Addendum sul trattamento dei dati di Ownbackup

COME ESEGUIRE QUESTO DPA

1. Il presente DPA è composto da due parti: il corpo principale del DPA e gli Allegati 1, 2, 3, 4 e 5.
2. Questo DPA è stato prefirmato per conto di OwnBackup.
3. Per completare questo DPA, il Cliente deve:
   1. Completare la sezione Nome cliente e Indirizzo cliente a pagina 2.
   2. Completa le informazioni nella casella della firma e firma a pagina 6.
   3. Verificare che le informazioni contenute nell'Allegato 3 (“Dettagli del Trattamento”) riflettano accuratamente i soggetti e le categorie di dati da trattare.
   4. Invia il DPA compilato e firmato a OwnBackup all'indirizzo privacy@ownbackup.com.

Al ricevimento da parte di OwnBackup del DPA validamente compilato a questo indirizzo e-mail, questo DPA diventerà legalmente vincolante.
La firma del presente DPA a pagina 6 costituirà la firma e l'accettazione delle clausole contrattuali standard (comprese le relative appendici) e dell'Addendum del Regno Unito, entrambi qui incorporati per riferimento.

COME SI APPLICA QUESTO DPA

• Se l'entità del Cliente che firma il presente DPA è una parte del Contratto, il presente DPA costituisce un'addendum e costituisce parte integrante del Contratto. In tal caso, l'entità OwnBackup che è parte dell'Accordo è parte del presente DPA.
• Se l'entità del Cliente che firma questo DPA ha eseguito un Modulo d'ordine con OwnBackup o una sua affiliata ai sensi dell'Accordo, ma non è essa stessa una parte dell'Accordo, questo DPA costituisce un addendum a quel Modulo d'ordine e ai Moduli d'ordine di rinnovo applicabili, e all'OwnBackup l'entità che è parte di tale Modulo d'ordine è parte del presente DPA.
• Se l'entità del Cliente che firma questo DPA non è né parte di un Modulo d'ordine né del Contratto, questo DPA non è valido e non è legalmente vincolante. Tale entità dovrebbe richiedere che l'entità del Cliente che è parte del Contratto esegua il presente DPA.
• Se l'entità Cliente che firma il DPA non è parte di un Modulo d'ordine né di un Contratto quadro di abbonamento direttamente con OwnBackup ma è invece un cliente indirettamente tramite un rivenditore autorizzato dei servizi OwnBackup, questo DPA non è valido e non è legalmente vincolante. Tale entità dovrebbe contattare il rivenditore autorizzato per discutere se sia necessaria una modifica al suo accordo con quel rivenditore.
• In caso di conflitto o incoerenza tra il presente DPA e qualsiasi altro accordo tra il Cliente e OwnBackup (incluso, senza limitazioni, l'Accordo o qualsiasi addendum sull'elaborazione dei dati all'Accordo), i termini di questo DPA prevarranno e prevarranno.

Il presente Addendum sull'elaborazione dei dati, compresi i suoi allegati e appendici, ("DPA") costituisce parte del Contratto quadro di abbonamento o altro accordo scritto o elettronico tra OwnBackup Inc. ("OwnBackup") e l'entità Cliente sopra menzionata per l'acquisto di servizi online da OwnBackup (il “Contratto”) per documentare l'accordo delle parti in merito al Trattamento dei Dati Personali. Se tale entità Cliente e OwnBackup non hanno stipulato un Contratto, il presente DPA è nullo e privo di effetti legali.
L'entità Cliente sopra menzionata stipula il presente DPA per sé stessa e, se una delle sue Affiliate agisce in qualità di Titolare del trattamento dei dati personali, per conto di tali Affiliate autorizzate. Tutti i termini in maiuscolo non definiti nel presente documento avranno il significato stabilito nel Contratto.
Nel corso della fornitura dei Servizi SaaS al Cliente ai sensi del Contratto, OwnBackup può elaborare i dati personali per conto del Cliente. Le parti concordano i seguenti termini in relazione a tale Trattamento.

DEFINIZIONI

• "CCPA" indica il California Consumer Privacy Act, Cal. Civ. Codice § 1798.100 et. seq., come modificato dal California Privacy Rights Act del 2020 e unitamente ad eventuali regolamenti attuativi. Per “Responsabile del trattamento” si intende l'entità che determina le finalità e i mezzi del Trattamento dei dati personali e si ritiene che si riferisca anche a un'“azienda” come definita nel CCPA.
• "Cliente" indica l'entità sopra menzionata e le sue Affiliate.
• Per "Leggi e regolamenti sulla protezione dei dati" si intendono tutte le leggi e i regolamenti dell'Unione Europea e dei suoi Stati membri, dello Spazio economico europeo e dei suoi Stati membri, del Regno Unito, della Svizzera, degli Stati Uniti, del Canada, della Nuova Zelanda e dell'Australia, e dei loro rispettive suddivisioni politiche, applicabili al Trattamento dei Dati Personali. Questi includono, ma non sono limitati a, quanto segue, nella misura applicabile: il GDPR, la legge sulla protezione dei dati del Regno Unito, il CCPA, il Virginia Consumer Data Protection Act (“VCDPA”), il Colorado Privacy Act e i relativi regolamenti (“CPA "), lo Utah Consumer Privacy Act ("UCPA") e il Connecticut Act sulla privacy dei dati personali e il monitoraggio online ("CPDPA"). Per “Interessato” si intende la persona identificata o identificabile a cui si riferiscono i Dati personali e include il “consumatore” come definito nelle leggi e nei regolamenti sulla protezione dei dati. Per "Europa" si intende l'Unione Europea, lo Spazio Economico Europeo, la Svizzera e il Regno Unito.
• Ulteriori disposizioni applicabili ai trasferimenti di dati personali dall'Europa sono contenute nell'Allegato 5. Nel caso in cui l'Allegato 5 venga rimosso, il Cliente garantisce che non tratterà i Dati personali in base alle leggi e ai regolamenti europei sulla protezione dei dati.
• “GDPR” indica il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
• "Gruppo OwnBackup" indica OwnBackup e le sue affiliate impegnate nel trattamento dei dati personali.
• "Dati personali" indica qualsiasi informazione relativa a (i) una persona fisica identificata o identificabile e, (ii) una persona giuridica identificata o identificabile (laddove tali informazioni siano protette allo stesso modo dei dati personali, delle informazioni personali o delle informazioni di identificazione personale ai sensi dei Dati applicabili Leggi e Regolamenti in materia di Tutela), dove per ciascuno (i) o (ii), tali dati sono Dati del Cliente.
• "Servizi di trattamento dei dati personali" indica i Servizi SaaS elencati nell'Allegato 2, per i quali OwnBackup può trattare i Dati personali.
• Per “trattamento” si intende qualsiasi operazione o insieme di operazioni eseguite sui Dati Personali, anche con mezzi automatici, come raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o alterazione, recupero, consultazione, utilizzo, divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione. Per "Responsabile del trattamento" si intende l'entità che tratta i dati personali per conto del Titolare del trattamento, incluso, a seconda dei casi, qualsiasi "fornitore di servizi" come definito dal CCPA.
• Per “Clausole Contrattuali Tipo” si intende l'Allegato alla decisione di esecuzione (UE) 2021/914 della Commissione Europea https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) del 4 giugno 2021 sulle Clausole Contrattuali Tipo per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio dell'Unione Europea e soggetto alle modifiche richieste per la Svizzera ulteriormente descritte nell'Allegato 5.
• "Sub-responsabile" indica qualsiasi Responsabile incaricato da OwnBackup, da un membro del Gruppo OwnBackup o da un altro Sub-responsabile.
• "Autorità di vigilanza" indica un organismo di regolamentazione governativo o istituito dal governo avente autorità legale vincolante sul Cliente.
• "Addendum del Regno Unito" indica l'Addendum sul trasferimento internazionale dei dati del Regno Unito alle clausole contrattuali standard della Commissione europea (disponibile dal 21 marzo 2022 all'indirizzo https://ico.org.uk/for-organisations/guideto-data-protection/guide-to -the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/), compilato come descritto nell'Allegato 5.
• Per “Legge sulla protezione dei dati del Regno Unito” si intende il Regolamento 2016/679 del Parlamento Europeo e del Consiglio sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati in quanto fa parte della legge dell'Inghilterra e Galles, Scozia e Irlanda del Nord in virtù della sezione 3 della Legge sull'Unione Europea (Recesso) del 2018, come di volta in volta modificata dalle leggi e dai regolamenti sulla protezione dei dati del Regno Unito

