti o controllati in altro modo da Jibe. Gli "Incidenti relativi ai dati" non includono le attività o i tentativi falliti di compromettere la sicurezza dei Dati personali della Società, tra cui tentativi di accesso falliti, ping, scansioni delle porte, attacchi denial-of-service e altri tipi di attacchi di rete su firewall o sistemi di rete.
Per "Normative per la protezione dei dati" si intende, a seconda dei casi: (a) la legislazione europea sulla protezione dei dati; e/o (b) la legislazione non europea sulla protezione dei dati.
Per "Strumento dell'Interessato" si intende uno strumento (se esistente) reso disponibile da una Persona giuridica Jibe per gli interessati che consente a Jibe di rispondere direttamente e in modo standardizzato a determinate richieste degli interessati in relazione ai Dati personali della Società (ad esempio, un plug-in del browser per la disattivazione).
Per "SEE" si intende lo Spazio economico europeo.
Per "GDPR dell'Unione Europea" si intende il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche in merito al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
Per "Legislazione europea sulla protezione dei dati" si intende, a seconda dei casi: (a) il GDPR; e/o (b) la Legge federale sulla protezione dei dati del 19 giugno 1992 (Svizzera).
Per "Leggi europee o nazionali" si intendono, a seconda dei casi: (a) la normativa UE o di uno stato membro dell'UE (se il GDPR dell'UE è applicabile al trattamento dei Dati personali della Società); e/o (b) la normativa del Regno Unito o di una parte del Regno Unito (se il GDPR del Regno Unito è applicabile al trattamento dei Dati personali della Società).
"GDPR" indica, a seconda dei casi: (a) il GDPR della UE; e/o (b) il GDPR del Regno Unito.
Per "Jibe" si intende la Persona giuridica Jibe che costituisce una parte del Contratto.
Per "Sub-responsabili affiliati di Jibe" si intende il significato descritto nella Sezione 11.1 (Consenso per l'incarico del Sub-responsabile).
"Entità Jibe" indica Jibe Mobile Inc, Jibe Mobile Limited o qualsiasi altra società consociata di Jibe Mobile Inc.
Per "Certificazione ISO 27001" si intende la certificazione ISO/IEC 27001:2013 o una certificazione paragonabile per i Servizi del responsabile.
Per "Legislazione non europea sulla protezione dei dati" si intendono le leggi sulla protezione dei dati o sulla privacy in vigore al di fuori del SEE, della Svizzera e del Regno Unito.
Per "Indirizzo email di notifica" si intende l'indirizzo email (se esistente): (i) fornito dalla Società a Jibe o (ii) designato dalla Società, tramite l'interfaccia utente dei Servizi del responsabile o altri mezzi simili forniti da Jibe, per la ricezione di determinate notifiche da Jibe relative al presente Supplemento relativo al trattamento dei dati. Per chiarezza, è responsabilità della Società fornire a Jibe un Indirizzo email di notifica e informare Jibe di eventuali aggiornamenti dell'Indirizzo email di notifica.
Per "Servizi del responsabile" si intendono i servizi RCS Business Messaging (come descritti all'indirizzo https://developers.google.com/business-communications/rcs-business-messaging)
Per "Documentazione in materia di sicurezza" si intende la certificazione ISO 27001 e qualsiasi altra certificazione o documentazione di sicurezza che Jibe può mettere a disposizione in merito ai Servizi del responsabile.
Per "Misure di sicurezza" si intende il significato descritto nella Sezione 7.1.1 (Misure di sicurezza di Jibe).
Per "Clausole contrattuali standard" si intendono le clausole contrattuali standard della Commissione europea consultabili all'indirizzo https://privacy.google.com/businesses/gdprprocessorterms/sccs, che sono termini standard per la protezione dei dati per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati, come descritto nell'articolo 46 del GDPR dell'UE.
Per "Sub-responsabili" si intendono terze parti autorizzate ai sensi del presente Supplemento sul trattamento dei dati a eseguire l'accesso logico e a trattare i Dati personali della Società al fine di fornire parti dei Servizi del responsabile e qualsiasi tipo di assistenza tecnica correlata.
Per "Autorità di controllo" si intende, a seconda dei casi: (a) un'"autorità di controllo" come definita nel GDPR dell'Unione Europea; e/o (b) il "Commissioner" come definito nel GDPR del Regno Unito.
Per "Periodo di validità" si intende il periodo che va dalla Data di validità dei Termini fino alla fine della fornitura da parte di Jibe dei Servizi del responsabile ai sensi del Contratto.
Per "Data di validità dei termini" si intende la data di validità del Contratto.
"Sub-responsabili di terze parti" ha il significato descritto nella Sezione 11.1 (Consenso per l'incarico del Sub-responsabile).
"GDPR del Regno Unito" indica il GDPR della UE nella versione emendata e incorporata nelle normative del Regno Unito ai sensi della legge del 2018 relativa al recesso dall'Unione europea del Regno Unito, se in vigore.
2.2 I termini "titolare", "interessato", "dati personali", "trattamento" e "responsabile" utilizzati nel presente Addendum relativo al Trattamento dei Dati hanno il significato attribuito loro nel GDPR, mentre i termini "importatore di dati" e "esportatore di dati" hanno il significato specificato nelle Clausole contrattuali standard.
2.3 I termini "inclusi", "include" o qualsiasi espressione simile si intenderanno illustrativi e non limiteranno il senso delle parole che precedono questi termini. Gli esempi in questo Addendum sul trattamento dei dati sono a scopo illustrativo e non si intendono esaustivi rispetto a un determinato concetto.
2.4 Qualsiasi riferimento a quadri normativi, leggi scritte o altri atti legislativi riguarda questi ultimi così come di volta in volta emendati o ripromulgati.
2.5 Qualora i presenti Termini per il trattamento dei dati vengano tradotti in altre lingue e vi siano discrepanze tra la versione in lingua inglese e quella tradotta, prevarrà la versione in lingua inglese.
3. Durata di questo Addendum relativo al trattamento dei dati
Questo Addendum sul trattamento dei dati entrerà in vigore a partire dalla Data di validità dei termini e, a prescindere dal fatto che il Periodo di validità sia scaduto, resterà in vigore fino a quando non verrà eliminato l'ultimo Dato personale della Società da parte di Jibe, come descritto in questo Addendum sul trattamento dei dati.
