Addendum all'accordo sui servizi di elaborazione dati di Koolsite

Addendum all'accordo sui servizi di elaborazione dati di Koolsite

Il presente Addendum al trattamento dei dati (DPA) e le sue appendici si applicano al trattamento dei dati personali da parte di Koolsite Soluções Informáticas, Lda. ("Koolsite") per conto del Cliente (Dati Personali del Cliente) al fine di fornire i Servizi Cloud e gli altri servizi concordati nel Contratto di Servizio.

1. Introduzione.

Il presente Addendum al Processo dei Dati riflette l'accordo delle parti in merito alle condizioni che regolano il processo e la sicurezza dei Dati del Cliente ai sensi del Contratto applicabile.

2. Definizioni.

2.1. I termini con la sigla maiuscola utilizzati e non definiti qui hanno il significato indicato nel Regolamento generale sulla protezione dei dati 2016/679 (GDPR)

• Per "Consociata" si intende qualsiasi entità che controlla, è controllata da, o è sottoposta a comune controllo con un soggetto, dove per "controllo" si intende qualsiasi entità che controlla, è controllata da, o è sotto comune controllo con un soggetto: (a) il possesso di almeno il cinquanta per cento (50%) del patrimonio netto dell'entità; (b) il diritto di voto o di nomina della maggioranza del consiglio di amministrazione o di altro organo amministrativo dell'entità; o

(c) il potere di esercitare un'influenza dominante sull'amministrazione o sulle politiche dell'entità.

• Per "soluzione alternativa di trasferimento" si intende una soluzione, diversa dalle clausole contrattuali standard, che consente il trasferimento legale di dati personali verso un paese terzo ai sensi dell'articolo 45 o 46 del GDPR.

• La "Data di entrata in vigore dell'addendum" rappresenta, a seconda dei casi, la data di entrata in vigore:

• (a) il 25 maggio 2018, se il Cliente ha un Contratto in vigore a tale data e continua ad utilizzare i servizi in esso previsti a partire dal 25 maggio 2018; o

• (b) la data in cui il Cliente firma il Contratto di Servizio se ciò avviene dopo il 25 maggio 2018.

• Per "Contratto di Servizio Supplementare" si intende: qualsiasi altro Contratto che incorpori il presente Addendum al trattamento dei dati per riferimento o che dichiari che si applicherà se accettato dal Cliente.

• Per "Dati del Cliente" si intendono i dati inviati, memorizzati, inviati o ricevuti dai Servizi da parte del Cliente, delle sue Affiliate o degli Utenti finali.

• Per "Dati personali del cliente" si intendono i dati personali contenuti nei Dati del cliente.

• "Incidenti sui dati" una violazione della sicurezza di Xxxxxxxx che porta alla distruzione, perdita, alterazione accidentale o illegale,

la divulgazione non autorizzata o l'accesso ai Dati del cliente su sistemi amministrati da Koolsite o altrimenti controllati da Koolsite. Gli "Incidenti sui Dati" non includeranno tentativi o attività non riusciti che non compromettano la sicurezza dei Dati del Cliente, mentre includeranno tentativi di login non riusciti, ping, scansioni delle porte, attacchi denial of service, e altri attacchi di rete a firewall o sistemi collegati in rete.

• Per "SEE" si intende lo Spazio economico europeo.

• Per "legislazione europea sulla protezione dei dati" si intende il PILR.

• "GDPR": Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE.

• Per "clausole contrattuali tipo" si intendono le clausole tipo di protezione dei dati per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati, come descritto all'articolo 46 del GDPR.

• Per "legislazione non europea sulla protezione dei dati" si intende la legislazione sulla protezione dei dati o sulla privacy diversa dalla legislazione europea sulla protezione dei dati.

• Per "Indirizzo e-mail di notifica" si intende l'indirizzo e-mail designato dal Cliente per ricevere determinate notifiche da Koolsite.

• Per "Documentazione di sicurezza" si intendono tutti i documenti e le informazioni messe a disposizione da Koolsite relative alla sicurezza del Sottoprocessore.