TRATTAMENTO DEI DATI PERSONALI

• Scopo. Le parti convengono che il presente DPA si applicherà esclusivamente al trattamento dei dati personali nell'ambito dei servizi di trattamento dei dati personali.
• Ruoli delle parti. Le parti concordano che, per quanto riguarda il trattamento dei dati personali, il Cliente è il Titolare del trattamento e OwnBackup è il Responsabile del trattamento.
• Trattamento dei dati personali da parte di OwnBackup. OwnBackup tratterà i Dati personali come Informazioni riservate e tratterà i Dati personali per conto e solo in conformità con le istruzioni documentate del Cliente per i seguenti scopi: (i) Elaborazione in conformità con il Contratto e gli Ordini applicabili; (ii) Elaborazione avviata dal personale del Cliente nell'utilizzo dei Servizi SaaS; e (iii) Elaborazione per conformarsi ad altre istruzioni ragionevoli documentate fornite dal Cliente (ad esempio, via e-mail) laddove tali istruzioni siano coerenti con i termini del Contratto.
• Limitazioni al trattamento. OwnBackup non dovrà: (i) "vendere" o "condividere" i dati personali, in quanto tali termini sono definiti nelle leggi e nei regolamenti sulla protezione dei dati; (ii) conservare, utilizzare, divulgare o elaborare i dati personali per scopi commerciali o di altro tipo diversi dall'esecuzione dei Servizi SaaS; o (iii) conservare, utilizzare o divulgare i dati personali al di fuori del rapporto commerciale diretto tra il Cliente e OwnBackup. OwnBackup dovrà rispettare le restrizioni applicabili ai sensi delle leggi e dei regolamenti sulla protezione dei dati sulla combinazione dei dati personali con i dati personali che OwnBackup riceve da, o per conto di, un'altra o più persone, o che OwnBackup raccoglie da qualsiasi interazione tra esso e qualsiasi individuo.
• Notifica di Istruzioni Illecite; Elaborazione non autorizzata. OwnBackup informerà immediatamente il Cliente se, a suo avviso, un'istruzione da parte del Cliente viola qualsiasi legge o regolamento sulla protezione dei dati. Il Cliente si riserva il diritto, previo preavviso, di adottare misure ragionevoli e appropriate per interrompere e rimediare all'uso non autorizzato dei Dati personali, compresi gli usi dei Dati personali non autorizzati nel presente DPA.
• Dettagli del trattamento. L'oggetto del Trattamento dei Dati Personali da parte di OwnBackup è la prestazione dei Servizi SaaS ai sensi del Contratto. La durata del Trattamento, la natura e lo scopo del Trattamento, le tipologie di Dati Personali e le categorie di Interessati Trattati ai sensi del presente DPA sono ulteriormente specificati nell'Allegato 3 (Dettagli del Trattamento).
• Valutazione dell'impatto sulla protezione dei dati. Su richiesta del Cliente, OwnBackup assisterà ragionevolmente il Cliente nell'adempimento dell'obbligo del Cliente ai sensi delle leggi e dei regolamenti sulla protezione dei dati di effettuare una valutazione dell'impatto sulla protezione dei dati relativa all'utilizzo dei Servizi SaaS da parte del Cliente, nella misura in cui il Cliente non abbia altrimenti accesso alle informazioni pertinenti e tali informazioni sono disponibili per OwnBackup. OwnBackup assisterà ragionevolmente il Cliente nella cooperazione o nella consultazione preventiva con un'autorità di vigilanza in merito a tale valutazione d'impatto sulla protezione dei dati nella misura richiesta dalle leggi e dai regolamenti applicabili sulla protezione dei dati.
• Obblighi del cliente relativi ai dati personali. Nell'utilizzo dei Servizi SaaS, il Cliente rispetterà le leggi e i regolamenti sulla protezione dei dati, inclusi eventuali requisiti applicabili per fornire avvisi e/o ottenere il consenso degli interessati per il trattamento da parte di OwnBackup. Il Cliente dovrà garantire che le sue istruzioni per il trattamento dei dati personali siano conformi alle leggi e ai regolamenti sulla protezione dei dati.
• Il Cliente sarà l'unico responsabile dell'accuratezza, della qualità e della legalità dei Dati personali e dei mezzi con cui il Cliente ha acquisito i Dati personali. Il Cliente dovrà garantire che l'utilizzo dei Servizi SaaS non violerà i diritti degli Interessati che hanno rinunciato alla vendita, alla condivisione o ad altre divulgazioni di Dati personali, nella misura applicabile. Il Cliente dovrà garantire che i Dati del Cliente non contengano dati qualificabili come dati sanitari personali protetti ai sensi dell'Articolo L.1111-8 del Codice della sanità pubblica francese