4. Applicazione di questo Addendum per il trattamento dei dati
4.1 Applicazione della Legislazione europea sulla protezione dei dati. Le Sezioni dalla 5 (Trattamento dei dati) alla 12 (Contattare Jibe; registri relativi al trattamento) (incluse) si applicheranno esclusivamente nella misura in cui la Legislazione europea sulla protezione dei dati riguarda il trattamento dei Dati personali della Società, incluse le eventualità in cui:
(a) il trattamento è svolto nel contesto delle attività di un insediamento della società nel SEE o nel Regno Unito; e/o
(b) I Dati personali della Società sono dati personali relativi a interessati che si trovano nel SEE o nel Regno Unito e il trattamento è associato all'offerta di beni o servizi che vengono loro forniti all'interno del SEE o del Regno Unito oppure al monitoraggio delle attività da loro svolte nel SEE o nel Regno Unito.
4.2 Applicazione ai Servizi del Responsabile. Questo Addendum sul trattamento dei dati si applicherà solo ai Servizi del responsabile per i quali le parti hanno accettato questo Addendum sul trattamento dei dati (ad esempio: (a) i Servizi del responsabile per i quali la Società ha fatto clic per accettare questo Addendum sul trattamento dei dati; o (b) se il Contratto include questo Addendum sul trattamento dei dati per riferimento, i Servizi del responsabile oggetto del Contratto).
4.3 Inclusione di Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati. I Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati integrano i presenti Termini per il trattamento dei dati.
5. Trattamento dei dati
5.1 Ruoli e conformità normativa; autorizzazioni.
5.1.1 Responsabilità del titolare e del responsabile. Le parti riconoscono e accettano che:
(a) L'Allegato 1 descrive l'oggetto e i dettagli relativi al trattamento degli annunci personali della Società;
(b) Jibe è un responsabile del trattamento dei Dati personali della Società ai sensi della Legislazione europea sulla protezione dei dati;
(c) la Società è un titolare o responsabile, a seconda dei casi, dei suoi Dati personali ai sensi della Legislazione europea sulla protezione dei dati; e
(d) Ciascuna parte rispetterà le relative obbligazioni applicabili ai sensi della legislazione europea sulla protezione dei dati in merito al trattamento dei dati personali della Società.
5.1.2 Autorizzazione del Titolare del trattamento esterno. Se la Società è un responsabile del trattamento, garantisce a Jibe che le proprie istruzioni e azioni con riguardo ai Dati personali della Società, inclusa la nomina di Jibe come altro responsabile del trattamento, sono state autorizzate dal titolare del trattamento.
5.2 Istruzioni della Società. Con la stipula del presente Supplemento sul trattamento dei dati, la Società incarica Jibe di trattare i Dati personali della Società solo in conformità con la legge vigente: (a) per fornire i Servizi del responsabile del trattamento e l'eventuale supporto tecnico correlato; (b) come ulteriormente specificato in merito all'utilizzo da parte della Società dei Servizi del responsabile del trattamento (incluse le impostazioni e altre funzionalità dei Servizi del responsabile del trattamento) e dell'eventuale supporto tecnico correlato; (c) come documentato nel Contratto, incluso il presente Supplemento sul trattamento dei dati; e (d) come ulteriormente documentato in qualsiasi altra istruzione scritta fornita dalla Società e riconosciuta da Jibe come costituente istruzioni ai fini del presente Supplemento sul trattamento dei dati.
5.3 Conformità di Jibe alle Istruzioni. Jibe rispetterà le istruzioni descritte nella Sezione 5.2 (Istruzioni della Società) (incluso per quanto riguarda il trasferimento dei dati) a meno che le leggi europee o nazionali a cui Jibe è soggetta non richiedano un diverso trattamento dei Dati personali della Società da parte di Jibe, nel qual caso Jibe informerà la Società (a meno che una di queste leggi non vieti a Jibe di farlo per motivi importanti di interesse pubblico).
5.4 Prodotti aggiuntivi. Se la Società utilizza un Prodotto aggiuntivo, i Servizi del Responsabile del trattamento potrebbero consentire a questo Prodotto aggiuntivo di accedere ai Dati personali della Società, secondo quanto richiesto ai fini dell'interoperabilità tra il Prodotto aggiuntivo e i Servizi del Responsabile del trattamento. Questo Addendum per il trattamento dei dati non si applica al trattamento dei dati personali correlato alla fornitura di eventuali Prodotti aggiuntivi utilizzati dalla Società, inclusi i dati personali inviati o ricevuti da questi Prodotti aggiuntivi.
6. Eliminazione dei dati
6.1 Eliminazione durante il periodo di validità del contratto.
6.1.1 Servizi del responsabile con funzionalità di eliminazione. Durante il Periodo di validità, se:
(a) la funzionalità dei Servizi del Responsabile del trattamento include l'opzione per la Società di eliminare i Dati personali della Società;
(b) la Società utilizza i Servizi del Responsabile del trattamento per eliminare determinati Dati personali della Società; e
(c) i Dati personali dell'Azienda eliminati non possono essere recuperati dall'Azienda (ad esempio, dal "cestino"),
di conseguenza Jibe cancellerà tali Dati Personali della Società dai suoi sistemi quanto prima sia ragionevolmente possibile a meno che le normative europee o nazionali ne richiedano la conservazione.
6.1.2 Servizi del responsabile senza funzionalità di eliminazione. Durante il Periodo di validità, se la funzionalità dei Servizi del Responsabile del trattamento non comprende l'opzione che consente alla Società di eliminare i Dati personali della Società, Jibe accetterà qualsiasi richiesta ragionevole della Società per facilitare tale eliminazione, per quanto ciò sia possibile, tenuto conto della natura e della funzionalità dei Servizi del Responsabile del trattamento. Jibe potrà addebitare una commissione (basata sulle spese ragionevoli di Jibe) per gli interventi di eliminazione dei dati ai sensi della presente Sezione 6.1.2 (Servizi di elaborazione senza funzionalità di eliminazione). Prima di ogni eliminazione di dati, Jibe fornirà alla Società ulteriori dettagli su eventuali commissioni applicabili e i relativi criteri di calcolo.
6.2 Eliminazione alla scadenza del Periodo di validità. Alla scadenza del Periodo di validità del contratto, la Società chiede a Jibe di eliminare tutti i Dati personali della Società (incluse le copie esistenti) dai sistemi di Jibe, ai sensi delle leggi vigenti. Jibe rispetterà questa istruzione non appena ragionevolmente possibile, a meno che le normative europee o nazionali non ne richiedano la conservazione.
7. Sicurezza dei dati
7.1 Misure e assistenza in materia di sicurezza da parte di Jibe.
7.1.1 Misure di sicurezza di Jibe. Jibe implementerà e manterrà misure tecniche e organizzative per proteggere i Dati personali della Società da distruzione, perdita, alterazione, divulgazione o accesso non autorizzati accidentali o illegali, come descritto nell'Appendice 2 ("Misure di sicurezza"). Di tanto in tanto, Jibe potrà aggiornare o modificare le Misure di sicurezza, purché questi aggiornamenti e modifiche non comportino un deterioramento della sicurezza generale dei Servizi del responsabile.