• Le "Misure di sicurezza" hanno il significato determinato nella Sezione 7.1.1 (Misure di sicurezza del sito scolastico).

• "Servizi" i servizi del cliente in modalità Cloud come descritto nel corrispondente Contratto di Servizio.

• Per "Sottoprocessore" si intende una terza parte autorizzata ai sensi del presente Addendum al trattamento dei dati per avere accesso logico e gestire i Dati del Cliente per fornire parti dei Servizi e il relativo supporto tecnico.

• Per "termine" si intende il periodo della Data di entrata in vigore dell'Addendum fino alla fine della fornitura dei Servizi da parte di Koolsite ai sensi del Contratto applicabile, incluso, se applicabile, qualsiasi periodo durante il quale la fornitura dei Servizi può essere sospesa e qualsiasi termine successivo durante il quale Koolsite può continuare a fornire i Servizi per scopi transitori.

2.2 Le condizioni "dati personali", "interessato", "trattamento", "responsabile del trattamento", "incaricato del trattamento" e "autorità di controllo" utilizzate nel presente addendum al trattamento dei dati hanno il significato indicato da GDPR e le condizioni "importatore" e "esportatore" hanno il significato indicato nelle Condizioni tipo, indipendentemente da

se si applica la legislazione europea sulla protezione dei dati o la legislazione non europea sulla protezione dei dati.

3. Durata dell'addendum al trattamento dei dati.

Il presente Addendum al trattamento dei dati avrà effetto a partire dalla Data di entrata in vigore dell'Addendum e, nonostante la scadenza del Termine, rimarrà in vigore fino alla sua scadenza automatica con la cancellazione di tutti i Dati del Cliente da parte di Koolsite come descritto nel presente Addendum al trattamento dei dati.

4. Estensione della legislazione sulla protezione dei dati.

L'estensione della legislazione sulla protezione dei dati è definita nel GDPR.

5. Elaborazione dei dati.

5.1 Ruoli e conformità ai regolamenti; Autorizzazione.

• 5.1.1 Responsabilità del subappaltatore e del controllore. Se la legislazione europea sulla protezione dei dati personali dei clienti è applicabile al trattamento dei dati personali dei clienti, le parti riconoscono e accettano che:

• a) l'oggetto e i dettagli del trattamento sono descritti nell'appendice 1;

• (b) Koolsite è un subappaltatore dei dati personali dei clienti ai sensi della legislazione europea sulla protezione dei dati;

• (c) il Cliente è responsabile del trattamento o del subappalto, a seconda dei casi, dei dati personali del Cliente ai sensi della legislazione europea sulla protezione dei dati; e

• (d) ciascuna parte si conformerà agli obblighi ad essa applicabili ai sensi delle leggi europee sulla protezione dei dati in relazione al trattamento dei dati personali dei clienti

• 5.1.2 Autorizzazione da parte del Controllore Terzo. Se la legislazione europea sulla protezione dei dati personali si applica al processo dei dati personali del cliente e il cliente è un subappaltatore, il cliente autorizza Xxxxxxxx che gli ordini e le azioni del cliente in relazione a tali dati personali, includendo l'impegno di Xxxxxxxx come un altro subappaltatore, sono stati autorizzati dal relativo controllore.

5.2 Estensione dell'elaborazione.

• 5.2.1 Gli ordini dei clienti. Inserendo questo Addendum per il trattamento dei dati il cliente incarica Koolsite di trattare solo i dati personali del cliente come da legge applicabile: (a) fornire i Servizi e il relativo supporto tecnico; (b) come ulteriormente specificato dall'utilizzo dei Servizi da parte del Cliente

(c) come documentato nella forma dell'Accordo applicabile, includendo il presente Addendum al trattamento dei dati; e

(d) come ulteriormente documentato in qualsiasi altro ordine scritto dato dal Cliente e riconosciuto da Xxxxxxxx

come ordini costituiti ai fini del presente Addendum al trattamento dei dati.

