Il presente contratto è incorporato per riferimento (ove applicabile e fatto salvo ogni esplicito accordo contrario) nei contratti per la fornitura di servizi in cui ASK4 Solutions Limited, ASK4 Business Limited o ASK4 Data Centres Limited, come specificato nel vostro contratto o ordine per la fornitura di servizi, ("ASK4") agiscono in qualità di Processore.
Il presente contratto non si applica nel caso in cui ASK4 Limited o altre società del gruppo ASK4 forniscano servizi Internet residenziali o gestiti in qualità di controllore.
Definizioni
"Titolare del trattamento", "Soggetto interessato", "Dati personali", "Responsabile del trattamento" e "Subprocessore" hanno ciascuno il significato loro attribuito ai sensi delle leggi sulla privacy e sulla protezione dei dati applicabili;
"Cliente" indica la persona che ha stipulato un contratto con ASK4 per la fornitura dei Servizi;
"Dati personali del cliente" ha il significato attribuito al paragrafo 2.1 del presente contratto;
"Appendice al trattamento" indica l'allegato al presente contratto che contiene i dettagli del trattamento coinvolto nella fornitura dei Servizi;
"Leggi sulla privacy e sulla protezione dei dati" indica la legislazione applicabile che protegge i dati personali e la privacy delle persone fisiche, tra cui in particolare il GDPR del Regno Unito, il Data Protection Act 2018 e il Privacy and Electronic Communications (EC Directive) Regulations 2003 (SI 2426/2003) insieme a qualsiasi guida vincolante e codici di pratica applicabili emessi di volta in volta dalle autorità di vigilanza competenti;
"Incidente di sicurezza" indica una violazione della sicurezza di ASK4 che porta alla distruzione accidentale o illegale, alla perdita, all'alterazione, alla divulgazione non autorizzata o all'accesso ai Dati personali del Cliente;
Per "Servizi" si intende il supporto IT, l'hosting, la colocazione del centro dati, le telecomunicazioni o altri servizi forniti al Cliente da ASK4;
"GDPR del Regno Unito" ha il significato attribuito alla sezione 3(10) (come integrata dalla sezione 205(4)) del Data Protection Act 2018; e
Per "Incidente di sicurezza non riuscito" si intende un incidente che non comporta l'accesso non autorizzato ai Dati personali del cliente e può includere, a titolo esemplificativo, ping e altri attacchi broadcast a firewall o edge server, scansioni di porte, tentativi di accesso non riusciti, attacchi di negazione del servizio, sniffing di pacchetti (o altri accessi non autorizzati ai dati di traffico che non comportano l'accesso oltre le intestazioni) o incidenti simili.
1. Ambito di applicazione e ruoli
1.1 Il presente accordo si applica solo nel caso in cui i Dati personali siano trattati nell'ambito della fornitura dei Servizi da parte del Cliente ("Dati personali del Cliente").
1.2 ASK4 agirà in qualità di Processore o Subprocessore del Cliente, che potrà agire sia come Controllore che come Responsabile del trattamento in relazione ai Dati personali del Cliente.
2. Trattamento dei dati
2.1 Il presente contratto e l'Appendice al Trattamento costituiscono le istruzioni scritte del Cliente a ASK4 per il Trattamento dei Dati personali che, a scanso di equivoci, si limiteranno al Trattamento necessario per la fornitura dei Servizi ("Istruzioni al Trattamento").
2.2 Il Cliente non emetterà Istruzioni al Trattamento aggiuntive o alternative che modifichino l'ambito del presente contratto, a meno che non sia diversamente concordato con ASK4.
2.3 Il Cliente garantisce che: (a) le Istruzioni per l'elaborazione; (b) la raccolta dei Dati personali del Cliente; e (c) subordinatamente alla conformità di ASK4 con il presente accordo, l'elaborazione dei Dati personali del Cliente è conforme alle leggi sulla privacy e sulla protezione dei dati. Il Cliente è l'unico responsabile della fornitura di qualsiasi informazione sull'equo trattamento in merito al Trattamento di ASK4 ai propri dipendenti o ad altri soggetti interessati.