7.1.2 Conformità alla sicurezza da parte del personale di Jibe.Jibe garantirà che tutte le persone autorizzate a trattare i Dati personali della Società si siano impegnate a rispettarne la riservatezza o siano vincolate da un'obbligazione legale di riservatezza appropriata.
7.1.3 Assistenza di Jibe in materia di sicurezza. La Società accetta che Jibe fornisca assistenza alla Società per garantire la conformità a eventuali obblighi della Società in materia di sicurezza dei dati personali e violazioni dei dati personali (tenendo conto della natura del trattamento dei Dati personali della Società e delle informazioni a disposizione di Jibe), incluse (se applicabili) le obbligazioni della Società ai sensi degli articoli da 32 a 34 (inclusi) del GDPR, mediante:
(a) l'attuazione e il mantenimento delle Misure di sicurezza di cui alla Sezione 7.1.1 (Misure di sicurezza di Jibe);
(b) il rispetto dei termini di cui alla Sezione 7.2 (Incidenti relativi ai dati); e
(c) Fornendo alla Società la Documentazione in materia di sicurezza in conformità con la Sezione 7.5.1 (Revisioni della Documentazione in materia di sicurezza) e le informazioni contenute nel presente Supplemento sul trattamento dei dati.
7.2 Incidenti relativi ai dati.
7.2.1 Notifica degli incidenti. Se Jibe viene a conoscenza di un Incidente relativo ai dati, provvederà a: (a) informare la Società dell'Incidente relativo ai dati tempestivamente e senza ingiustificato ritardo; e (b) adottare prontamente provvedimenti ragionevoli per ridurre al minimo i danni e salvaguardare i Dati personali della Società.
7.2.2 Dettagli dell'incidente relativo ai dati. Le notifiche inviate ai sensi della Sezione 7.2.1 (Notifica di incidente) descriveranno, nella misura del possibile, i dettagli dell' Incidente relativo ai dati, inclusi i passaggi intrapresi per mitigare i potenziali rischi e i passaggi che Jibe consiglia alla Società di intraprendere per risolvere l'Incidente relativo ai dati.
7.2.3 Invio della notifica.Jibe invierà la notifica di qualsiasi Incidente relativo ai dati all'Indirizzo email di notifica o, a discrezione di Jibe (inclusa l'eventualità in cui la Società non abbia fornito un Indirizzo email di notifica), mediante altra comunicazione diretta (ad esempio per telefono o in una riunione di persona). È unicamente responsabilità della Società fornire un Indirizzo email di notifica e assicurarsi che tale Indirizzo email di notifica sia in corso di validità.
7.2.4 Notifiche a terze parti. L'Azienda è l'unica responsabile del rispetto delle leggi applicabili all'Azienda sulla notifica degli incidenti e dell'adempimento delle obbligazioni di notifica a terze parti concernenti eventuali Incidenti relativi ai dati.
7.2.5 Nessun riconoscimento di responsabilità da parte di Jibe.La notifica o la risposta di Jibe a un Incidente relativo ai dati ai sensi della presente Sezione 7.2 (Incidenti relativi ai dati) non dovrà essere intesa come un riconoscimento di colpa o responsabilità da parte di Jibe in merito all'Incidente relativo ai dati.
7.3 Responsabilità e valutazione della sicurezza dell'azienda.
7.3.1 Responsabilità della Società in materia di sicurezza. La Società accetta che, ferme restando le obbligazioni di Jibe ai sensi delle Sezioni 7.1 (Misure e assistenza in materia di sicurezza da parte di Jibe) e 7.2 (Incidenti relativi ai dati):
(a) La Società è responsabile del proprio utilizzo dei Servizi del responsabile, inclusi:
(i) l'utilizzo appropriato dei Servizi del responsabile per garantire un livello di sicurezza proporzionato al rischio legato ai Dati personali della Società; e
(ii) La protezione delle credenziali di autenticazione dell'account, dei sistemi e dei dispositivi utilizzati dalla Società per accedere ai Servizi del responsabile; e
(b) Jibe non ha l'obbligo di tutelare i Dati personali della Società che la Società decide di archiviare o trasferire al di fuori dei sistemi di Jibe e dei suoi Sub-responsabili.
7.3.2 Valutazione della sicurezza dell'azienda. La Società riconosce e accetta che (tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, del contesto e delle finalità del trattamento dei Dati personali della Società, nonché dei rischi per le persone fisiche) le Misure di sicurezza implementate e mantenute da Jibe nella Sezione 7.1.1 (Misure di sicurezza di Jibe) forniscono un livello di sicurezza proporzionato al rischio per i Dati personali della Società.
7.4 Certificazione di sicurezza. Per valutare e contribuire a garantire la continua efficacia delle Misure di sicurezza, Jibe manterrà valida la Certificazione ISO 27001.
7.5 Revisioni e controlli di conformità.
7.5.1 Revisioni della Documentazione in materia di sicurezza. Al fine di dimostrare la conformità ai suoi obblighi ai sensi del presente Addendum relativo al trattamento dei dati, Jibe metterà a disposizione del Cliente, per la sua revisione, la Documentazione in materia di sicurezza.
7.5.2 Diritti di controllo della Società.
(a) Jibe consentirà alla Società o a un revisore di terze parti nominato dalla Società di eseguire controlli (incluse ispezioni) atti a verificare la conformità di Jibe alle sue obbligazioni ai sensi del presente Addendum relativo al trattamento dei dati ai sensi della Sezione 7.5.3 (Termini di contratto aggiuntivi per i controlli).Jibe contribuirà a questi controlli come descritto nella Sezione 7.4 (Certificazione di sicurezza) e nella presente Sezione 7.5 (Revisioni e controlli di conformità).
(b) Se le Clausole contrattuali standard si applicano ai sensi della Sezione 10.2 (Trasferimenti di dati), Jibe consentirà alla Società o a un revisore di terze parti nominato dalla Società di effettuare i controlli descritti nelle Clausole contrattuali standard in conformità con la Sezione 7.5.3 (Termini di contratto aggiuntivi per i controlli).
(c) potrà inoltre eseguire un controllo atto a verificare la conformità di Jibe alle sue obbligazioni ai sensi del presente Emendamento sul trattamento dei dati per mezzo della valutazione del certificato emesso ai fini della Certificazione ISO 27001 (il quale rispecchia l'esito di un controllo eseguito da un revisore di terze parti).
7.5.3 Termini commerciali aggiuntivi per i controlli.
(a) La Società invierà a Jibe eventuali richieste di controllo ai sensi della Sezione 7.5.2(a) o 7.5.2(b) come descritto nella Sezione 12.1 (Contattare Jibe).