• 5.2.2 Rispetto degli ordini da parte del Koolsite. A partire dalla Data di entrata in vigore dell'Addendum, Koolsite si conformerà agli ordini descritti nella Sezione 5.2.1 (gli Ordini del Cliente) (inclusi quelli relativi al trasferimento dei dati) a meno che la legge dell'UE o quella di uno Stato membro dell'UE a cui Xxxxxxxx è soggetta non richieda un ulteriore trattamento dei Dati Personali del Cliente da parte di Koolsite, nel qual caso Koolsite informerà il Cliente (a meno che tale legge non vieti a Koolsite di farlo in aree importanti di interesse pubblico) tramite l'indirizzo

e-mail di notifica.

6. Cancellazione dati.

6.1 Cessazione. Koolsite permetterà al Cliente e/o agli Utenti finali di cancellare i Dati del Cliente durante il periodo di validità del servizio, compatibilmente con la funzionalità dei Servizi. Se il Cliente o un Utente finale utilizza i Servizi per cancellare i Dati del Cliente durante il Periodo di validità e i Dati del Cliente non possono essere recuperati dal Cliente o da un Utente finale, tale utilizzo costituirà un'istruzione a Koolsite di cancellare i relativi Dati del Cliente dai sistemi di Koolsite in conformità con la legge applicabile. Koolsite si conformerà a questa istruzione non appena ragionevolmente possibile ed entro un periodo massimo di 180 giorni, a meno che la legge dell'UE o degli Stati membri non richieda la conservazione.

6.2 Scadenza della risoluzione. Alla scadenza del Termine applicabile il Cliente ordina a Koolsite di cancellare tutti i Dati del Cliente (copie esistenti incluse) dai sistemi Koolsite in conformità con la legge applicabile. Koolsite si conformerà a questa istruzione non appena ragionevolmente possibile ed entro un periodo massimo di 180 giorni, a meno che la legge dell'UE o degli Stati membri non richieda la conservazione. Fatto salvo quanto previsto dalla Sezione

9.1 (Accesso; Rettifica; Processo ristretto; Portabilità), il Cliente riconosce e accetta che il Cliente sarà responsabile dell'esportazione, prima della scadenza del Termine applicabile, dei Dati del Cliente che desidera conservare successivamente.

7. Sicurezza dei dati.

7.1 Misure di sicurezza, controlli e aiuto in loco.

• 7.1.1 Misure di sicurezza nei siti scolastici. Koolsite implementerà e manterrà in vigore misure tecniche e organizzative per proteggere i Dati del Cliente da distruzione accidentale o illegale, perdita, alterazione, divulgazione o accesso non autorizzato come descritto nell'Appendice 2 (le "Misure di Sicurezza"). Come descritto nell'Appendice 2, le Misure di Sicurezza includono misure per criptare i dati personali; per garantire la costante riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di Koolsite; per aiutare a ripristinare tempestivamente ai dati personali a seguito di un incidente; e per una regolare prova di efficacia. Koolsite

può aggiornare o modificare le Misure di Sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino il degrado della sicurezza complessiva dei Servizi.

• 7.1.2 Conformità alla sicurezza da parte del personale di Koolsite. Koolsite adotterà le misure appropriate per garantire il rispetto delle Misure di Sicurezza da parte dei suoi dipendenti, appaltatori e Subprocessori nella misura applicabile al loro ambito di prestazione, compresa la sicurezza che tutte le persone autorizzate a trattare i Dati Personali del Cliente sono vincolate alla riservatezza o sono soggette ad un adeguato obbligo di riservatezza previsto dalla legge.

• 7.1.3 Controlli di sicurezza aggiuntivi. Oltre alle misure di sicurezza, Xxxxxxxx metterà a disposizione i controlli di sicurezza aggiuntivi: (a) consentire al Cliente di adottare misure per proteggere i Dati del Cliente; e (b) fornire al Cliente informazioni di sicurezza durante l'accesso e l'utilizzo dei Dati del Cliente.

