Addendum per il trattamento dei dati

Ultima modifica: 2 novembre 2020

Jibe e la controparte che accetta la presente appendice ("Società") hanno stipulato un contratto per la fornitura dei Servizi del responsabile (come di volta in volta emendati, il "Contratto").

La presente Appendice per il trattamento dati (incluse le appendici, "Appendice per il trattamento dati") è sottoscritta da Jibe e Company e integra il Contratto. La presente Appendice per il trattamento dei dati entrerà in vigore, e sostituirà ogni precedente termine applicabile in merito al relativo oggetto (inclusi eventuali termini relativi al trattamento e alla sicurezza dei dati correlati ai Servizi del responsabile), a partire dalla Data di validità dei termini medesimi.

L'utente, qualora accetti la presente Appendice per il trattamento dati per conto della Società, garantisce: (a) di avere la piena autorità legale per vincolare la Società al presente Addendum per il trattamento dei dati; (b) di aver letto e compreso la presente Appendice per il trattamento dati; e (c) di accettare la presente Appendice per il trattamento dei dati per conto della Società. Se la controparte non dispone dell'autorità legale per vincolare la Società, non accettare la presente Appendice per il trattamento dati.

1. Introduzione

Il presente Addendum relativo al trattamento dei dati riflette l'accordo tra le parti sui termini che regolano il trattamento e la sicurezza dei Dati personali della società in relazione alla Normativa europea sulla protezione dei dati e ad alcune Normative non europee sulla protezione dei dati.

2. Definizioni e interpretazione

2.1 Nel presente Addendum per il trattamento dei dati:

"Prodotto aggiuntivo" indica un prodotto, servizio o applicazione fornito da Jibe o da terze parti che: (a) non fa parte dei Servizi del responsabile; e (b) è accessibile per l'uso nell'interfaccia utente dei Servizi del responsabile o è altrimenti integrato con i Servizi del responsabile.

Per "Termini aggiuntivi relativi alla Normativa non europea sulla protezione dei dati" si intendono i Termini aggiuntivi a cui si fa riferimento nell'Allegato 3, che riflettono l'accordo tra le parti sui termini che regolano il trattamento di determinati dati in relazione a determinate Normative non europee sulla protezione dei dati.

Per "Società consociata" si intende una persona giuridica che direttamente o indirettamente controlla una parte, è controllata da una parte o è soggetta al controllo di una parte in comune con un altro soggetto.

Per "Dati personali della società" si intendono i dati personali trattati da Jibe per conto della Società durante la fornitura dei Servizi del responsabile a Jibe.

Per "Incidente relativo ai dati" si intende una violazione del sistema di sicurezza di Jibe che comporta, accidentalmente o illecitamente, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati personali della società presenti nei sistemi gestiti o controllati in altro modo da Jibe. Gli "Incidenti relativi ai dati" non includono le attività o i tentativi falliti di compromettere la sicurezza dei Dati personali della società, tra cui tentativi di accesso falliti, ping, scansioni delle porte, attacchi denial of service e altri attacchi di rete su firewall o sistemi di rete.

Per "Normativa sulla protezione dei dati" si intendono, a seconda dei casi: (a) la Legislazione europea sulla protezione dei dati; e/o (b) la Legislazione non europea sulla protezione dei dati.

Per "Strumento dell'interessato" si intende uno strumento (se disponibile) reso disponibile da un'entità Jibe agli interessati che consente a Jibe di rispondere direttamente e in modo standardizzato a determinate richieste degli interessati in relazione ai Dati personali dell'azienda (ad esempio, un plug-in per la disattivazione del browser).

Per "SEE" si intende lo Spazio Economico Europeo.

Per "GDPR dell'Unione Europea" si intende il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche in merito al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

Per "Normativa europea sulla protezione dei dati" si intendono, a seconda dei casi: (a) il GDPR; e/o (b) la Legge federale sulla protezione dei dati del 19 giugno 1992 (Svizzera).

Per "Leggi europee o nazionali" si intendono, a seconda dei casi: (a) la legge dell'UE o di uno Stato membro dell'UE (se il GDPR dell'UE si applica al trattamento dei Dati personali della società); e/o (b) la legge del Regno Unito o parte del Regno Unito (se il GDPR del Regno Unito si applica al trattamento dei Dati personali della società).

"GDPR" indica, a seconda dei casi: (a) il GDPR della UE; e/o (b) il GDPR del Regno Unito.

Per "Jibe" si intende la Persona giuridica di Jibe che costituisce una parte del Contratto.

Il termine "Jibe Affiliate Sub-responsabili" ha il significato descritto nella Sezione 11.1 (Consenso per l'incarico del Sub-responsabile).

Per "Persona Jibe" si intendono Jibe Mobile Inc, Jibe Mobile Limited o qualsiasi altra Società consociata di Jibe Mobile Inc.

Per "Certificazione ISO 27001" si intende la certificazione ISO/IEC 27001:2013 o una certificazione paragonabile per i Servizi del responsabile.

Per "Normativa non europea sulla protezione dei dati" si intendono le leggi sulla protezione dei dati o sulla privacy in vigore al di fuori del SEE, della Svizzera e del Regno Unito.

Per "Indirizzo email di notifica" si intende l'indirizzo email (se presente): (i) fornito dalla Società a Jibe o (ii) designato dalla Società, tramite l'interfaccia utente dei Servizi del responsabile o altri mezzi forniti da Jibe, per ricevere determinate notifiche da Jibe in merito alla presente Appendice per il trattamento dei dati. Per chiarezza, è responsabilità della Società fornire a Jibe un Indirizzo email di notifica e informare eventuali aggiornamenti dell'Indirizzo email di notifica.

Per "Servizi del responsabile" si intendono i servizi di RCS Business Messaging (come descritto alla pagina https://developers.google.com/business-communications/rcs-business-messaging)

Per "Documentazione di sicurezza" si intende la Certificazione ISO 27001 e qualsiasi altra certificazione o documentazione di sicurezza che Jibe possa rendere disponibile in relazione ai Servizi del responsabile.

Il termine "Misure di sicurezza" ha il significato descritto nella Sezione 7.1.1 (Misure di sicurezza di Jibe).

Per "clausole contrattuali tipo" si intendono le clausole contrattuali tipo della Commissione europea disponibili all'indirizzo https://privacy.google.com/businesses/gdprprocessorterms/sccs, che sono termini standard di protezione dei dati per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati, come descritto nell'Articolo 46 del GDPR dell'Unione Europea.

Per "Sub-responsabili" si intendono terze parti autorizzate, ai sensi del presente Allegato sul trattamento dei dati, a eseguire l'accesso logico e a trattare i Dati personali della società al fine di fornire parti dei Servizi del responsabile e qualsiasi tipo di assistenza tecnica correlata.