RICHIESTE DATI CLIENTE

• Richieste degli interessati. OwnBackup dovrà, nella misura consentita dalla legge, informare tempestivamente il Cliente se OwnBackup riceve una richiesta da un Interessato di esercitare il diritto di accesso, diritto di rettifica, diritto di limitazione del trattamento, diritto di cancellazione (“diritto all'oblio”) dell'Interessato. , diritto alla portabilità dei dati, diritto di opporsi al Trattamento o diritto di non essere soggetto a processi decisionali individuali automatizzati, ciascuna di tali richieste essendo una “Richiesta dell’Interessato”. Tenendo conto della natura del Trattamento, OwnBackup assisterà il Cliente con misure tecniche e organizzative adeguate, per quanto possibile, per l'adempimento dell'obbligo del Cliente di rispondere a una richiesta dell'interessato ai sensi delle leggi e dei regolamenti sulla protezione dei dati. Inoltre, nella misura in cui il Cliente, nell'utilizzo dei Servizi SaaS, non ha la capacità di soddisfare una richiesta dell'Interessato, OwnBackup dovrà, su richiesta del Cliente, compiere sforzi commercialmente ragionevoli per assistere il Cliente nel rispondere a tale Richiesta dell'Interessato, al nella misura in cui OwnBackup è legalmente autorizzato a farlo e la risposta a tale richiesta dell'interessato è richiesta dalle leggi e dai regolamenti sulla protezione dei dati. Laddove tale assistenza superi l'ambito dei Servizi SaaS contrattualizzati e nella misura consentita dalla legge, il Cliente sarà responsabile di eventuali costi aggiuntivi derivanti dall'assistenza.
• Richieste di altre terze parti. Se OwnBackup riceve una richiesta da una terza parte diversa dall'Interessato (inclusa, a titolo esemplificativo, un'agenzia governativa) per i Dati del Cliente, OwnBackup dovrà, ove consentito dalla legge, indirizzare la parte richiedente al Cliente e informare tempestivamente il Cliente della richiesta. Laddove OwnBackup non sia autorizzato dalla legge a notificare al Cliente la richiesta, OwnBackup risponderà alla parte richiedente solo se richiesto dalla legge in tal senso e compirà ogni ragionevole sforzo per collaborare con la parte richiedente per restringere l'ambito della richiesta dei dati del cliente. .

PROPRIO PERSONALE DI BACKUP

• Riservatezza. OwnBackup garantirà che il proprio personale impegnato nel trattamento dei dati personali sia informato della natura riservata dei dati personali, abbia ricevuto una formazione adeguata sulle proprie responsabilità e abbia sottoscritto accordi scritti di riservatezza. OwnBackup garantirà che tali obblighi di riservatezza sopravvivano alla cessazione dell'incarico del personale.
• Affidabilità. OwnBackup adotterà misure commercialmente ragionevoli per garantire l'affidabilità di tutto il personale OwnBackup impegnato nel trattamento dei dati personali.
• Limitazione di accesso. OwnBackup garantirà che l'accesso di OwnBackup ai Dati personali sia limitato al personale che richiede tale accesso per eseguire i Servizi SaaS in conformità con il Contratto.
• Responsabile della protezione dei dati. I membri del Gruppo OwnBackup nomineranno un responsabile della protezione dei dati laddove tale nomina sia richiesta dalle leggi e dai regolamenti sulla protezione dei dati. La persona designata è raggiungibile al n privacy@ownbackup.com.

SUB-RESPONSABILI

• Nomina dei Subresponsabili. Il Cliente concede a OwnBackup un'autorizzazione generale a nominare sub-responsabili terzi in relazione ai Servizi SaaS, in conformità con le procedure delineate
  in questo DPA. OwnBackup o un'affiliata OwnBackup hanno stipulato un accordo scritto con ciascun sub-responsabile contenente obblighi di protezione dei dati non meno protettivi di quelli contenuti nel presente DPA rispetto a
  la protezione dei dati del cliente, nella misura applicabile ai servizi forniti da tale sub-responsabile.
• Attuali sub-responsabili e notifica di nuovi sub-responsabili. Un elenco di Sub-responsabili per i Servizi SaaS, alla data di esecuzione del presente DPA, è allegato nell'Allegato 1. OwnBackup notificherà al Cliente per iscritto qualsiasi nuovo Sub-responsabile prima di autorizzare tale nuovo Sub-responsabile al trattamento dei dati personali.
• Diritto di opposizione per i Nuovi Sub-responsabili. Il Cliente può opporsi all'utilizzo da parte di OwnBackup di un nuovo Subresponsabile inviando una notifica scritta a OwnBackup entro 30 giorni dal ricevimento della notifica descritta nel paragrafo precedente. Se il Cliente si oppone a un nuovo Sub-responsabile come consentito nella frase precedente, OwnBackup utilizzerà sforzi commercialmente ragionevoli per rendere disponibile al Cliente una modifica nei Servizi SaaS o raccomandare una modifica alla configurazione o all'utilizzo dei Servizi SaaS da parte del Cliente, per evitare il Trattamento dei Dati Personali da parte del nuovo Sub-responsabile contestato senza gravare irragionevolmente sul Cliente. Se OwnBackup non è in grado di rendere disponibile tale modifica nel Servizio SaaS o di consigliare tale modifica alla configurazione del Cliente o all'utilizzo dei Servizi SaaS che sia soddisfacente per il Cliente, entro un periodo di tempo ragionevole (che non dovrà in nessun caso superare i 30 giorni ), il Cliente può risolvere il/i Modulo/i d'ordine applicabile/i fornendo comunicazione scritta a OwnBackup. In tal caso, OwnBackup rimborserà al Cliente eventuali commissioni prepagate che coprono il periodo rimanente di tale Modulo/i d'ordine successivo alla data effettiva di risoluzione, senza imporre alcuna penalità per tale risoluzione al Cliente.
• Responsabilità dei sub-responsabili. OwnBackup sarà responsabile per gli atti e le omissioni dei suoi sub-responsabili nella stessa misura in cui OwnBackup sarebbe responsabile se eseguisse i servizi di ciascun sub-responsabile direttamente secondo i termini del presente DPA.

SICUREZZA

• Controlli per la Protezione dei Dati del Cliente. OwnBackup manterrà misure fisiche, tecniche e organizzative adeguate per la protezione della sicurezza (inclusa la protezione contro l'elaborazione non autorizzata o illegale e contro la distruzione, la perdita, l'alterazione o il danno accidentale o illegale, la divulgazione o l'accesso non autorizzati ai dati del cliente), la riservatezza e integrità dei dati del cliente, inclusi i dati personali, in conformità con l'Allegato 4 (Controlli di sicurezza OwnBackup). OwnBackup non ridurrà sostanzialmente la sicurezza complessiva dei Servizi SaaS durante il periodo di abbonamento.
• Rapporti di audit e certificazioni di terze parti. Su richiesta scritta del Cliente a intervalli ragionevoli e nel rispetto degli obblighi di riservatezza previsti dal Contratto, OwnBackup metterà a disposizione del Cliente una copia del più recente rapporto di audit di terze parti di OwnBackup, rapporto di audit SOC 2, e di qualsiasi altro rapporto di audit e certificazione che OwnBackup mette a disposizione dei clienti, a condizione che il Cliente non sia un concorrente di OwnBackup.

