Accordo sul trattamento dei dati

Versione PDF: Accordo sul trattamento dei dati

Accordo sul trattamento dei dati

FRA:

The company whose information has been provided as part of the registration process and who will electronically sign this DataProcessing Agreement (hereinafter to be referred to as: the “Data Controller”),

E

Hertza, L.L.C., a Nevada limited liability company, doing business as “ZeroBounce”, and having its principal place of business at 10 E. Yanonali St., Santa Barbara, California 93101 (hereinafter to be referred to as: the “Data Processor”).

CONVENGONO QUANTO SEGUE:

1. Oggetto del presente Accordo sul trattamento dei dati

1.1

This Data Processing Agreement applies exclusively to the processing of personal data that is subject to EU Data Protection Law in the scope of the Terms and Conditions of Use Agreement of even date hereof between the parties for the provision of the ZeroBounce services (“Services”) (hereinafter to be referred to as: the“Service Agreement”).

1.2

Il termine Legge sulla protezione dei dati dell'UE indica il Regolamento (UE) 2016 / 679 del Parlamento europeo e del Consiglio 27 Aprile 2016 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati e che abroga la direttiva 95/46/ CE (regolamento generale sulla protezione dei dati).

1.3

Termini come "Elaborazione", "Dati personali", "Titolare del trattamento" e "Responsabile del trattamento" hanno il significato loro attribuito nella Legge sulla protezione dei dati dell'UE.

1.4

Insofar as the Data Processor will be processing Personal Data subject to EU Data Protection Law on behalf of the Data Controller in the course of the performance of the Service Agreement with the Data Controller the terms of this Data Processing Agreement shall apply. The categories of Personal Data to be processed includes: first name; last name; gender; city; state; country; Internet Protocol (IP) Address information; and email addresses. The types of data subjects whose information will be processed are individuals. The purposes for which the personal data will be processed include: validation of email lists for deliverability; and removal of known email complainers, abusers and spam traps from email address lists.

2. Titolare e Responsabile del trattamento

2.1

Il Titolare determinerà l'ambito, le finalità e le modalità con cui i Dati personali possono essere consultati o elaborati dal Responsabile del trattamento. Il Responsabile del trattamento tratterà i Dati personali solo come stabilito nelle istruzioni scritte del Titolare.

2.2

Il Responsabile del trattamento tratterà i Dati personali solo su istruzioni documentate del Titolare del trattamento in modo e nella misura in cui ciò sia appropriato per la fornitura dei Servizi, ad eccezione di quanto richiesto per adempiere a un obbligo legale a cui i Dati Il processore è soggetto. In tal caso, il Responsabile del trattamento informa il Titolare del trattamento di tale obbligo legale prima del trattamento, a meno che tale legge non vieti esplicitamente di fornire tali informazioni al Titolare. Il Responsabile del trattamento non tratterà mai i Dati personali in modo non coerente con le istruzioni documentate del Titolare. Il Responsabile del trattamento informa immediatamente il Titolare del trattamento se, a suo avviso, un'istruzione viola il presente regolamento o altre disposizioni dell'Unione o degli Stati membri sulla protezione dei dati.

2.3

Le Parti hanno stipulato un Contratto di servizio al fine di beneficiare dell'esperienza del Responsabile del trattamento nella protezione e nel trattamento dei Dati personali per gli scopi indicati nella Sezione 1.4. Il Responsabile del trattamento dei dati potrà esercitare la propria discrezione nella selezione e nell'uso dei mezzi che ritiene necessari per perseguire tali scopi, fatti salvi i requisiti del presente Accordo sul trattamento dei dati.

2.4

Data Controller warrants that it has all necessary rights to provide the Personal Data to Data Processor for the Processing to be performed in relation to the Services. To the extent required by EU Data Protection Law, Data Controller is responsible for ensuring that any necessary data subject consents to this Processing are obtained, and for ensuring that a record of such consents is maintained. Should such a consent be revoked by the data subject, Data Controller is responsible for communicating the fact of such revocation to the Data Processor, and Data Processor remains responsible for implementing any Data Controller instruction with respect to the further processing of that Personal Data.

3. Riservatezza

3.1

Without prejudice to any existing contractual arrangements between the Parties, the Data Processor shall treat all Personal Data as strictly confidential and it shall inform all its employees, agents and/or approved sub- processors engaged in processing the Personal Data of the confidential nature of the Personal Data. The Data Processor shall ensure that all such persons or parties have signed an appropriate confidentiality agreement, are otherwise bound to a duty of confidentiality, or are under an appropriate statutory obligation of confidentiality.

