Cloud Services)
TRATTAMENTO DEI DATI PER SAP CLOUD SERVICES (Data Processing Agreement for SAP
Cloud Services)
1. PREMESSE
1.1 Allegato.
Il presente documento, compresi l'Allegato 1 e gli Appendici 1 e 2, ("Allegato") è parte integrante del Contratto, ai sensi del Modulo d'Ordine sottoscritto dal Cliente. Il presente Allegato ha come finalità la definizione dei termini per il trattamento dei dati tra SAP e fatto salvo quanto disposto alla Clausola 1.2 di cui innanzi, ciascun Titolare del Trattamento dei Dati che fornisce i Dati Personali nell’ambito del suo utilizzo del Cloud Service e definisce, inoltre, le misure tecniche ed organizzative applicabili implementate e adottate da SAP per proteggere i Dati Personali archiviati nel sistema di produzione del Cloud Service.
1.2 Rapporto contrattuale diretto.
(a) Qualora il trattamento dei Dati Personali venga effettuato entro lo SEE, tra SAP e il Cliente si applicherà il presente Allegato. In questo caso, il Cliente è responsabile di trasferire i termini e le condizioni di cui all'Allegato alle sue Affiliate.
(b) Se il Cliente e/o le sue Affiliate si trovano nello SEE e SAP o i suoi Sub Incaricati trattino od accedano ai Dati Personali di fuori dello SEE, troveranno applicazione le Clausole 5.1 e 5.2 del presente Allegato.
1.3 Forma.
La conclusione del Contratto che incorpora il presente Allegato sarà documentata dalla ricezione da parte di SAP di uno dei seguenti:
(a) Modulo d'Ordine in originale firmato,
(b) Modulo d'Ordine firmato in pdf o formato analogo, o
(c) l'accettazione del Modulo d'Ordine tramite DocuSign o un prodotto analogo utilizzato da SAP per ricevere il Modulo d'Ordine dal Cliente.
Qualora necessitasse di una copia cartacea del presente Allegato ovvero una distinta copia elettronica e sottoscritta dell'Allegato, il Cliente dovrà farne richiesta al proprio contatto vendite SAP.
1.4 Governance.
Il Cliente agisce quale Titolare del Trattamento dei Dati relativamente ai Dati Personali dei propri Utenti Autorizzati, anche per conto e in nome delle sue Affiliate o terze parti nella loro qualità di Titolari del Trattamento Dati autorizzati dal Cliente ad utilizzare il Cloud Service. Il Cliente funge da referente unico di SAP e si assume ogni responsabilità per il coordinamento interno, la revisione e la presentazione delle istruzioni o delle richieste degli altri Titolari del Trattamento dei Dati a SAP. SAP è assolta dell'obbligo di informare o notificare il Titolare del Trattamento dei Dati laddove abbia informato o avvisato il Cliente. SAP ha facoltà di rifiutare una qualsiasi richiesta o istruzione fornita direttamente da un Titolare del Trattamento dei Dati che non sia il Cliente. Il Cliente conferma di essere autorizzato a divulgare i Dati Personali a SAP all'interno del Cloud Service secondo quanto previsto dal Contratto. Il Cliente accetta di tenere indenne SAP da ogni pretesa avanzata avverso la stessa o i suoi Sub Incaricati riferibile a qualsivoglia violazione degli obblighi di Protezione dei Dati in capo al Cliente.
1.5 Clausola salvatoria.
Qualora una qualunque delle disposizioni del presente Allegato sia ritenuta invalida o inefficace da una qualsiasi autorità, l'invalidità di tale disposizione non avrà effetto sulle altre disposizioni del presente Allegato e le disposizioni non influenzate da tale invalidità conserveranno integralmente la loro validità ed efficacia.
2. FINALITÀ DEL TRATTAMENTO DEI DATI
2.1 Allegato 1
Il Cliente e i rispettivi Titolari del Trattamento dei Dati dovranno stabilire le finalità della raccolta, dell'elaborazione o degli altri usi dei Dati Personali memorizzati nel Cloud Service. Salvo diversamente previsto dal Contratto, l'Appendice 1 dell'Allegato si applicherà a tale trattamento dei dati.
2.2 Finalità.
Nell’ambito del presente Allegato, le finalità del trattamento dei Dati Personali da parte di SAP e dei suoi Sub Incaricati si limitano a:
(a) configurare, operare, monitorare e offrire il Cloud Service, compresa l'infrastruttura sottostante (hardware, software, strutture sicure di data center, connettività), in qualità di Responsabile del Trattamento dei Dati o Sub Incaricato, come previsto dal Contratto,
(b) fornire il supporto tecnico quale principale obbligazione di SAP ai sensi del Contratto,
(c) fornire Servizi di Consulenza quale principale obbligazione di SAP, se e nella misura concordata dalle parti,
(d) comunicare con gli Utenti Autorizzati come previsto dalle condizioni associate al particolare Servizio e
(e) Eseguire le istruzioni del Cliente secondo quanto previsto dalle Clausole 3.1 e 3.2 seguenti.
3. OBBLIGHI IN CAPO A SAP
3.1 Istruzioni.
SAP tratterà i Dati Personali soltanto secondo le istruzioni di ciascuno Titolare del Trattamento dei Dati sottoposte dal Cliente. SAP farà quanto commercialmente possibile per seguire e osservare le istruzioni ricevute dal Cliente purché legalmente necessarie e tecnicamente fattibili e sempre che non richiedano interventi di modifica sostanziali alle funzionalità del Cloud Service o del software sottostante. SAP informerà il Cliente laddove ritenga che le istruzioni da questi impartite violino la normativa vigente in materia di protezione dei dati. SAP non è tuttavia tenuta a svolgere una disamina legale approfondita. SAP informa tempestivamente il Cliente se e nella misura in cui non sia in grado di far seguito ad un'istruzione da questi impartita (si ammettono le comunicazioni a mezzo posta elettronica).
3.2 Istruzioni basate sui rimedi esperibili dai Soggetti Interessati.
SAP potrà su istruzioni del Cliente e la sua necessaria collaborazione, correggere, eliminare o bloccare un qualsiasi Dato Personale se e nella misura in cui la funzionalità del Cloud Service non consenta di farlo al Cliente, ai suoi Titolari del Trattamento Dati o agli Utenti Autorizzati. Il Cliente autorizza SAP ad accedere da remoto a un qualsiasi sistema o istanza del Cloud Service del Cliente per far seguito a una sua istanza o fornire assistenza tecnica, ad es. tramite la condivisione di applicazioni. Inoltre, il Cliente dovrà nominare una persona di contatto che, – se necessario, fornirà a SAP i diritti di accesso che si rendano necessari.
3.3 Segretezza dei Dati.
Ai fini dell'elaborazione dei Dati Personali, SAP e i suoi Sub Incaricati utilizzano unicamente personale che è soggetto all'obbligo di segretezza dei dati o delle telecomunicazioni, nella misura prevista dalla Legge sulla Protezione dei Dati. SAP, anche per conto dei Sub Incaricati, conferma che gli individui cui è permesso accedere ai Dati Personali seguano una regolare formazione in materia di sicurezza e riservatezza dei dati.
3.4 Misure tecniche ed organizzative.
(a) SAP implementerà ed adotterà, come minimo, le appropriate misure tecniche ed organizzative, come descritte nell'Appendice 2 all'allegato.
(b) L'Appendice 2 riguarda le modalità adottate nel sistema produttivo del Cloud Service per la sicurezza e la protezione dei dati contro elaborazioni non autorizzate o illecite e la perdita, la distruzione o il danno accidentale. Gli ambienti non produttivi, quali le istanze di test del
Cloud Service, offrono una sicurezza ridotta, ragion per cui SAP raccomanda di non memorizzare i Dati Personali negli ambienti non produttivi.
