Accordo per il trattamento dei dati

Versione 2.1.0

Le parti:

  • L'organizzazione registrata che si è iscritta a PowerDMARC, qui di seguito denominata "Controller".

E

  •  MENAINFOSEC, Inc. con sede legale e luogo principale di attività in Delaware, Stati Uniti d'America, di seguito denominata "Processore";

Preambolo:

  1. Il Controllore ha stipulato o stipulerà uno o più accordi con il Responsabile del trattamento affinché quest'ultimo fornisca vari servizi al Controllore. Questo accordo o questi accordi congiuntamente sono qui di seguito denominati "l'accordo principale".
  2. Nell'esecuzione del Contratto principale il Procuratore tratterà dati di cui il Titolare è e rimane responsabile. Questi dati includono dati personali ai sensi del Regolamento generale sulla protezione dei dati (UE 2016/679), di seguito il "GDPR".
  3. Considerando le disposizioni dell'articolo 28 paragrafo 3 del GDPR, leparti vogliono stabilire in questo accordo le condizioni in cui questi dati personali saranno trattati.

Accordo:

  • Portata
    1. Il presente accordo è applicabile nella misura in cui nella fornitura dei servizi previsti dall'accordo principale vengono effettuate una o più operazioni di trattamento che sono incluse nell'allegato 1.
    2. Le operazioni di trattamento di cui all'Allegato 1,effettuate nell'ambito della fornitura dei servizi, sono qui di seguito denominate: le "Operazioni di trattamento". I dati personali trattati in questo contesto sono: 'i Dati Personali'.
    3. Tutti i concetti del presente accordo hanno il significato attribuito loro nel GDPR.
    4. Se altri e altri dati personali sono trattati su istruzioni del Controllore o se sono trattati diversamente da quanto descritto in questa clausola, il presente Accordo si applica, per quanto possibile, anche a queste Operazioni di trattamento.
    5. Gli allegati fanno parte del presente accordo. Essi consistono in:

Allegato 1 le operazioni di trattamento, i dati personali e i periodi di conservazione;