(b) In seguito al ricevimento da parte di Jibe della richiesta di cui alla Sezione 7.5.3(a), Jibe e la Società si confronteranno e converranno in anticipo e in modo ragionevole una data di inizio, l'ambito, la durata e le verifiche applicabili in materia di sicurezza e riservatezza dei controlli di cui alle Sezioni 7.5.2(a) o 7.5.2(b).
(c) Jibe può addebitare una commissione (basata sui costi ragionevoli di Jibe) per eventuali controlli ai sensi della Sezione 7.5.2(a) o 7.5.2(b).Jibe fornirà alla Società ulteriori dettagli su eventuali commissioni applicabili e i relativi criteri di calcolo, prima di qualsiasi controllo. La Società sarà responsabile di eventuali commissioni addebitate da qualsiasi revisore di terze parti nominato dalla Società per l'esecuzione di tali controlli.
(d) Jibe potrà sollevare obiezioni riguardo a qualsiasi revisore di terze parti nominato dalla Società per la conduzione di qualsiasi controllo ai sensi della Sezione 7.5.2(a) o 7.5.2(b) qualora il revisore non possieda, sulla base di ragioni plausibili di Jibe, le adeguate qualifiche o l'indipendenza, sia un concorrente di Jibe o sia palesemente inadatto per altri motivi. Qualora Jibe sollevi una di tali obiezioni, la Società dovrà nominare un altro revisore o eseguire il controllo per proprio conto.
(e) Nessuna disposizione del presente Addendum sul trattamento dei dati richiede a Jibe di divulgare alla Società o al suo revisore di terze parti, o di consentire alla Società o al suo revisore di terze parti di accedere a:
(i) Qualsiasi dato di qualsiasi altro cliente di una Persona giuridica Jibe;
(ii) Qualsiasi informazione interna contabile o finanziaria di una Persona giuridica Jibe;
(iii) Qualsiasi segreto commerciale di una Persona giuridica Jibe;
(iv) qualsiasi informazione che, a giudizio ragionevole di Jibe, potrebbe: (A) compromettere la sicurezza dei sistemi o delle sedi di qualsiasi Persona giuridica Jibe; o (B) causare la violazione da parte di qualsiasi Persona giuridica Jibe delle sue obbligazioni ai sensi della Legislazione europea sulla protezione dei dati o delle sue obbligazioni in materia di sicurezza e/o privacy nei confronti della Società o di terze parti; o
(v) Qualsiasi informazione a cui la Società o il suo revisore di terze parti cerchino di accedere per qualsiasi motivo diverso dall'adempimento in buona fede delle obbligazioni della Società ai sensi della legislazione europea sulla protezione dei dati.
7.5.4 Nessuna modifica delle clausole contrattuali standard. Se le Clausole contrattuali standard si applicano ai sensi della Sezione 10.2 (Trasferimenti di dati), nulla di quanto stabilito in questa Sezione 7.5 (Revisioni e controlli della conformità) varia o modifica i diritti o gli obblighi della Società o di Jibe ai sensi delle Clausole contrattuali standard.
8. Valutazioni dell'impatto e consultazioni
La Società accetta che Jibe la aiuti a garantire la conformità a eventuali obligations della Società in materia di valutazioni dell'impatto sulla protezione dei dati e consulenza preventiva (tenendo conto della natura del trattamento e delle informazioni disponibili per Jibe), incluse (se applicabili) le obligations della Società ai sensi degli articoli 35 e 36 del GDPR, mediante:
(a) Fornendo la Documentazione in materia di sicurezza di cui alla Sezione 7.5.1 (Revisioni della Documentazione in materia di sicurezza);
(b) fornendo le informazioni contenute nel presente Addendum per il trattamento dei dati; e
(c) la fornitura o la messa a disposizione in altro modo, secondo le procedure standard di Jibe, di altri materiali attinenti alla natura dei Servizi del responsabile e al trattamento dei Dati personali della Società (ad esempio, materiali del Centro assistenza).
9. Diritti dell'interessato
9.1 Risposte alle richieste dell'interessato. Se Jibe riceve una richiesta da parte di un interessato relativamente ai Dati personali della Società:
(a) se la richiesta è stata elaborata mediante uno Strumento dell'Interessato, risponderà direttamente alla suddetta richiesta, secondo la funzionalità standard di tale Strumento dell'Interessato; oppure
(b) se la richiesta non è stata elaborata mediante uno Strumento dell'Interessato, indicherà all'interessato di inoltrare la propria richiesta alla Società, la quale sarà incaricata di evadere tale richiesta.
9.2 Assistenza di Jibe in merito alla richiesta dell'Interessato. La Società accetta che Jibe collabori con la Società nell'adempimento di qualsiasi obbligo della Società di rispondere alle richieste degli interessati (tenendo conto della natura del trattamento dei Dati personali della Società e, se applicabile, dell'articolo 11 del GDPR), inclusa (se applicabile) l'obbligo della Società di rispondere alle richieste relative all'esercizio dei diritti dell'interessato nel Capitolo III del GDPR, mediante:
(a) la fornitura della funzionalità dei Servizi del responsabile;
(b) il rispetto degli impegni previsti nella Sezione 9.1 (Risposte alle richieste dell'interessato); e
(c) se applicabile ai Servizi del responsabile, mettendo a disposizione gli Strumenti dell'interessato.
10. Trasferimenti di dati
10.1 Sedi di archiviazione e trattamento dei dati. La Società accetta che Jibe possa, ai sensi della Sezione 10.2 (Trasferimenti di dati), archiviare ed elaborare i Dati personali della Società in qualsiasi paese in cui Jibe o uno dei suoi sub-responsabili dispongono di strutture.
10.2 Trasferimenti di dati.
Se lo stoccaggio e/o il trattamento dei Dati personali della Società comporta trasferimenti di Dati personali della Società dallo Spazio economico europeo, dalla Svizzera o dal Regno Unito a qualsiasi paese terzo che non è soggetto a una decisione di adeguatezza ai sensi della legislazione europea sulla protezione dei dati:
(a) la Società (in qualità di esportatore di dati) si intenderà aver sottoscritto le Clausole contrattuali standard con Jibe (in qualità di importatore di dati);
(b) i trasferimenti saranno soggetti alle Clausole contrattuali standard; e
(c) i riferimenti a Google LLC e al Cliente nelle Clausole contrattuali standard si riferiranno rispettivamente a Jibe e alla Società.
10.3 Informazioni sui data center. Le informazioni sulle sedi dei data center di Google sono disponibili all'indirizzo www.google.com/about/datacenters/locations/index.html.