Per "Autorità di controllo" si intendono, a seconda dei casi: (a) un'"autorità di controllo" come definita nel GDPR dell'Unione Europea; e/o (b) il "Commissioner" come definito nel GDPR del Regno Unito.

Per "Periodo di validità" si intende il periodo che va dalla Data di validità dei termini fino alla conclusione della fornitura da parte di Jibe dei Servizi del responsabile ai sensi del Contratto.

Per "Data di validità dei termini" si intende la data di validità del Contratto.

Il termine "Sub-responsabili di terze parti" ha il significato descritto nella Sezione 11.1 (Consenso per l'incarico del Sub-responsabile).

Per "GDPR del Regno Unito" si intende il GDPR dell'Unione Europea come emendato e integrato nelle normative del Regno Unito ai sensi dell'UK European Union (Withdrawal) Act 2018, se in vigore.

2.2 I termini "titolare", "interessato", "dati personali", "trattamento" e "responsabile" sono utilizzati nel presente Addendum sul trattamento dei dati con il significato attribuito nel GDPR, mentre i termini "importatore di dati" ed "esportatore di dati" hanno il significato specificato nelle clausole contrattuali tipo.

2.3 I termini "tra cui", "include" o altre espressioni simili verranno interpretati come illustrativi e non limiteranno il senso delle parole precedenti a tali termini. Gli esempi nel presente Addendum per il trattamento dei dati sono a scopo illustrativo e non si intendono esaustivi rispetto a un determinato concetto.

2.4 Qualsiasi riferimento a quadri normativi, leggi scritte o altri atti legislativi riguarda questi ultimi così come di volta in volta emendati o ripromulgati.

2.5 Se i presenti Termini per il trattamento dei dati sono tradotti in qualsiasi altra lingua ed esiste una discrepanza tra la versione inglese e quella tradotta, prevarrà la versione inglese.

3. Durata della presente Appendice per il trattamento dati

La presente Appendice per il trattamento dei dati entrerà in vigore a decorrere dalla Data di validità dei termini e, indipendentemente dalla scadenza del Periodo di validità, rimarrà in vigore fino all'eliminazione automatica di tutti i Dati personali della società da parte di Jibe, come descritto nella presente Appendice per il trattamento dei dati.

4. Applicazione della presente Appendice per il trattamento dati

4.1 Applicazione della Normativa europea per la protezione dei dati. Le Sezioni dalla 5 (Trattamento dei dati) alla 12 (Contattare Jibe; registri relativi al trattamento) (incluse) si applicheranno esclusivamente nella misura in cui la Legislazione europea sulla protezione dei dati riguarda il trattamento dei Dati personali della società, incluse le eventualità in cui:

(a) Il trattamento è svolto nel contesto delle attività di una sede della Società nel SEE o nel Regno Unito; e/o

(b) I Dati personali della società sono dati personali relativi agli interessati che si trovano all'interno dello Spazio economico europeo o del Regno Unito e il trattamento riguarda l'offerta di beni o servizi o il monitoraggio del loro comportamento nel SEE o nel Regno Unito.

4.2 Applicazione ai Servizi del responsabile. La presente Appendice per il trattamento dei dati si applicherà solo ai Servizi del responsabile per i quali le parti hanno accettato il presente Appendice per il trattamento dei dati (ad esempio: (a) i Servizi del responsabile per i quali la Società ha fatto clic per accettare la presente Appendice per il trattamento dei dati; o (b) se il Contratto incorpora per riferimento la presente Appendice per il trattamento dei dati, i Servizi del responsabile oggetto del Contratto.

4.3 Inclusione di Termini aggiuntivi relativi alla Normativa non europea sulla protezione dei dati. I Termini aggiuntivi relativi alla Normativa non europea sulla protezione dei dati integrano i presenti Termini per il trattamento dei dati.

5. Trattamento dei dati

5.1 Ruoli e conformità normativa; autorizzazioni.

5.1.1 Responsabilità del responsabile e del titolare. Le parti riconoscono e accettano che:

(a) L'Allegato 1 descrive l'oggetto e i dettagli relativi al trattamento dei Dati personali della società;

(b) Jibe è un responsabile del trattamento dei Dati personali della società ai sensi della Legislazione europea sulla protezione dei dati;

(c) La Società è un titolare o responsabile, a seconda dei casi, dei Dati personali della Società ai sensi della Legislazione europea sulla protezione dei dati; e

(d) Ciascuna parte rispetterà le relative obbligazioni applicabili ai sensi della Legislazione europea sulla protezione dei dati in merito al trattamento dei Dati personali della società.

5.1.2 Autorizzazione da parte del Titolare terzo. Se la Società è responsabile del trattamento, la Società garantisce a Jibe che le istruzioni e le azioni della Società relative ai Dati personali della Società, inclusa la nomina di Jibe come altra responsabile, sono state autorizzate dal titolare pertinente.

5.2 Istruzioni della Società. Con la presente

5.3 Conformità di Jibe alle istruzioni. Jibe rispetterà le istruzioni descritte nella Sezione 5.2 (Istruzioni della Società) (anche in relazione ai trasferimenti di dati) a meno che le Leggi europee o nazionali a cui sia soggetta la proprietà di Jibe non richiedano un altro trattamento dei Dati personali della società da parte di Jibe, nel qual caso verranno comunicate alla Società (a meno che tali leggi non impediscano a Jibe di farlo per importanti motivi di interesse pubblico).

5.4 Prodotti aggiuntivi. Se la Società utilizza Prodotti aggiuntivi, i Servizi del responsabile potrebbero consentire l'accesso di tali Prodotti aggiuntivi ai Dati personali dell'azienda, secondo quanto richiesto ai fini dell'interoperabilità tra i Prodotti Aggiuntivi e i Servizi del responsabile. La presente Appendice per il trattamento dei dati non si applica al trattamento dei dati personali connesso alla fornitura di qualsiasi Prodotto aggiuntivo utilizzato dalla Società, inclusi i dati personali trasmessi a o da tale Prodotto aggiuntivo.

6. Eliminazione dei dati

6.1 Eliminazione durante il Periodo di validità.

6.1.1 Servizi del responsabile con funzionalità di eliminazione. Durante il Periodo di validità, se:

(a) La funzionalità dei Servizi del responsabile comprende l’opzione per la Società di eliminare i Dati personali dell'azienda;

(b) la Società utilizza i Servizi del responsabile per eliminare determinati Dati personali della società; e

(c) I Dati personali della società eliminati non possono essere recuperati dalla Società (ad esempio, dal "cesto"),

Jibe eliminerà i Dati personali della società dai propri sistemi non appena ragionevolmente possibile, a meno che le Leggi europee o nazionali non ne richiedano la conservazione.