GESTIONE E NOTIFICA DEGLI INCIDENTI DATI CLIENTE

OwnBackup mantiene politiche e procedure di gestione degli incidenti di sicurezza e informerà il Cliente senza indebito ritardo dopo essere venuto a conoscenza di distruzione, perdita, alterazione accidentale o illegale, divulgazione non autorizzata o accesso ai dati del Cliente, inclusi i dati personali, trasmessi, archiviati o altrimenti elaborati da OwnBackup o i suoi sub-responsabili del trattamento di cui OwnBackup viene a conoscenza (un "Incidente relativo ai dati del cliente"). OwnBackup dovrà compiere ogni ragionevole sforzo per identificare la causa di tale Incidente relativo ai dati del cliente e adottare le misure che OwnBackup ritiene necessarie e ragionevoli per porre rimedio alla causa di tale Incidente relativo ai dati del cliente nella misura in cui la riparazione rientra nel ragionevole controllo di OwnBackup. Gli obblighi qui riportati non si applicano agli incidenti causati dal Cliente o dal suo personale.

RESTITUZIONE E CANCELLAZIONE DEI DATI DEL CLIENTE
OwnBackup restituirà i dati del cliente al cliente e, nella misura consentita dalla legge applicabile, eliminerà i dati del cliente in conformità con le procedure e i tempi specificati nel contratto.

VERIFICA

Su richiesta del Cliente e soggetti agli obblighi di riservatezza previsti dal Contratto, OwnBackup renderà disponibili al Cliente (o al revisore esterno del Cliente e che ha firmato un accordo di non divulgazione ragionevolmente accettabile per OwnBackup) le informazioni necessarie per dimostrare la conformità del Gruppo OwnBackup agli obblighi stabiliti nel presente DPA e i suoi obblighi in qualità di responsabile del trattamento ai sensi delle leggi e dei regolamenti sulla protezione dei dati sotto forma di questionari di sicurezza standardizzati completati da OwnBackup, certificazioni di terze parti e rapporti di audit (ad esempio, il suo Standardized Information Gathering (SIG) e Cloud Security Alliance Consensus completati questionari Assessments Initiative (CSA CAIQ), rapporto SOC 2 e rapporti sintetici sui test di penetrazione) e, per i suoi sub-responsabili, le certificazioni di terze parti e i rapporti di audit da loro resi disponibili. A seguito di qualsiasi comunicazione da parte di OwnBackup al Cliente di una divulgazione non autorizzata effettiva o ragionevolmente sospettata di Dati personali, sulla ragionevole convinzione del Cliente che OwnBackup stia violando i suoi obblighi di protezione dei Dati personali ai sensi del presente DPA, o se tale verifica è richiesta dall'Autorità di vigilanza del Cliente, il Cliente può contattare OwnBackup per richiedere un audit delle procedure relative alla protezione dei dati personali. Qualsiasi audit di questo tipo dovrà essere condotto in remoto, ad eccezione del fatto che il Cliente e/o la sua Autorità di vigilanza possono condurre un audit in loco presso la sede di OwnBackup se richiesto dalle Leggi e dai regolamenti sulla protezione dei dati. Qualsiasi richiesta di questo tipo dovrà avvenire non più di una volta all'anno, salvo in caso di accesso non autorizzato effettivo o ragionevolmente sospetto ai Dati personali. Prima dell'inizio di qualsiasi audit, il Cliente e OwnBackup concorderanno reciprocamente l'ambito, i tempi e la durata dell'audit. In nessun caso verrà effettuata alcuna verifica di un Sub-responsabile, oltre un review di relazioni, certificazioni e documentazione rese disponibili dal Subresponsabile, siano consentite senza il consenso del Subresponsabile.

AFFILIATI

• Rapporto contrattuale. L'entità del Cliente che firma questo DPA lo fa per sé stessa e, se applicabile, in nome e per conto dei suoi Affiliati, stabilendo così un DPA separato tra OwnBackup e ciascun Affiliato soggetto alle disposizioni del Contratto, della presente Clausola 10 e della Clausola 11 di seguito. Ciascuno di questi Affiliati accetta di essere vincolato dagli obblighi previsti dal presente DPA e, nella misura applicabile, dal Contratto. A scanso di equivoci, tali Affiliate non sono e non diventano parti del Contratto e sono solo parti del presente DPA. Tutti gli accessi e gli utilizzi dei Servizi SaaS da parte di tali Affiliati devono essere conformi al Contratto e qualsiasi violazione del Contratto da parte di un Affiliato sarà considerata una violazione da parte del Cliente.
• Comunicazione. L'entità Cliente che firma questo DPA rimarrà responsabile del coordinamento di tutte le comunicazioni con OwnBackup ai sensi del presente DPA e avrà il diritto di effettuare e ricevere qualsiasi comunicazione in relazione a questo DPA per conto delle sue Affiliate.
• Diritti degli affiliati del cliente. Qualora un'affiliata del cliente diventi parte contraente del presente DPA con OwnBackup, nella misura richiesta dalle leggi e dai regolamenti applicabili sulla protezione dei dati avrà diritto a esercitare i diritti e a cercare rimedi ai sensi del presente DPA, soggetto a quanto segue:
• Ad eccezione dei casi in cui le leggi e i regolamenti applicabili sulla protezione dei dati richiedono all'Affiliato del cliente di esercitare un diritto o di cercare un rimedio ai sensi del presente DPA direttamente contro OwnBackup, le parti concordano che
  • esclusivamente l'entità del Cliente che ha firmato il presente DPA eserciterà tale diritto o cercherà tale rimedio per conto dell'Affiliata del Cliente e (ii) l'entità del Cliente che firma il presente DPA eserciterà tali diritti ai sensi del presente DPA non separatamente per ciascuna Affiliata individualmente ma in modo combinato per sé e per tutte le sue Affiliate insieme (come stabilito, ad esample, nella clausola 10.3.2 di seguito).
  • L'entità del Cliente che firma il presente DPA dovrà, nell'effettuare un audit consentito delle procedure relative alla protezione dei dati personali, adottare tutte le misure ragionevoli per limitare qualsiasi impatto su OwnBackup e i suoi sub-responsabili combinando, per quanto ragionevolmente possibile, diversi richieste di audit effettuate per conto proprio e di tutte le sue affiliate in un unico audit.