(c) SAP fornisce il Cloud Service uniformemente a tutti i clienti tramite un'applicazione in hosting basata sul web. Le opportune misure tecnico-organizzative adottate in un dato momento varranno, pertanto, per tutta la base clienti SAP ospitata nel medesimo data center e abbonata allo stesso Cloud Service. Il Cliente riconosce e accetta che le misure tecnico-organizzative adottate dipenderanno dal grado di progresso, sviluppo e miglioramento tecnico raggiunto nell'ambito della protezione dei Dati Personali.
3.5 Verifica.
SAP sottoporrà a regolare controllo le misure di cui all'Appendice 2. Se un Titolare del Trattamento dei Dati ritiene che la Legge sulla Protezione dei Dati renda necessarie delle misure ulteriori, il Cliente dovrà farne richiesta secondo quanto previsto alla clausola 3.1 di cui sopra.
3.6 Comunicazione di violazione della sicurezza.
SAP informerà prontamente il Cliente non appena venga a conoscenza di gravi interruzioni delle operazioni di elaborazione o di una qualsiasi Violazione della Sicurezza connessa al trattamento dei Dati Personali che, nelle rispettive circostanze, possano significativamente ledere gli interessi di Soggetti Interessati.
3.7 Cooperazione.
Su richiesta e a spese del Cliente, SAP è tenuta ad assistere ragionevolmente il Cliente o altro Titolare del Trattamento dei Dati nella gestione delle richieste inoltrate dai singoli Soggetti Interessati e/o da un'autorità di vigilanza e concernenti il trattamento dei Dati Personali ai sensi del presente.
3.8 Eliminazione
Al termine del Contratto, SAP cancellerà i Dati Personali rimasti sul server che ospita il Cloud Service, salvo la legge o il Contratto ne prevedano la conservazione. I dati conservati rimangono soggetti alle disposizioni sulla riservatezza previste dal Contratto.
4. SUB INCARICATI
4.1 Usi ammessi.
(a) Con il presente, il Cliente (anche per conto dei rispettivi Titolari del Trattamento dei Dati) autorizza SAP (anche per le finalità di cui alla clausola 11, paragrafo 1, delle Clausole Contrattuali Tipo) ad affidare l'elaborazione dei Dati Personali a sub incaricati (ciascuno un "Sub Incaricato") (i) nella misura necessaria all'adempimento degli obblighi ad essa incombenti in virtù del Contratto e (ii) alla condizione che SAP rimanga responsabile degli atti e delle omissioni dei suoi Sub Incaricati.
(b) SAP trasferirà ai suoi Sub Incaricati gli obblighi ad essa incombenti quale Responsabile del Trattamento dei Dati (o Sub Incaricato)nei confronti del Cliente e dei rispettivi Titolari del Trattamento dei Dati, come previsto dal presente Allegato.
(c) SAP conferma di aver implementato un processo di selezione diretto a valutare le pratiche di sicurezza, privacy e riservatezza del Sub Incaricato relativamente al trattamento dei dati, a cadenze regolari. In alternativa, il Sub Incaricato avrà una certificazione di sicurezza che attesti l'adozione di opportune misure di sicurezza per quanto riguarda i servizi che il medesimo fornisce a SAP.
4.2 Nuovi Sub Incaricati
(a) A sua esclusiva discrezione, SAP può destituire, sostituire o nominare eventuali altri Sub Incaricati, purché idonei ed affidabili, conformemente a quanto previsto dalla presente Clausola 4.2.
(b) SAP provvederà a comunicare in anticipo al Cliente a mezzo posta elettronica (fatta eccezione per le Sostituzioni di Urgenza di cui alla Clausola 4.3) eventuali modifiche all'elenco dei Sub Incaricati. Nel caso in cui il Cliente non sollevi obiezioni ai sensi della Clausola 4.2 (c) entro trenta giorni (30) dalla ricezione della notifica SAP, i nuovi Sub Incaricati si riterranno accettati.
(c) Qualora abbia un ragionevole motivo per opporsi a che SAP impieghi un dato Sub Incaricato (perché, ad esempio, è un soggetto non SEE e al Cliente incomberebbero ulteriori formalità quale Titolare del Trattamento dei Dati prima di poter impiegare il Sub Incaricato), il Cliente notificherà SAP per iscritto le sue motivazioni entro trenta giorni dalla ricezione della comunicazione inviata da SAP. Qualora il Cliente si opponga all'utilizzo del Sub Incaricato, SAP può adottare uno dei seguenti rimedi (a sua esclusiva discrezione): (i) rinunciare ad impiegare il Sub Incaricato per i Dati Personali interessati (ii) adottare le misure correttive richieste dal Cliente nella sua riserva (e andando pertanto a sanare l'obiezione mossa dal Cliente) e proseguire con l'impiego del Sub Incaricato per i Dati Personali in questione, o
(iii) cessare di fornire, o il Cliente concordare di non utilizzare (temporaneamente o permanentemente), la particolare componente del Cloud Service che comporta l'impiego del Sub Incaricato in relazione ai Dati Personali. Se nessuna delle suddette opzioni è ragionevolmente disponibile e il rilievo non viene sanato entro trenta giorni dall'obiezione mossa a SAP dal Cliente, ciascuna parte potrà chiedere la cessazione del Cloud Service interessato, con ragionevole preavviso scritto.
4.3 "Sostituzione d'urgenza" indica la sostituzione improvvisa di un Sub Incaricato quando avvenga al di fuori del ragionevole controllo di SAP (quale la cessazione dell'attività, l’improvvisa interruzione del servizio a SAP o la violazione degli obblighi contrattuali del Sub Incaricato). In tale ipotesi, SAP informerà il Cliente della sostituzione del Sub Incaricato non appena possibile, dando inizio al processo per la nomina del Sub Incaricato ai sensi della Sezione 4.2 (b).
5. TRASFERIMENTI INTERNAZIONALI E DEROGHE SPECIFICHE DI UN PAESE
5.1 Trasferimenti internazionali.
I Dati Personali che SAP riceve da un qualsiasi Titolare del Trattamento dei Dati con sede nello SEE potranno essere esportati da SAP o dai suoi Sub Incaricati dal Data Center (che sia o no ubicato nello SEE) in o si potrà ad essi accedere solo dai paesi o dai territori che non appartengono allo SEE (il "Trasferimento Internazionale") se
(a) il ricevente stesso o il paese o il territorio in cui il medesimo opera (vale a dire dove o da cui tratta o accede ai Dati Personali) è ritenuto capace di garantire un adeguato livello di protezione dei diritti e delle libertà dei soggetti interessati in relazione al trattamento dei Dati Personali, come stabilito dalla Commissione europea e ferme restando le restrizioni di ambito così decise; o
(b) il Trasferimento Internazionale ad un'Entità non SEE avviene in conformità della Clausola
5.2 qui di seguito.
5.2 Clausole Contrattuali Standard. Multi-tier Framework.
(a) Le Clausole Contrattuali Tipo annesse al presente Allegato ("Allegato 1") e la Clausola 4 di cui sopra, trovano applicazione allorquando il Contratto sia concluso tra (i) un Cliente con sede nello SEE o (ii) un Cliente le cui Affiliate hanno sede nello SEE e un'entità SAP con sede al di fuori del SEE.
(b) Per tutti gli altri Trasferimenti Internazionali per i quali SAP si avvale di altre Entità non SEE (designate ai sensi della Clausola 4, sopra), SAP (rappresentata da SAP SE) sottoscrive la versione non modificata delle Clausole Contrattuali Standard con ciascuna Entità non SEE prima del trattamento dei Dati Personali mediante Trasferimento Internazionale.
(c) Con il presente il Cliente aderisce e ciascun Titolare del Trattamento dei Dati può aderire alle Clausole Contrattuali Standard di cui al punto (b).
(d) Se il precedente contratto diretto non è disponibile ad un Titolare del Trattamento dei Dati ai sensi della Legge sulla Protezione dei Dati vigente, quale determinata da SAP e il Cliente, il Titolare del Trattamento dei Dati può stipulare con la relativa Entità non SEE (rappresentata da SAP SE) le Clausole Contrattuali Tipo fornite da SAP.