• 7.1.4 Aiuto per la sicurezza del sito scolastico. Il Cliente accetta che Xxxxxxxx (tenendo conto della natura del trattamento dei Dati Personali del Cliente e delle informazioni a disposizione di Xxxxxxxx) assista il Cliente nell'assicurare il rispetto di tutti gli obblighi del Cliente in materia di sicurezza dei dati personali e di violazione dei dati personali, inclusi, se del caso, gli obblighi del Cliente ai sensi degli articoli 32, 33 e 34 del GDPR, attraverso

• (a) attuare e mantenere le misure di sicurezza in conformità con la Sezione 7.1.1 (Misure di sicurezza nei siti scolastici);

• (b) mettere a disposizione del Cliente i Controlli di Sicurezza Aggiuntivi in conformità alla Sezione 7.1.3 (Controlli di Sicurezza Aggiuntivi);

• (c) il rispetto dei termini della Sezione 7.2 (Incidenti sui dati).

7.2 Incidenti di dati.

• 7.2.1 Notifica di incidente. Se il Koolsite nota un incidente di dati, il Koolsite lo farà: (a) notificare al Cliente l'Incidente sui Dati prontamente e senza indebiti ritardi; e (b) adottare prontamente misure ragionevoli per ridurre al minimo i danni e proteggere i Dati del Cliente.

• 7.2.2 Dettagli sull'incidente dei dati. Le notifiche effettuate ai sensi di questa sezione descriveranno, per quanto possibile, i dettagli dell'Incidente sui Dati, incluse le misure adottate per mitigare i potenziali rischi e le misure che Koolsite raccomanda al Cliente per correggere l'Incidente sui Dati.

• 7.2.3. consegna della notifica. Le notifiche di qualsiasi Incidente di Dati saranno consegnate all'Indirizzo Email di Notifica o, a discrezione di Koolsite, tramite comunicazione diretta (ad esempio, per telefono o ad un incontro personale). Il Cliente è l'unico responsabile di garantire che l'indirizzo e-mail di notifica sia attuale e valido.

• 7.2.4 Nessuna valutazione dei dati del cliente da parte di Koolsite. Koolsite non valuterà il contenuto dei Dati del Cliente per identificare informazioni soggette a specifici requisiti di legge. Il Cliente è l'unico responsabile del rispetto delle leggi di notifica applicabili, degli incidenti applicabili al Cliente e dell'adempimento di qualsiasi obbligo di notifica da parte di terzi in relazione a qualsiasi Incidente sui Dati.

• 7.2.5. Nessun riconoscimento dei guasti da parte di Koolsite. La notifica o la risposta di Xxxxxxxx a un Incidente di Dati ai sensi della presente Sezione 7.2 (Incidenti di Dati) non sarà interpretata come un riconoscimento da parte di Xxxxxxxx di qualsiasi colpa o responsabilità in relazione all'Incidente di Dati.

• 7.3 Sicurezza del cliente e responsabilità di valutazione.

• 7.3.1 Responsabilità della sicurezza del cliente. Il Cliente accetta che, fatti salvi gli obblighi di Koolsite ai sensi della Sezione 7.1 (Misure di sicurezza, controlli e aiuto di Xxxxxxxx) e della Sezione 7.2 (Incidenti sui dati):

• (a) il Cliente è l'unico responsabile dell'utilizzo dei Servizi, incluso:

• (i) fare un uso appropriato dei Servizi e dei Controlli di Sicurezza Aggiuntivi per garantire un livello di sicurezza commisurato al rischio in relazione ai Dati del Cliente;

• (ii) proteggere le credenziali di autenticazione dell'account, i sistemi e i dispositivi che il Cliente utilizza per accedere ai Servizi; e

• (iii) backup dei dati del cliente; e

• (b) Xxxxxxxx non ha alcun obbligo di proteggere i Dati del Cliente che il Cliente sceglie di memorizzare o trasferire al di fuori dei sistemi di Koolsite (ad es. off-line o unità di memorizzazione proprie), o di proteggere i Dati del Cliente implementando o mantenendo Controlli di Sicurezza Aggiuntivi elimina il Cliente dall'estensione che ha scelto di utilizzare.

7.3.2. la valutazione della sicurezza del cliente.