4. SICUREZZA

4.1

Tenendo conto dello stato dell'arte, dei costi di attuazione e della natura, portata, contesto e finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, fatti salvi altri standard di sicurezza concordato tra le Parti, il Titolare e il Responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza del trattamento dei Dati personali adeguato al rischio. Tali misure devono includere, se del caso:

  1. misure per garantire che i Dati personali siano accessibili solo al personale autorizzato per gli scopi indicati nella Sezione 1.4 del presente Accordo sul trattamento dei dati;
  2. nel valutare il livello adeguato di sicurezza, si dovrà tenere conto in particolare di tutti i rischi presentati dal trattamento, ad esempio da distruzione, perdita o alterazione accidentale o illecita, archiviazione, elaborazione, accesso o divulgazione non autorizzati o illeciti di dati personali;
  3. la pseudonimizzazione e la crittografia dei dati personali;
  4. la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza in corso dei sistemi e servizi di elaborazione;
  5. la capacità di ripristinare la disponibilità e l'accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico;
  6. un processo per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento dei dati personali;
  7. misure per identificare le vulnerabilità in relazione al trattamento dei dati personali nei sistemi utilizzati per fornire servizi al Titolare; o
  8. ZeroBounce takes the following security measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure or access:
    • All Personal Data received hereunder will be stored and processed in the EU;
    • In addition to the above, ZeroBounce is an active participant in the EU-US and Swiss-US Privacy Shield Programs;
    • ZeroBounce has restricted access to four personnel members with the ability to directly access files containing personal information on ZeroBounce servers, each of whom have agreed to maintain the confidentiality of any personal information;
    • All data uploads and downloads sent between ZeroBounce and its customers flow through third party CloudFlare’s servers in the EU;
    • In addition to the above, CloudFlare is an active participant in the EU-US Privacy Shield Program;
    • The ZeroBounce support team does not have access to CloudFlare;
    • CloudFlare maintains its own security protections to block threats and limit abusive bots and crawlers. See https://support.cloudflare.com/hc/en-us/articles/205177068-Step-1-How-does-Cloudflare-work-
    • Any information that is uploaded by a ZeroBounce customer to ZeroBounce.net is transmitted via SSL through CloudFlare, and all files are stored in an encrypted file using a standard algorithm for protection of stored data defined by IEEE P1619 on ZeroBounce servers in the EU; and
    • If customer elects to receive files via email, such files shall be sent encrypted, with a password via a separate email.

4.2

Il Responsabile del trattamento deve disporre in ogni momento di un'adeguata politica di sicurezza scritta in relazione al trattamento dei Dati personali, delineando in ogni caso le misure di cui all'articolo 4.1.

4.3

Su richiesta del titolare del trattamento, il responsabile del trattamento dei dati dovrà dimostrare le misure adottate ai sensi del presente articolo 4 consentirà al titolare del trattamento di verificare e testare tali misure. Il Titolare del trattamento ha il diritto di dare un preavviso di almeno 14 giorni al Responsabile del trattamento per eseguire, o far eseguire da una terza parte che ha stipulato un accordo di riservatezza con il Responsabile del trattamento, verifiche dei locali del Responsabile del trattamento e le operazioni in quanto si riferiscono ai Dati personali. Il Responsabile del trattamento collaborerà con tali audit effettuati da o per conto del Titolare e garantirà agli auditor del Titolare un accesso ragionevole a tutti i locali e dispositivi coinvolti nel Trattamento dei Dati personali. Il Responsabile del trattamento fornirà al Titolare e / o ai revisori del Titolare l'accesso a qualsiasi informazione relativa al Trattamento dei Dati personali che possa essere ragionevolmente richiesto dal Titolare per accertare la conformità del Responsabile del trattamento con il presente Accordo sul trattamento dei dati.

5. Miglioramenti alla sicurezza

5.1

The Parties acknowledge that security requirements are constantly changing and that effective security requires frequent evaluation and regular improvements of outdated security measures. The Data Processor will therefore evaluate the measures as implemented in accordance with Article 4 on an on-going basis and will tighten, supplement and improve these measures in order to maintain compliance with the requirements set out in Article 4. The Parties will negotiate in good faith the cost, if any, to implement material changes required by specific updated security requirements set forth in the EU Data Protection Law or by data protection authorities of competent jurisdiction.

5.2

Laddove sia necessaria una modifica al Contratto di servizio al fine di eseguire un'istruzione del Titolare del trattamento al Responsabile del trattamento dei dati per migliorare le misure di sicurezza che potrebbero essere richieste di volta in volta da modifiche alla legge sulla protezione dei dati applicabile, le Parti negozieranno una modifica al Servizio Accordo in buona fede.