LIMITAZIONE DI RESPONSABILITÀ

• Nella misura consentita dalle leggi e dai regolamenti sulla protezione dei dati, la responsabilità di ciascuna parte e di tutte le sue affiliate, nel loro insieme, derivante da o correlata al presente DPA, sia per contratto, torto o qualsiasi altra teoria di responsabilità, è soggetto alle clausole "Limite di responsabilità" e ad altre clausole che escludono o limitano la responsabilità del Contratto, e qualsiasi riferimento in tali clausole alla responsabilità di una parte indica la responsabilità complessiva di quella parte e di tutte le sue Affiliate.

MODIFICHE AI MECCANISMI DI TRASFERIMENTO

• Nel caso in cui un attuale meccanismo di trasferimento utilizzato dalle parti per facilitare i trasferimenti di dati personali verso uno o più paesi che non garantiscono un livello adeguato di protezione dei dati ai sensi delle leggi e dei regolamenti sulla protezione dei dati venga invalidato, modificato , o sostituite, le parti lavoreranno in buona fede per attuare tale meccanismo di trasferimento alternativo per consentire la continuazione del Trattamento dei Dati Personali contemplato dal Contratto. L'utilizzo di tale meccanismo di trasferimento alternativo sarà soggetto al rispetto da parte di ciascuna parte di tutti i requisiti legali per l'utilizzo di tale meccanismo di trasferimento.

I firmatari autorizzati delle parti hanno debitamente sottoscritto il presente Contratto, compresi tutti gli allegati, gli allegati e le appendici applicabili qui incorporati

CLIENTE 

• Firmato:
• Nome:
• Titolo:
• Data:

Elenco degli orari

• Programma 1: elenco attuale dei sub-responsabili del trattamento
• Allegato 2: Servizi SaaS applicabili al trattamento dei dati personali
• Allegato 3: Dettagli del trattamento
• Programma 4: Controlli di sicurezza OwnBackup
• Allegato 5: Disposizioni europee

Elenco corrente dei sub-responsabili del trattamento

Il cliente può scegliere Amazon Web Services o Microsoft (Azure) e la sua Posizione di elaborazione desiderata durante la configurazione iniziale dei Servizi SaaS da parte del Cliente.
Si applica solo ai clienti OAwnBackup Archive che scelgono di eseguire la distribuzione nel cloud Microsoft (Azure).

Servizi Saas applicabili al trattamento dei dati personali

• OwnBackup Enterprise per Salesforce
• OwnBackup Unlimited per Salesforce
• OwnBackup Governance Plus per Salesforce
• Archivio OwnBackup
• Porta la tua gestione delle chiavi
• Semina in sandbox

Dettagli del trattamento

Esportatore di dati

• Nome legale completo: Nome Cliente come sopra specificato
• Indirizzo principale: Indirizzo del cliente come sopra specificato
• Contatto: Se non diversamente previsto, questo sarà il contatto principale sull'account del Cliente.
• E-mail di contatto: Se non diversamente previsto, questo sarà l'indirizzo email di contatto principale sull'account del Cliente.

Importatore dati

• Nome legale completo: OwnBackup Inc.
• Indirizzo principale: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, Stati Uniti
• Contatto: Responsabile della privacy
• E-mail di contatto: privacy@ownbackup.com

Natura e finalità del trattamento

• OwnBackup tratterà i Dati Personali nella misura necessaria per eseguire i Servizi Saa ai sensi dell'art
• Contratto e Ordini e come ulteriormente indicato dal Cliente nell'utilizzo dei Servizi SaaS.

Durata del trattamento

OwnBackup elaborerà i Dati personali per la durata del Contratto, salvo diverso accordo scritto.

Conservazione
OwnBackup conserverà i Dati personali nei Servizi SaaS per la durata del Contratto, salvo diverso accordo scritto, soggetto al periodo di conservazione massimo specificato nella Documentazione.

Frequenza del trasferimento
Come determinato dal Cliente attraverso l'utilizzo dei Servizi SaaS.

Trasferimenti a sub-responsabili del trattamento
Se necessario per eseguire i Servizi SaaS ai sensi dell'Accordo e degli Ordini, e come ulteriormente descritto nell'Allegato 1.

Categorie di Interessati
Il Cliente può inviare Dati personali ai Servizi SaaS, la cui portata è determinata e controllata dal Cliente a sua esclusiva discrezione e che possono includere, a titolo esemplificativo ma non esaustivo, Dati personali relativi alle seguenti categorie di interessati:

• Potenziali clienti, partner commerciali e fornitori del Cliente (che sono persone fisiche)
• Dipendenti o persone di contatto di potenziali clienti, clienti, partner commerciali e fornitori
• Dipendenti, agenti, consulenti, liberi professionisti del Cliente (che siano persone fisiche)
• Utenti del Cliente autorizzati dal Cliente a utilizzare i Servizi SaaS

Tipologia di Dati Personali
Il Cliente può inviare Dati personali ai Servizi SaaS, la cui portata è determinata e controllata dal Cliente a sua esclusiva discrezione e che può includere ma non è limitata alle seguenti categorie di

Dati Personali:

• Nome e cognome
• Titolo
• Posizione
• Datore di lavoro
• Dati identificativi
• Dati sulla vita professionale
• Informazioni di contatto (azienda, e-mail, telefono, indirizzo fisico dell'attività)
• Dati personali sulla vita
• Dati di localizzazione

Categorie speciali di dati (se appropriato)
Il Cliente può inviare categorie speciali di Dati personali ai Servizi SaaS, la cui portata è determinata e controllata dal Cliente a sua esclusiva discrezione e che per motivi di chiarezza potrebbe includere il trattamento di dati genetici, dati biometrici allo scopo di identificare una persona fisica o dati relativi alla salute. Consultare le misure nell'Allegato 4 per sapere come OwnBackup protegge categorie speciali di dati e altri dati personali.

Introduzione

1. Le applicazioni OwnBackup software-as-a-service (Servizi SaaS) sono state progettate fin dall'inizio tenendo presente la sicurezza. I servizi SaaS sono progettati con una varietà di controlli di sicurezza su più livelli per affrontare una serie di rischi per la sicurezza. Questi controlli di sicurezza sono soggetti a modifiche; tuttavia, qualsiasi modifica manterrà o migliorerà il livello di sicurezza generale.
2. Le descrizioni dei controlli di seguito si applicano alle implementazioni del servizio SaaS sia su Amazon Web Services (AWS) e Microsoft Azure (Azure) (collettivamente indicati come i nostri fornitori di servizi cloud o CSP), ad eccezione di quanto specificato nella sezione Crittografia di seguito. Queste descrizioni dei controlli non si applicano al software RevCult ad eccezione di quanto previsto in "Sviluppo software sicuro" di seguito.