  • Oggetto
    1. Il Controllore ha e mantiene il pieno controllo dei Dati Personali. Se il Controllore non elabora personalmente i dati personali utilizzando i sistemi del Responsabile, quest'ultimo li elaborerà esclusivamente sulla base di istruzioni scritte del Controllore, ad esempio per quanto riguarda la trasmissione dei dati personali a terzi al di fuori dell'Unione Europea. L'accordo principale è considerato come un'istruzione generica in questo contesto.
    2. Le operazioni di trattamento sono effettuate solo in relazione all'Accordo principale. Il Procuratore non elaborerà i Dati personali per scopi diversi da quelli previsti dall'Accordo principale. In particolare, il Responsabile del trattamento non utilizzerà i Dati personali per i propri scopi.
    3. Il Responsabile del Trattamento eseguirà le Operazioni di Trattamento in modo corretto e con la dovuta attenzione.
  • Misure di sicurezza
    1. Il responsabile del trattamento adotta tutte le misure di sicurezza tecniche e organizzative che gli sono richieste dal GDPR e in particolare dall'articolo 32 GDPR.
    2. Il Responsabile assicura che le persone, non solo i dipendenti, che partecipano alle Operazioni di trattamento presso il Responsabile siano obbligate a osservare la riservatezza riguardo ai Dati personali.
  • Violazioni dei dati e valutazione dell'impatto sulla privacy
    1. Il Responsabile del trattamento deve notificare al Controllore qualsiasi "violazione dei dati personali" ai sensi dell'articolo 4 del 12 GDPR. Tale violazione è di seguito denominata "violazione dei dati".
    2. Il Responsabile del trattamento fornirà al Controllore entro il termine previsto tutte le informazioni di cui è in possesso e che sono necessarie per adempiere agli obblighi dell'articolo 33 GDPR. A tal fine, il Responsabile del trattamento deve fornire le rispettive informazioni il più presto possibile in un formato standard stabilito dal Responsabile del trattamento. Ciò implica che il Responsabile del trattamento informi il più presto possibile il Controllore di una violazione dei dati se è evidente che la violazione dei dati può comportare un rischio per i diritti e le libertà delle persone fisiche. Se è evidente che una violazione dei dati è improbabile che comporti un rischio per i diritti e le libertà delle persone fisiche, il responsabile del trattamento è autorizzato a notificare il controllore in un momento successivo, purché la notifica avvenga senza indebito ritardo. Se c'è motivo di dubitare che la violazione dei dati possa comportare un rischio per i diritti e le libertà delle persone fisiche, il Responsabile del trattamento deve notificare la violazione dei dati al Controllore il più presto possibile.
    3. Spetta esclusivamente al controllore stabilire se una violazione dei dati accertata presso il responsabile del trattamento debba essere comunicata all'autorità olandese per i dati personali e/o al soggetto interessato.
  • Coinvolgimento di sub-processori
    1. Nell'esecuzione delle Operazioni di trattamento, il Responsabile del trattamento non è autorizzato a coinvolgere una terza parte come subprocessore senza il previo consenso del Controllore. Il consenso del Controllore può anche riguardare una certa categoria di subprocessori.
    2. Se il Controllore dà il suo consenso, il Procuratore deve assicurarsi che la rispettiva terza parte stipuli un accordo in cui osservi almeno gli stessi obblighi legali ed eventuali obblighi aggiuntivi di quelli che il Procuratore ha in base al presente accordo.
    3. Nel caso in cui il consenso si riferisca ad un certo tipo di terzi, il Responsabile del trattamento dovrà informare il Controllore sui subprocessori da lui ingaggiati. Il Controllore può quindi opporsi alle aggiunte o alle sostituzioni per quanto riguarda i subprocessori del Responsabile del trattamento.
  • Obbligo di riservatezza
    1. Il Responsabile del trattamento manterrà riservati i dati personali. Il Responsabile assicura che i dati personali non saranno direttamente o indirettamente disponibili a terzi. Il termine terzi comprende anche il personale del Responsabile del trattamento, nella misura in cui non sia necessario che esso prenda nota dei dati personali. Questo divieto non si applica se il presente accordo prevede disposizioni contrarie e/o nella misura in cui una norma di legge o una sentenza ne imponga la divulgazione.
    2. Il Responsabile del trattamento informerà il Controllore di qualsiasi richiesta di accesso, fornitura o altra forma di richiesta e comunicazione di dati personali da parte di un soggetto diverso dall'interessato in contrasto con l'obbligo di riservatezza incluso nella presente clausola, a meno che al Responsabile del trattamento non sia vietato dalla legge. In caso di richieste da parte dell'interessato, il Responsabile del trattamento inoltrerà tali richieste al Titolare del trattamento o rinvierà l'interessato al Titolare del trattamento.
  • Periodi di conservazione e cancellazione
    1. Il controllore è responsabile della determinazione dei periodi di conservazione dei dati personali. Nella misura in cui i Dati Personali sono sotto il controllo del Controllore (per esempio in caso di servizi di hosting), egli stesso li cancellerà entro i termini previsti.
    2. In caso di risoluzione dell'accordo principale o, il responsabile del trattamento cancellerà i dati personali dopo la scadenza del periodo di conservazione di cui all'allegato 1, a discrezione del controllore, li trasferirà a quest'ultimo, a meno che i dati personali non debbano essere conservati più a lungo, ad esempio in relazione agli obblighi (legali) del responsabile del trattamento, o se il controllore richiede che i dati personali siano conservati più a lungo e il responsabile del trattamento e il controllore raggiungono un accordo sui costi e sulle altre condizioni di tale conservazione più lunga, quest'ultima nonostante la responsabilità del controllore di rispettare i periodi di conservazione legali. Qualsiasi trasferimento al Controllore avviene a spese del Controllore.