3. Riservatezza dei Dati Personali del Cliente
3.1 ASK4 manterrà riservati i Dati Personali del Cliente e non accederà o utilizzerà, né divulgherà a terzi, alcun Dato Personale del Cliente, salvo, in ogni caso, quanto necessario per mantenere o fornire i Servizi, o quanto necessario per conformarsi alla legge o a un ordine valido e vincolante di un'autorità giudiziaria, governativa o di applicazione della legge (come una citazione in giudizio o un ordine del tribunale). Se un ente governativo invia ad ASK4 una richiesta di Dati personali del Cliente, ASK4 cercherà di reindirizzare l'ente governativo a richiedere tali dati direttamente al Cliente. Come parte di questo sforzo, ASK4 può fornire all'ente governativo le informazioni di contatto di base del Cliente. Se costretta a divulgare i Dati personali del Cliente a un ente governativo, ASK4 (laddove consentito dalla legge) darà al Cliente un ragionevole preavviso della richiesta per consentirgli di richiedere un ordine di protezione o un altro rimedio appropriato.
4. Sicurezza del trattamento dei dati
4.1 ASK4 dovrà fornire sufficienti garanzie di aver implementato tutte le misure tecniche e organizzative necessarie o appropriate per garantire un livello di sicurezza adeguato al rischio.
4.2 Le parti riconoscono e concordano che il Cliente è tenuto a cooperare con le misure di sicurezza di ASK4 e non dovrà bypassare o non seguire nessuno dei processi di sicurezza di ASK4.
4.3 Poiché ASK4 non ha, o ha una conoscenza limitata, dei Dati personali del Cliente, il Cliente è l'unico responsabile di qualsiasi: (a) pseudonimizzazione e crittografia per garantire un livello di sicurezza adeguato; (b) misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione gestiti dal Cliente; (c) misure che consentano all'Acquirente di eseguire backup e archiviazione in modo appropriato per ripristinare tempestivamente la disponibilità e l'accesso ai Dati personali dell'Acquirente in caso di incidente fisico o tecnico; e (d) processi per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative implementate dall'Acquirente (ma ASK4 dovrà garantire di testare regolarmente l'efficacia delle proprie misure di sicurezza).
5. Subprocessing
5.1 Il Cliente accetta che ASK4 possa utilizzare i Subprocessori elencati nell'Appendice sul trattamento per adempiere ai propri obblighi contrattuali di fornitura dei Servizi.
5.2 Se ASK4 ingaggia un nuovo Subprocessore per svolgere attività di trattamento dei Dati personali del Cliente per conto del Cliente, ASK4 lo notificherà o fornirà al Cliente un meccanismo per ottenere una notifica di tale aggiornamento. Se il Cliente si oppone a un nuovo Subprocessore entro 14 giorni dalla notifica da parte di ASK4, il Cliente e ASK4 discuteranno in buona fede per risolvere i problemi del Cliente, a condizione che se il Cliente ha ragionevoli motivi di obiezione che non possono essere affrontati da ASK4 entro un periodo ragionevole dalla data dell'obiezione, può risolvere il contratto per i Servizi con un preavviso scritto di 14 giorni a ASK4. Ad eccezione di quanto stabilito nel presente contratto, in caso di emergenza, o come altrimenti autorizzato dal Cliente, ASK4 non consentirà ad alcun Subprocessore di svolgere attività di elaborazione dei Dati personali del Cliente per conto del Cliente.
5.3 ASK4 limiterà l'accesso di tutti i Subprocessori ai Dati personali del Cliente nella misura necessaria per mantenere i Servizi o per fornire i Servizi al Cliente e ASK4 proibirà ai Subprocessori di accedere ai Dati personali del Cliente per qualsiasi altro scopo.