• (a) il Cliente è l'unico responsabile della revisione della Documentazione di Sicurezza e della valutazione di se stesso se i Servizi, le misure di Sicurezza, i Controlli di Sicurezza Aggiuntivi e gli impegni di Koolsite ai sensi della Sezione 7 (Sicurezza dei Dati) soddisferanno le esigenze del Cliente, incluse quelle relative a qualsiasi obbligo di sicurezza del Cliente ai sensi della legislazione europea sulla protezione dei dati e/o della legislazione non europea sulla protezione dei dati, a seconda dei casi.

• (b) il Cliente riconosce e accetta che (tenendo conto dello stato dell'arte, dei costi di realizzazione e della natura, dell'entità, del contesto e delle finalità del trattamento dei Dati

Personale del Cliente così come i rischi per gli individui) le Misure di Sicurezza implementate e mantenute da Koolsite come stabilito nella Sezione 7.1.1 (Misure di Sicurezza di Koolsite) forniscono un livello di sicurezza adeguato al rischio rispetto ai Dati del Cliente.

8. Valutazioni d'impatto e consultazioni.

Il Cliente accetta che Xxxxxxxx (tenendo conto della natura del processo e delle informazioni a disposizione di Xxxxxxxx) assisterà il Cliente nell'assicurare il rispetto di tutti gli obblighi del Cliente in relazione alle valutazioni d'impatto sulla protezione dei dati e alla consultazione preventiva, inclusi, se del caso, gli obblighi del Cliente ai sensi degli articoli 35 e 36 del GDPR:

(a) la fornitura di controlli di sicurezza supplementari ai sensi della Sezione 7.1.3 (Controlli di sicurezza supplementari) e

(b) la fornitura delle informazioni contenute nell'accordo applicabile che include il presente addendum al trattamento dei dati.

9. Diritti del proprietario dei dati; Esportazione dei dati.

9.1 Accesso; Rettifica; Limitazione del trattamento; Portabilità. Durante il Periodo di validità, Koolsite, in modo coerente con la funzionalità dei Servizi, consentirà al Cliente di accedere, rettificare e limitare il trattamento dei Dati del Cliente, inclusa la funzionalità di cancellazione fornita da Koolsite come descritto nella Sezione 6.1 (Risoluzione) ed esportare i Dati del Cliente.

9.2 Richieste dell'interessato.

9.2.1 Responsabilità del cliente per gli ordini. Durante il Periodo di validità, se Xxxxxxxx riceve qualsiasi richiesta da un Titolare dei Dati in relazione ai Dati Personali del Cliente, Xxxxxxxx informerà i Titolari dei Dati di presentare la loro richiesta al Cliente e il Cliente sarà responsabile di rispondere a tale richiesta anche, se necessario, attraverso l'uso delle funzionalità dei Servizi.

9.2.2 Assistenza in loco con le richieste del titolare dei dati. Il Cliente accetta che (tenendo conto della natura del processo dei Dati Personali del Cliente) Xxxxxxxx lo assisterà nell'adempimento di qualsiasi obbligo di rispondere alle richieste dei Titolari dei Dati, incluso, se del caso, l'obbligo del Cliente di rispondere alle richieste di esercitare i diritti dei Titolari dei Dati di cui al Capitolo III del GDPR:

• (a) fornire i controlli di sicurezza supplementari in conformità alla Sezione 7.1.3 (Controlli di sicurezza supplementari); e

• (b) rispettare l'insieme degli impegni di cui al Paragrafo 9.1 (Accesso; Rettifica; Limitazione del trattamento; Portabilità) e al Paragrafo 9.2.1 (Responsabilità del cliente per gli ordini).

10. Trasferimenti di dati.

10.1 Strutture per l'archiviazione e l'elaborazione dei dati. Il Cliente accetta che Xxxxxxxx possa, ai sensi della Sezione 10.2 (Trasferimenti di dati al di fuori dell'AEE), memorizzare ed elaborare i dati dei clienti del processo negli Stati Uniti e qualsiasi altro

paese in cui Koolsite o uno dei suoi Sottoprocessori mantengono le strutture.