    3. Nel caso in cui il Controllore richieda la rimozione dell'account e dei dati tramite il login protetto, il Responsabile del trattamento cancellerà i dati personali entro trenta giorni dalla richiesta di rimozione dell'account e dei dati, a discrezione del Controllore, trasferendoli a quest'ultimo, a meno che i dati personali non debbano essere conservati più a lungo, come ad esempio in relazione agli obblighi (legali) del Responsabile del trattamento, o se il Controllore richiede che i dati personali siano conservati più a lungo e il Responsabile del trattamento e il Controllore si accordano sui costi e sulle altre condizioni di tale conservazione più lunga, quest'ultima a prescindere dalla responsabilità del Controllore di rispettare i periodi di conservazione legali. Qualsiasi trasferimento al Controllore avviene a spese del Controllore.
    4. Il responsabile del trattamento dichiarerà, su richiesta del controllore, che la cancellazione di cui al paragrafo precedente ha avuto luogo. Il Controllore può far verificare a proprie spese se ciò ha effettivamente avuto luogo. La clausola 10 delpresente accordo si applica a tale verifica. Nella misura in cui ciò sia necessario, il Responsabile del trattamento informerà tutti i subprocessori coinvolti nel trattamento dei dati personali di qualsiasi cessazione dell'accordo principale e darà loro istruzioni di agire come previsto da tale accordo.
    5. A meno che non sia stato concordato diversamente dalle parti, il controllore stesso si occuperà di un backup dei dati personali.
  • Diritti dell'interessato 
    1. Se il responsabile del trattamento ha accesso ai dati personali, egli stesso dovrà soddisfare tutte le richieste dell'interessato relative ai dati personali. Il responsabile del trattamento trasmette immediatamente al responsabile del trattamento qualsiasi richiesta ricevuta dal responsabile del trattamento.
    2. Solo se ciò che è stato inteso nel paragrafo precedente è impossibile, il Processore coopererà pienamente e a tempo debito con il Controllore al fine di:
    3. fornire alla persona interessata l'accesso ai rispettivi Dati Personali dopo l'approvazione del Controllore e su istruzioni di quest'ultimo,
    4. rimuovere o correggere i dati personali,
    5. dimostrare che i dati personali sono stati rimossi o corretti se non sono corretti (o, nel caso in cui il controllore non sia d'accordo che i dati personali non sono corretti, registrare il fatto che l'interessato considera i suoi dati personali non corretti)
    6. fornire al Controllore o alla terza parte nominata dal Controllore i rispettivi Dati Personali in una forma strutturata, usuale e leggibile da una macchina e
    7. consentire al Controllore di adempiere altrimenti ai suoi obblighi ai sensi del GDPR o di altre normative applicabili nell'ambito del trattamento dei Dati Personali.
    8. I costi e i requisiti imposti alla cooperazione di cui al paragrafo precedente sonodeterminati congiuntamente dalle parti. Senza accordi in merito, i costi saranno a carico del controllore.
  • Responsabilità
    1. Il Controllore è per esempio responsabile e per questo motivo è completamente responsabile per (lo scopo stipulato delle) Operazioni di Trattamento, l'uso e il contenuto dei Dati Personali, la fornitura a terze parti, la durata della conservazione dei Dati Personali, il modo di trattamento e i mezzi applicati a questo scopo.
    2. Il processore è responsabile nei confronti del controllore come previsto dall'accordo principale. Verifica
      1. Il controllore ha il diritto di verificare il rispetto delle disposizioni del presente accordo una volta all'anno a proprie spese o di farle verificare da un revisore registrato indipendente o da un professionista informatico registrato.
      2. Il Responsabile del trattamento fornirà al Controllore tutte le informazioni necessarie per dimostrare che gli obblighi di cui all'articolo 28 del GDPR sonostati rispettati. Se il terzo incaricato dal Controllore dà un'istruzione che, secondo il parere del Responsabile del trattamento, costituisce una violazione del GDPR, il Responsabile del trattamento ne informerà immediatamente il Controllore.
      3. L'indagine del Controllore sarà sempre limitata ai sistemi del Responsabile del trattamento utilizzati per le operazioni di trattamento. Le informazioni ottenute durante la verifica saranno trattate in modo confidenziale dal Controllore e saranno utilizzate solo per verificare il rispetto da parte del Responsabile del trattamento degli obblighi previsti dal presente accordo e le informazioni o parti di esse saranno cancellate non appena possibile. Il Controllore garantisce che anche i terzi incaricati si assumeranno questi obblighi.
    3. Altre disposizioni
      1. Qualsiasi modifica al presente accordo è valida solo se concordata per iscritto dalle parti.
      2. Le parti adatteranno il presente accordo a qualsiasi regolamento modificato o integrato, alle istruzioni supplementari delle autorità competenti e alla crescente conoscenza dell'applicazione del GDPR (ad esempio, ma non solo, attraverso la giurisprudenza o i rapporti), all'introduzione di disposizioni standard e/o ad altri eventi o approfondimenti che richiedono tale adattamento.
      3. Il presente accordo è efficace per tutto il tempo in cui l'accordo principale è efficace. Le disposizioni del presente accordo rimangono in vigore nella misura in cui ciò è necessario per il regolamento del presente accordo e nella misura in cui sono destinate a sopravvivere alla risoluzione del presente accordo. L'ultima categoria di disposizioni include, ma senza limitazione, le disposizioni relative alla riservatezza e alle controversie.
      4. Il presente accordo prevale su tutti gli altri accordi tra il controllore e il processore.
      5. Questo accordo è regolato esclusivamente dalla legge olandese.
      6. Le parti sottoporranno le loro controversie relative al presente accordo esclusivamente al tribunale distrettuale di Amsterdam.