6. Trasferimento dei dati

6.1

The Data Processor shall not disclose Personal Data received hereunder to a third party or transfer it to a non- EU/European Economic Area (EEA) country without Data Controller’s authorization. The Data Processor shall immediately notify the Data Controller of any (planned) permanent or temporary transfers of Personal Data to a country outside of the EU/EAA without an adequate level of protection and shall only perform such a (planned) transfer after obtaining authorization from the Data Controller, which may be refused at its own discretion.

6.2

Nella misura in cui il Titolare o il Responsabile del trattamento si affidano a uno specifico meccanismo legale per normalizzare i trasferimenti internazionali di dati che viene successivamente modificato, revocato o ritenuto non valido in un tribunale della giurisdizione competente, il Titolare e il Responsabile del trattamento concordano cooperare in buona fede per terminare tempestivamente il trasferimento o per perseguire un idoneo meccanismo alternativo che possa legittimamente supportare il trasferimento.

7. Obblighi di informazione e gestione degli incidenti

7.1

Quando il Responsabile del trattamento viene a conoscenza di un incidente che ha un impatto sul trattamento dei dati personali che è oggetto del Contratto di servizio, informerà tempestivamente il Titolare dell'incidente, collaborerà in ogni momento con il Titolare e seguirà le istruzioni del Titolare in merito a tali incidenti, al fine di consentire al Titolare del trattamento di svolgere un'indagine approfondita sull'incidente, formulare una risposta corretta e adottare opportune ulteriori misure rispetto all'incidente.

7.2

Il termine "incidente" utilizzato nell'articolo 7.1 si intende in ogni caso:

  1. a complaint or a request with respect to the exercise of a data subject’s rights under EU Data ProtectionLaw;
  2. un'indagine o il sequestro dei dati personali da parte di funzionari governativi o un'indicazione specifica che tale indagine o sequestro è imminente;
  3. qualsiasi accesso non autorizzato o accidentale, elaborazione, cancellazione, perdita o qualsiasi forma di trattamento illecito dei Dati personali;
  4. qualsiasi violazione della sicurezza e / o riservatezza di cui agli articoli 3 e 4 del presente Accordo sull'elaborazione dei dati che porta alla distruzione accidentale o illecita, perdita, alterazione, divulgazione non autorizzata o accesso ai Dati personali, o qualsiasi indicazione di tale violazione verificatasi o in procinto di verificarsi;
  5. laddove, a giudizio del Responsabile del trattamento dei dati, l'implementazione di un'istruzione ricevuta dal Titolare del trattamento violerebbe le leggi applicabili a cui sono soggetti il Titolare del trattamento o il Responsabile del trattamento.

7.3

The Data Processor shall at all times have in place written procedures which enable it to promptly respond to the Data Controller about an incident. Where an incident is reasonably likely to require a data breach notification by the Data Controller under the EU Data Protection Law, the Data Processor shall implement its written procedures in such a way that it is in a position to notify the Data Controller no later than 24 hours of having become aware of such an incident.

7.4

Eventuali notifiche al titolare del trattamento ai sensi del presente articolo 7 devono essere indirizzate al responsabile della protezione dei dati o altro dipendente del titolare del trattamento i cui dettagli di contatto sono forniti durante il processo di registrazione e devono contenere:

  1. una descrizione della natura dell'incidente, comprese, ove possibile, le categorie e il numero approssimativo di interessati in questione e le categorie e il numero approssimativo di registrazioni di dati personali in questione;
  2. il nome e i dettagli di contatto del responsabile della protezione dei dati del Responsabile del trattamento dei dati o di un altro punto di contatto in cui è possibile ottenere ulteriori informazioni;
  3. una descrizione delle probabili conseguenze dell'incidente; e
  4. una descrizione delle misure adottate o proposte dal responsabile del trattamento per far fronte all'incidente, comprese, se del caso, misure per mitigare i suoi possibili effetti negativi.

8. Contrattazione con sub-responsabili del trattamento

8.1

Il Titolare del trattamento autorizza il Responsabile del trattamento dei dati a coinvolgere i sub-processori nelle sedi dei paesi per le attività relative ai Servizi specificate come descritto nella Sezione 1.4. Il Responsabile del trattamento informerà il Titolare del trattamento di qualsiasi aggiunta o sostituzione di tali sub-responsabili, dando al Titolare la possibilità di opporsi a tali modifiche.

8.2

Notwithstanding any authorization by the Data Controller with the meaning of the preceding paragraph, the Data Processor shall remain fully liable vis-à-vis the Data Controller for the performance of any such sub- processor that fails to fulfill its data protection obligations.