5.4 ASK4 stipulerà un accordo scritto con il Subprocessore e, nella misura in cui il Subprocessore esegue gli stessi servizi di elaborazione dati forniti da ASK4 ai sensi del presente contratto, ASK4 imporrà al Subprocessore gli obblighi contrattuali equivalenti che ASK4 ha ai sensi del presente contratto e ASK4 rimarrà responsabile della sua conformità agli obblighi del presente contratto e di qualsiasi atto o omissione dei Subprocessori che provochi la violazione di uno qualsiasi degli obblighi di ASK4 ai sensi del presente contratto.
6. Diritti dei soggetti interessati
6.1 Tenendo conto della natura dei Servizi, ASK4 consiglia al Cliente di mettere in atto le proprie procedure per garantire il rispetto degli obblighi nei confronti dei soggetti interessati. Su richiesta scritta, ASK4 assisterà il Cliente nell'adempimento dei propri obblighi nei confronti dei Soggetti interessati, tenendo conto della natura del trattamento e delle informazioni a disposizione di ASK4, fermo restando che gli obblighi di ASK nei confronti del Cliente in relazione a qualsiasi richiesta di accesso ai dati saranno limitati alla misura minima richiesta dalle leggi sulla privacy e sulla protezione dei dati e che tutte le responsabilità per le richieste di accesso ai dati restano a carico del Cliente.
6.2 Qualora un Soggetto interessato contatti ASK4 in merito alla correzione o alla cancellazione dei propri Dati personali, ASK4 si adopererà in modo commercialmente ragionevole per inoltrare tali richieste al Cliente.
7. Notifica delle violazioni della sicurezza
7.1 ASK4: (a) notificare al Cliente un Incidente di sicurezza senza indebito ritardo dopo esserne venuto a conoscenza; e (b) adottare misure ragionevoli per mitigare gli effetti e ridurre al minimo i danni derivanti dall'Incidente di sicurezza.
7.2 Il Cliente concorda che un Incidente di sicurezza non riuscito non sarà soggetto al presente paragrafo 8..2 Il Cliente concorda che un Incidente di sicurezza non riuscito non sarà soggetto al presente paragrafo 8.
7.3 L'obbligo di ASK4 di segnalare o rispondere a un Incidente di sicurezza ai sensi del presente paragrafo 8 non è e non sarà interpretato come un riconoscimento da parte di ASK4 di qualsiasi colpa o responsabilità di ASK4 in relazione all'Incidente di sicurezza.
7.4 Per assistere il Cliente in relazione a qualsiasi notifica di violazione dei Dati Personali che il Cliente è tenuto a fare ai sensi delle leggi sulla privacy e sulla protezione dei dati, ASK4 includerà nella notifica di cui al paragrafo 1 le informazioni sull'Incidente di Sicurezza che ASK4 è ragionevolmente in grado di rivelare al Cliente, tenendo conto della natura dei Servizi, delle informazioni disponibili ad ASK4 e di qualsiasi restrizione alla divulgazione delle informazioni, come la riservatezza.
8. Certificazioni e audit di ASK4
8.1 ASK4 renderà disponibile la propria certificazione ISO 27001 su richiesta.
8.2 ASK4 si avvale di auditor esterni per verificare l'adeguatezza delle proprie misure di sicurezza. Questo audit: (a) sarà eseguito almeno annualmente; (b) sarà eseguito secondo gli standard ISO 27001 o altri standard alternativi sostanzialmente equivalenti a ISO 27001; (c) sarà eseguito da professionisti della sicurezza indipendenti di terze parti a scelta e a spese di ASK4; e (d) risulterà nella generazione di un rapporto di audit ("Rapporto"), che sarà un'informazione riservata di ASK4.