6.1.2 Servizi del responsabile senza funzionalità di eliminazione. Durante il Periodo di validità, se la funzionalità dei Servizi del responsabile non comprende l'opzione che consente alla Società di eliminare i Dati personali della società, Jibe rispetterà qualsiasi richiesta ragionevole della Società per facilitare tale eliminazione, per quanto ciò sia possibile, tenendo conto della natura e della funzionalità dei Servizi del responsabile. Jibe potrebbe addebitare una commissione (basata sulle spese ragionevolmente sostenute da Jibe) per eventuali eliminazioni dei dati ai sensi della presente Sezione 6.1.2 (Servizi del responsabile senza funzionalità di eliminazione). Jibe fornirà alla Società ulteriori dettagli su eventuali commissioni applicabili e i relativi criteri di calcolo, prima di ogni intervento di eliminazione.

6.2 Eliminazione alla scadenza del Periodo di validità. Alla scadenza del Periodo di validità, la Società richiede a Jibe di eliminare tutti i Dati personali della società (incluse le copie esistenti) dai sistemi di Jibe in conformità con la legge vigente. Jibe rispetterà questa istruzione non appena ragionevolmente possibile, a meno che le leggi europee o nazionali non richiedano l'archiviazione.

7. Sicurezza dei dati

7.1 Misure e assistenza in materia di sicurezza da parte di Jibe.

7.1.1 Misure di sicurezza di Jibe. Jibe attuerà e manterrà misure tecniche e organizzative per proteggere i Dati personali della società da distruzione, perdita, alterazione, divulgazione o accesso non autorizzato accidentale o illegale come descritto nell'Allegato 2 (le "Misure di sicurezza"). Jibe potrebbe aggiornare o modificare di tanto in tanto le Misure di sicurezza, a condizione che tali aggiornamenti e modifiche non comportino un deterioramento della sicurezza generale dei Servizi.

7.1.2 Conformità alla sicurezza da parte di Jibe Staff.Jibe garantirà che tutte le persone autorizzate a trattare i Dati personali della società si siano impegnate nella riservatezza o abbiano un obbligo di legge appropriato di riservabilità.

7.1.3 Assistenza per la sicurezza di Jibe. La Società concorda che Jibe assisterà la Società nell’assicurarsi di rispettare gli obblighi della Società relativi alla sicurezza dei dati personali e alle violazioni dei dati personali (tenendo conto della natura del trattamento dei Dati personali della società e delle informazioni disponibili a Jibe), incluse (se applicabili) le obbligazioni della Società ai sensi degli articoli da 32 a 34 (inclusi) del GDPR, mediante:

(a) l'attuazione e il mantenimento delle Misure di sicurezza di cui alla Sezione 7.1.1 (Misure di sicurezza di Jibe);

(b) Il rispetto dei termini di cui alla Sezione 7.2 (Incidenti relativi ai dati); e

(c) Fornendo alla Società la Documentazione in materia di sicurezza di cui alla Sezione 7.5.1 (Revisioni della Documentazione in materia di sicurezza) e le informazioni contenute nella presente Appendice per il trattamento dei dati.

7.2 Incidenti relativi ai dati.

7.2.1 Notifica degli incidenti. Qualora Jibe venga a conoscenza di un Incidente relativo ai dati, provvederà a: (a) notificare tempestivamente la Società all'Incidente relativo ai dati e senza indebito ritardo e (b) adottare prontamente provvedimenti ragionevoli per minimizzare i danni e salvaguardare i Dati personali della società.

7.2.2 Dettagli dell'Incidente relativo ai dati. Le Notifiche effettuate ai sensi della Sezione 7.2.1 (Notifica dell'incidente) descrivono, nella misura del possibile, i dettagli dell'Incidente relativo ai dati, inclusi i passaggi compiuti per mitigare i potenziali rischi e i passaggi che Jie consiglia all'azienda di risolvere l'Incidente relativo ai dati.

7.2.3 Consegna della notifica.Jibe invierà la notifica di qualsiasi incidente relativo ai dati all'indirizzo email di notifica o, a discrezione di Jibe (anche nel caso in cui la Società non abbia fornito un indirizzo email di notifica), mediante altra comunicazione diretta (ad esempio per telefono o in una riunione di persona). La Società è la sola persona responsabile di fornire l'Indirizzo email di notifica e di assicurarsi che tale Indirizzo email di notifica sia in corso di validità.

7.2.4 Notifiche di terze parti. La Società è l'unica responsabile del rispetto delle leggi applicabili alla notifica degli incidenti e del rispetto di qualsiasi obbligazione di notifica di terze parti relativa a qualsiasi Incidente relativo ai dati.

7.2.5 Nessuna conferma di colpa da parte di Jibe.Jibe della notifica o della risposta a un incidente relativo ai dati ai sensi della presente Sezione 7.2 (Incidenti relativi ai dati) non verrà interpretata come riconoscimento di Jibe di qualsiasi colpa o responsabilità in merito all'Incidente relativo ai dati.

7.3 Responsabilità e valutazione della sicurezza dell'azienda.

7.3.1 Responsabilità della Società in materia di sicurezza. La Società concorda che, ferme restando le obbligazioni di Jibe ai sensi delle Sezioni 7.1 (Misure e assistenza in materia di sicurezza di Jibe) e 7.2 (Incidenti relativi ai dati):

(a) La Società è responsabile del proprio utilizzo dei Servizi del responsabile, inclusi:

(i) L'utilizzo appropriato dei Servizi del responsabile per garantire un livello di sicurezza adeguato al rischio per i Dati personali della società; e

(ii) la protezione delle credenziali di autenticazione dell'account, dei sistemi e dei dispositivi utilizzati dall'Azienda per accedere ai Servizi del responsabile; e

(b) Jibe non ha alcun obbligo di proteggere i Dati personali della società che la Società sceglie di archiviare o trasferire al di fuori dei sistemi di Jibe e dei suoi Sub-responsabili.

7.3.2 Valutazione della sicurezza della società. La Società riconosce e accetta che (tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, del contesto e degli scopi del trattamento dei Dati personali dell'azienda, nonché dei rischi per i privati), le Misure di sicurezza implementate e gestite da Jibe nella Sezione 7.1.1 (Misure di sicurezza di Jibe) forniscono un livello di sicurezza adeguato al rischio per i Dati personali dell'azienda.

7.4 Certificazione di sicurezza. Per valutare e contribuire a garantire la continua efficacia delle Misure di sicurezza, Jibe manterrà la Certificazione ISO 27001.