Allegato 1

Operazioni di trattamento dei dati personali e periodi di conservazione

Questo allegato fa parte dell'Accordo di Trasformazione e deve essere siglato dalle parti.

  • I Dati Personali che le parti prevedono di trattare:
    • Nome
    • Indirizzo e-mail
    • Dati del corpo dei dati forensi DMARC (RUF, e-mail non conformi a DMARC)
  • L'uso (= metodo(i) di trattamento) dei Dati Personali e gli scopi e le risorse del trattamento:
    • PowerDMARC elabora i rapporti DMARC in entrata. All'interno delle specifiche DMARC ci sono due tipi di rapporti:
      • Rapporti aggregati
        Questi rapporti contengono dati sul numero di messaggi inviati per il tuo dominio(i) per un certo indirizzo IP su base giornaliera, compresi i risultati dei controlli SPF e DKIM per questi messaggi. I rapporti aggregati non contengono dati personali.
      • Rapporti forensi
        I rapporti forensi sono inviati da un numero limitato di mittenti di rapporti DMARC. Si tratta di copie di messaggi specifici che non hanno superato i controlli DMARC. Il contenuto di questi messaggi può contenere informazioni personali identificabili (PII). PowerDMARC offre diversi metodi di archiviazione di questi messaggi:

        • Predefinito: Per impostazione predefinita il corpo del messaggio viene rimosso e solo le intestazioni vengono memorizzate
        • Crittografato: Il cliente può caricare una chiave PGP pubblica nel software PowerDMARC. L'intero messaggio in arrivo viene criptato con questa chiave. Il cliente è in grado di decifrare i dati utilizzando la propria chiave privata e la password.
        • In chiaro: Dopo una specifica conferma e accettazione di PowerDMARC come elaboratore di dati, il cliente potrà memorizzare l'intero corpo del messaggio in chiaro nel software PowerDMARC.

I termini di utilizzo e i periodi di conservazione dei (vari tipi di) Dati Personali:

  • Licenza: Tutte le licenze tranne la versione base gratuita
  • Conservazione dei dati: 365 giorni