(e) Qualora il Titolare del Trattamento dei Dati non possa far valere direttamente le Clausole Contrattuali Tipo avverso l'Entità non SEE pertinente, ovvero qualora il medesimo venga contestato con successo da un Sub Incaricato, SAP farà valere le Clausole Contrattuali Tipo nei confronti del Sub Incaricato per conto del Titolare del Trattamento dei Dati, in osservanza di quanto previsto dal presente Allegato.
(f) È esclusa ogni interpretazione del Contratto che ne preveda la prevalenza su eventuali clausole confliggenti delle Clausole Contrattuali Tipo.
(g) Le Clausole Contrattuali Tipo sono governate dalla legge dello Stato membro di stabilimento dell'Esportatore dei Dati con sede nello SEE.
5.3 Deroghe specifiche per paese
(a) Australia. (i) Per le finalità del presente Allegato - "APP" indicano gli Australian Privacy Principles, dell'Allegato 1 del Privacy Amendment (Enhancing Privacy Protection) Xxx 0000, che ha modificato il Privacy Xxx 0000; "Titolare del Trattamento dei Dati" indica una persona che, da sola o con altre, determina le finalità e le modalità in cui i Dati Personali sono o saranno trattati; e "Responsabile del Trattamento dei Dati” indica una qualsiasi persona (che non sia un dipendente del Titolare del Trattamento dei Dati) che tratta i Dati Personali per conto del Titolare del Trattamento dei Dati. (ii) Nella misura in cui un Titolare del Trattamento dei Dati in Australia o i suoi Utenti Autorizzati intendano acquisire dei Dati Personali nel Cloud Service, il Cliente riconosce di dover prima ottenere il consenso di ciascun Soggetto Interessato dal Trasferimento Internazionale come previsto dal presente Allegato se e nella misura prevista dalla legge vigente in materia di protezione dei dati in Australia. Con il presente, il Cliente conferma e assicura di aver ricevuto i Dati Personali, nonché di aver informato i Soggetti Interessati degli obblighi di divulgazione dei Dati Personali ai sensi dell'APP e del Privacy Xxx 0000. Pertanto, e su tale base, l'art. 8.1 APP è soddisfatto e non troverà altra applicazione in forza dell'eccezione del "consenso informato" prevista dall'art. 8.2(b) APP (il "Consenso Informato"). Nella misura in cui il Consenso Informato non trovasse applicazione, il presente Allegato fornisce un quadro per la protezione dei Dati Personali di summenzionati Soggetti Interessati australiani, con modalità, complessivamente e sostanzialmente similari a alla protezione offerta ai dati dall'APP e SAP riconosce che accorderà a siffatti Dati Personali un livello di protezione similare come previsto dalle Clausole 2, 3 e 6 del presente Allegato (in forza dell'eccezione per "legge sostanzialmente similare" di cui all'art. 8.2(a) APP) ("Legge Sostanzialmente Similare"), e come tale e su tale base l'art. 8.1 APP è soddisfatto e non troverà altra applicazione in virtù della Legge Sostanzialmente Similare.
(b) Austria. Nella misura in cui il Titolare del Trattamento dei Dati in Austria o i suoi Utenti Designati intendano acquisire nel Cloud Service i dati personali di persone giuridiche (anch'essi considerati dati personali ai sensi della Legge Federale sulla Protezione dei Dati personali (DSG 2000)), il Cliente accetta di dover ottenere il consenso (ai sensi dell'art. 12, paragrafo 3 del DSG 2000) di tale persona giuridica (il Soggetto Interessato) prima di poter utilizzare il Cloud Service nei modi e termini qui descritti per detto o detti Soggetti Interessati). SAP conviene di accordare a siffatti dati personali un livello di protezione simile a quello previsto dalle Clausole 2, 0 e 6 del presente Allegato.
(c) Federazione Russa. Il Cliente o le Affiliate del Cliente in qualità di Titolari del Trattamento dei Dati rimangono operatori dei Dati Personali dei cittadini russi presentati ai fini del trattamento a SAP e compete loro stabilire (i) se il Cliente sia in grado di osservare la normativa sulla privacy vigente nella Federazione Russa durante l'utilizzo del Cloud Service
che richiedono il trattamento di Dati Personali appartenenti a cittadini russi e (ii) se i Cloud Service possano essere utilizzati all'interno o al di fuori dei confini della Federazione Russa.
(d) Singapore Ai sensi del regolamento 10(2)(b) del Personal Data Protection Regulations 2014, fatte salve le eventuali pattuizioni contrarie del Modulo d'Ordine, i paesi a cui SAP può trasferire i Dati Personali contenuti nei Dati Cliente nell'ambito della fornitura del Cloud Service ai sensi del Contratto (dalla data di efficacia del Modulo d'Ordine firmato dal Cliente) sono: Australia, Austria, Brasile, Bulgaria, Canada, Cile, Cina, Cina/Hong Kong, Repubblica Ceca, Francia, Germania, Ungheria, Xxxxx, Xxxxxxx, Xxxxxxx, Xxxxxxx, Xxxxxxx, Xxxxxx, Xxxx, Xxxxxxxxx, Polonia, la Federazione Russa, Singapore, Slovacchia, Sudafrica, Xxxxx del Sud, Spagna, Svezia, Regno Unito e Stati Uniti d'America. SAP potrà includere nel suddetto elenco degli altri paesi seguendo il processo per la notificazione al Cliente delle modificazioni all'elenco dei Sub Incaricati di SAP di cui alla Clausola (d) sopra, indicando nella notificazione il paese di stabilimento dell'eventuale nuovo Sub Incaricato. La presente Clausola non comprende necessariamente tutti i paesi cui SAP potrà trasferire i Dati Cliente secondo quanto indicato dal Cliente, ovvero i paesi dai quali il Cliente, i suoi Utenti Autorizzati o i Business Partner del Cliente potranno accedere al Cloud Service.
(e) Xxxxx del Sud. Nella misura in cui un Titolare del Trattamento dei Dati nella Repubblica di Xxxxx o i suoi Utenti Autorizzati intendano acquisire dei Dati Personali nel Cloud Service, il Cliente riconosce di dover prima ottenere il consenso di ciascun Soggetto Interessato dal Trasferimento Internazionale come previsto dal presente Allegato se e nella misura prevista dalla legge vigente in materia di protezione dei dati nella Repubblica di Xxxxx. Con il presente il Cliente conferma e assicura di aver ricevuto i Dati Personali nonché di aver informato i soggetti interessati dal trasferimento/trattamento cui sono sottoposti i Dati Personali in osservanza delle normative vigenti.
(f) Svizzera. Nella misura in cui il Titolare del Trattamento dei Dati si trovi in Svizzera o i suoi Utenti Autorizzati intendano acquisire nel Cloud Service i dati personali di persone giuridiche (anch'essi considerati dati personali ai sensi della Legge Federale Svizzera sulla Protezione dei Dati), il Cliente conviene di dover ottenere il consenso (ai sensi dell'art. 6, paragrafo 2, lettera b. della Legge Federale Svizzera sulla Protezione dei Dati) di tale persona giuridica (il "Soggetto Interessato") prima di poter utilizzare il Cloud Service nei modi e termini qui descritti per detto o detti Soggetti Interessati). SAP conviene di accordare a siffatti dati personali un livello di protezione simile a quello previsto dalle Clausole 2, 0 e 6 del presente Allegato.
(g) Turchia Nella misura in cui un Titolare del Trattamento dei Dati in Turchia o i suoi Utenti Autorizzati intendano acquisire dei Dati Personali nel Cloud Service, il Cliente riconosce di dover prima ottenere il consenso di ciascun Soggetto Interessato dal Trasferimento Internazionale come previsto dal presente Allegato se e nella misura prevista dalla legge vigente in materia di protezione dei dati in Turchia. Con il presente il Cliente conferma e assicura di aver ricevuto i Dati Personali nonché di aver informato i soggetti interessati dal trasferimento/trattamento cui sono sottoposti i Dati Personali in osservanza delle normative vigenti.
