Data Processing Addendum

Questa traduzione è stata generata automaticamente e viene fornita solo per comodità. Questa traduzione generata automaticamente non è paragonabile alla qualità di una traduzione umana e potrebbe contenere errori. La presente traduzione è fornita “COSÌ COM’È” e senza alcuna garanzia circa la sua accuratezza, completezza o affidabilità. In caso di discrepanze tra la versione inglese del presente contratto e la versione tradotta in una lingua straniera, sarà considerata valida solo la versione inglese.

ADDENDUM SUL TRATTAMENTO DEI DATI

Il presente Addendum sul trattamento dei dati ("DPA") costituisce parte integrante ed è espressamente incorporato nell'accordo stipulato tra Sophos e il Cliente per la fornitura da parte di Sophos al Cliente di determinati prodotti e/o servizi (" Accordo principale") . Salvo diversa definizione, tutti i termini in maiuscolo hanno il significato indicato nella Sezione 1 di seguito.

1.DEFINIZIONI

1.1 Nel presente DPA, i seguenti termini avranno il seguente significato:

“Affiliato” significa, rispetto a ciascuna parte, un’entità che controlla, è controllata da, o è sotto il controllo comune di tale parte. Ai fini della presente definizione, “controllo” significa la titolarità effettiva di oltre il cinquanta per cento (50%) del potere di voto o del capitale di un’entità o il diritto contrattuale o legale di dirigere la gestione di tale entità;

"Leggi applicabili sulla protezione dei dati" indica tutte le leggi e i regolamenti applicabili al trattamento dei dati personali del titolare del trattamento ai sensi dell'accordo principale, inclusi, ove pertinente, il GDPR, la legge sulla protezione dei dati del Regno Unito e il CCPA

“Beneficiario” ha il significato attribuitogli nell’Accordo MSP.

"CCPA" indica il California Consumer Privacy Act, modificato dal California Privacy Rights Act del 2020, codificato a Cal. Civiltà Codice §§ 1798.100 - 1798.199.100 e i regolamenti del California Consumer Privacy Act ivi emanati, Cal. Codice Reg. tit. 11, divisione 6, cap. 1, ciascuno come modificato;

"Controllore" significa: (a) il Cliente, se il Cliente è un Utente finale; (b) il Beneficiario, se il Cliente è un MSP; o (c) il Cliente finale, se il Cliente è un OEM;

“Dati personali del Titolare” indica i Dati personali che Sophos elabora per conto del Titolare nell’ambito della fornitura dei Servizi;

Per “Cliente” si intende: (1) il fornitore di servizi gestiti o il fornitore di servizi di sicurezza gestiti (ciascuno denominato "MSP") se il Contratto principale è tra Sophos e un MSP (" Contratto MSP "), (2) il produttore dell'apparecchiatura originale ("OEM") se il Contratto principale è con un OEM autorizzato a distribuire, concedere in sublicenza o rendere disponibili a terzi i prodotti Sophos in combinazione con i propri prodotti come parte di un'unità in bundle (" Contratto OEM "); (3) l'utente finale (" Utente finale "), se il Contratto principale è stipulato direttamente con il cliente;

“Interessato” indica la persona fisica a cui il Titolare del trattamento I dati personali si riferiscono;

“Richieste dell’interessato” indica qualsiasi richiesta da parte degli interessati che esercitano i diritti ai sensi delle leggi applicabili in materia di protezione dei dati;

“SEE” significa lo Spazio economico europeo, compresi gli stati membri dell’Unione europea;

“Cliente finale” ha il significato attribuitogli nel Contratto OEM;

“CSS UE” indica le clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, approvate dalla decisione di esecuzione (UE) 2021/914 della Commissione europea del 4 giugno 2021;

“GDPR” indica il Regolamento generale sulla protezione dei dati (UE) 2016/679, come di volta in volta modificato;

“Dati personali” significa “dati personali” o “informazioni personali”, come questi termini sono definiti dalle Leggi applicabili sulla protezione dei dati, e include qualsiasi informazione relativa a unindividuo o nucleo familiare identificato o identificabile;

“Violazione dei dati personali” significa una violazione della sicurezza (diversa da quella causata dal Cliente o dai suoi utenti) che comporta la distruzione, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso accidentale o illegale ai Dati personali del Titolare del trattamento;

“Responsabile del trattamento” indica una persona o entità che elabora dati personali per conto e secondo le istruzioni di un titolare del trattamento, inclusa qualsiasi entità che agisce come “fornitore di servizi” ai sensi del CCPA;

“Trasferimento limitato” indica un trasferimento di dati personali verso un paese terzo in cui tale trasferimento sarebbe vietato ai sensi della normativa europea sulla protezione dei dati in assenza di meccanismi di trasferimento adeguati, quali norme aziendali vincolanti o clausole contrattuali standard;

“Servizi” indica tutti i prodotti forniti e/o i servizi eseguiti da Sophos ai sensi del Contratto principale;

“Sophos” indica Sophos Limited, una società registrata in Inghilterra e Galles, numero 2096520 con sede legale presso The Pentagon, Abingdon, OX14 3YP, Regno Unito;