Web Controlli di sicurezza delle applicazioni

• L'accesso del cliente ai Servizi SaaS avviene solo tramite HTTPS (TLS1.2+), stabilendo la crittografia dei dati in transito tra l'utente finale e l'applicazione e tra OwnBackup e la fonte dati di terze parti (ad esempio, Salesforce).
• Gli amministratori del servizio SaaS del cliente possono effettuare il provisioning e il deprovisioning degli utenti del servizio SaaS e dell'accesso associato secondo necessità.
• I Servizi SaaS forniscono controlli di accesso basati sui ruoli per consentire ai clienti di gestire le autorizzazioni multi-organizzazione.
• Gli amministratori del servizio SaaS del cliente possono accedere agli audit trail inclusi nome utente, azione e oraampe campi dell'indirizzo IP di origine. I registri di controllo possono essere viewed esportati dall'amministratore del servizio SaaS del cliente che ha effettuato l'accesso ai servizi SaaS e tramite l'API dei servizi SaaS.
• L'accesso ai Servizi SaaS può essere limitato dall'indirizzo IP di origine.
• I Servizi SaaS consentono ai clienti di abilitare l'autenticazione a più fattori per accedere agli account del Servizio SaaS utilizzando password monouso basate sul tempo.
• I Servizi SaaS consentono ai clienti di abilitare il Single Sign-On tramite provider di identità SAML 2.0.
• I Servizi SaaS consentono ai clienti di abilitare policy password personalizzabili per aiutare ad allineare le password del Servizio SaaS alle policy aziendali.

Crittografia

• OwnBackup offre le seguenti opzioni del servizio SaaS per la crittografia dei dati inattivi:
  • Offerta standard.
    • I dati vengono crittografati utilizzando la crittografia lato server AES-256 tramite un sistema di gestione delle chiavi convalidato secondo FIPS 140-2.
    • La crittografia a busta viene utilizzata in modo tale che la chiave principale non lasci mai l'Hardware Security Module (HSM).
    • Le chiavi di crittografia vengono ruotate almeno ogni due anni.
  • Opzione di gestione avanzata delle chiavi (AKM).
    • I dati vengono crittografati in un contenitore di archiviazione di oggetti dedicato con una chiave di crittografia master (CMK) fornita dal cliente.
    • AKM consente l'archiviazione futura della chiave e la sua rotazione con un'altra chiave di crittografia principale.
    • Il cliente può revocare le chiavi di crittografia master, con conseguente inaccessibilità immediata dei dati.
  • Opzione Bring Your Own Key Management System (KMS) (disponibile solo su AWS).
    • Le chiavi di crittografia vengono create nell'account del cliente acquistato separatamente utilizzando AWS KMS.
    • Il cliente definisce la policy della chiave di crittografia che consente all'account del servizio SaaS del cliente su AWS di accedere alla chiave dall'AWS KMS del cliente.
    • I dati vengono crittografati in un contenitore di archiviazione di oggetti dedicato gestito da OwnBackup e configurato per utilizzare la chiave di crittografia del cliente.
    • Il cliente può revocare immediatamente l'accesso ai dati crittografati revocando l'accesso di OwnBackup alla chiave di crittografia, senza interagire con OwnBackup.
    • I dipendenti di OwnBackup non hanno mai accesso alle chiavi di crittografia e non accedono direttamente al KMS.
    • Tutte le attività di utilizzo delle chiavi vengono registrate nel KMS del cliente, compreso il recupero delle chiavi tramite l'object storage dedicato.
• La crittografia in transito tra i Servizi SaaS e l'origine dati di terze parti (ad esempio, Salesforce) utilizza HTTPS con TLS 1.2+ e OAuth 2.0.

Rete

• I servizi SaaS utilizzano controlli di rete CSP per limitare l'ingresso e l'uscita dalla rete.
• I gruppi di sicurezza con stato vengono utilizzati per limitare l'ingresso e l'uscita della rete agli endpoint autorizzati.
• I servizi SaaS utilizzano un'architettura di rete multilivello, che include più Amazon Virtual Private Cloud (VPC) o reti virtuali di Azure (VNet) separate logicamente, sfruttando zone private, DMZ e non attendibili all'interno dell'infrastruttura CSP.
• In AWS, le restrizioni dell'endpoint VPC S3 vengono utilizzate in ciascuna regione per consentire l'accesso solo dai VPC autorizzati.

Monitoraggio e controllo

• I sistemi e le reti del Servizio SaaS vengono monitorati per incidenti di sicurezza, integrità del sistema, anomalie di rete e disponibilità.
• I servizi SaaS utilizzano un sistema di rilevamento delle intrusioni (IDS) per monitorare l'attività di rete e avvisare OwnBackup di comportamenti sospetti.
• I Servizi SaaS utilizzano web firewall applicativi (WAF) per tutto il pubblico web servizi.
• OwnBackup registra gli eventi di applicazioni, rete, utente e sistema operativo su un server syslog locale e un SIEM specifico per la regione. Questi registri vengono automaticamente analizzati e riviewed per attività sospette e minacce. Eventuali anomalie vengono segnalate in modo appropriato.
• OwnBackup utilizza sistemi SIEM (Security Information and Event Management) che forniscono un'analisi continua della sicurezza delle reti e dell'ambiente di sicurezza dei servizi SaaS, avvisi di anomalie degli utenti, ricognizione degli attacchi di comando e controllo (C&C), rilevamento automatizzato delle minacce e segnalazione di indicatori di compromissione (IOC) ). Tutte queste funzionalità sono gestite dal personale operativo e di sicurezza di OwnBackup.
• Il team di risposta agli incidenti di OwnBackup monitora l'alias security@ownbackup.com e risponde in base al piano di risposta agli incidenti (IRP) dell'azienda, quando appropriato.

Isolamento tra conti

• I servizi SaaS utilizzano il sandboxing Linux per isolare i dati degli account dei clienti durante l'elaborazione. Questo aiuta a garantire che qualsiasi anomalia (ad esample, a causa di un problema di sicurezza o di un bug del software) rimane confinato a un singolo account OwnBackup.
• L'accesso ai dati del tenant è controllato tramite utenti IAM univoci con dati tagging che impedisce agli utenti non autorizzati di accedere ai dati del tenant.

Ripristino dopo un disastro

• OwnBackup utilizza l'archiviazione di oggetti CSP per archiviare i dati dei clienti crittografati su più zone di disponibilità.
• Per i dati dei clienti archiviati sullo storage di oggetti, OwnBackup utilizza il controllo delle versioni degli oggetti con invecchiamento automatico per supportare la conformità con le policy di backup e ripristino di emergenza di OwnBackup. Per questi oggetti, i sistemi OwnBackup sono progettati per supportare un obiettivo del punto di ripristino (RPO) di 0 ore (ovvero, la capacità di ripristinare qualsiasi versione di qualsiasi oggetto così come esisteva nel periodo di 14 giorni precedente).
• Qualsiasi ripristino richiesto di un'istanza di calcolo viene eseguito ricostruendo l'istanza in base all'automazione della gestione della configurazione di OwnBackup.
• Il piano di ripristino di emergenza di OwnBackup è progettato per supportare un obiettivo di tempo di ripristino (RTO) di 4 ore.