7.5 Revisioni e controlli di conformità.

7.5.1 Revisioni della Documentazione in materia di sicurezza. Per dimostrare la conformità di Jibe ai suoi obblighi ai sensi della presente Appendice per il trattamento dei dati, Jibe metterà a disposizione del Cliente la Documentazione in materia di sicurezza.

7.5.2 Diritti di revisione della Società.

(a) Jibe consentirà alla Società o a un revisore di terze parti nominato dalla Società di condurre controlli (incluse ispezioni) atti a verificare la conformità di Jibe ai suoi obblighi ai sensi della presente Appendice per il trattamento dati in conformità con la Sezione 7.5.3 (Termini commerciali aggiuntivi per i controlli). Jibe contribuirà a tali controlli come descritto nella Sezione 7.4 (Certificazione di sicurezza) e nella presente Sezione Revisioni.7.5.

(b) Se si applicano le clausole contrattuali tipo della Sezione 10.2 (Trasferimenti di dati), Jibe consentirà alla Società o a un revisore di terze parti nominato dalla Società di condurre controlli come descritto nelle clausole contrattuali tipo in conformità con quanto indicato nella Sezione 7.5.3 (Termini di contratto aggiuntivi per i controlli).

(c) può anche condurre un controllo per verificare la conformità di Jibe agli obblighi derivanti dal presente Addendum per il trattamento dei dati per mezzo della valutazione del certificato emesso ai fini della Certificazione ISO 27001 (il quale rispecchia l'esito di un controllo eseguito da un revisore di terze parti).

7.5.3 Termini commerciali aggiuntivi per i controlli.

(a) La Società invierà a Jibe qualsiasi richiesta di controllo di cui alla Sezione 7.5.2(a) o 7.5.2(b) come descritto nella Sezione 12.1 (Contattare Jibe).

(b) In seguito al ricevimento da parte di Jibe di una richiesta ai sensi della Sezione 7.5.3(a), Jibe e la Società discuteranno e concorderanno preventivamente e in modo ragionevole la data di inizio, l'ambito, la durata e le verifiche in materia di sicurezza e riservatezza applicabili ai controlli di cui alle Sezioni 7.5.2(a) o 7.5.2(b).

(c) Jibe potrebbe addebitare una commissione (basata sulle spese ragionevolmente sostenute da Jibe) per eventuali controlli di cui alle Sezioni 7.5.2(a) o 7.5.2(b).Jibe fornirà alla Società ulteriori dettagli su eventuali commissioni applicabili e i relativi criteri di calcolo, prima di tali controlli. La Società sarà responsabile delle eventuali commissioni addebitate dai revisori di terze parti nominati dalla Società per l'esecuzione di tali controlli.

(d) Jibe potrebbe sollevare obiezioni riguardo a qualsiasi revisore di terze parti nominato dalla Società per l'esecuzione di un controllo di cui alle Sezioni 7.5.2(a) o 7.5.2(b) qualora tale revisore, a sua discrezione, non fosse opportunamente qualificato o indipendente, fosse un concorrente di Jibe o fosse palesemente inadatto per altri motivi. Qualora Google sollevi una di tali obiezioni, la Società dovrà nominare un altro revisore o eseguire il controllo per proprio conto.

(e) Nulla in questa Appendice per il trattamento dati richiederà a Jibe di divulgare alla Società o al revisore di terze parti o di consentire alla Società o al revisore di terze parti di accedere:

(i) Qualsiasi dato di eventuali altri clienti di una Persona giuridica Jibe;

(ii) Qualsiasi informazione interna contabile o finanziaria di Jibe Entity;

(iii) Qualsiasi segreto commerciale di una Persona giuridica Jibe;

(iv) Qualsiasi informazione che, a ragionevole giudizio di Jibe, possa: (A) compromettere la sicurezza dei sistemi o delle sedi di qualsiasi Entità di Jibe; o (B) causare la violazione dei propri obblighi ai sensi della Legislazione europea sulla protezione dei dati o dei suoi obblighi in materia di sicurezza e/o di privacy nei confronti della Società o di terze parti; oppure

(v) Qualsiasi informazione a cui la Società o il revisore di terze parti da questi nominato cerchino di accedere per ragioni estranee al dovere di buona fede nell'adempimento delle obbligazioni della Società ai sensi della Legislazione europea sulla protezione dei dati.

7.5.4 Nessuna modifica delle clausole contrattuali tipo. Se le clausole contrattuali tipo si applicano alla Sezione 10.2 (Trasferimenti di dati), nulla nella presente Sezione 7.5 (Revisioni e controlli di conformità) varia o modifica i diritti o le obbligazioni della Società o di Jibe secondo le clausole contrattuali tipo.

8. Valutazione dell'impatto e consulenze

La Società concorda che Jibe assisterà la Società nel garantire l'ottemperanza a qualsiasi obbligo della Società in merito alle valutazioni di impatto sulla protezione dei dati e alla consultazione preventiva (tenendo conto della natura del trattamento e delle informazioni disponibili per Jibe), incluse le obbligazioni della Società (se applicabili) ai sensi degli Articoli 35 e 36 del GDPR mediante:

(a) Fornendo la Documentazione in materia di sicurezza di cui alla Sezione 7.5.1 (Revisioni della Documentazione in materia di sicurezza);

(b) Fornendo le informazioni contenute nel presente Addendum per il trattamento dei dati; e

(c) Fornendo o mettendo altrimenti a disposizione, secondo le prassi standard di Jibe, altri materiali attinenti alla natura dei Servizi del responsabile e al trattamento dei Dati personali della società (ad esempio, materiali del Centro assistenza).

9. Diritti dell’interessato

9.1 Risposte alle richieste dell'interessato. Se Jibe riceve una richiesta da parte dell'interessato in relazione ai Dati personali della società, Jibe:

(a) Se la richiesta è stata elaborata mediante uno Strumento dell'interessato, risponda direttamente alla richiesta dell'interessato in conformità con la funzionalità standard di tale Strumento;

(b) Se la richiesta non è stata elaborata mediante uno Strumento dell'interessato, consigliare all'interessato di inviare la propria richiesta alla Società, la quale sarà responsabile di rispondere a tale richiesta.

9.2 Assistenza di JIbe in merito alla richiesta dell'interessato. La Società concorda che Jibe assisterà la Società nell'adempimento delle obbligazioni della Società di rispondere alle richieste degli interessati (tenendo presente la natura del trattamento dei Dati personali della Società e, se applicabile, l'Articolo 11 del GDPR), comprensiva (se applicabile) dell'obbligo della Società di rispondere alle richieste di esercizio dei diritti dell'interessato nel Capitolo III del GDPR mediante:

(a) Fornendo la funzionalità dei Servizi del responsabile;

(b) Rispettando gli impegni di cui alla Sezione 9.1 (Risposte alle richieste dell'interessato); e

(c) Se applicabile ai Servizi del responsabile, mettendo a disposizione gli Strumenti dell'interessato.