(h) Stati Uniti. Salvo SAP e il Cliente abbiano stipulato un cosiddetto contratto di "Business Associate" per lo scambio di informazioni mediche protette (le "PHI") come definito dalla Legge degli Stati Uniti sulla Portabilità e Responsabilità delle Assicurazioni Mediche (la "United States Health Insurance Portability and Accountability Act") del 1996 e successive modifiche relativamente al Cloud Service, il Cliente dichiara con il presente di astenersi dall'inoltrare dati medici protetti al Cloud Service e di non richiedere siffatte informazioni ai partner o ai clienti nel corso dell'utilizzo del Cloud Service.
6. CERTIFICAZIONI E AUDIT
6.1 Certificazioni e Relazioni di Revisione.
Per i sistemi produttivi sui quali opera il Cloud Service e per la durata del Contratto, SAP manterrà, a sue spese, le necessarie certificazioni o relazioni di revisione:
(a) Come requisito minimo, SAP coinvolgerà una società terza di revisione indipendente e di fama internazionale per rivedere le misure adottate per proteggere il Cloud Service: (i) le Certificazioni possono basarsi sull'ISO 27001 o altri standard (secondo l'ambito previsto dal certificato). (ii) Per determinati Cloud Service SAP, SAP fornirà anche una valida relazione di certificazione ISAE3402 o SSAE16-SOC 1 di tipo 2 e/o ISAE3000 o SSAE16-SOC 2 di tipo
2. Se il Cliente lo chiede, SAP dovrà informarlo delle certificazioni rilasciate e degli standard di certificazione disponibili per lo specifico Cloud Service.
(b) Su richiesta del Cliente, possono essere fornite relazioni di audit SOC o certificazioni ISO rilasciate da revisori terzi o da SAP, come del caso.
6.2 Verifiche del Cliente.
Ai sensi della Clausola 6.4 seguente e nei modi previsti dalla Legge sulla Protezione dei Dati vigente, il Cliente (o un revisore terzo indipendente per suo conto soggetto ad obblighi di riservatezza equivalenti a quelli previsti dal Contratto) potrà verificare l'ambiente di controllo e le prassi di sicurezza adottate da SAP per i Dati Personali elaborati ai sensi del presente per il Cliente qualora:
(a) SAP non abbia fornito sufficiente prova di compliance, di cui alla Clausola 6.1,
(b) Si sia verificato uno degli eventi previsti dalla Clausola 3.6,
(c) il Cliente o un altro Titolare del Trattamento dei Dati abbia ragionevole ragione di sospettare che SAP non osservi gli obblighi previsti dal presente Allegato,
(d) l'autorità di vigilanza o l'organo di controllo sulla protezione dei dati del Cliente o di altro Titolare del Trattamento dei Dati richieda un'ulteriore verifica (ad esempio nel caso in cui le autorità preposte al rispetto della legge abbiano il diritto di sottoporre a verifica il Titolare del Trattamento dei Dati se i Dati Personali siano trattati presso il medesimo Titolare).
6.3 Cooperazione.
SAP farà quanto ragionevolmente possibile per sostenere il Cliente nel corso dei processi di verifica previsti dalla Legge sulla Protezione dei Dati e offrirà al Cliente le necessarie informazioni.
6.4 Restrizioni alla verifica.
(a) Salvo richiesta dalla Legge sulla Protezione dei Dati vigente, la verifica prevista dalla Clausola (b) sarà limitata ad una occorrenza in dodici mesi.
(b) La verifica non potrà superare i tre giorni lavorativi.
(c) Il Cliente informerà SAP con ragionevole preavviso scritto (di almeno 60 giorni, salvo l'organismo di controllo sulla protezione dei dati sia legittimato dalla Legge sulla Protezione dei Dati ad intervenire prima).
(d) Il Cliente e SAP decideranno di comune accordo e in anticipo quale sarà l'ambito e l'ordine del giorno della verifica. La verifica si baserà, per quanto possibile, sulle certificazioni e sulle relazioni di revisione o altri controlli attestanti che SAP rispetta il presente Allegato, ed escluderà audit ripetitivi.
(e) Il Cliente condurrà la verifica in tempi, luoghi e modi ragionevoli e fornirà a SAP copia della relazione di revisione.
(f) Ciascuna parte si farà carico dei propri costi di audit ai sensi della Clausola (b) ma il Cliente si farà carico anche dei costi sostenuti da SAP per le risorse interne SAP necessarie a condurre l'audit previsto dalla Clausola 6.2 (d) o dalla Legge sulla Protezione dei Dati vigente. I costi interni di SAP si baseranno sulle tariffe giornaliere correnti per servizi professionali concordate con il Cliente o, in assenza di siffatto accordo, sul listino prezzi SAP.
(g) Se l'audit determina che SAP sia contravvenuta agli obblighi ad essa derivanti dall'Allegato (la "Contestazione") SAP adotterà le opportune misure per rimediare a quanto contestatole. La decisione su quali siano le misure opportune da adottare per assicurare l'osservanza del presente Allegato sarà rimessa all'apprezzamento esclusivo di SAP.
7. DEFINIZIONI
Tutte le espressioni rese nel presente con l'iniziale maiuscola, quali Affiliate, Contratto, Cliente, Utente Autorizzato (talvolta reso come Utente o Utente Designato) Modulo d'Ordine o Cloud Service (talvolta reso come Servizio), avranno il medesimo significato di cui al Contratto.
7.1 Per "Data Center" si intende l'ubicazione di hosting dell'istanza produttiva del Cloud Service destinata al Cliente in base alla sua regione di stabilimento, come pubblicato all'indirizzo: xxxx://xxx.xxx.xxx/xxxxxxxxx-xx/xxxxx/xxx-xxxxxxx/xxxxxxxx/xxxx-xxxxxxx-xxx- security/location-of-data-center.html o notificata al Cliente o altrimenti pattuita nel Modulo d'Ordine.
7.2 All'espressione "Titolare del Trattamento dei Dati" è attribuito il significato conferito a detto termine dalla normativa vigente in materia di Protezione dei Dati.
7.3 Per "Esportatore di Dati", secondo la definizione datane nelle Clausole Contrattuali Tipo, si intende il Cliente indicato nel Modulo d'Ordine o i suoi Titolari del Trattamento dei Dati.
7.4 Per "Importatore di Dati" così come definito nelle Clausole Contrattuali Tipo, si intende l'Entità non SEE del caso.
7.5 All'espressione "Responsabile del Trattamento dei Dati" è attribuito il significato conferito a detto termine dalla normativa vigente in materia di Protezione dei dati.
7.6 Per "Legge sulla Protezione dei Dati" si intende la normativa vigente a tutela dei diritti e delle libertà fondamentali delle persone, e segnatamente, del diritto alla privacy con riguardo al trattamento dei Dati Personali ai sensi del Contratto. SAP osserverà gli obblighi supplementari di cui nel Modulo d'Ordine previsti dalla normativa locale sulla protezione dei dati applicabile a SAP in qualità di Responsabile del Trattamento dei Dati.
7.7 Per "Soggetto Interessato" si intende una persona fisica o giuridica (laddove la normativa vigente in materia di protezione dei dati lo preveda) specifica o identificabile.
7.8 Per "SEE" si intende lo Spazio economico europeo e i paesi per i quali la Commissione europea si è espressa con una decisione sull'adeguatezza della tutela offerta, pubblicata su xxxx://xx.xxxxxx.xx/xxxxxxx/xxxx-xxxxxxxxxx/xxxxxxxxxxxxx-xxxxxxxxx/xxxxxxxx/xxxxx_xx.xxx.