8.3

Il consenso del Titolare del trattamento ai sensi dell'articolo 8.1 non altera il fatto che il consenso è richiesto ai sensi dell'articolo 6 per l'assunzione di sub-responsabili del trattamento in un paese al di fuori dello Spazio economico europeo senza un livello di protezione adeguato.

8.4

Il Responsabile del trattamento garantisce che il sub-responsabile sia vincolato dagli stessi obblighi in materia di protezione dei dati del Responsabile del trattamento ai sensi del presente Accordo sul trattamento dei dati, ne sorvegli la conformità e in particolare deve imporre ai suoi sub-processori l'obbligo di attuare adeguate procedure tecniche e misure organizzative in modo tale che il trattamento soddisfi i requisiti della legge sulla protezione dei dati dell'UE.

8.5

The Data Controller may request that the Data Processor audit a sub-processor or provide confirmation that such an audit has occurred (or, where available, obtain or assist customer in obtaining a third-party audit report concerning the sub-processor’s operations) to ensure compliance with its obligations imposed by the Data Processor in conforming with this Data Processing Agreement.

9. Restituzione o distruzione dei dati personali

9.1

Alla risoluzione del presente Accordo sul trattamento dei dati, su richiesta scritta del Titolare o al raggiungimento di tutte le finalità concordate nel contesto dei Servizi per cui non è richiesta alcuna ulteriore elaborazione, il Responsabile del trattamento, a discrezione del Titolare, cancellerà , distruggere o restituire tutti i dati personali al titolare del trattamento e distruggere o restituire eventuali copie esistenti.

9.2

Il Responsabile del trattamento comunicherà a tutte le terze parti che supportano il proprio trattamento dei Dati personali la risoluzione del Contratto sul trattamento dei dati e si assicurerà che tutte queste terze parti distruggano i Dati personali o restituiscano i Dati personali al Titolare del trattamento, a discrezione del Titolare.

10. Assistenza al Titolare del trattamento

10.1

The Data Processor shall assist the Data Controller by appropriate technical and organizational measures, insofar as this is possible, for the fulfilment of the Data Controller’s obligation to respond to request for exercising the data subject’s rights under the GDPR.

10.2

Il Responsabile del trattamento assisterà il Titolare del trattamento nel garantire il rispetto degli obblighi ai sensi della Sezione 4 (Sicurezza) e le consultazioni preliminari con le autorità di controllo richieste ai sensi dell'articolo 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione il Responsabile del trattamento.

10.3

Il Responsabile del trattamento metterà a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del Responsabile del trattamento e per consentire e contribuire alle verifiche, comprese le ispezioni, condotte dal Titolare o da un altro revisore incaricato dal Titolare.

11. RESPONSABILITÀ E INDENNIZZO

11.1

The Data Processor indemnifies the Data Controller and holds the Data Controller harmless against all claims, actions, third party claims, losses, damages and expenses incurred by the Data Controller and arising directly or indirectly out of or in connection with a breach of this Data Processing Agreement and/or the EU Data Protection Law by the Data Processor. The Data Controller indemnifies the Data Processor and holds the Data Processor harmless against all claims, actions, third party claims, losses, damages and expenses incurred by the Data Processor and arising directly or indirectly out of or in connection with a breach of this Data Processing Agreement and/or the EU Data Protection Law by the Data Controller.

12. Durata e risoluzione

12.1

This Data Processing Agreement shall come into effect on the date the Data Controller signs this Data Processing Agreement, which may be through electronic means.

12.2

La risoluzione o la scadenza del presente Accordo sul trattamento dei dati non solleverà il Responsabile del trattamento dai suoi obblighi di riservatezza ai sensi dell'articolo 3.

12.3

Il Responsabile del trattamento tratterà i Dati personali fino alla data di risoluzione del Contratto di servizio, salvo diversa indicazione da parte del Titolare, o fino a quando tali dati non saranno restituiti o distrutti su istruzione del Titolare.

13. Miscellanea

13.1

In caso di incongruenza tra le disposizioni del presente Accordo sul trattamento dei dati e le disposizioni del Contratto di servizio, prevarranno le disposizioni del presente Accordo sul trattamento dei dati.

13.2

Il presente Accordo sul trattamento dei dati è regolato dalle leggi dello stato del Nevada negli Stati Uniti. Qualsiasi controversia derivante da o in connessione con il presente Accordo sul trattamento dei dati sarà portata esclusivamente dinanzi al tribunale competente di Las Vegas, Nevada.