10.2 Trasferimenti di dati al di fuori del SEE.

10.2.1 Obblighi di trasferimento del sito scolastico. Se l'archiviazione e/o l'elaborazione dei Dati Personali del Cliente (come indicato nella Sezione 10.1 (Strutture per l'archiviazione e l'elaborazione dei dati)) comporta il trasferimento di Dati Personali del Cliente al di fuori del SEE e la legislazione europea sulla protezione dei dati si applica al trasferimento di tali dati ("Dati Personali trasferiti"), Koolsite lo farà:

• (a) se richiesto dal Cliente, assicurarsi che Koolsite, in qualità di importatore dei dati personali trasferiti, inserisca nelle clausole contrattuali di tipo con il Cliente, in qualità di esportatore di tali dati, e che i trasferimenti siano effettuati in conformità a tali clausole contrattuali di tipo; e/o

• (b) fornire una Soluzione Alternativa di Trasferimento, assicurare che i trasferimenti siano effettuati in conformità con la Soluzione Alternativa di Trasferimento, e mettere a disposizione del Cliente le informazioni di tale Soluzione Alternativa di Trasferimento.

10.2.2 Gli obblighi di trasferimento del cliente. In relazione ai Dati Personali trasferiti, il Cliente accetta che:

• (a) se, ai sensi delle leggi europee sulla protezione dei dati personali, Koolsite richiede ragionevolmente all'utente di sottoscrivere i termini e le condizioni standard relativi a tali trasferimenti, l'utente lo farà; e

• (b) se ai sensi delle leggi europee sulla protezione dei dati Koolsite richiede ragionevolmente al Cliente di utilizzare una soluzione alternativa di trasferimento offerta da Koolsite, e richiede ragionevolmente al Cliente di intraprendere qualsiasi azione (che può includere l'esecuzione di documenti) strettamente necessaria per dare pieno effetto a tale soluzione, il Cliente lo farà.

10.3 Informazioni sul Centro Dati. Informazioni sulle sedi dei Data Center utilizzati da Koolsite possono essere richieste via e-mail a: xxxxxxx@xxxxxxxx.xx

10.4 Divulgazione di informazioni riservate contenenti dati personali. Se l'utente ha sottoscritto le Condizioni Standard come descritto nella Sezione 10.2 (Trasferimenti di dati al di fuori dell'AEE), Koolsite, se non diversamente concordato nell'Accordo applicabile, garantirà che qualsiasi divulgazione di Informazioni Riservate del Cliente che contengono dati personali e qualsiasi notifica relativa a tale divulgazione, sarà effettuata in conformità con tali Condizioni Standard.

11. Sottoprocessori

11.1 Consenso alla partecipazione di un Sottoprocessore. Il Cliente autorizza specificamente la partecipazione di Koolsite Affiliati come Sottoprocessori. Inoltre, il Cliente autorizza generalmente la partecipazione di qualsiasi altro terzo in quanto

Subprocessore ("Subprocessori terzi"). Se avete stipulato le Condizioni Standard come descritto nella Sezione 10.2 (Trasferimenti di dati al di fuori del SEE), il vostro previo consenso scritto al sub- processing dei Dati del Cliente da parte di Koolsite costituirà un consenso se tale consenso è richiesto ai sensi delle Condizioni Standard.

11.2 Informazioni sui subprocessori. Informazioni sui subprocessori, incluse le loro funzioni e la loro ubicazione, possono essere richieste via e-mail a: xxxxxxx@xxxxxxxx.xx

11.3 Requisiti per la partecipazione dei subprocessori. Quando si impiega un qualsiasi Subprocessore, il Koolsite va:

• a) garantire con un contratto scritto che

• (i) il Subprocessore accede e utilizza i Dati del Cliente solo nella misura necessaria per adempiere agli obblighi ad esso affidati in subappalto, e lo fa in conformità con il Contratto applicabile (incluso il presente Addendum al trattamento dei dati) e con le Condizioni Standard o la Soluzione Alternativa di Trasferimento adottata da Koolsite come descritto nella Sezione 10.2 (Trasferimenti di dati al di fuori dell'AEE); e

• (ii) se il GDPR si applica al trattamento dei dati personali del cliente, gli obblighi di protezione dei dati di cui all'articolo 28, paragrafo 3, del GDPR, come descritto nel presente addendum al trattamento dei dati, sono imposti al subincaricato; e

• b) restano pienamente soggetti a tutti gli obblighi derivanti dal subappalto e a tutti gli atti e le omissioni del subincaricato.