“Clausole contrattuali standard” o “SCC” significa: (i) laddove il GDPR si applica a un trasferimento limitato, le SCC dell’UE; (ii) laddove la legge sulla protezione dei dati del Regno Unito si applica a un trasferimento limitato, l’Addendum del Regno Unito; e (iii) laddove il DPA svizzero si applica a un trasferimento limitato, le SCC svizzere;

“Sub-responsabile del trattamento” indica qualsiasi entità nominata da Sophos per svolgere attivitàdi elaborazione dei dati relative ai dati personali del titolare del trattamento;

“Autorità di vigilanza” indica l’autorità di regolamentazione competente in relazione alle leggi applicabili in materia di protezione dei dati, inclusa, ove applicabile, un’autorità di vigilanza come definita ai sensi del GDPR;

“DPA svizzero” indica la legge federale svizzera sulla protezione dei dati del 25 settembre 2020, come di volta in volta modificata;

“Svizzere SCC” indica le clausole standard di protezione dei dati applicabili per il trasferimento di dati personali verso paesi terzi, emanate, approvate o altrimenti riconosciute dall’Incaricato federale svizzero per la protezione dei dati e la trasparenza (“IFPDT”);

“Paese terzo” indica un paese al di fuori dello SEE, del Regno Unito (“UK”) o della Svizzera che non è stato designato dalla Commissione europea o da un organismo o persona equivalente in Svizzera o nel Regno Unito come garante di un livello adeguato di protezione ai sensi delle leggi sulla protezione dei dati dello SEE, del Regno Unito o della Svizzera (“ Legge europea sulla protezione dei dati ”);

“Addendum del Regno Unito” indica l’Addendum sul trasferimento internazionale di dati alle SCC dell’UE, emesso dall’Information Commissioner’s Office del Regno Unito e presentato al Parlamento in conformità con l’articolo 119A del Data Protection Act 2018 il 2 febbraio 2022;

"Legge sulla protezione dei dati del Regno Unito" indica il Data Protection Act 2018 del Regno Unito e il GDPR come mantenuti nella legislazione del Regno Unito in virtù della Sezione 3 dell'European Union (Withdrawal) Act 2018 del Regno Unito, entrambi modificati di volta in volta.

1.2. Nel presente DPA, i termini in minuscolo "titolare del trattamento", "responsabile del trattamento", "interessato", "dati personali" e "trattamento" (e derivati) avranno il significato attribuito loro dalla normativa applicabile in materia di protezione dei dati.

1.3. I termini in maiuscolo non altrimenti definiti nel presente DPA avranno il significato loro attribuito nell'Accordo principale.

2. AMBITO DI APPLICAZIONE

Il presente DPA si applica laddove Sophos elabora i Dati personali del Titolare del trattamento per conto del Cliente nell'ambito della fornitura dei Servizi. L'oggetto e la durata del trattamento dei dati personali del titolare del trattamento da parte di Sophos, la natura e lo scopo del trattamento, i tipi di dati personali del titolare del trattamento da trattare e le categorie di interessati sono descritti in: (a) il presente DPA; (b) l'Accordo principale; (c) l'Allegato 1 (Dettagli sul trattamento dei dati); e (d) le istruzioni del Cliente emanate in conformità alla Sezione 4 di seguito.
Il Cliente è responsabile di garantire che il Titolare del trattamento (a) abbia una base giuridica per il trattamento dei Dati personali del Titolare del trattamento che sarà effettuato da Sophos per conto del Cliente e (b) abbia ottenuto tutti i consensi necessari dagli interessati che potrebbero essere richiesti per il trattamento dei Dati personali del Titolare del trattamento da parte del Cliente e di Sophos; e (c) sia altrimenti conforme e garantisca che le sue istruzioni a Sophos per il trattamento dei Dati personali del Titolare del trattamento siano conformi in tutti gli aspetti alle Leggi applicabili sulla protezione dei dati.
Le parti concordano che, in relazione ai Dati personali del Titolare del trattamento, Sophos è un Responsabile del trattamento o un sub-responsabile del trattamento e il Cliente è (a) il Titolare del trattamento quando il Cliente è un Utente finale, o (b) un Responsabile del trattamento, per il Beneficiario o il Cliente finale, quando il Cliente è rispettivamente un MSP o un OEM.