7.9 Per "Sub Incaricato europeo" si intende un Sub Incaricato che tratti fisicamente i Dati Personali nella UE, Islanda, Liechtenstein, Norvegia o Svizzera.
7.10 Per "Entità non SEE" si intende una qualsiasi entità SAP o Sub Incaricato costituiti al di fuori del SEE, ossia in un paese che non offre un adeguato livello di protezione dei dati quale determinato dalla Commissione europea.
7.11 All'espressione "Dati Personali" è attribuito il significato ad essa conferito dalla Normativa in materia di Protezione dei Dati e, per le finalità del presente Allegato, include solamente i dati personali acquisiti dal Cliente o dai suoi Utenti Autorizzati nel Cloud Service o derivati dall'utilizzo che questi fanno del Servizio, nonché quelli forniti a SAP o cui la stessa o i suoi Sub Incaricati accedono allo scopo di offrire il supporto previsto dal Contratto. I Dati Personali costituiscono un sottoinsieme dei Dati Cliente e sono da utilizzarsi in conformità dell'eventuale Normativa sulla Protezione dei dati.
7.12 Per "SAP" si intende l'entità SAP indicata nel Modulo d'Ordine che incorpora il presente Allegato.
7.13 Per "Violazione della Sicurezza" si intende un qualsiasi atto od omissione da parte di SAP o suoi Sub Incaricati che abbia provocato la divulgazione non autorizzata di Dati Personali in violazione delle misure di cui all'Appendice 2 o analogo incidente che il Titolare del Trattamento
dei Dati è obbligato per legge a notificare al Soggetto Interessato o all'autorità di tutela dei dati interessata.
7.14 Per "Clausole Contrattuali Tipo" talvolta dette "Clausole Modello UE" si intendono le clausole contrattuali tipo (responsabile del trattamento) secondo la Decisione della Commissione del 5 febbraio 2010 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio (notificata con il documento numero C(2010) 593), o altra successiva versione emessa dalla Commissione (che trova automaticamente applicazione) inclusi le Appendici 1 e 2 allegate al presente.
7.15 Per "Sub Incaricato", secondo la definizione datane nelle Clausole Contrattuali Tipo e in questo Allegato, si intendono le Affiliate SAP o i sub incaricati terzi ingaggiati da SAP o dalle Affiliate SAP ai sensi della Clausola 4.
8. ACCESSO UE (OPZIONE)
8.1 Cloud Service avente i requisiti adatti.
In deroga a quanto previsto dalla Clausola 5.1 del presente Allegato, SAP accetta di fornire un accesso UE al Cloud Service se e nella misura stabilita dal Modulo d'Ordine. Il Cliente riconosce che l'Accesso UE è fornito solo per i servizi passibili d'Accesso UE, come stabiliti di volta in volta da SAP e in hosting presso SAP nella UE.
8.2 Sedi dei Data Center.
Dalla Data di Inizio Efficacia del Modulo d'Ordine e in deroga a qualsiasi sua disposizione contraria, i Data Center utilizzati per l'hosting dei Dati Personali riferibili al Cloud Service saranno ubicati nel territorio del SEE o Svizzera. SAP accetta di non trasferire l'istanza del Cliente in un Data Center ubicato al di fuori del SEE o Svizzera senza il previo consenso scritto del Cliente (è ammessa l'e-mail). Qualora preveda di trasferire l'istanza del Cliente in un altro data center ubicato nello SEE o Svizzera, SAP ne darà comunicazione scritta al Cliente (è ammessa l'e-mail) con almeno trenta giorni di preavviso sulla migrazione.
8.3 Accesso UE.
Il Cliente ha chiesto e SAP ha accettato di non utilizzare Sub Incaricati che non siano Sub Incaricati Europei per la fornitura di assistenza sui sistemi di produzione del Cloud Service, nella misura in cui siffatta assistenza possa richiedere l'accesso ai Dati Personali, a prescindere che vi sia o meno un tale accesso.
8.4 Esclusione.
I seguenti Dati Personali non sono soggetti ad Accesso UE:
(a) I dettagli del mittente del ticket di supporto e/o di incidente, avviso o messaggio quando viene inviata una richiesta di supporto e/o segnalazione di incidente.
(b) Qualsiasi altro Dato Personale presentato dal Cliente all'inoltro del ticket di supporto e/o incidente. Il Cliente può scegliere di non trasmettere i suddetti Dati Personali all'inoltro del ticket di supporto e/o incidente. Se i predetti dati sono necessari al processo di gestione degli incidenti, il Cliente potrà rendere anonimi i Dati Personali prima di trasmettere l'avviso di incidente a SAP.
(c) Dati Personali nei sistemi non produttivi.
Attachment 1
STANDARD CONTRACTUAL CLAUSES (PROCESSORS)
1
For the purposes of Article 26(2) of Directive 95/46/EC for the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection
Customer and/or Customer Affiliates based in the EU in the sense of Section 1.2 (b) of the DATA PROCESSING AGREEMENT (in the Clauses hereinafter referred to as the ‘data exporter’)
and
SAP SE as representative for Non-EEA Entities in the sense of Section 5.2 of the DATA PROCESSING AGREEMENT (in the Clauses hereinafter referred to as the ‘data importer’)
each a ‘party’; together ‘the parties’,
HAVE AGREED on the following Contractual Clauses (the Clauses) in order to adduce adequate safeguards with respect to the protection of privacy and fundamental rights and freedoms of individuals for the transfer by the data exporter to the data importer of the personal data specified in Appendix 1.
Definitions
For the purposes of the Clauses:
(a) ‘personal data’, ‘special categories of data’, ‘process/processing’, ‘controller’, ‘processor’, ‘data subject’ and ‘supervisory authority’ shall have the same meaning as in Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data;
(b) ‘the data exporter’ means the controller who transfers the personal data;
(c) ‘the data importer’ means the processor who agrees to receive from the data exporter personal data intended for processing on his behalf after the transfer in accordance with his instructions and the terms of the Clauses and who is not subject to a third country’s system ensuring adequate protection within the meaning of Article 25(1) of Directive 95/46/EC;
(d) ‘the sub-processor’ means any processor engaged by the data importer or by any other sub- processor of the data importer who agrees to receive from the data importer or from any other sub-processor of the data importer personal data exclusively intended for processing activities to be carried out on behalf of the data exporter after the transfer in accordance with his instructions, the terms of the Clauses and the terms of the written subcontract;
(e) ‘the applicable data protection law’ means the legislation protecting the fundamental rights and freedoms of individuals and, in particular, their right to privacy with respect to the processing of personal data applicable to a data controller in the Member State in which the data exporter is established;
(f) ‘technical and organisational security measures’ means those measures aimed at protecting personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing.
1 Pursuant to Commission Decision of 5 February 2010 (2010/87/EU)
Details of the transfer
The details of the transfer and in particular the special categories of personal data where applicable are specified in Appendix 1 which forms an integral part of the Clauses.
Third-party beneficiary clause
1. The data subject can enforce against the data exporter this Clause, Clause 4(b) to (i), Clause 5(a) to (e), and (g) to (j), Clause 6(1) and (2), Clause 7, Clause 8(2), and Clauses 9 to 12 as third- party beneficiary.
2. The data subject can enforce against the data importer this Clause, Clause 5(a) to (e) and (g), Clause 6, Clause 7,Clause 8(2), and Clauses 9 to 12, in cases where the data exporter has factually disappeared or has ceased to exist in law unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law, as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity.
3. The data subject can enforce against the sub-processor this Clause, Clause 5(a) to (e) and (g), Clause 6, Clause 7, Clause 8(2), and Clauses 9 to 12, in cases where both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity. Such third-party liability of the subprocessor shall be limited to its own processing operations under the Clauses.
4. The parties do not object to a data subject being represented by an association or other body if the data subject so expressly wishes and if permitted by national law.