Gestione delle vulnerabilità

• OwnBackup esegue operazioni periodiche web valutazioni della vulnerabilità delle applicazioni, analisi del codice statico e valutazioni dinamiche esterne come parte del suo programma di monitoraggio continuo per aiutare a garantire che i controlli di sicurezza delle applicazioni siano applicati correttamente e funzionino in modo efficace.
• Su base semestrale, OwnBackup assume penetration tester indipendenti di terze parti per eseguire sia la rete che web valutazioni di vulnerabilità. L'ambito di questi audit esterni include la conformità rispetto all'Open Web Progetto di sicurezza delle applicazioni (OWASP) Top 10 Web Vulnerabilità (www.owasp.org).
• I risultati della valutazione delle vulnerabilità vengono incorporati nel ciclo di vita dello sviluppo software (SDLC) di OwnBackup per correggere le vulnerabilità identificate. A specifiche vulnerabilità viene assegnata la priorità e inserite nel sistema di ticket interno di OwnBackup per il monitoraggio fino alla risoluzione.

Risposta agli incidenti

In caso di potenziale violazione della sicurezza, il team di risposta agli incidenti di OwnBackup eseguirà una valutazione della situazione e svilupperà strategie di mitigazione adeguate. Se una potenziale violazione viene confermata, OwnBackup agirà immediatamente per mitigare la violazione e preservare le prove forensi e avviserà i principali punti di contatto dei clienti interessati senza indebito ritardo per informarli sulla situazione e fornire aggiornamenti sullo stato della risoluzione

Sviluppo software sicuro

OwnBackup utilizza pratiche di sviluppo sicure per le applicazioni software OwnBackup e RevCult durante l'intero ciclo di vita dello sviluppo del software. Queste pratiche includono l'analisi statica del codice, la sicurezza Salesforce review per le applicazioni RevCult e per le applicazioni OwnBackup installate nelle istanze Salesforce dei clienti, peer review delle modifiche al codice, limitando l'accesso al repository del codice sorgente in base al principio del privilegio minimo e registrando l'accesso e le modifiche al repository del codice sorgente.

Team di sicurezza dedicato

OwnBackup dispone di un team di sicurezza dedicato con oltre 100 anni di esperienza combinata e sfaccettata nella sicurezza delle informazioni. Inoltre, i membri del team mantengono una serie di certificazioni riconosciute nel settore, incluse ma non limitate a CISM, CISSP e Lead Auditor ISO 27001.

Privacy e protezione dei dati
OwnBackup fornisce supporto nativo per le richieste di accesso degli interessati, come il diritto alla cancellazione (diritto all'oblio) e all'anonimizzazione, per supportare la conformità alle normative sulla privacy dei dati, incluso il Regolamento generale sulla protezione dei dati (GDPR), la Legge sulla portabilità e responsabilità dell'assicurazione sanitaria (HIPAA) e il California Consumer Privacy Act (CCPA). OwnBackup fornisce inoltre un Addendum sull'elaborazione dei dati per affrontare le leggi sulla privacy e sulla protezione dei dati, compresi i requisiti legali per i trasferimenti internazionali di dati.

Verifiche dei precedenti penali

OwnBackup esegue una serie di controlli sui precedenti, inclusi controlli sui precedenti penali, del proprio personale che potrebbe avere accesso ai dati dei clienti, in base alle giurisdizioni di residenza del dipendente durante i sette anni precedenti, in conformità alla legge applicabile.

Assicurazione

OwnBackup mantiene, come minimo, la seguente copertura assicurativa: (a) assicurazione per la compensazione dei lavoratori in conformità con tutte le leggi applicabili; (b) assicurazione di responsabilità civile automobilistica per veicoli non di proprietà e noleggiati, con un limite unico combinato di $ 1,000,000; (c) assicurazione di responsabilità civile generale commerciale (responsabilità pubblica) con copertura a limite unico di $ 1,000,000 per evento e copertura generale complessiva di $ 2,000,000; (d) assicurazione per errori e omissioni (responsabilità professionale) con un limite di $ 20,000,000 per evento e $ 20,000,000 complessivi, inclusi livelli primari e in eccesso, e inclusi responsabilità informatica, tecnologia e servizi professionali, prodotti tecnologici, sicurezza dei dati e della rete, risposta alle violazioni, normative responsabilità di difesa e sanzioni, estorsione informatica e recupero dati; e (e) assicurazione contro la disonestà/crimine dei dipendenti con una copertura di $ 5,000,000. OwnBackup fornirà al Cliente, su richiesta, la prova di tale assicurazione.

Disposizioni Europee

Questo programma si applica solo ai trasferimenti di Dati personali (inclusi i trasferimenti successivi) dall'Europa che, in assenza dell'applicazione di queste disposizioni, causerebbero al Cliente oa OwnBackup una violazione delle leggi e dei regolamenti sulla protezione dei dati applicabili.

Meccanismo di trasferimento per i trasferimenti di dati.
Le clausole contrattuali tipo si applicano a qualsiasi trasferimento di dati personali ai sensi del presente DPA dall'Europa verso paesi che non garantiscono un livello adeguato di protezione dei dati ai sensi delle leggi e dei regolamenti sulla protezione dei dati di tali territori, nella misura in cui tali trasferimenti sono soggetti a tali leggi e regolamenti sulla protezione dei dati. OwnBackup sottoscrive le clausole contrattuali standard come importatore di dati. I termini aggiuntivi contenuti nel presente Allegato si applicano anche a tali trasferimenti di dati.

Trasferimenti soggetti alle clausole contrattuali tipo.