3. ISTRUZIONI PER IL CLIENTE

Il Cliente incarica Sophos di elaborare i Dati personali del Titolare del trattamento nella misura ragionevolmente necessaria per fornire ed eseguire i Servizi e come altrimenti stabilito nel presente DPA e nel Contratto principale ("Istruzioni del Cliente"). Sophos tratterà i Dati personali del Titolare del trattamento in conformità con le Istruzioni del Cliente, salvo (a) laddove diversamente concordato per iscritto tra Sophos e il Cliente; o (b) come richiesto da qualsiasi legge a cui Sophos è soggetta (nel qual caso, Sophos informerà il Cliente di tale requisito legale prima di qualsiasi trattamento, a meno che tale legge non vieti la fornitura di tali informazioni per importanti motivi di interesse pubblico). Quando il Cliente agisce in qualità di Responsabile del trattamento dei Dati personali del Titolare del trattamento, il Cliente dovrà garantire che le Istruzioni del Cliente siano state autorizzate dal Titolare del trattamento in questione e non siano in conflitto con le istruzioni impartite da tale Titolare del trattamento.
Se Sophos dovesse venire a conoscenza del fatto che le Istruzioni per il Cliente violano le Leggi applicabili in materia di protezione dei dati, ne informerà tempestivamente il Cliente e sospenderà il trattamento dei Dati personali del Titolare del trattamento.
Fatto salvo quanto precede, nella misura in cui il CCPA si applica ai Dati personali del Titolare del trattamento, Sophos concorda inoltre che:

Sophos non utilizzerà, divulgherà o tratterà in altro modo i Dati personali del Titolare del trattamento, salvo per lo specifico scopo aziendale di esecuzione dei Servizi, in conformità con i termini del presente DPA e del Contratto principale e come altrimenti autorizzato dalle leggi applicabili;
Sophos può incaricare dei sub-responsabili del trattamento dei dati personali del titolare del trattamento, nel rispetto dei termini della Sezione 7 e tale incarico non sarà considerato una vendita dei dati personali del titolare del trattamento;
Sophos non elaborerà i Dati personali del Titolare del trattamento al di fuori del rapporto commerciale diretto tra il Cliente e Sophos o per scopi commerciali propri di Sophos;
Sophos non “condividerà” né “venderà” (come tali termini sono definiti nel CCPA) alcun Dato personale del Titolare;
Sophos si adeguerà con i propri obblighi ai sensi del CCPA e fornirà lo stesso livello di protezione della privacy richiesto dal CCPA;
Se Sophos ritiene di non essere in grado di rispettare i termini del CCPA, Sophos informerà tempestivamente il Cliente e gli concederà il diritto di adottare misure ragionevoli e appropriate per garantire che i Dati personali del Titolare del trattamento siano trattati in modo coerente con gli obblighi del Titolare del trattamento Sotto il CCPA;
Sophos non conserverà i Dati personali del Titolare del trattamento alla scadenza o alla risoluzione del Contratto principale, salvo quanto stabilito nella Sezione 4.6.

4. Sophos certifica di aver compreso e di rispettare gli obblighi stabiliti nella Sezione 3.3.

4. OBBLIGHI SOPHOS

Cooperazione. Tenendo conto della natura del trattamento dei Dati personali del Titolare del trattamento, Sophos fornirà al Cliente (o, se il Cliente è un MSP o OEM, al Titolare del trattamento) l'assistenza ragionevole necessaria per: (i) rispondere alle richieste degli interessati che esercitano i propri diritti ai sensi delle Leggi applicabili sulla protezione dei dati (inclusa la notifica al Cliente della ricezione di tali richieste, a condizione che non risponda autonomamente a meno che non sia stato autorizzato a farlo dal Cliente), (ii) condurre valutazioni d'impatto sulla protezione dei dati o altre valutazioni richieste dalle Leggi applicabili sulla protezione dei dati; e (iii) consultare e collaborare con le Autorità di vigilanza come richiesto dalle Leggi applicabili sulla protezione dei dati. Sophos si riserva il diritto di addebitare un costo per tale assistenza qualora il costo superi un importo nominale.
Richieste di terze parti. Salvo quanto proibito dalla legge, Sophos informerà il Cliente di qualsiasi richiesta, corrispondenza, indagine o reclamo in materia di privacy che riceve da un'autorità di vigilanza, da un'autorità giudiziaria o da un'agenzia di applicazione della legge in relazione al trattamento dei Dati personali del Titolare del trattamento ("Richiesta di terze parti" ) , fornendo tutti i dettagli degli stessi. Sophos non risponderà direttamente alla richiesta di terze parti, salvo (1) su istruzioni scritte del Cliente o (2) come previsto dalle leggi applicabili.
Riservatezza. Tutto il personale Sophos che elabora i Dati personali del Titolare del trattamento dovrà essere adeguatamente formato in merito ai propri obblighi di protezione, sicurezza e riservatezza dei dati e sarà soggetto a obblighi di riservatezza scritti o statutari.
Sicurezza. Sophos adotterà misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio e per proteggere i Dati personali del Titolare del trattamento da una violazione dei Dati personali. Tali misure terranno conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, in modo da garantire un livello di sicurezza adeguato al rischio. In particolare, le misure adottate da Sophos includono quelle descritte nell'Allegato 2 del presente DPA.
Violazione dei dati personali. Dopo aver confermato il verificarsi di una violazione dei dati personali, Sophos informerà il Cliente senza indebito ritardo e fornirà tempestivamente tutte le informazioni e la cooperazione che il Cliente potrebbe ragionevolmente richiedere affinché il Cliente (e, se il Cliente è un MSP o OEM, il suo Titolare del trattamento) possa adempiere ai propri obblighi di segnalazione della violazione dei dati ai sensi (e in conformità con le tempistiche richieste) della Legge sulla protezione dei dati applicabile. Sophos adotterà inoltre misure e azioni ragionevolmente necessarie per porre rimedio o mitigare gli effetti della violazione dei dati personali e terrà informato il Cliente sugli sviluppi relativi alla violazione dei dati personali.
Fine dei servizi. Al termine della fornitura dei Servizi o su richiesta scritta del Cliente, Sophos eliminerà i Dati personali del Titolare entro un termine ragionevole dalla fine dei Servizi o dalla richiesta, salvo diversamente richiesto dalla legge applicabile o per ottemperare a requisiti giudiziari o di conformità. Se Sophos è tenuta a conservare Dati personali del titolare del trattamento, adotterà misure per garantire la riservatezza e la sicurezza continue dei Dati personali del titolare del trattamento per tutto il tempo in cui vengono conservati.