Obligations of the data exporter
The data exporter agrees and warrants:
(a) that the processing, including the transfer itself, of the personal data has been and will continue to be carried out in accordance with the relevant provisions of the applicable data protection law (and, where applicable, has been notified to the relevant authorities of the Member State where the data exporter is established) and does not violate the relevant provisions of that State;
(b) that it has instructed and throughout the duration of the personal data-processing services will instruct the data importer to process the personal data transferred only on the data exporter’s behalf and in accordance with the applicable data protection law and the Clauses;
(c) that the data importer will provide sufficient guarantees in respect of the technical and organisational security measures specified in Appendix 2 to this contract;
(d) that after assessment of the requirements of the applicable data protection law, the security measures are appropriate to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing, and that these measures ensure a level of security appropriate to the risks presented
by the processing and the nature of the data to be protected having regard to the state of the art and the cost of their implementation;
(e) that it will ensure compliance with the security measures;
(f) that, if the transfer involves special categories of data, the data subject has been informed or will be informed before, or as soon as possible after, the transfer that its data could be transmitted to a third country not providing adequate protection within the meaning of Directive 95/46/EC;
(g) to forward any notification received from the data importer or any sub-processor pursuant to Clause 5(b) and Clause 8(3) to the data protection supervisory authority if the data exporter decides to continue the transfer or to lift the suspension;
(h) to make available to the data subjects upon request a copy of the Clauses, with the exception of Appendix 2, and a summary description of the security measures, as well as a copy of any contract for sub-processing services which has to be made in accordance with the Clauses, unless the Clauses or the contract contain commercial information, in which case it may remove such commercial information;
(i) that, in the event of sub-processing, the processing activity is carried out in accordance with Clause 11 by a subprocessor providing at least the same level of protection for the personal data and the rights of data subject as the data importer under the Clauses; and
(j) that it will ensure compliance with Clause 4(a) to (i).
Obligations of the data importer
The data importer agrees and warrants:
(a) to process the personal data only on behalf of the data exporter and in compliance with its instructions and the Clauses; if it cannot provide such compliance for whatever reasons, it agrees to inform promptly the data exporter of its inability to comply, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;
(b) that it has no reason to believe that the legislation applicable to it prevents it from fulfilling the instructions received from the data exporter and its obligations under the contract and that in the event of a change in this legislation which is likely to have a substantial adverse effect on the warranties and obligations provided by the Clauses, it will promptly notify the change to the data exporter as soon as it is aware, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;
(c) that it has implemented the technical and organisational security measures specified in Appendix 2 before processing the personal data transferred;
(d) that it will promptly notify the data exporter about:
(i) any legally binding request for disclosure of the personal data by a law enforcement authority unless otherwise prohibited, such as a prohibition under criminal law to preserve the confidentiality of a law enforcement investigation;
(ii) any accidental or unauthorised access; and
(iii) any request received directly from the data subjects without responding to that request, unless it has been otherwise authorised to do so;
(e) to deal promptly and properly with all inquiries from the data exporter relating to its processing of the personal data subject to the transfer and to abide by the advice of the supervisory authority with regard to the processing of the data transferred;
(f) at the request of the data exporter to submit its data-processing facilities for audit of the processing activities covered by the Clauses which shall be carried out by the data exporter or an inspection body composed of independent members and in possession of the required professional qualifications bound by a duty of confidentiality, selected by the data exporter, where applicable, in agreement with the supervisory authority;
(g) to make available to the data subject upon request a copy of the Clauses, or any existing contract for sub-processing, unless the Clauses or contract contain commercial information, in which case it may remove such commercial information, with the exception of Appendix 2 which shall be replaced by a summary description of the security measures in those cases where the data subject is unable to obtain a copy from the data exporter;
(h) that, in the event of sub-processing, it has previously informed the data exporter and obtained its prior written consent;
(i) that the processing services by the sub-processor will be carried out in accordance with Clause 11;
(j) to send promptly a copy of any sub-processor agreement it concludes under the Clauses to the data exporter.
Liability
1. The parties agree that any data subject, who has suffered damage as a result of any breach of the obligations referred to in Clause 3 or in Clause 11 by any party or sub-processor is entitled to receive compensation from the data exporter for the damage suffered.
2. If a data subject is not able to bring a claim for compensation in accordance with paragraph 1 against the data exporter, arising out of a breach by the data importer or his sub-processor of any of their obligations referred to in Clause 3 or in Clause 11, because the data exporter has factually disappeared or ceased to exist in law or has become insolvent, the data importer agrees that the data subject may issue a claim against the data importer as if it were the data exporter, unless any successor entity has assumed the entire legal obligations of the data exporter by contract of by operation of law, in which case the data subject can enforce its rights against such entity.
3. If a data subject is not able to bring a claim against the data exporter or the data importer referred to in paragraphs 1 and 2, arising out of a breach by the sub-processor of any of their obligations referred to in Clause 3 or in Clause 11 because both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, the sub- processor agrees that the data subject may issue a claim against the data sub-processor with regard to its own processing operations under the Clauses as if it were the data exporter or the data importer, unless any successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law, in which case the data subject can enforce its rights
against such entity. The liability of the sub-processor shall be limited to its own processing operations under the Clauses.
Mediation and jurisdiction
(a) to refer the dispute to mediation, by an independent person or, where applicable, by the supervisory authority;
(b) to refer the dispute to the courts in the Member State in which the data exporter is established.
Cooperation with supervisory authorities
1. The data exporter agrees to deposit a copy of this contract with the supervisory authority if it so requests or if such deposit is required under the applicable data protection law.
2. The parties agree that the supervisory authority has the right to conduct an audit of the data importer, and of any sub-processor, which has the same scope and is subject to the same conditions as would apply to an audit of the data exporter under the applicable data protection law.
3. The data importer shall promptly inform the data exporter about the existence of legislation applicable to it or any sub-processor preventing the conduct of an audit of the data importer, or any sub-processor, pursuant to paragraph 2. In such a case the data exporter shall be entitled to take the measures foreseen in Clause 5(b).
Governing law
Variation of the contract
The parties undertake not to vary or modify the Clauses. This does not preclude the parties from adding clauses on business related issues where required as long as they do not contradict the Clause.
Sub-processing
1. The data importer shall not subcontract any of its processing operations performed on behalf of the data exporter under the Clauses without the prior written consent of the data exporter. Where the data importer subcontracts its obligations under the Clauses, with the consent of the data exporter, it shall do so only by way of a written agreement with the sub-processor which imposes the same obligations on the sub-processor as are imposed on the data importer under the Clauses. Where the sub-processor fails to fulfill its data protection obligations under such written agreement the data importer shall remain fully liable to the data exporter for the performance of the sub-processor’s obligations under such agreement.
2. The prior written contract between the data importer and the sub-processor shall also provide for a third-party beneficiary clause as laid down in Clause 3 for cases where the data subject is not able to bring the claim for compensation referred to in paragraph 1 of Clause 6 against the data exporter or the data importer because they have factually disappeared or have ceased to exist in law or have become insolvent and no successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law. Such third-party liability of the sub- processor shall be limited to its own processing operations under the Clauses.
3. The provisions relating to data protection aspects for sub-processing of the contract referred to in paragraph 1 shall be governed by the law of the Member State in which the data exporter is established, namely Germany.
4. The data exporter shall keep a list of sub-processing agreements concluded under the Clauses and notified by the data importer pursuant to Clause 5(j), which shall be updated at least once a year. The list shall be available to the data exporter’s data protection supervisory authority.
Obligation after the termination of personal data-processing services
1. The parties agree that on the termination of the provision of data-processing services, the data importer and the sub-processor shall, at the choice of the data exporter, return all the personal data transferred and the copies thereof to the data exporter or shall destroy all the personal data and certify to the data exporter that it has done so, unless legislation imposed upon the data importer prevents it from returning or destroying all or part of the personal data transferred. In that case, the data importer warrants that it will guarantee the confidentiality of the personal data transferred and will not actively process the personal data transferred anymore.