• Clienti Coperti dalle Clausole Contrattuali Tipo. Le clausole contrattuali standard e i termini aggiuntivi specificati nel presente Allegato si applicano a (i) il Cliente, nella misura in cui il Cliente è soggetto alle leggi e ai regolamenti europei sulla protezione dei dati e, (ii) alle sue affiliate autorizzate. Ai fini delle Clausole Contrattuali Tipo e del presente Programma, tali soggetti sono “esportatori di dati”.
• Moduli. Le Parti convengono che laddove possano essere applicati moduli opzionali nell'ambito delle Clausole Contrattuali Tipo, verranno applicati solo quelli etichettati "MODULO DUE: Trasferimento dal titolare al responsabile".
• Istruzioni. Le istruzioni descritte nella precedente Clausola 2 sono considerate istruzioni da parte del Cliente per il trattamento dei Dati personali ai fini della Clausola 8.1 delle Clausole Contrattuali Tipo.
• Nomina di nuovi subresponsabili ed elenco degli attuali subresponsabili. Ai sensi dell'OPZIONE 2 della Clausola 9(a) delle Clausole contrattuali standard, il Cliente accetta che OwnBackup possa assumere nuovi Sub-responsabili come descritto nelle Clausole 5.1, 5.b e 5.c di cui sopra e che le Affiliate di OwnBackup possano essere mantenute come Sub-responsabili -i responsabili del trattamento e OwnBackup e le affiliate di OwnBackup possono coinvolgere sub-responsabili di terze parti in relazione alla fornitura dei servizi di elaborazione dati. L'elenco attuale dei subresponsabili allegato come Allegato 1.
• Contratti di sub-responsabile. Le parti concordano che i trasferimenti di dati ai Sub-responsabili possono basarsi su un meccanismo di trasferimento diverso dalle clausole contrattuali tipo (ad es.ample, norme aziendali vincolanti) e che gli accordi di OwnBackup con tali sub-responsabili non possono pertanto incorporare o rispecchiare le clausole contrattuali standard, nonostante qualsiasi disposizione contraria nella clausola 9(b) delle clausole contrattuali standard. Tuttavia, qualsiasi accordo di questo tipo con un Sub-responsabile dovrà contenere obblighi di protezione dei dati non meno protettivi di quelli contenuti nel presente DPA in merito alla protezione dei dati del cliente, nella misura applicabile ai servizi forniti da tale Sub-responsabile. Copie degli accordi del sub-responsabile che devono essere forniti da OwnBackup al Cliente ai sensi della clausola 9(c) delle clausole contrattuali standard saranno fornite da OwnBackup solo su richiesta scritta del Cliente e potrebbero contenere tutte le informazioni commerciali o clausole non correlate a le Clausole Contrattuali Standard o loro equivalenti, rimosse in anticipo da OwnBackup.
• Audit e Certificazioni. Le parti convengono che gli audit descritti nella Clausola 8.9 e nella Clausola 13(b) delle Clausole Contrattuali Standard saranno eseguiti in conformità alla Clausola 9 di cui sopra.
• Cancellazione dei dati. Le parti concordano che la cancellazione o la restituzione dei dati contemplata dalla Clausola 8.5 o dalla Clausola 16(d) delle Clausole Contrattuali Standard sarà effettuata in conformità con la Clausola 8 di cui sopra e qualsiasi certificazione di cancellazione sarà fornita da OwnBackup solo su richiesta del Cliente.
• Beneficiari di terze parti. Le parti concordano che, in base alla natura dei Servizi SaaS, il Cliente fornirà tutta l'assistenza necessaria per consentire a OwnBackup di adempiere ai propri obblighi nei confronti degli interessati ai sensi della Clausola 3 delle Clausole Contrattuali Standard.
• Valutazione di impatto. Ai sensi dell'articolo 14 delle Clausole Contrattuali Tipo le parti hanno effettuato un'analisi, nel contesto delle specifiche circostanze del trasferimento, delle leggi e delle prassi del Paese di destinazione, nonché delle specifiche integrazioni contrattuali, organizzative e tecniche garanzie applicabili e, sulla base delle informazioni a loro ragionevolmente note in quel momento, hanno stabilito che le leggi e le pratiche del paese di destinazione non impediscono alle parti di adempiere agli obblighi di ciascuna parte ai sensi delle clausole contrattuali standard
• Legge applicabile e foro. Le parti convengono, rispetto all'OPZIONE 2 della Clausola 17, che nel caso in cui lo Stato membro dell'UE in cui è stabilito l'esportatore di dati non riconosca i diritti dei terzi beneficiari, le clausole contrattuali tipo saranno disciplinate dalla legge di Irlanda. In conformità con la Clausola 18, le controversie associate alle Clausole Contrattuali Tipo saranno risolte dai tribunali specificati nel Contratto, a meno che tale tribunale non sia situato in uno Stato Membro dell'UE, nel qual caso il foro per tali controversie saranno i tribunali dell'Irlanda. .
• Allegati. Ai fini dell'esecuzione delle clausole contrattuali tipo, l'Allegato 3: Dettagli del trattamento sarà incorporato come ALLEGATO IA e IB, Allegato 4: Controlli di sicurezza OwnBackup (che può essere aggiornato di volta in volta https://www.ownbackup.com/trust/) sarà incorporato come ALLEGATO II e Allegato 1: Elenco attuale dei sub-responsabili del trattamento (come può essere aggiornato di volta in volta all'indirizzo https://www.ownbackup.com/legal/sub-p/) sarà incorporato come ALLEGATO III.
• Interpretazione. I termini del presente Allegato hanno lo scopo di chiarire e non di modificare le Clausole Contrattuali Tipo. In caso di conflitto o incoerenza tra il corpo del presente Allegato e le Clausole Contrattuali Standard, prevarranno le Clausole Contrattuali Standard.

Disposizioni applicabili ai trasferimenti dalla Svizzera

Le parti convengono che ai fini dell'applicabilità delle clausole contrattuali tipo per facilitare i trasferimenti di dati personali dalla Svizzera si applicheranno le seguenti disposizioni aggiuntive: (i) Eventuali riferimenti al Regolamento (UE) 2016/679 dovranno essere interpretati come riferimento alle disposizioni corrispondenti della Legge federale svizzera sulla protezione dei dati e di altre leggi sulla protezione dei dati della Svizzera (“Leggi svizzere sulla protezione dei dati”), (ii) Qualsiasi riferimento a “Stato membro” o “Stato membro dell’UE” o “UE” dovrà essere interpretato come riferimento alla Svizzera , e (iii) Qualsiasi riferimento all'Autorità di controllo sarà interpretato come riferimento al Commissario federale svizzero per la protezione dei dati e l'informazione.

Disposizioni applicabili ai trasferimenti dal Regno Unito

Le parti convengono che l'Addendum del Regno Unito si applica ai trasferimenti di dati personali disciplinati dalla legge sulla protezione dei dati del Regno Unito e sarà considerato completato come segue (con i termini in maiuscolo non definiti altrove avendo la definizione stabilita nell'Addendum del Regno Unito):

• Tabella 1: Le parti, i loro dettagli e i loro contatti sono quelli indicati nell'Allegato 3.
• Tabella 2: le "Clausole contrattuali standard UE approvate" saranno le clausole contrattuali standard stabilite nel presente Allegato 5.
• Tabella 3: Gli allegati I(A), I(B) e II sono completati come indicato nella sezione 2(k) del presente Allegato 5.
• Tabella 4: OwnBackup può esercitare il diritto facoltativo di risoluzione anticipata descritto nella Sezione 19 dell'Addendum per il Regno Unito.

Documenti / Risorse

Addendum sul trattamento dei dati di Ownbackup [pdf] Istruzioni Addendum sul trattamento dei dati, Addendum sul trattamento, Addendum

Riferimenti

• Manuale d'uso