5. DIRITTI DI AUDIT DEL CLIENTE

Il Cliente riconosce che Sophos viene regolarmente sottoposta a verifiche in base agli standard SSAE 18 SOC 2 da parte di revisori terzi indipendenti. Su richiesta ragionevole, Sophos fornirà al Cliente una copia del suo rapporto di audit SOC 2, il quale sarà soggetto alle disposizioni sulla riservatezza del Contratto principale in quanto informazioni riservate di Sophos. Sophos risponderà inoltre a ragionevoli domande di audit scritte sottopostele dal Cliente, a condizione che il Cliente non eserciti tale diritto più di una volta all'anno.
Se, a ragionevole giudizio del Cliente, i materiali forniti ai sensi della Sezione 5.1 non sono sufficienti a dimostrare la conformità di Sophos al presente DPA, il Cliente può richiedere per iscritto che Sophos metta a sua disposizione tutte le informazioni ragionevolmente necessarie per dimostrare la conformità agli obblighi stabiliti nel presente DPA e consentire e contribuire agli audit, comprese le ispezioni, da parte del Cliente o del revisore indipendente di terze parti del Cliente, sempre nel rispetto delle seguenti disposizioni:

prima di richiedere una revisione o un audit ai sensi della presente Sezione 5.2, il Cliente terrà conto delle certificazioni e degli audit di terze parti Sophos pertinenti descritti nella Sezione 5.1;
Il Cliente dovrà dare a Sophos un preavviso ragionevole, almeno 30 giorni in anticipo, di una richiesta di condurre un audit o un'ispezione ai sensi della presente Sezione 5.2, fornendo l'ambito, la durata e la data di inizio proposti per l'audit;
qualora l'audit venga condotto da un revisore terzo, tale revisore terzo deve essere un professionista o una società affidabile e affermata, essere soggetto ad adeguati obblighi di riservatezza e non essere un concorrente del Fornitore;
Il Cliente (e dovrà garantire che i suoi revisori lo facciano) condurrà tale audit o ispezione durante il normale orario lavorativo di Sophos, con il minimo disturbo alle attività aziendali;
un audit o un'ispezione non saranno condotti più di una volta all'anno, salvo ove richiesto da un'autorità di vigilanza o dalle leggi applicabili sulla protezione dei dati;
Il Cliente (o i suoi revisori, a seconda dei casi) non avrà accesso ad altri clienti Sophos (e alle loro informazioni);
salvo nei casi in cui l'audit o l'ispezione riveli un mancato rispetto da parte di Sophos dei propri obblighi sostanziali ai sensi del presente DPA, il Cliente dovrà rimborsare a Sophos i costi e le spese ragionevoli sostenuti da Sophos, compresi eventuali addebiti per il tempo impiegato da Sophos, dal suo personale e dai suoi consulenti professionali;
Il Cliente dovrà fornire a Sophos una copia di qualsiasi report di audit generato in relazione a un audit effettuato ai sensi della presente Sezione 5.2, salvo quanto proibito dalla legge applicabile;
Le informazioni apprese durante l'audit o l'ispezione devono essere considerate informazioni riservate di Sophos.

6. SUB-RESPONSABILI

Sophos è generalmente autorizzata a utilizzare i Sub-Responsabili del trattamento elencati all'indirizzohttps://www.sophos.com/en-us/legal/sub-processor ("Elenco dei Sub-Responsabili"), nonché le Affiliate Sophos. Sophos può avvalersi di ulteriori Sub-Responsabili del trattamento (ciascuno un "Nuovo Sub-Responsabile del trattamento") nel rispetto dei termini stabiliti nella presente Sezione 6.
Sophos informerà il Cliente di qualsiasi aggiunta prevista di nuovi sub-responsabili del trattamento pubblicando i dettagli di tale aggiunta nell'elenco dei sub-responsabili e inviando un'e-mail al Cliente.
Se il Cliente non si oppone per iscritto alla nomina di un Nuovo Sub-Responsabile del Trattamento da parte di Sophos (per motivi ragionevoli relativi alla protezione dei Dati Personali del Titolare del Trattamento) entro 30 giorni da tale notifica, si riterrà che il Cliente abbia acconsentito a tale Nuovo Sub-Responsabile del Trattamento. Se il Cliente solleva obiezioni, le parti dovranno fare ogni ragionevole sforzo per concordare soluzioni alternative entro i successivi trenta (30) giorni. Se le parti non riescono a raggiungere un accordo entro tale lasso di tempo, il Cliente può scegliere di recedere dalla parte dei Servizi interessata dal Nuovo Sub-Processore fornendo un preavviso scritto di trenta (30) giorni a Sophos e Sophos autorizzerà un rimborso o un accredito pro-rata di eventuali commissioni prepagate per il periodo rimanente dopo la rescissione.
Sophos imporrà ai Sub-Responsabili del trattamento requisiti di protezione dei dati sostanzialmente equivalenti ai requisiti previsti dal presente DPA. Sophos rimarrà pienamente responsabile dell'adempimento degli obblighi di ciascun Sub-responsabile.
Laddove l'impiego di sub-responsabili richieda un trasferimento limitato dei dati personali del titolare del trattamento, Sophos implementerà e manterrà adeguati meccanismi di trasferimento per garantire la conformità alle leggi applicabili in materia di protezione dei dati.