2. The data importer and the sub-processor warrant that upon request of the data exporter and/or of the supervisory authority, it will submit its data-processing facilities for an audit of the measures referred to in paragraph 1.
APPENDICE 1 ALL'ACCORDO SUL TRATTAMENTO DEI DATI E ALLE CLAUSOLE
CONTRATTUALI TIPO
Le parti hanno facoltà di integrare o specificare ulteriormente, nel Modulo d'Ordine o nelle Clausole Integrative, qualsiasi altra informazione necessaria o modificata dal Cliente nella descrizione seguente.
Esportatore
L'Esportatore si è abbonato al SAP Cloud Service che permette agli Utenti Autorizzati di acquisire, modificare, usare, eliminare o altrimenti trattare i Dati Personali secondo quanto previsto dall'Accordo.
Importatore
SAP e i suoi Sub Incaricati forniscono il Cloud Service che comprende anche la seguente assistenza: Le Affiliate SAP nel mondo assistono i data center globali del SAP Cloud Service in remoto dalle rispettive sedi, quali quelle di St. Xxxx/Rot (Germania), India, e altre sedi SAP di stanziamento del personale addetto alle attività operative e di fornitura in Cloud. L'assistenza comprende ma non si limita a:
• monitorare il Cloud Service e l'infrastruttura sottostante
• effettuare il backup e il ripristino dei Dati Cliente nel Cloud Service
• rilascio e sviluppo di patch, nuovi aggiornamenti e upgrade del Cloud Service e dell'infrastruttura sottostante
• eliminazione dei guasti a server, archivi e rete
• attività di monitoraggio del database, eliminazione dei guasti, amministrazione giornaliera del database, compreso il dimensionamento del database produttivo, la creazione degli indici, la regolazione delle prestazioni, e la gestione dei patch. Gestione del database in standby e progetti concernenti le funzioni del database
• monitoraggio di sicurezza, supporto in rete per la rilevazione di accessi non autorizzati, esecuzione di test di penetrazione
Le Affiliate SAP offrono supporto anche quando il Cliente presenta un ticket di assistenza per indisponibilità del Cloud Service o per prestazioni inferiori a quelle attese da alcuni o tutti gli Utenti Autorizzati (incidente): SAP risponderà alle chiamate e svolgerà una prima attività di eliminazione degli errori oltre ad instradare e gestire i ticket di supporto in un sistema di tracking distinto rispetto all'istanza produttiva del Cloud Service.
Soggetti interessati
I Dati Personali trasferiti interessano le seguenti categorie di soggetti interessati:
Salvo altrimenti disposto dall'Esportatore, i Soggetti Interessati possono comprendere dipendenti, terzisti, business partner o altri soggetti i cui Dati personali vengono archiviati nel Cloud Service.
Categorie di dati
I Dati Personali trasferiti interessano le seguenti categorie di dati:
Il Cliente determina le categorie di dati di ciascun Cloud Service cui è abbonato. I campi di dati del Cliente possono essere configurati nell'ambito dell'implementazione del Cloud Service o nei modi altrimenti ammessi dal Cloud Service. I Dati Personali trasferiti riguardano in genere (un sottoinsieme di) le seguenti categorie di dati: nome, numeri di telefono, indirizzi di posta elettronica, fuso orario, indirizzo postale, dati relativi all'accesso o all'utilizzo del sistema o di autorizzazione, ragione sociale, dati contrattuali, dati di fatturazione e un qualsiasi dato specifico dell'applicazione acquisito nel Cloud Service dagli Utenti Autorizzati, inclusi i dati riguardanti l'appoggio bancario, la carta di credito o la carta di debito.
Categorie particolari di dati (se del caso)
Trattamento
I Dati Personali trasferiti saranno sottoposti alle seguenti attività principali di trattamento:
• uso dei Dati Personali per erogare il Cloud Service (compreso il supporto operativo e tecnico)
• archiviazione dei Dati Personali in Data Center dedicati (con architettura multi-tenant)
• caricamento di patch, aggiornamenti, upgrade/nuove release nel Cloud Service
• back up dei Dati Personali
• trattamento computerizzato dei Dati Personali, compresa la trasmissione, il reperimento e l'accesso ai dati
• accesso di rete per consentire l'eventuale trasferimento dei Dati Personali
APPENDICE 2 ALL'ACCORDO SUL TRATTAMENTO DEI DATI E ALLE CLAUSOLE CONTRATTUALI TIPO
1. PREMESSE
1.1 Deroghe.
Alcuni Servizi Cloud sono soggetti a termini di supporto diversi, come previsti dalle Clausole Integrative o dal Modulo d'Ordine.
1.2 Ambito.
In tutti gli altri casi varrà la descrizione delle misure tecniche e organizzative di sicurezza di cui alla Clausola 2 seguente, attuate dall’Importatore per i Dati Personali archiviati nel sistema produttivo del Cloud Service (in conformità della clausola 4, lettera d), e della clausola 5, lettera
c) delle Clausole Contrattuali Tipo.
2. MISURE TECNICHE E ORGANIZZATIVE
Le seguenti sezioni specificano le misure di sicurezza vigenti messe a punto da SAP.
2.1 Controllo dell'accesso fisico.
Ai soggetti non autorizzati è negato l'accesso fisico ai luoghi, edifici o stanze di ubicazione dei sistemi di trattamento dei dati che trattano e/o fanno uso di Dati Personali.
Tutti i Data Center sono sottoposti a rigorose procedure di sicurezza affidate a guardie, telecamere di sorveglianza, rilevatori di movimento, meccanismi di controllo degli accessi e altre misure dirette ad impedire che apparecchiature e Data Center risultino compromessi. L'accesso ai sistemi e alle infrastrutture dei Data Center è ristretto al solo personale autorizzato. A garanzia del loro buon funzionamento, le attrezzature fisiche di sicurezza (quali i sensori di movimento, le telecamere, ecc.) vengono regolarmente manutenute. Nello specifico, presso tutti i Data Center sono state implementate le seguenti misure di sicurezza fisica:
(a) SAP protegge i propri beni e strutture con mezzi adeguati secondo una classificazione di sicurezza condotta da un reparto di sicurezza interno.
(b) In genere, gli edifici sono messi in sicurezza tramite sistemi di accesso controllato (sistema di accesso con carte magnetiche).
(c) Come requisito di base, la parte più esterna dell'edificio deve essere equipaggiata con un sistema di chiavi certificate, comprendente una sistema di gestione delle chiavi moderno e proattivo.
(d) A seconda della classificazione di sicurezza, gli edifici, le singole aree e gli edifici limitrofi vengono ulteriormente protetti con misure addizionali. Queste includono specifici profili di accesso, sorveglianza video, sistemi con dispositivi di sicurezza e sistemi di controllo dell'accesso a riconoscimento biometrico.
(e) I diritti di accesso saranno conferiti individualmente ai soggetti autorizzati sulla base delle misure di controllo dell'accesso al sistema e ai dati illustrate di seguito. Ciò vale anche per l'accesso dei visitatori. Ospiti e visitatori agli edifici SAP devono registrare il proprio nome alla reception ed essere accompagnati da personale autorizzato SAP. SAP e tutti i provider terzi dei Data Center sono tenuti a tenere un registro dei nomi e dei tempi di tutti coloro che accedono alle aree private SAP all'interno dei Data Center.
(f) I dipendenti SAP e il personale esterno devono indossare le proprie tessere identificative in tutte le sedi SAP.
2.2 Controllo dell'Accesso al Sistema.
È necessario impedire che i sistemi di trattamento dei dati utilizzati per erogare il Servizio Cloud siano utilizzati senza le debite autorizzazioni.
(a) Per concedere l'accesso ai sistemi sensibili, inclusi quelli di archiviazione e trattamento dei Dati Personali, vengono utilizzati livelli multipli di autorizzazione. Sono stati messi a punto dei processi atti a garantire che solamente gli utenti autorizzati possano fruire delle autorizzazioni per aggiungere, eliminare o modificare gli utenti.