11. Sub-responsabili
11.1 Consenso all'incarico del Sub-responsabile. La Società autorizza espressamente l'impiego di affiliati di Jibe come Sub-responsabili ("Sub-responsabili affiliati di Jibe"). Inoltre, la Società autorizza in generale l'impiego di altre terze parti come Sub-responsabili ("Sub-responsabili di terze parti"). Se si applicano le Clausole contrattuali standard ai sensi della Sezione 10.2 (Trasferimenti di dati), le autorizzazioni riportate sopra costituiscono il consenso scritto della Società alla subconcessione da parte di Jibe del trattamento dei Dati personali della Società.
11.2 Informazioni sui Sub-responsabili. Su richiesta scritta della Società, Jibe fornirà informazioni sui Subprocessori e sulle relative sedi. Eventuali richieste di questo tipo devono essere inviate a Jibe utilizzando i dati di contatto indicati nella Sezione 12.1 (Contattare Jibe).
11.3 Requisiti per l'incarico del Sub-responsabile. Al momento di assegnare l'incarico a un qualsiasi Sub-responsabile, Jibe:
(a) Garantirà tramite un contratto scritto che:
(i) il Sub-responsabile acceda e utilizzi i Dati personali della Società esclusivamente nella misura necessaria ad adempiere alle obbligazioni assegnategli e in conformità con il Contratto (incluso il presente Addendum sul trattamento dei dati) e, se applicabile ai sensi della Sezione 10.2 (Trasferimenti di dati), con le Clausole contrattuali standard; e
(ii) se il GDPR è applicabile al trattamento dei Dati personali della Società, al Sub-responsabile vengono imposte le obbligazioni relative alla protezione dei dati descritte nell'articolo 28(3) del GDPR; e
(b) Si assumerà la piena responsabilità per tutte le obbligazioni assegnate al Sub-responsabile, così come per tutti i suoi atti e le sue omissioni.
11.4 Facoltà di opporsi a modifiche relative ai Sub-responsabili.
(a) Quando viene assegnato un incarico a un nuovo sub-responsabile terzo nel corso del Periodo di validità, Jibe informerà la Società dell'incarico (inclusi il nome e la sede del sub-responsabile in questione, nonché le attività che svolgerà) inviando un'email all'indirizzo email di notifica almeno 30 giorni prima che il nuovo sub-responsabile terzo tratti i Dati personali della Società.
(b) La Società potrà opporsi all'assegnazione dell'incarico a un qualsiasi nuovo sub-responsabile di terze parti recedendo liberamente dal Contratto con effetto immediato tramite notifica scritta a Jibe, sempre che questa sia fatta pervenire entro 90 giorni dalla comunicazione dell'incarico del nuovo sub-responsabile di terze parti come descritto nella Sezione 11.4(a). Questo diritto di risoluzione costituisce l'unico ed esclusivo rimedio dell'Azienda se l'Azienda si oppone a qualsiasi nuovo Subprocessore di terze parti.
12. Contattare Jibe; registri relativi al trattamento
12.1 Contattare Jibe. La Società può contattare Jibe in merito a questo Supplemento al Trattamento dei dati tramite il contatto per la protezione dei dati RCS di Jibe, che può essere raggiunto tramite http://issuetracker.google.com o tramite altri mezzi che potranno essere forniti da Jibe di volta in volta.
12.2 Registri relativi al trattamento di Jibe. La Società riconosce che Jibe è tenuta, ai sensi del GDPR, a: (a) raccogliere e conservare i dati di determinate informazioni, inclusi il nome e i dati di contatto di ciascun responsabile e/o incaricato del trattamento per conto del quale Jibe agisce e (se applicabile) del rappresentante locale e del responsabile della protezione dei dati di tale responsabile o incaricato del trattamento; e (b) mettere queste informazioni a disposizione di qualsiasi Autorità di vigilanza. Di conseguenza, ove richiesto e applicabile, la Società fornirà queste informazioni a Jibe tramite l'interfaccia utente dei Servizi del responsabile del trattamento o tramite altri mezzi che possono essere forniti da Jibe e utilizzerà questa interfaccia utente o altri mezzi per garantire che tutte le informazioni fornite siano accurate e aggiornate.
13. Responsabilità
13.1 Limite di responsabilità.Indipendentemente da qualsiasi altra disposizione del Contratto, la responsabilità complessiva di ciascuna parte nei confronti dell'altra parte ai sensi o in relazione a questo Supplemento relativo al trattamento dei dati sarà limitata all'importo monetario o basato sui pagamenti massimo per il quale la responsabilità della parte è limitata ai sensi del Contratto (e pertanto qualsiasi esclusione di rivendicazioni di riservatezza o indennizzo dalla limitazione di responsabilità del Contratto non si applicherà alle rivendicazioni ai sensi del Contratto relative alla legislazione europea sulla protezione dei dati o alla legislazione non europea sulla protezione dei dati). Nessuna disposizione della presente Sezione 13 (Responsabilità) esclude o limita la responsabilità di ciascuna delle parti per: (a) morte o lesioni personali imputabili alla negligenza di una delle parti o dei suoi dipendenti o agenti; (b) attività fraudolenta o rappresentazione ingannevole fraudolenta; o (c) questioni per le quali la responsabilità non può essere esclusa o limitata ai sensi della legge vigente.
13.2 Responsabilità in caso di applicazione delle Clausole contrattuali tipo. Se le Clausole contrattuali standard si applicano ai sensi della Sezione 10.2 (Trasferimenti di dati), la responsabilità combinata totale di ciascuna parte e delle sue Affiliate nei confronti dell'altra parte e delle sue Affiliate ai sensi o in relazione al Contratto e alle Clausole contrattuali standard combinate sarà soggetta alla Sezione 13.1 (Limitazione di responsabilità).
14. Beneficiari terzi
Se un'Affiliata di una parte è parte delle Clausole contrattuali standard che si applicano ai sensi della Sezione 10.2 (Trasferimenti di dati), l'Affiliata sarà una terza parte beneficiaria delle Sezioni 6.2 (Eliminazione alla scadenza del termine), 7.5 (Revisioni e controlli della conformità), 9.1 (Risposte alle richieste degli interessati), 10.2 (Trasferimenti di dati), 11.1 (Consenso all'incarico del Sub-responsabile) e 13.2 (Responsabilità se si applicano le Clausole contrattuali standard). In caso di conflitto o incoerenza della presente Sezione 14 (Beneficiari terzi) con qualsiasi altra clausola del Contratto, prevarrà la presente Sezione 14 (Beneficiari terzi).