7. TRASFERIMENTI INTERNAZIONALI DI DATI

Alcuni prodotti consentono al Cliente di selezionare dove ospitare i Dati personali del Titolare del trattamento per tali prodotti, anche in data center che potrebbero trovarsi al di fuori della giurisdizione in cui i dati hanno origine. Tali sedi possono includere (a) lo Spazio economico europeo, (b) il Regno Unito, (c) gli Stati Uniti d'America; o un'altra sede come specificato nell'Accordo principale ("Luogo di archiviazione centrale"). Per questi prodotti, la selezione viene effettuata dal Cliente al momento dell'installazione del prodotto, della creazione dell'account o del primo utilizzo del prodotto in questione. Una volta scelta dal Cliente, la Posizione di Stoccaggio Centrale non potrà essere modificata in un secondo momento.
Il Cliente accetta che, indipendentemente dalla Posizione di archiviazione centrale selezionata (se pertinente), Sophos possa trasferire i Dati personali del Titolare del trattamento a livello internazionale, nel rispetto della Legge sulla protezione dei dati applicabile e delle disposizioni del presente DPA. Qualora il trasferimento sia un Trasferimento Limitato, Sophos implementerà e manterrà adeguati meccanismi di trasferimento, come le Clausole Contrattuali Standard, per garantire la conformità alle Leggi europee sulla protezione dei dati.
Nella misura in cui eventuali Trasferimenti Limitati avvengono dal Cliente a Sophos:

Le clausole contrattuali standard sono espressamente incorporate nel presente documento per riferimento e costituiscono parte integrante del presente DPA; e
Ai fini delle Clausole Contrattuali Standard:
Per quanto riguarda i dati personali del titolare del trattamento, il Cliente è l'esportatore dei dati e Sophos è l'importatore dei dati e il responsabile del trattamento.
Laddove il Cliente sia il Titolare del trattamento, si applicherà il Modulo 2 delle Clausole contrattuali standard, fatte salve le condizioni dell'Allegato 4. Qualora il Cliente sia un Responsabile del trattamento che agisce per conto del Titolare del trattamento, si applicherà il Modulo 3 delle Clausole contrattuali standard, fatte salve le condizioni dell'Allegato 4.
La firma e la datazione dell'Accordo principale da parte delle parti si considerano come firma e datazione delle Clausole contrattuali standard.

8. DURATA

Il presente DPA entra in vigore (a) al momento dell'esecuzione da parte di entrambe le parti del Contratto principale o (b) alla data in cui il Contratto principale entra in vigore, se successiva, e continua fino alla prima delle seguenti date: (i) la scadenza del diritto del Cliente a utilizzare e ricevere i Servizi, come indicato nel Contratto principale o in qualsiasi diritto di licenza associato; e (ii) la risoluzione del Contratto principale.

9. ALTRE NORME

Qualsiasi modifica al presente DPA è valida solo se redatta per iscritto e firmata da o per conto di ciascuna parte.
In nessun caso la responsabilità di Sophos nei confronti del Cliente in relazione a qualsiasi problema derivante da, o in relazione a, questo DPA supererà le limitazioni di responsabilità di Sophos stabilite nel Contratto principale. Le limitazioni di responsabilità di Sophos stabilite nell'Accordo principale si applicheranno complessivamente sia all'Accordo principale sia al presente DPA, in modo tale che un unico regime di limitazione di responsabilità si applichi sia all'Accordo principale sia al presente DPA.
Il presente DPA (escluse le SCC) sarà regolato e interpretato in conformità alle leggi dell'Inghilterra e del Galles, senza riguardo ai principi di conflitto di leggi. Nella misura consentita dalla legge applicabile, i tribunali dell'Inghilterra avranno giurisdizione esclusiva per determinare qualsiasi controversia o reclamo che possa sorgere da, ai sensi o in relazione al presente DPA.
L'Accordo principale, il presente DPA e i documenti espressamente citati nell'Accordo principale e nel presente DPA costituiscono l'intero accordo tra le parti in relazione ai Dati personali raccolti, elaborati e utilizzati da Sophos in relazione all'Accordo principale e sostituiscono tutti i precedenti accordi, disposizioni e intese tra le parti in relazione a tale oggetto.
In caso di conflitto con i termini del presente DPA e i termini di eventuali SCC stipulati dalle parti, prevarranno i termini degli SCC applicabili (inclusi eventuali allegati).