(b) Tutti gli utenti accedono ai sistemi SAP con un identificativo unico (ID utente).
(c) SAP ha messo a punto procedure atte a garantire che le modifiche di autorizzazione richieste siano implementate esclusivamente in osservanza delle direttive (ad esempio, nessuna concessione di diritti senza autorizzazione). I diritti d'accesso degli utenti che cambiano funzione o lasciano la società vengono revocati.
(d) Le direttive SAP in materia di password proibiscono la condivisione delle password, stabiliscono il corso d'azione qualora una password venga svelata, impongono il cambiamento periodico della password e la modifica delle password iniziali. Ai fini dell'autenticazione vengono assegnati ID utente personalizzati. Tutte le password devono soddisfare i requisiti minimi previsti ed essere memorizzate in forma criptata. Nel caso di password di dominio, il sistema ne forza una modifica conforme ai requisiti per le password complesse ogni sei mesi. Tutti i computer sono dotati di screensaver protetto da password.
(e) L'accesso remoto all'ambiente di erogazione del Cloud Service richiede quantomeno dei robusti meccanismi di autenticazione (ad esempio una combinazione di password e ulteriore funzionalità di sicurezza). Per gli account d'amministrazione e di servizio dei sistemi IT critici per la sicurezza dovranno essere usate password di almeno quindici (15) caratteri. Le nuove password dovranno essere diverse dalle ultime cinque (5) password dell'Utente Autorizzato. La rete aziendale è protetta dalla rete pubblica tramite firewall.
(f) SAP utilizza software antivirus aggiornati in tutti i punti di accesso alla rete aziendale (per profili di posta elettronica) sui file server e sulle postazioni di lavoro.
(g) È stata implementata una gestione dei patch di sicurezza, in modo da assicurare la disponibilità degli aggiornamenti di sicurezza pertinenti.
(h) È garantito il completo accesso remoto alla rete aziendale SAP e l'infrastruttura critica è protetta da una rigorosa autenticazione.
2.3 Controllo dell'Accesso ai Dati.
I soggetti autorizzati all'uso dei sistemi di trattamento dei dati avranno accesso ai soli Dati Personali di pertinenza e non potranno leggere, copiare, modificare o eliminare i Dati Personali se non debitamente autorizzati durante il trattamento, uso e archiviazione.
(a) L'accesso a informazioni personali, riservate o sensibili viene concesso solo a fronte di necessità. Ovvero, i dipendenti o i collaboratori esterni hanno accesso alle informazioni di cui necessitano al fine di svolgere il proprio lavoro. SAP utilizza concept di autorizzazione che documentano le modalità con cui le autorizzazioni sono assegnate nonché quali autorizzazioni sono assegnate. Tutti i dati personali, riservati o diversamente sensibili sono protetti conformemente agli standard e orientamenti di sicurezza SAP.
(b) Tutti i server produttivi di un qualsiasi SAP Cloud Service vengono operati nei relativi Data Center/stanze dei server. Le misure di sicurezza a protezione delle applicazioni di trattamento dei dati personali, riservati o altri dati sensibili sono sottoposte a regolari controlli. A tal fine SAP conduce controlli di sicurezza interni ed esterni e test di penetrazione sui sistemi informatici.
(c) SAP non consente l'installazione di software personali o di altro genere e non approvati da SAP sui sistemi utilizzati per un qualsiasi Cloud Service.
(d) Le modalità di eliminazione e distruzione dei dati e dei supporti dati sono disciplinate da uno standard di sicurezza SAP.
2.4 Controllo della Trasmissione dei Dati.
Si fa divieto di leggere, copiare, modificare o eliminare i Dati Personali durante il loro trasferimento, in assenza di una debita autorizzazione.
(a) Se i supporti dati sono trasportati fisicamente, SAP adotta opportune misure atte a garantire i livelli di servizio concordati (quali codifica, contenitori piombati e così via).
(b) Il Trasferimento dei Dati Personali sulle reti SAP interne è protetto al pari di ogni altro dato riservato conformemente agli orientamenti SAP in materia di sicurezza.
(c) Al trasferimento dei dati tra SAP e i suoi clienti, le misure di sicurezza adottate per la protezione dei Dati Personali trasferiti sono quelle vicendevolmente concordate e incorporate nel Contratto. Ciò vale per i trasferimenti dati fisici e per quelli su rete. In ogni caso, la responsabilità del trasferimento dati passa al Cliente a partire dal Punto di Demarcazione SAP (che può essere il firewall del Data Center SAP di hosting del Cloud Service).
2.5 Controllo dell'Inserimento dei Dati.
Si ammette l'esame retrospettivo ai fini di stabilire se e chi abbia, presso SAP, inserito, modificato o eliminato i Dati Personali dal sistema di trattamento dati utilizzato per fornire il Cloud Service.
SAP limita l'accesso ai Dati Personali ai soli soggetti autorizzati e solo nella misura necessaria all'espletamento delle loro mansioni. SAP ha implementato un sistema di registrazione delle operazioni di inserimento, modifica eliminazione o blocco dei Dati Personali da parte di SAP o dei suoi Sub Incaricati, perlopiù supportato dal Cloud Service.
2.6 Controllo Job.
I Dati Personali trattati su mandato vengono trattati unicamente in conformità del Contratto, nonché delle istruzioni impartite dal Cliente.
(a) SAP utilizza controlli e procedure per garantire l'osservanza dei contratti stipulati tra SAP e i suoi clienti, Sub Incaricati o altri prestatori di servizi.
(b) Gli orientamenti in materia di sicurezza dei dati di SAP prevedono che ai Dati del Cliente sia accordato almeno lo stesso livello di protezione previsto per i dati "riservati" secondo lo standard di classificazione dei dati SAP.
(c) Tutti i dipendenti e i partner contrattuali di SAP sono vincolati per contratto al rispetto della riservatezza di tutte le informazioni sensibili, che comprendono i segreti commerciali dei clienti e dei partner SAP.
2.7 Controllo di disponibilità.
I Dati Personali devono essere protetti contro distruzione o perdita accidentale o non autorizzata.
(a) SAP impiega processi di backup e altre misure che assicurano il ripristino rapido dei sistemi critici per l'azienda, quando e nei modi richiesti.
(b) SAP utilizza un'alimentazione elettrica ininterrotta (UPS, batterie, generatori, ecc.) per
assicurare un approvvigionamento elettrico ininterrotto ai Data Center.
(c) SAP ha messo a punto piani di emergenza nonché strategie di ripristino di esercizio e di disaster recovery dei Cloud Services.
(d) Le procedure e i sistemi di emergenza sono sottoposti a regolari test.
2.8 Controllo di Compartimentazione dei Dati.
I Dati Personali raccolti per scopi diversi possono essere trattati separatamente.
(a) SAP utilizza le possibilità tecniche del software acquistato (quali la multi-tenancy o le infrastrutture distinte di sistema) per realizzare la compartimentazione dei Dati Personali appartenenti ai singoli clienti.
(b) SAP tiene un'istanza dedicata (con compartimentazione fisica o logica) per ciascun Cliente.
(c) I Clienti (comprese le rispettive Affiliate) possono accedere unicamente alla o alle istanze proprie.
2.9 Controllo di Integrità dei Dati.
Assicura che i Dati Personali restino intatti, completi e aggiornati durante le attività di trattamento:
Misure: SAP ha messo in atto una strategia di difesa multilivello per garantire la protezione contro modifiche non autorizzate. Ciò si riferisce ai controlli di cui alla sezione sui controlli e le misure di cui sopra. Nello specifico:
(a) firewall;
(b) Centro di Monitoraggio di Sicurezza;
(c) Software Antivirus;
(d) Backup e ripristino;
(e) Test di penetrazione interno o esterno;
(f) regolari ispezioni esterne per confermare le misure di sicurezza.