• 11.4 Opportunità di rifiutare le modifiche al sottoprocessore.

• (a) Quando un nuovo Sottoprocessore Terzo partecipa durante il Periodo di validità, Koolsite, almeno 30 giorni prima che il nuovo Sottoprocessore Terzo gestisca i Dati del Cliente, informerà il Cliente della partecipazione (incluso il nome e l'ubicazione del relativo Sottoprocessore e le attività che svolgerà) inviando una e-mail all'indirizzo di posta elettronica di notifica.

• (b) il Cliente può rifiutare qualsiasi nuovo Subprocessore Terzo, rescindendo immediatamente l'Accordo applicabile mediante notifica scritta a Koolsite, a condizione che il Cliente ne dia comunicazione entro 90 giorni dalla notifica del Subprocessore come descritto nella Sezione 11.4(a). Questo diritto di recesso è l'unica alternativa per il Cliente se rifiuta qualsiasi nuovo Subprocessore Terzo.

12. Registrazioni delle attività di trattamento.

Il Cliente riconosce che Xxxxxxxx ha l'obbligo, ai sensi del GDPR, di mantenere un

registro di tutte le categorie di attività di trattamento effettuate per conto di un titolare:

a) Il nome e gli estremi dell'incaricato del trattamento o dei subappaltatori e di ciascun responsabile del trattamento per conto del quale l'incaricato del trattamento agisce, nonché, se del caso, il rappresentante del responsabile del trattamento o del subappaltatore e il responsabile della protezione dei dati;

b) Le categorie di trattamento dei dati personali effettuate per conto di ciascun titolare del trattamento;

c) se del caso, i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, compresa l'identificazione di tali paesi terzi o organizzazioni internazionali e, nel caso dei trasferimenti di cui all'articolo 49, paragrafo 1, secondo comma, la documentazione che dimostra l'esistenza di garanzie adeguate;

d) Se possibile, una descrizione generale delle misure tecniche e organizzative nel settore della sicurezza di cui all'articolo 32, paragrafo 1.

Xxxxxxxx mette a disposizione delle autorità di controllo le informazioni elencate nei punti precedenti

13. Effetto addendum.

In caso di conflitto o incoerenza tra i termini del presente Addendum al trattamento dei dati e il resto del Contratto applicabile, prevarranno i termini del presente Addendum al trattamento dei dati. Con riserva di modifiche nel presente addendum al trattamento dei dati, tale accordo rimane pienamente valido ed efficace. Per vostra conoscenza, se avete stipulato più di un accordo, questo addendum al trattamento dei dati modificherà ogni accordo separatamente.

Appendice 1: Oggetto e dettagli del trattamento dei dati Oggetto

La fornitura da parte di Koolsite di servizi correlati e supporto tecnico al cliente.

Durata del trattamento

Il termine si applica più il periodo dalla scadenza del termine fino alla cancellazione di tutti i dati del cliente in conformità con il presente addendum al trattamento dei dati.

Natura e finalità del trattamento

Xxxxxxxx tratterà i Dati Personali del Cliente inviati, memorizzati, inviati o ricevuti dal Cliente, dalle sue Affiliate o dagli Utenti finali attraverso i Servizi per fornire i Servizi e il supporto tecnico relativo al Cliente in conformità con l'Addendum al trattamento dei dati.

Categorie di dati

I dati personali inviati, memorizzati, inviati o ricevuti dal Cliente, dalle sue Affiliate o dagli Utenti finali tramite i Servizi possono includere le seguenti categorie di dati: ID utente, e-mail, documenti, presentazioni, immagini, voci del calendario, attività e altri dati.