10. CAMBIAMENTI LEGALI

Qualora fosse necessaria una modifica al presente DPA a seguito di una modifica delle leggi applicabili in materia di protezione dei dati, ciascuna parte potrà fornire all'altra parte una comunicazione scritta di tale modifica. Le parti discuteranno e negozieranno in buona fede qualsiasi variazione necessaria al presente DPA per far fronte a tali cambiamenti. Le parti non negheranno irragionevolmente il consenso o l'approvazione per modificare il presente DPA ai sensi della presente Sezione 10 o in altro modo.

ELENCO DELLE MOSTRE

Allegato 1: DETTAGLI DEL TRATTAMENTO

Allegato 2: MISURE TECNICHE E ORGANIZZATIVE

Allegato 3: TERMINI AGGIUNTIVI PER I TRASFERIMENTI LIMITATI

Allegato (all'Allegato 3): Appendice agli SCC (Modulo 2/Modulo 3): Titolare del trattamento-responsabile del trattamento/responsabile del trattamento-responsabile del trattamento

Allegato 1

DESCRIZIONE DEL TRATTAMENTO

Il presente Allegato 1 descrive l'elaborazione che Sophos eseguirà in qualità di responsabile del trattamento per conto del Cliente.

(a)Oggetto del trattamento

Sophos fornisce Servizi progettati per rilevare, prevenire e gestire, o assistere Sophos nel rilevare, prevenire e gestire minacce alla sicurezza all'interno o contro sistemi, reti, dispositivi, file e altri dati resi disponibili dal Cliente. Il contenuto di qualsiasi informazione contenuta in questi sistemi, reti, dispositivi, file e altri dati è determinato esclusivamente dal Cliente.

(b) Natura e finalità del trattamento

Fornire i Servizi ai sensi e in conformità con il Contratto. I dati personali del Titolare del trattamento saranno soggetti alle seguenti attività di trattamento di base:
Qualsiasi operazione o insieme di operazioni eseguite su Dati Personali o insiemi di Dati Personali nel corso della fornitura dei Servizi, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

(c) Durata delle operazioni di trattamento:

I dati personali del Titolare del trattamento saranno trattati per tutta la durata del Contratto principale e in conformità alle disposizioni del presente DPA.

(d) Interessati

I Dati Personali del Titolare del Trattamento riguardano le seguenti categorie di interessati:

Personale e utenti finali del Controller
Altri soggetti interessati i cui dati personali vengono trattati per conto del Titolare del trattamento in relazione ai Servizi

(e)Tipi di dati personali

I Dati Personali del Titolare riguardano le seguenti categorie di dati:

Nomi utente e altri identificatori
Informazioni sulla rete e sull'attività di rete
Altre informazioni che possono essere trasmesse o elaborate in relazione ai Servizi

(f)Categorie speciali di dati (se del caso)

I Dati Personali del Titolare del Trattamento riguardano le seguenti categorie particolari di dati:

Il contenuto di qualsiasi informazione contenuta nei sistemi, nelle reti, nei dispositivi, nei file e negli altri dati Sophos è determinato esclusivamente dal Cliente. Salvo diversa indicazione, i Servizi Sophos non sono progettati per elaborare categorie speciali di dati.

Allegato 2

MISURE TECNICHE E ORGANIZZATIVE

Questa panoramica sulla sicurezza delle informazioni si applica ai controlli aziendali di Sophos per la salvaguardia dei dati personali del titolare del trattamento.

Pratiche e politiche di sicurezza

Sophos si impegna a implementare misure di sicurezza fisiche, tecniche, amministrative o organizzative relative alla protezione di tali Dati personali del titolare del trattamento contro la distruzione, la perdita, l'accesso o l'alterazione accidentali o illeciti dei Dati del titolare del trattamento in possesso o sotto il controllo di Sophos. Sophos manterrà politiche e standard per la protezione dei dati personali del titolare del trattamento che traggano origine da quadri normativi di settore e stabiliranno standard uniformi di sicurezza e privacy per le operazioni di Sophos.

Sicurezza organizzativa

È responsabilità di tutti i membri dell'organizzazione conformarsi a queste pratiche e standard. Per facilitare l'adesione aziendale a queste pratiche e standard, la funzione di sicurezza delle informazioni fornisce:

1. Strategia e conformità alle politiche/standard e alle normative, consapevolezza e formazione, valutazione e gestione dei rischi, gestione dei requisiti di sicurezza dei contratti, consulenza su applicazioni e infrastrutture, test di garanzia e guida della direzione della sicurezza dell'azienda;

2. Test di sicurezza, progettazione e implementazione di soluzioni di sicurezza per consentire l'adozione di controlli di sicurezza in tutto l'ambiente;

3. Operazioni di sicurezza delle soluzioni di sicurezza implementate, dell'ambiente e delle risorse e gestione delle attività di risposta agli incidenti;

Sicurezza del personale

Come parte del processo di assunzione e nel rispetto delle leggi locali, i dipendenti vengono sottoposti a un processo di selezione al momento dell'assunzione. La formazione annuale sulla conformità di Sophos prevede l'obbligo per i dipendenti di completare un corso online sulla sicurezza delle informazioni e sulla protezione dei dati. Il programma di sensibilizzazione sulla sicurezza può anche fornire materiali specifici per determinate funzioni lavorative.