15. Validità di questo Addendum per il trattamento dei dati
In caso di conflitto o incoerenza tra le Clausole contrattuali standard, i Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati, questo Addendum relativo al trattamento dei dati e il resto del Contratto, verrà applicato il seguente ordine di precedenza:
(a) le Clausole contrattuali standard;
(b) i Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati;
(c) Il resto dei presenti Termini per il trattamento dei dati; e
(d) Il resto del Contratto.
Se il presente Contratto (inclusi gli eventuali Addendum) viene tradotto in un'altra lingua e il testo tradotto è in conflitto o non è coerente con il testo in inglese, prevarrà il testo in inglese.
Fatti salvi gli emendamenti apportati al presente Addendum relativo al trattamento dei dati, il Contratto rimane in vigore a tutti gli effetti.
16. Modifiche a questo Addendum relativo al trattamento dei dati
16.1 Modifiche agli URL Di volta in volta, Jibe potrà modificare gli URL indicati in questo Supplemento sul trattamento dei dati e i contenuti di questi URL, fatto salvo che Jibe potrà modificare le Clausole contrattuali standard solo in conformità con le sezioni 16.2(b) - 16.2(d) (Modifiche ai Termini per il trattamento dei dati) o per incorporare qualsiasi nuova versione delle Clausole contrattuali standard che possa essere adottata ai sensi della Legislazione europea sulla protezione dei dati, in ogni caso in modo da non compromettere la validità delle Clausole contrattuali standard ai sensi della Legislazione europea sulla protezione dei dati.
16.2 Modifiche ai Termini per il trattamento dei dati. Jibe potrà modificare questo Doposcritto sul trattamento dei dati se la modifica:
(a) sia espressamente consentita dal presente Emendamento sul trattamento dei dati, come descritto nella Sezione 16.1 (Modifiche agli URL);
(b) riflette una modifica al nome o alla forma di una persona giuridica;
(c) È necessaria per la conformità a leggi o regolamenti vigenti, ingiunzioni del tribunale o orientamenti emanati da un'autorità di regolamentazione o agenzia governativa; oppure
(d) non (i) comporta un degrado della sicurezza complessiva dei Servizi del responsabile; (ii) espande l'ambito o rimuove eventuali limitazioni relative a, (x) nel caso dei Termini aggiuntivi per la Legislazione sulla protezione dei dati non europei, i diritti di Jibe di utilizzare o altrimenti trattare i dati nell'ambito dei Termini aggiuntivi per la Legislazione sulla protezione dei dati non europei o (y) nel caso del resto dei presenti Termini per il trattamento dei dati, il trattamento da parte di Jibe dei Dati personali della Società, come descritto nella Sezione 5.3 (Conformità di Jibe alle Istruzioni); e (iii) altrimenti ha un impatto negativo sostanziale sui diritti della Società ai sensi del presente Addendum per il trattamento dei dati, come stabilito in modo ragionevole da Jibe.
16.3 Notifica delle modifiche. Se Jibe intende modificare questo Supplemento per il trattamento dei dati ai sensi della Sezione 16.2(c) o (d), informerà la Società con almeno 30 giorni di anticipo (o con il periodo più breve necessario per rispettare la legge vigente, le normative vigenti, un'ingiunzione del tribunale o le indicazioni di un ente regolatore o un'agenzia governativa) prima dell'entrata in vigore della modifica inviando un'email all'indirizzo email di notifica o avvisando la Società tramite l'interfaccia utente per i Servizi del responsabile del trattamento. Qualora la Società si opponga alle suddette modifiche, potrà recedere dal Contratto trasmettendone comunicazione scritta a Jibe entro 90 giorni dalla notifica delle modifiche da parte di Jibe.
Appendice 1: Oggetto e dettagli del trattamento dati
Oggetto
La fornitura, da parte di Jibe, dei Servizi del responsabile e della relativa assistenza tecnica alla Società.
Durata del trattamento
Il Periodo di validità più il periodo compreso tra la scadenza del Periodo di validità e l'eliminazione di tutti i Dati personali della Società da parte di Jibe in conformità con questo Addendum sul trattamento dei dati.
Natura e scopo del trattamento
Jibe tratterà i Dati personali della Società al fine di fornire alla Società i Servizi del Responsabile e l'eventuale assistenza tecnica correlata in conformità con questo Addendum sul trattamento dei dati (incluse, se applicabili ai Servizi del Responsabile e alle istruzioni descritte nella Sezione 5.2 (Istruzioni della Società), la raccolta, la registrazione, l'organizzazione, la strutturazione, la memorizzazione, la modifica, il recupero, l'utilizzo, la divulgazione, la combinazione, l'eliminazione e la distruzione dei Dati personali della Società).
Tipi di dati personali
Dati personali relativi a privati forniti a Jibe tramite i Servizi di elaborazione dall'Azienda o dagli utenti finali dell'Azienda, o su indicazione dell'Azienda.
Categorie di interessati
Per soggetti interessati si intendono le persone i cui dati vengono forniti a Jibe tramite i Servizi di elaborazione dalla Società o dagli utenti finali della Società, o su indicazione della Società.
Appendice 2: Misure di sicurezza
A partire dalla Data di validità dei termini, Jibe implementerà e manterrà le Misure di sicurezza descritte nel presente Allegato 2. Di tanto in tanto, Jibe potrà aggiornare o modificare queste Misure di sicurezza, sempre che tali interventi di aggiornamento e modifica non comportino un deterioramento della sicurezza generale dei Servizi del responsabile.
1. Data center e sicurezza della rete
(a) Data center.
Infrastruttura. Jibe gestisce data center distribuiti in diverse aree geografiche. Jibe archivia tutti i dati di produzione in data center fisicamente sicuri.
Ridondanza. L'infrastruttura IT è stata concepita per eliminare i single point of failure e minimizzare l'impatto dei rischi ambientali prevedibili. Circuiti doppi, switch, reti o altri dispositivi necessari contribuiscono alla realizzazione della ridondanza. I Servizi del responsabile sono concepiti per consentire a Jibe di attuare determinate tipologie di manutenzione preventiva e correttiva su base continua. Tutte le attrezzature e le strutture ambientali dispongono di procedure di manutenzione preventiva documentate che descrivono in dettaglio il processo e la frequenza di esecuzione in conformità con le specifiche interne o del produttore. La manutenzione preventiva e correttiva delle attrezzature dei data center è programmata per mezzo di un procedimento standard conforme alle procedure documentate.
tasto di accensione. I sistemi elettrici di alimentazione del data center sono concepiti per essere ridondanti e sostenibili senza avere impatto sulla continua operatività, 24 ore al giorno, sette giorni su sette. Nella maggior parte dei casi, per i componenti critici dell'infrastruttura dei data center, vengono fornite una fonte di alimentazione primaria e una fonte di alimentazione alternativa, entrambe con pari capacità. Una fonte di alimentazione di riserva è fornita da vari meccanismi, quali i gruppi statici di continuità (UPS), che forniscono una protezione energetica altamente affidabile durante sbalzi di tensione della rete, blackout, eventi di sovratensione o sottotensione e condizioni di frequenza fuori dai parametri di tolleranza. Se la fornitura di energia elettrica viene interrotta, l'alimentazione di riserva è concepita per fornire temporaneamente energia al data center, al pieno della capacità, per un massimo di dieci minuti, fino a quando non subentrano i sistemi dei generatori diesel. I generatori diesel sono in grado di avviarsi automaticamente in pochi secondi per fornire una quantità di energia elettrica di emergenza sufficiente a far funzionare il data center al pieno delle proprie capacità, generalmente per una durata di giorni.