10. Trasferimenti di dati

10.1 Sedi di archiviazione e trattamento dei dati. La Società concorda che Jibe può, ai sensi della Sezione 10.2 (Trasferimenti di dati), archiviare ed elaborare i Dati personali della società in tutti i paesi in cui Jibe o uno qualsiasi dei suoi Sub-responsabili mantiene strutture.

10.2 Trasferimenti di dati.

Se l'archiviazione e/o il trattamento dei Dati personali aziendali comporta il trasferimento di Dati personali aziendali dal SEE, dalla Svizzera o dal Regno Unito in qualsiasi paese terzo non soggetto a una decisione di adeguatezza ai sensi della Normativa europea sulla protezione dei dati:

(a) Si considera che una Società (come esportatore di dati) abbia stipulato le clausole contrattuali tipo con Jibe (come importatore di dati);

(b) i trasferimenti saranno soggetti alle clausole contrattuali tipo; e

(c) i riferimenti a Google LLC e al Cliente nelle clausole contrattuali tipo saranno rispettivamente a Jibe e Company.

10.3 Informazioni sui data center. Le informazioni relative alle sedi dei data center di Google sono disponibili all'indirizzo www.google.com/about/datacenters/locations/index.html.

11. Sub-responsabili

11.1 Consenso per l'incarico del Sub-responsabile. La Società autorizza espressamente l'assegnazione delle Società consociate di Jibe in qualità di Sub-responsabili ("Sub-responsabili di affiliazione"). Inoltre, la Società autorizza generalmente l'assegnazione delle responsabilità di altre terze parti in qualità di Sub-responsabili ("Sub-responsabili di terze parti"). Qualora le clausole contrattuali tipo si applichino alla Sezione 10.2 (Trasferimenti di dati), le suddette autorizzazioni costituiscono il trattamento per motivi personali da parte della Società.

11.2 Informazioni sui Sub-responsabili. Su richiesta scritta della Società, Jibe fornirà informazioni relative ai Sub-responsabili e alle loro sedi. Eventuali richieste di questo tipo devono essere inviate a Jibe utilizzando i dettagli di contatto stabiliti nella Sezione 12.1 (Contattare Jibe).

11.3 Requisiti per l'incarico del Sub-responsabile. Al momento di assegnare l'incarico a un qualsiasi Sub-responsabile, Jibe:

(a) Garantirà tramite un contratto scritto che:

(i) Il Sub-responsabile acceda e utilizzi i Dati personali della società esclusivamente nella misura necessaria a soddisfare le obbligazioni definite nel subcontratto e in conformità con il Contratto (inclusa la presente Appendice per il trattamento dei dati) e, se applicabile, ai sensi della Sezione 10.2 (Trasferimenti di dati), le Clausole contrattuali tipo e

(ii) Se il GDPR si applica al trattamento dei Dati personali della società, gli obblighi di protezione dei dati di cui all'Articolo 28(3) del GDPR sono imposti al Sub-responsabile; e

(b) Si assumerà la piena responsabilità per tutte le obbligazioni del Sub-responsabile definite nel subcontratto, così come per tutti i suoi atti e le sue omissioni.

11.4 Facoltà di opporsi alla sostituzione del Sub-responsabile.

(a) Quando viene assegnato un incarico a un nuovo Sub-responsabile di terze parti durante il Periodo di validità, Jibe informerà la Società del coinvolgimento (inclusi nome e località del Sub-responsabile in questione e le relative attività) inviando un'email all'Indirizzo email di notifica almeno 30 giorni prima dell'elaborazione dei Dati personali della società da parte del nuovo Sub-responsabile.

(b) La Società potrà opporsi a qualsiasi nuovo Sub-responsabile di terze parti recedendo dal Contratto immediatamente previa notifica scritta a Jibe, a condizione che la Società fornisca tale notifica entro 90 giorni dalla comunicazione dell'assegnazione del nuovo Sub-responsabile di terze parti, come descritto nella Sezione 11.4(a). Questo diritto di recesso è l'unico rimedio a disposizione della Società se la Società si oppone a un nuovo Sub-responsabile di terze parti.

12. Contattare Jibe; registri relativi al trattamento

12.1 Contattare Jibe. La Società può contattare Jibe in relazione a questa Appendice per il trattamento dati tramite il contatto per la protezione dei dati RCS di Jibe, raggiungibile tramite http://issuetracker.google.com o mediante altri mezzi eventualmente forniti da Jibe di volta in volta.

12.2 Registri di elaborazione di Jibe. La Società riconosce che Jibe è tenuta, ai sensi del GDPR, a: (a) raccogliere e conservare registri di determinate informazioni, inclusi il nome e i dati di contatto di ciascun responsabile e/o titolare del trattamento per conto di cui Jibe agisce e, se applicabile, del rappresentante locale e del responsabile della protezione dei dati di tale responsabile o titolare; e (b) mettere tali informazioni a disposizione di qualsiasi Autorità di controllo. Di conseguenza, ove richiesto e applicabile, la Società fornirà a Jibe tali informazioni attraverso l'interfaccia utente dei Servizi del responsabile o attraverso altri mezzi eventualmente forniti da Jibe e utilizzerà la suddetta interfaccia utente o altri mezzi per garantire che tutte le informazioni provviste siano accurate e aggiornate.

13. Responsabilità

13.1 Limitazione di responsabilità. Indipendentemente da quanto previsto dal Contratto, la responsabilità totale di ciascuna parte nei confronti dell'altra parte ai sensi o in relazione alla presente Appendice per il trattamento dati sarà limitata all'importo massimo in base al valore monetario o di pagamento a cui la parte in questione è limitata ai sensi del Contratto (e pertanto l'esclusione di rivendicazioni di riservatezza o indennizzo dal Contratto ai sensi della Normativa europea) non riguarderà la rivendicazione di protezione dei dati. Nessuna parte della presente Sezione 13 (Responsabilità) escluderà o limiterà la responsabilità di ciascuna parte per: (a) morte o lesioni personali derivanti da negligenza propria o dei suoi dipendenti o agenti; (b) frode o rappresentazione ingannevole fraudolenta o (c) questioni per le quali la responsabilità non può essere esclusa o limitata ai sensi della legge vigente.

13.2 Responsabilità in caso di applicazione delle clausole contrattuali tipo. Se si applicano le clausole contrattuali tipo della Sezione 10.2 (Trasferimenti di dati), la responsabilità totale combinata di ciascuna parte e delle sue Società consociate nei confronti dell'altra parte e delle sue Società consociate ai sensi o in connessione con il Contratto e con le clausole contrattuali tipo combinate sarà soggetta alla Sezione 13.1 (Limitazione di responsabilità).