Sicurezza fisica e ambientale

Sophos adotta precauzioni per garantire che tutti i sistemi che ospitano i Dati personali del titolare del trattamento siano mantenuti in un ambiente fisicamente sicuro per impedire l'accesso fisico non autorizzato e che le restrizioni di accesso alle posizioni fisiche contenenti i Dati personali del titolare del trattamento, come edifici, strutture informatiche e strutture di archiviazione dei registri, siano progettate e implementate per consentire l'accesso solo alle persone autorizzate e per rilevare qualsiasi accesso non autorizzato che possa verificarsi, inclusi, a titolo esemplificativo ma non esaustivo, controlli di accesso tramite badge, restrizioni di accesso ad aree sensibili, allarmi delle strutture nonché registrazione e registri dei visitatori.

Gestione delle comunicazioni e delle operazioni

Sophos gestisce le modifiche alla propria infrastruttura, ai propri sistemi e alle proprie applicazioni attraverso un programma formale di gestione delle modifiche, progettato per garantire l'integrità e la sicurezza dei dati personali del titolare del trattamento. I controlli includono test, analisi dell'impatto aziendale e approvazione della direzione, ove opportuno. Esistono procedure di risposta agli incidenti per la sicurezza e la protezione dei dati, che possono includere l'analisi dell'incidente, il contenimento, la risposta, la correzione, la segnalazione e il ritorno alle normali operazioni.

Per proteggersi dagli attacchi informatici, è possibile implementare controlli aggiuntivi in base al rischio. Tali controlli possono includere, a titolo esemplificativo ma non esaustivo, policy e standard di sicurezza delle informazioni, accesso limitato, autenticazione a più fattori, ambienti di sviluppo e test designati, rilevamento di malware; scansione del traffico e-mail e web; rilevamento e risposta gestiti, registrazione e avvisi su eventi chiave, procedure di gestione delle informazioni basate sul tipo di dati nonché scansione delle vulnerabilità del sistema e delle applicazioni.

Controlli di accesso

Sophos adotta misure e procedure di sicurezza appropriate per garantire che l'accesso a tutti i sistemi che ospitano i Dati personali del titolare del trattamento sia protetto mediante l'uso di sistemi di controllo degli accessi che identificano in modo univoco ogni individuo che richiede l'accesso, concedono l'accesso solo agli individui autorizzati e, in base al principio dei privilegi minimi, impediscono a persone non autorizzate di accedere ai Dati personali del titolare del trattamento, limitano e controllano in modo appropriato l'ambito di accesso concesso a qualsiasi persona autorizzata e registrano tutti gli eventi di accesso rilevanti.

Controlli dei subappaltatori

Sophos sarà tenuta a garantire che i suoi subappaltatori che elaborano i Dati personali del Titolare del trattamento mantengano programmi di sicurezza dei dati almeno altrettanto rigorosi dei programmi di Sophos per quanto riguarda il servizio applicabile per il quale tale subappaltatore è stato incaricato e in conformità con gli standard e le pratiche del settore generalmente accettati. Sophos dovrà mantenere un programma di gestione del rischio incentrato sull'identificazione, la valutazione e la convalida dei controlli di sicurezza di un fornitore.

Sviluppo e manutenzione del sistema

Le vulnerabilità di terze parti divulgate pubblicamente vengono esaminate per verificarne l'applicabilità nell'ambiente Sophos. In base al rischio per l'attività e i clienti di Sophos, sono previsti tempi di risoluzione predefiniti. Inoltre, vengono eseguite scansioni e valutazioni delle vulnerabilità sulle applicazioni nuove e chiave, nonché sull'infrastruttura in base al rischio. Le revisioni e gli scanner del codice vengono utilizzati nell'ambiente di sviluppo prima della produzione per rilevare in modo proattivo le vulnerabilità del codice in base al rischio. Questi processi consentono l'identificazione proattiva delle vulnerabilità e la conformità.

Conformità

I dipartimenti di sicurezza informatica, legale, privacy e conformità lavorano per identificare le leggi e le normative regionali applicabili a Sophos. Tali requisiti riguardano aree quali la proprietà intellettuale dell'azienda e dei nostri clienti, le licenze software, la protezione dei dati personali dei dipendenti e dei clienti, le procedure di protezione e gestione dei dati, la trasmissione transfrontaliera dei dati, le procedure finanziarie e operative, i controlli normativi sulle esportazioni in materia di tecnologia e i requisiti forensi. Meccanismi quali il programma di sicurezza delle informazioni, audit/valutazioni interne ed esterne, consulenza legale interna ed esterna, valutazione dei controlli interni, test di penetrazione interna e valutazioni della vulnerabilità, gestione dei contratti, consapevolezza della sicurezza, consulenza sulla sicurezza, revisioni delle eccezioni alle policy e gestione del rischio si combinano per favorire la conformità a questi requisiti.