Sistemi operativi del server. I server Jibe utilizzano sistemi operativi con protezione avanzata e personalizzati in base alle esigenze specifiche dei server dell'attività. I dati vengono archiviati utilizzando algoritmi proprietari al fine di accrescerne la sicurezza e la ridondanza. Jibe impiega un procedimento di revisione del codice per aumentare la sicurezza del codice utilizzato per fornire i Servizi del responsabile e potenziare i prodotti di sicurezza negli ambienti di produzione.
Continuità aziendale. Jibe replica i dati su più sistemi per contribuire a difendersi da distruzioni o perdite accidentali. Jibe ha sviluppato dei programmi per la pianificazione della continuità aziendale e il ripristino di emergenza che vengono rivisti e testati regolarmente.
(b) Reti e trasmissione.
Trasmissione dei dati. I data center sono generalmente connessi tramite connessioni private ad alta velocità per garantire il trasferimento rapido e sicuro dei dati. Questa configurazione è stata concepita per prevenire la lettura, la copia, l'alterazione o la rimozione dei dati non autorizzate durante il trasferimento o trasporto elettronico oppure durante la copia su supporti di archiviazione dei dati. Jibe trasferisce i dati impiegando protocolli di rete standard.
Superficie di attacco esterna. Jibe impiega livelli multipli di dispositivi di rete e intrusion detection per proteggere la propria superficie di attacco esterna. Jibe valuta i potenziali vettori di attacco e integra tecnologie appropriate, progettate allo scopo, nei sistemi rivolti all'esterno.
Rilevamento delle intrusioni. Il rilevamento delle intrusioni mira a fornire dati approfonditi relativi alle attività di attacco in corso e informazioni adeguate per poter reagire agli incidenti. Il sistema di rilevamento delle intrusioni di Jibe prevede:
Rigidi controlli sulla dimensione e sulla composizione della superficie di attacco di Jibe attraverso misure preventive.
L'impiego di controlli di rilevamento intelligente in tutti i punti di immissione dati; e
L'impiego di tecnologie per la correzione automatica di determinate situazioni di pericolo.
Risposta agli incidenti. Jibe monitora una varietà di canali di comunicazione per gli incidenti che interessano la sicurezza e il personale addetto alla sicurezza di Jibe reagisce tempestivamente agli incidenti noti.
Tecnologie di crittografia. Jibe offre la crittografia HTTPS (nota anche come connessione SSL o TLS). I server Jibe supportano lo scambio di chiavi di crittografia Diffie Hellman a curva ellittica temporanee firmato con RSA ed ECDSA. Questi metodi di Perfect Forward Secrecy (PFS) contribuiscono a proteggere il traffico di dati e riducono al minimo l'impatto in caso di compromissione di una chiave o di violazione della crittografia.
2. Accesso e verifica delle sedi
(a) Verifica delle sedi.
Unità operativa di sicurezza dei data center. I data center di Jibe dispongono di un'unità operativa di sicurezza in loco responsabile di tutte le funzioni di sicurezza fisica dei data center 24 ore su 24, 7 giorni su 7. Il personale dell'unità operativa di sicurezza in loco esegue il monitoraggio delle telecamere a circuito chiuso ("CCTV") e di tutti i sistemi di allarme. Il personale dell'unità operativa di sicurezza in loco esegue regolarmente perlustrazioni interne ed esterne del data center.
Procedure di accesso al data center. Jibe adotta di procedure di accesso formali per consentire l'accesso fisico ai data center. I data center sono ospitati in strutture munite di accesso mediante carta magnetica e di sistemi di allarme collegati all'unità operativa di sicurezza in loco. Tutti i visitatori del data center devono identificarsi e mostrare un documento di identità all'unità operativa di sicurezza in loco. L'ingresso ai data center è consentito soltanto ai dipendenti, i contrattisti e i visitatori autorizzati. Solo i dipendenti e i contrattisti autorizzati possono richiedere una scheda magnetica di accesso a tali strutture. Le richieste di accesso con scheda magnetica elettronica al data center devono essere inoltrate in anticipo e per iscritto e richiedono l'approvazione del gestore delle istanze e del direttore del data center. Tutti gli altri visitatori che richiedono l'accesso temporaneo al data center devono: (i) ottenere l'approvazione in anticipo dai gestori del data center per il data center specifico e le aree interne che vogliono visitare; (ii) accedere alle operazioni di sicurezza in loco; e (iii) fare riferimento a un record di accesso al data center approvato che identifichi la persona come approvata.
Dispositivi di sicurezza dei data center. I data center di Jibe impiegano un sistema di controllo dell'accesso mediante scheda magnetica e riconoscimento biometrico, collegato al sistema di allarme. Il sistema di controllo degli accessi monitora e registra le schede magnetiche di ogni persona e il momento in cui accede alle porte perimetrali, alle aree di spedizione e ricezione e ad altre aree sensibili. Le attività non autorizzate e i tentativi di accesso non riusciti vengono registrati dal sistema di controllo degli accessi e sono oggetto di verifica, come del caso. L'accesso autorizzato alle operazioni aziendali e ai data center è limitato in base alle aree e responsabilità professionali degli individui. Le porte antincendio dei data center sono dotate di allarme. Le telecamere CCTV sono in funzione sia all'interno che all'esterno dei data center. Il posizionamento delle telecamere è stato progettato per coprire le aree strategiche, tra cui il perimetro, le porte di accesso agli edifici dei data center e quelle di spedizione/ricezione. Il personale delle unità operative di sicurezza in loco gestisce le attrezzature di monitoraggio, registrazione e controllo del sistema CCTV. Un sistema di cablaggio sicuro connette le attrezzature CCTV in tutti i data center. Le telecamere effettuano registrazioni in loco 24 ore al giorno, sette giorni su sette, tramite videoregistratori digitali. Le registrazioni di sorveglianza vengono conservate per almeno 7 giorni, a seconda dell'attività.