14. Beneficiari terzi

Se l'Affiliato di una parte è una parte delle clausole contrattuali tipo che si applicano alla Sezione 10.2 (Trasferimenti di dati), l'Affiliato sarà un beneficiario terzo delle Sezioni 6.2 (Eliminazione alla scadenza del termine), 7.5 (Revisioni e controlli di conformità), 9.1 (Risposte alle richieste dell'interessato), 11.2 (11.2) (11.2) (11.2) Nel caso in cui la presente Sezione 14 (Beneficiari terzi) sia in conflitto o non sia conforme a qualsiasi altra clausola del Contratto, verrà applicata la presente Sezione 14 (Beneficiari terzi).

15. Effetto del presente Addendum per il trattamento dei dati

In caso di conflitto o incoerenza tra le clausole contrattuali tipo, i Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati, la presente Appendice per il trattamento dei dati e la parte restante del Contratto, verrà applicato il seguente ordine di precedenza:

(a) le clausole contrattuali tipo;

(b) I Termini aggiuntivi relativi alla Normativa non europea sulla protezione dei dati;

(c) Il resto dei presenti Termini per il trattamento dei dati; e

(d) Il resto del Contratto.

Se il presente Contratto (inclusa qualsiasi Appendice) è tradotto in qualsiasi altra lingua e il testo tradotto è in conflitto o non è coerente con il testo inglese, prevarrà il testo in inglese.

Fatti salvi gli emendamenti apportati al presente Addendum per il trattamento dei dati, il Contratto rimane in vigore a tutti gli effetti.

16. Modifiche all'Addendum relativo al trattamento dei dati

16.1 Modifiche agli URL Di tanto in tanto, Jibe potrà modificare gli URL a cui si fa riferimento nella presente Appendice per il trattamento dati e ai relativi contenuti, ad eccezione del fatto che Jibe potrebbe modificare soltanto le clausole contrattuali tipo in conformità con le Sezioni 16.2(b) - 16.2(d) (Modifiche ai Termini per il trattamento dei dati) o per integrare qualsiasi nuova versione della Normativa europea in merito alla Normativa sulla conformità alla suddetta legge.

16.2 Modifiche ai Termini per il trattamento dei dati. Jibe potrebbe modificare questa Appendice per il trattamento dati se la modifica:

(a) È espressamente consentito dal presente Addendum per il trattamento dei dati, anche come descritto nella Sezione 16.1 (Modifiche agli URL);

(b) Riflette una modifica al nome o alla forma di una persona giuridica;

(c) È necessaria per rispettare leggi o regolamenti vigenti, ingiunzioni del tribunale o orientamenti emanati da un'autorità o ente di regolamentazione; oppure

(d) non (i) comporti un degrado della sicurezza generale dei Servizi del responsabile; (ii) espandi l'ambito o rimuovi eventuali restrizioni, (x) nel caso dei Termini aggiuntivi per la Normativa non europea sulla protezione dei dati, i diritti di Jibe di utilizzare o altrimenti elaborare i dati nell'ambito dei Termini aggiuntivi per la Normativa sulla protezione dei dati non europea o (y) nella valutazione dei problemi specifici

16.3 Notifica delle modifiche. Se Jibe intende modificare la presente Appendice per il trattamento dati in conformità con la Sezione 16.2(c) o (d), Jibe informerà la Società almeno 30 giorni (o il periodo più breve richiesto per adempiere a leggi vigenti, regolamenti vigenti, ingiunzioni del tribunale o orientamenti emanati da un'autorità di regolamentazione o un'agenzia governativa) prima che la modifica entri in vigore mediante: (a) l'invio di un'email all'Indirizzo email di notifica dei Servizi; Qualora la Società si opponga alle suddette modifiche, potrà recedere dal Contratto trasmettendone comunicazione scritta a Jibe entro 90 giorni dalla notifica delle modifiche da parte di Jibe.

Allegato 1: Oggetto e dettagli del trattamento dati

Oggetto

La fornitura, da parte di Jibe, dei Servizi del responsabile e della relativa assistenza tecnica alla Società.

Durata del trattamento

Il Periodo di validità più il periodo compreso tra la scadenza dello stesso e l'eliminazione di tutti i Dati personali della società da parte di Jibe, in conformità con la presente Appendice per il trattamento dati.

Natura e scopo del trattamento

Jibe elaborerà i Dati personali della società al fine di fornire ai Servizi del responsabile e della relativa assistenza tecnica la Società in conformità con la presente Appendice di elaborazione dei dati (incluse, a seconda dei casi, i Servizi del responsabile e le istruzioni descritte nella Sezione 5.2 (Istruzioni della Società), la raccolta, la registrazione, l'organizzazione, la struttura, l'archiviazione, la modifica, il recupero, l'utilizzo, la divulgazione, la combinazione, la cancellazione e la distruzione delle Dati personali dell'azienda.

Tipi di dati personali

Dati personali relativi a privati forniti a Jibe tramite i Servizi di trattamento da parte della Società o dagli utenti finali della Società, o su indicazione di quest'ultima.

Categorie di interessati

Per soggetti interessati si intendono i privati i cui dati vengono forniti a Jibe tramite i Servizi di elaborazione dalla Società o dagli utenti finali della Società, o su indicazione di questi ultimi.

Allegato 2: Misure di sicurezza

A partire dalla Data di validità dei termini, Jibe implementerà e manterrà le Misure di sicurezza di cui all'Allegato 2. Di tanto in tanto, Jibe potrebbe aggiornare o modificare tali Misure di sicurezza, sempre che tali interventi di aggiornamento e modifica non comportino un deterioramento della sicurezza generale dei Servizi del responsabile.

1. Data center e sicurezza della rete

(a) Data center.

Infrastruttura. Jibe gestisce i data center distribuiti in diverse aree geografiche. Jibe archivia tutti i dati di produzione in data center fisicamente sicuri.

Ridondanza. I sistemi dell'infrastruttura sono stati concepiti per eliminare i single point of failure e ridurre al minimo l'impatto dei rischi ambientali prevedibili. La doppia ridondanza contribuisce a fornire la doppia ridondanza. I Servizi del responsabile sono concepiti per consentire a Jibe di eseguire determinati tipi di manutenzione preventiva e correttiva su base continua. Tutte le attrezzature ambientali e gli impianti hanno documentato le procedure di manutenzione preventiva che descrivono il processo e la frequenza delle prestazioni in base alle specifiche interne o del produttore. La manutenzione preventiva e correttiva delle attrezzature dei data center è programmata per mezzo di un procedimento standard conforme alle procedure documentate.