Titolari dei dati

I dati personali forniti, memorizzati, inviati o ricevuti dal Cliente, dalle sue Affiliate o dagli Utenti finali tramite i Servizi possono comprendere le seguenti categorie di titolari dei dati: Utenti finali, compresi i dipendenti del Cliente, i fornitori e i subappaltatori; e qualsiasi altra persona che trasmette dati attraverso i Servizi, compresi gli individui che collaborano e comunicano con gli Utenti finali.

Appendice 2: Misure di sicurezza

Come per l'addendum sulla data di entrata in vigore, Koolsite attuerà e manterrà le misure di sicurezza di cui alla presente Appendice 2 per l'addendum sul trattamento dei dati. Koolsite può aggiornare o modificare tali misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino il degrado della sicurezza complessiva dei Servizi.

Infrastruttura informatica IaaS

Koolsite offre i Servizi che utilizzano un'Infrastruttura IT come Servizio (IaaS), fornita da un fornitore di servizi di primo livello che contempla:

Comunicazioni dei server di archiviazione

Le misure di sicurezza e di protezione dei dati supportate dal provider di Cloud Infrastructure sono disponibili sul sito

xxxxx://xxx-00.xxx.xxx/xxxxxxxx/xxx/xxxxx.xxx/xxx/0000XX0/xxxxx/X000-0000-XX- 2_05-2017_it_BR.pdf

Il fornitore di questi servizi, che agisce in qualità di Subappaltatore, garantisce il rispetto di quanto stabilito da GDPR. Potete consultare le informazioni correlate a questo indirizzo:

xxxxx://xxx-00.xxx.xxx/xxxxxxx/xxxxxxxxxx/xxxxx/xxx/xxx_xx.xxx

PaaS e SaaS

Koolsite fornisce i Servizi in modalità SaaS (Software as a Service) e gestisce i componenti software a livello PaaS (Platform as a Service): Database Engine, Sistema Operativo, Applications Server, Backup e Restore, Comunicazioni)

A livello di piattaforma (PaaS) vengono implementati i seguenti aspetti:

Database: il gestore di database AES (Advanced Encryption Standard) supporta la crittografia di tutte le tabelle del database delle applicazioni

Application Server Database Communications: connessioni sicure tra il driver JDBC e il Database Server tramite SSL

(Strato di presa sicura)

Certificati digitali SSL per il server web

Il livello di applicazione (SaaS) è disponibile:

Le comunicazioni tra gli utenti finali e i server di Koolsite avvengono tramite connessioni sicure che utilizzano la tecnologia TLS (Transport Layer Security)

Sicurezza dei dipendenti.

I dipendenti di Koolsite sono tenuti a comportarsi in modo coerente con le linee guida aziendali in materia di riservatezza, etica commerciale, uso corretto e standard professionali. I dipendenti sono tenuti a sottoscrivere un Accordo di Riservatezza e devono riconoscere di averlo ricevuto e di rispettare le politiche di privacy e riservatezza di Koolsite. Ai dipendenti viene fornita una formazione sulla sicurezza. I dipendenti che controllano i Dati del cliente sono tenuti a completare requisiti aggiuntivi adeguati al loro ruolo. I dipendenti di Koolsite non tratteranno i dati del cliente senza autorizzazione.

Sicurezza dei sottoprocessori.

Prima di incorporare i Subprocessori, Koolsite controlla le misure di sicurezza e di privacy dei Subprocessori per garantire che essi forniscano un livello di sicurezza e di privacy adeguato per il vostro accesso ai dati e la portata dei servizi che sono tenuti a fornire. Dopo che Xxxxxxxx ha valutato i rischi presentati dai Subprocessori, sempre nel rispetto dei requisiti di cui al Paragrafo 11.3 (Requisiti per la partecipazione di un Subprocessore) del presente Addendum al trattamento dei dati, il Subprocessore è tenuto a rispettare adeguate condizioni di sicurezza, riservatezza e privacy.