(b) Controllo dell'accesso.
Personale preposto alla sicurezza dell'infrastruttura. Jibe attua e mantiene una politica di sicurezza per il proprio personale, il cui pacchetto formativo viene obbligatoriamente integrato da programmi di formazione in materia di sicurezza. Il personale preposto alla sicurezza dell'infrastruttura di Jibe è responsabile del monitoraggio costante della sicurezza delle infrastrutture di Jibe, della revisione dei Servizi del responsabile e della risposta agli incidenti relativi alla sicurezza.
Controllo dell'accesso e gestione dei privilegi. Per poter usare i Servizi del responsabile, gli amministratori e gli utenti della società devono identificarsi per mezzo di un sistema di autenticazione centrale o di un sistema di single sign-on.
Norme e procedimenti interni per l'accesso ai dati - Norme di accesso. Le norme e i procedimenti interni di Jibe per l'accesso ai dati sono concepiti per impedire l'accesso di persone e/o sistemi non autorizzati ai sistemi utilizzati per il trattamento dei dati personali. Jibe intende concepire sistemi che: (i) consentano l'accesso ai dati solo alle persone autorizzate a tal fine; e (ii) salvaguardino i dati personali dalla lettura, riproduzione, modifica o rimozione non autorizzata durante il trattamento e l'uso, e dopo la registrazione. I sistemi sono stati progettati per rilevare ogni tipo di accesso inappropriato. Jibe impiega un sistema di gestione centralizzato per controllare l'accesso del personale ai server di produzione e fornisce l'accesso solo a un numero limitato di membri del personale autorizzati. LDAP, Kerberos e un sistema proprietario che impiega i certificati SSH sono progettati per fornire a Jibe meccanismi di accesso sicuri e flessibili. Questi meccanismi sono progettati per concedere solo diritti di accesso approvati a host di siti, log, dati e informazioni di configurazione. Jibe richiede l'uso di ID utente univoci, password efficaci, autenticazione a due fattori ed elenchi degli accessi attentamente monitorati per ridurre al minimo l'eventualità di un uso non autorizzato degli account. La concessione o la modifica dei diritti di accesso si basa: sulle responsabilità professionali del personale autorizzato; sulle esigenze legate alle mansioni lavorative necessarie all'esecuzione dei compiti autorizzati; e sul principio della "necessità di sapere". La concessione o la modifica dei diritti di accesso deve inoltre essere conforme alle norme interne di Jibe sull'accesso ai dati e alla relativa formazione. Le approvazioni sono gestite da strumenti di gestione dei flussi di lavoro che conservano record di controllo di tutte le modifiche. Gli accessi ai sistemi vengono registrati per creare un audit trail a scopo di responsabilizzazione. Qualora le password vengano impiegate per l'autenticazione (ad esempio per accedere a delle postazioni di lavoro), per tali password saranno adottati dei criteri che quanto meno seguano le pratiche standard del settore. Questi standard includono restrizioni relative al riutilizzo delle password e un livello di sicurezza della password adeguato.
3. Dati
(a) Archiviazione, isolamento e autenticazione dei dati.
Jibe archivia i dati in un ambiente multi-tenant su server di sua proprietà. I dati, il database dei Servizi del responsabile e l'architettura del file system vengono replicati tra diversi data center collocati in diversi luoghi geografici. Jibe isola logicamente i dati di ciascun cliente. Un sistema di autenticazione centrale viene usato per tutti i Servizi del responsabile per ottenere una maggiore uniformità nella sicurezza dei dati.
(b) Linee guida per i dischi ritirati e la distruzione dei dischi.
Alcuni dischi contenenti dati potrebbero presentare problemi di prestazioni, errori o guasti hardware che ne comportano il ritiro ("Disco ritirato"). Ogni disco ritirato è soggetto a una serie di procedure di distruzione dei dati ("Linee guida per la distruzione dei dati") prima di lasciare le sedi di Jibe per il riutilizzo o la distruzione. I dati presenti sui Dischi dismessi vengono cancellati mediante un procedimento composto da varie fasi, la cui compiutezza viene verificata da almeno due ispettori indipendenti. I risultati della cancellazione vengono registrati mediante il numero di serie del Disco dismesso ai fini della tracciabilità. Infine, il Disco dismesso viene reinserito nell'inventario per essere riutilizzato o distribuito nuovamente. Qualora i dati presenti sul Disco dismesso non possano essere cancellati a causa di guasti hardware, il disco verrà conservato in un luogo sicuro fino a quando non potrà essere distrutto. Tutte le strutture vengono sottoposte regolarmente a controlli al fine di monitorare la conformità alle Linee guida per la distruzione dei dati.
4. Sicurezza del personale
Il personale di Jibe è tenuto a comportarsi in modo coerente con le linee guida della società in materia di riservatezza, etica aziendale, uso appropriato e standard professionali. Jibe conduce controlli ragionevolmente appropriati dei precedenti del personale nella misura consentita dalla legge e ai sensi delle leggi e dei regolamenti locali sul lavoro vigenti.
Il personale è tenuto a sottoscrivere un accordo di riservatezza, nonché a dare conferma di ricezione delle norme sulla privacy e sulla riservatezza di Jibe, e della propria conformità con tali norme. Il personale riceve una formazione in materia di sicurezza. Il personale incaricato della gestione degli Dati personali della società deve soddisfare delle esigenze aggiuntive inerenti al proprio ruolo. Il personale di Jibe non tratterà i dati personali della compagnia senza autorizzazione
5. Sicurezza del sub-responsabile
Prima di eseguire l'onboarding dei Sub-responsabili, Jibe conduce un controllo delle prassi di sicurezza e della privacy dei Sub-responsabili per assicurarsi che questi forniscano un livello di sicurezza e privacy consono all'accesso ai dati e alla portata dei servizi per cui vengono incaricati. Una volta che Jibe ha valutato i rischi presentati dal Sub-responsabile, quest'ultimo è tenuto a rispettare termini contrattuali appropriati relativi a sicurezza, riservatezza e privacy, sempre in conformità ai requisiti della Sezione 11.3 (Requisiti per l'incarico del Sub-responsabile).
Allegato 3: Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati
I seguenti Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati integrano i presenti Termini per il trattamento dei dati:
- Appendice relativa al CCPA e ai fornitori di servizi, disponibile all'indirizzo privacy.google.com/businesses/gdprprocessorterms/ccpa (del 27 agosto 2020)
- Addendum relativo alla LGPD applicabile al Responsabile all'indirizzo privacy.google.com/businesses/gdprprocessorrterms/lgpd (del 27 agosto 2020)
Termini per il trattamento dei dati di Jibe, versione 2.0
27 agosto 2020