Alimentazione. I sistemi di alimentazione elettrica del data center sono concepiti per offrire ridondanza e manutenibilità senza impatto sulla continuità delle operazioni 24 ore su 24, 7 giorni su 7. Nella maggior parte dei casi, per i componenti critici dell'infrastruttura dei data center, vengono fornite una fonte di alimentazione primaria e una fonte di alimentazione alternativa, entrambe con pari capacità. L'alimentazione di riserva è fornita da vari meccanismi, quali batterie di gruppi di continuità (UPS), che forniscono una protezione dell'alimentazione altamente affidabile in caso di cali di tensione della rete, blackout, eventi di sovratensione o sottotensione e condizioni di frequenza fuori dai parametri di tolleranza. Se la fornitura di energia elettrica viene interrotta, l'energia di riserva è concepita per fornire un'alimentazione transitoria al data center, al pieno della capacità, per un massimo di dieci minuti, finché non viene rilevata dai sistemi di generazione diesel. I generatori diesel sono in grado di avviarsi automaticamente in pochi secondi per fornire una quantità di energia elettrica di emergenza sufficiente a far funzionare il data center al pieno delle proprie capacità, generalmente per una durata di diversi giorni.

Sistemi operativi del server. I server Jibe utilizzano sistemi operativi con protezione avanzata e personalizzati in base alle esigenze specifiche dei server dell'attività. I dati vengono archiviati utilizzando algoritmi proprietari per aumentare la sicurezza e la ridondanza dei dati. Jibe impiega un processo di revisione del codice per aumentare la sicurezza del codice utilizzato per fornire i servizi del responsabile e potenziare i prodotti di sicurezza negli ambienti di produzione.

Continuità aziendale. Jibe replica i dati su più sistemi per favorire la protezione contro le perdite o la distruzione accidentali. Jibe ha sviluppato dei programmi per la pianificazione della continuità aziendale e il ripristino di emergenza che vengono rivisti e testati regolarmente.

(b) Reti e trasmissione

Trasmissione dati. I data center sono generalmente connessi tramite collegamenti privati ad alta velocità per garantire il trasferimento rapido e sicuro dei dati. Questa configurazione è stata concepita per prevenire la lettura, copia, modifica o rimozione dei dati non autorizzate durante il trasferimento o trasporto elettronico oppure durante la registrazione su supporti di archiviazione dei dati. Jibe trasferisce i dati tramite protocolli Internet standard.

Superficie dell'attacco esterno. Jibe impiega più livelli di dispositivi di rete e rilevamento delle intrusioni per proteggere la propria superficie di attacco esterna. Jibe considera i potenziali vettori di attacco e integra tecnologie appropriate, progettate allo scopo, nei sistemi rivolti all'esterno.

Rilevamento delle intrusioni. Il rilevamento delle intrusioni mira a fornire una panoramica delle attività di attacco in corso e le informazioni adeguate per poter reagire agli incidenti. Il sistema di rilevamento delle intrusioni di Jibe prevede:

  1. Rigidi controlli sulla dimensione e sulla composizione della superficie di attacco della Jibe mediante misure preventive;

  2. L’impiego di controlli di rilevamento intelligente in tutti i punti di immissione dati; e

  3. L’impiego di tecnologie per la correzione automatica di determinate situazioni pericolose.

Risposta agli incidenti. Jibe monitora una serie di canali di comunicazione per rilevare eventuali incidenti di sicurezza e il personale di sicurezza di Jibe reagirà prontamente agli incidenti noti.

Tecnologie di crittografia. Jibe rende disponibile la crittografia HTTPS (nota anche come connessione SSL o TLS). I server Jibe supportano la curva ellittica temporanea Lo scambio di chiavi di crittografia Diffie Hellman firmato con RSA ed ECDSA. Questi metodi di Perfect Forward Secrecy (PFS) contribuiscono a proteggere il traffico di dati e riducono al minimo l'impatto in caso di compromissione di una chiave o di violazione della crittografia.

2. Accesso e verifica delle sedi

(a) Controlli del sito.

Operazione di sicurezza del data center in loco. I data center di Jibe mantengono un'operazione di sicurezza in loco responsabile di tutte le funzioni di sicurezza dei data center fisici 24 ore su 24, 7 giorni su 7. Il personale dell'unità operativa in loco esegue il monitoraggio delle telecamere a Circuito chiuso ("CCTV") e di tutti i sistemi di allarme. Il personale dell'unità operativa di sicurezza in loco esegue regolarmente perlustrazioni interne ed esterne dei data center.

procedure di accesso al data center. Jibe adotta procedure di accesso formali per consentire l'accesso fisico ai data center. I data center sono ospitati in strutture munite di accesso mediante carta magnetica e di sistemi di allarme collegati all'unità operativa di sicurezza in loco. Tutti i visitatori del data center devono identificarsi e mostrare un documento d'identità all'unità operativa di sicurezza in loco. L'ingresso ai data center è consentito soltanto ai dipendenti, i contrattisti e i visitatori autorizzati. Solo i dipendenti e i contrattisti autorizzati sono autorizzati a richiedere l'accesso con chiave magnetica alle strutture. Le richieste delle schede magnetiche di accesso devono essere inoltrate e richieste in anticipo e richiedono l'approvazione del responsabile del richiedente e del direttore del data center. Tutti gli altri visitatori che richiedono un accesso temporaneo al data center devono: (i) ottenere la previa approvazione dei responsabili del data center in questione per le specifiche aree interne che intendono visitare; (ii) registrarsi presso l'unità operativa di sicurezza in loco e (iii) fare riferimento a un registro ufficiale di accesso al data center che permetta di stabilire se la persona è approvata.

Dispositivi di sicurezza dei data center. I data center di Jibe utilizzano una chiave elettronica e un sistema di controllo dell'accesso biometrico collegato a un allarme di sistema. Il sistema di controllo dell'accesso monitora e registra ogni chiave elettronica della persona e quando accede alle porte perimetrali, alle aree di spedizione e ricezione e ad altre aree critiche. Le attività non autorizzate e i tentativi di accesso non riusciti vengono registrati dal sistema di controllo degli accessi e sono oggetto di verifica, come del caso. L'accesso autorizzato alle operazioni aziendali e ai data center è limitato in base alle zone e alle responsabilità professionali della persona che lo effettua. Le porte antincendio dei data center sono dotate di allarme. Le telecamere CCTV sono in funzione all'interno e all'esterno dei data center. Il posizionamento delle telecamere è stato progettato per coprire le aree strategiche, tra cui il perimetro, le porte di accesso agli edifici dei data center e le aree di spedizione/ricezione. Il personale delle operazioni di sicurezza in loco gestisce l'apparecchiatura di monitoraggio, registrazione e controllo del sistema CCTV. Un sistema di cablaggio sicuro connette le attrezzature CCTV in tutto il data center. Le videocamere registrano in loco 24 ore su 24, 7 giorni su 7 tramite videoregistratori digitali. Le registrazioni di sorveglianza vengono conservate per almeno sette giorni, a seconda dell’attività.