Allegato 3

TERMINI AGGIUNTIVI PER I TRASFERIMENTI LIMITATI

Il presente Allegato 3 include termini aggiuntivi applicabili ai Trasferimenti Limitati, nonché le informazioni necessarie per completare le Appendici (Allegati I – III) alle Clausole Contrattuali Standard applicabili.

Laddove il Cliente sia un Titolare del trattamento dei Dati personali del Titolare del trattamento, si applicherà il Modulo 2 delle Clausole contrattuali standard, fatte salve le condizioni del presente Allegato 3.
Qualora il Cliente sia un Responsabile del trattamento che agisce per conto di un Titolare del trattamento in relazione ai Dati personali del Titolare del trattamento, si applicherà il Modulo 3 delle Condizioni contrattuali generali, fatte salve le condizioni del presente Allegato 3.
Ai fini delle clausole contrattuali tipo dell'UE:

Clausola 7: la clausola di attracco facoltativo non si applica;
Clausola 9(a): si applica l'opzione 2 (Autorizzazione generale) e l'importatore dei dati deve notificare per iscritto all'esportatore dei dati eventuali modifiche previste almeno 30 giorni prima.
Clausola 11: la lingua facoltativa non si applica.
Clausola 17: le CSC dell'UE sono disciplinate dalle leggi della Repubblica d'Irlanda;
Clausola 18: le controversie saranno risolte davanti ai tribunali della Repubblica d'Irlanda;
L'Appendice alle Condizioni contrattuali tipo dell'UE deve essere compilata con le informazioni contenute nell'Allegato al presente Allegato 3.

4. Ai fini dell'Addendum del Regno Unito, si applica quanto segue:

I dettagli delle Parti rilevanti per la Tabella 1 sono quelli indicati nell'Allegato I dell'Allegato al presente Allegato 3;
Ai fini della Tabella 2, l'Addendum del Regno Unito deve essere allegato alle SCC dell'UE con le stesse opzioni e tempistiche sopra indicate;
Le informazioni dell'appendice elencate nella Tabella 3 devono essere compilate con le informazioni contenute nell'Allegato I e nell'Allegato II dell'Allegato al presente Allegato 3.

5. Ai fini delle CCP svizzere, le CCP dell'UE si applicano come segue:

Tutti i riferimenti al GDPR contenuti nelle CSC dell'UE devono essere interpretati come riferimenti al DPA svizzero;
I riferimenti a “UE”, “Unione”, “Stato membro” e “diritto dello Stato membro” devono essere interpretati come riferimenti alla Svizzera e al diritto svizzero, a seconda dei casi;
I riferimenti all’«autorità di vigilanza competente» e ai «tribunali competenti» devono essere interpretati come riferimenti all’IFPDT e ai tribunali competenti in Svizzera;
Gli allegati pertinenti delle CSC svizzere devono essere compilati con le informazioni contenute nell'Allegato al presente Allegato 3.

Allegato all'Allegato 3

APPENDICE AL SCCS

MODULO 2 o MODULO 3 (a seconda dei casi)

ALLEGATO I

UN. ELENCO DELLE PARTI

1. Esportatore/i di dati:

Nome Come fornito a Sophos ai sensi dell'Accordo principale

Indirizzo Come fornito a Sophos ai sensi dell'Accordo principale

Altre informazioni necessarie per identificare l'Organizzazione

Come fornito a Sophos ai sensi dell'Accordo principale

Nome della persona di contatto:

Posizione:

Dettagli di contatto:

Come fornito a Sophos ai sensi dell'Accordo principale

Attività rilevanti per i dati trasferiti ai sensi delle presenti SCC

L'acquisto dei Prodotti come stabilito nel Contratto Principale

Ruolo

Titolare del trattamento (quando il Cliente è l'Utente finale) o Responsabile del trattamento (quando il Cliente è un MSP o OEM)

Firma e data dell'esportatore dati:

Data e firma come stabilito nell'Accordo principale

2. Importatore/i di dati:

Nome Sophos Limited

Indirizzo Il Pentagono, Abingdon Science Park, Abingdon, OX14 3YP, Regno Unito

Altre informazioni necessarie per identificare l'Organizzazione

Come definito nell'Accordo principale.

Nome della persona di contatto:

Posizione: dataprotection@sophos.com

Dettagli di contatto:

Consulente per la privacy

Attività rilevanti per i dati trasferiti ai sensi delle presenti SCC

La fornitura dei Prodotti come stabilito nell'Accordo Principale

Ruolo Processore

Firma e data dell'importatore dei dati: Data e firma come stabilito nell'Accordo principale

B. DESCRIZIONE DEL TRASFERIMENTO

Categorie di interessati i cui dati personali vengono trasferiti.