(b) Controllo dell'accesso.

personale di sicurezza dell’infrastruttura. Jibe adotta e mantiene una politica di sicurezza per il proprio personale, il cui pacchetto formativo viene obbligatoriamente integrato da programmi di formazione in materia di sicurezza. Il personale preposto alla sicurezza dell'infrastruttura di Jibe è responsabile del monitoraggio costante della sicurezza delle infrastrutture di Jibe, della revisione dei Servizi del responsabile e della risposta agli incidenti relativi alla sicurezza.

Controllo dell'accesso e gestione dei privilegi. Gli amministratori e gli utenti della Società devono eseguire l'autenticazione per mezzo di un sistema di autenticazione centrale o di un sistema di single sign-on per poter usare i Servizi del responsabile.

Procedure e criteri interni per l'accesso ai dati - Norme relative all'accesso. Le norme e i procedimenti per l'accesso ai dati interni di Jibe sono concepiti per impedire l'accesso di persone e/o sistemi non autorizzati ai sistemi utilizzati per il trattamento dei dati personali. Jibe mira a progettare i suoi sistemi per: (i) consentire solo alle persone autorizzate di accedere ai dati per i quali dispongono dell'autorizzazione e (ii) assicurare che i dati personali non possano essere letti, copiati, alterati o rimossi senza autorizzazione durante il trattamento, l'utilizzo e dopo la registrazione. I sistemi sono stati progettati per rilevare ogni tipo di accesso illecito. Jibe impiega un sistema di gestione centralizzato per controllare l'accesso del personale ai server di produzione e fornisce l’accesso solo a un numero limitato di personale autorizzato. LDAP, Kerberos e un sistema proprietario che utilizza i certificati SSH sono progettati per fornire a Jibe meccanismi di accesso sicuri e flessibili. Questi meccanismi sono progettati per concedere solo diritti di accesso approvati a host di siti, log, dati e informazioni di configurazione. Jibe richiede l'utilizzo di ID utente univoci, password efficaci, autenticazione a due fattori ed elenchi degli accessi attentamente monitorati per ridurre al minimo l'eventualità di un uso non autorizzato degli account. La concessione o la modifica dei diritti di accesso si basa: sulle responsabilità professionali del personale autorizzato; sulle esigenze legate alle mansioni lavorative necessarie all'esecuzione dei compiti autorizzati; e sul principio della "necessità di sapere". La concessione o la modifica dei diritti di accesso deve inoltre essere conforme alle norme interne di formazione sui dati di Jibe e alla relativa formazione. Le approvazioni sono gestite da strumenti del flusso di lavoro che mantengono record di audit per ogni modifica. L'accesso ai sistemi viene registrato per creare un audit trail per le responsabilità. Qualora vengano impiegate password per l'autenticazione (ad esempio per accedere a postazioni di lavoro), per tali password saranno adottati dei criteri che quanto meno seguano le pratiche standard del settore. Tali standard includono restrizioni relative al riutilizzo delle password e un livello di sicurezza della password adeguato.

3. Dati

(a) Archiviazione, isolamento e autenticazione dei dati.

Jibe archivia i dati su server di sua proprietà in un ambiente multi-tenant. I dati, il database dei servizi del responsabile e l'architettura del file system vengono replicati tra data center sparpagliati in diverse aree geografiche. Jibe isola logicamente i dati di ciascun cliente. Un sistema di autenticazione centrale viene usato per tutti i Servizi del responsabile per ottenere una maggiore uniformità nella sicurezza dei dati.

(b) Linee guida per i dischi ritirati e la distruzione dei dischi.

Alcuni dischi contenenti dati potrebbero andare incontro a problemi di prestazioni, errori o guasti dell'hardware che ne causano la dismissione ("Disco dismesso"). Ogni Disco ritirato viene sottoposto a una serie di procedure per la distruzione dei dati (le "Linee guida per la distruzione dei dati") prima di abbandonare le sedi di Jibe per essere riutilizzato o distrutto. I dischi ritirati vengono cancellati mediante un procedimento composto da varie fasi, la cui compiutezza viene verificata da almeno due ispettori indipendenti. I risultati della cancellazione vengono registrati mediante il numero di serie del Disco dismesso ai fini della tracciabilità. Infine, il Disco dismesso viene reinserito nell'inventario per essere riutilizzato o distribuito nuovamente. Qualora i dati presenti sul Disco dismesso non possano essere cancellati a causa di guasti hardware, il disco verrà conservato in un luogo sicuro fino a quando non potrà essere distrutto. Tutte le strutture vengono sottoposte regolarmente a controlli al fine di monitorare la conformità alle Linee guida per la distruzione dei dati.

4. Sicurezza del personale

Il personale Jibe è tenuto a comportarsi in modo conforme alle linee guida della società in materia di riservatezza, etica aziendale, uso appropriato e standard professionali. Jibe conduce controlli ragionevolmente appropriati dei precedenti del personale nella misura consentita dalla legge e ai sensi delle leggi e dei regolamenti locali sul lavoro vigenti.

Il personale è tenuto a sottoscrivere un accordo di riservatezza, a notificare la ricezione e il rispetto delle norme sulla privacy e sulla riservatezza di Jibe. Il personale riceve una formazione in materia di sicurezza. Il personale incaricato della gestione dei Dati personali dell'azienda deve soddisfare requisiti aggiuntivi appropriati in relazione al proprio ruolo. Il personale di Jibe non tratterà i Dati personali della società senza autorizzazione

5. Sicurezza del Sub-responsabile

Prima di avviare le attività di Sub-responsabili, Jibe esegue un controllo delle prassi relative a sicurezza e privacy dei Sub-responsabili per verificare che i Sub-responsabili forniscano un livello di sicurezza e privacy adeguato al loro accesso ai dati e all'ambito dei servizi che sono impegnati a fornire. Una volta che Jibe ha valutato i rischi presentati dal Sub-responsabile, soggetto sempre ai requisiti di cui alla Sezione 11.3 (Requisiti per l'incarico del Sub-responsabile), il Sub-responsabile deve sottoscrivere dei termini contrattuali consoni in merito alla sicurezza, alla riservatezza e alla privacy.

Allegato 3: Termini aggiuntivi relativi alla Normativa non europea sulla protezione dei dati

I seguenti Termini aggiuntivi relativi alla Normativa non europea sulla protezione dei dati integrano i presenti Termini per il trattamento dei dati:

Termini per il trattamento dei dati di Jibe, versione 2.0

27 agosto 2020