8.3 Su richiesta scritta del Cliente, ASK4 (a condizione che le parti abbiano un accordo di non divulgazione applicabile) a sua discrezione: (a) fornirà al Cliente una copia del Rapporto in modo che il Cliente possa ragionevolmente verificare l'adempimento da parte di ASK4 dei suoi obblighi ai sensi del presente contratto; oppure (b) con un ragionevole preavviso e non più di una volta in un periodo di 12 mesi, consentirà al Cliente di condurre un audit supervisionato in ore.
9. Valutazione dell'impatto sulla privacy e consultazione preventiva
9.1 Tenendo conto della natura dei Servizi e delle informazioni a disposizione di ASK4, ASK4 fornirà un'assistenza ragionevole al Cliente, ove necessario, per consentirgli di adempiere a qualsiasi obbligo in materia di valutazione dell'impatto sulla protezione dei dati e di consultazione preventiva richiesta ai sensi delle leggi sulla privacy e sulla protezione dei dati applicabili.
10. Trasferimenti
10.1 Qualsiasi trasferimento di dati al di fuori del Regno Unito avverrà in conformità al GDPR britannico, in modo tale che ASK4 si assicuri che il paese in cui i dati vengono trasferiti garantisca un livello di protezione adeguato o che ASK4 utilizzi clausole contrattuali standard per garantire un livello di protezione adeguato.
11. Restituzione o cancellazione dei Dati personali del cliente
11.1 I Servizi in genere: (a) forniscono al Cliente controlli che il Cliente può utilizzare per recuperare o cancellare i Dati personali del cliente; oppure (b) consentono al Cliente di mantenere il controllo sul proprio accesso e sulla cancellazione dei Dati personali del cliente. Su richiesta scritta, ASK4 si adopererà in modo commercialmente ragionevole per assistere il Cliente nel recupero o nella cancellazione dei Dati personali del Cliente.
11.2 ASK4 cesserà il trattamento dei Dati personali del Cliente immediatamente dopo la cessazione o la scadenza della fornitura dei Servizi e (a meno che ASK4 non abbia un interesse legittimo a conservare i Dati personali del Cliente o sia legalmente obbligata a conservare i Dati personali del Cliente), a scelta del Cliente, restituirà o cancellerà in modo sicuro i Dati personali del Cliente.
APPENDICE DI LAVORAZIONE
Oggetto: L'oggetto del trattamento dei dati ai sensi del presente contratto sono i Dati personali del Cliente.
Durata del trattamento: Tra ASK4 e il Cliente, la durata del trattamento dei dati è la durata della fornitura dei Servizi.
Scopo: lo scopo del Trattamento è la fornitura dei Servizi avviati dal Cliente di volta in volta. È responsabilità del Cliente informare ASK4 di qualsiasi altro scopo del Trattamento e di qualsiasi modifica a tale natura o scopo.
Natura del trattamento: Calcolo, archiviazione, supporto informatico e altri servizi descritti nell'ordine del Cliente o avviati dal Cliente stesso di volta in volta.
Tipo di dati personali del cliente: Nome del dipendente, informazioni di contatto, ruolo (comprese le autorizzazioni) e informazioni tecniche (come le informazioni sulle richieste di assistenza che possono o meno essere dati personali) relative al Servizio fornito. I Dati personali del cliente caricati sui Servizi in caso di fornitura di servizi di hosting o di archiviazione. Laddove vengano forniti tali Servizi, è responsabilità del Cliente informare ASK4 dei tipi di Dati personali del Cliente da trattare e di qualsiasi modifica a tali tipi di dati.
Categorie di soggetti interessati: I Soggetti dei dati possono includere clienti, dipendenti, fornitori e utenti finali del Cliente. È responsabilità del Cliente informare ASK4 di qualsiasi altra categoria di Soggetti cui si riferiscono i Dati personali del Cliente e di qualsiasi modifica a tali categorie.
Sottoprocessori:
- DRD Communications Ltd (in qualità di acquirente di Inclarity Communications Limited (con sede nel Regno Unito) - dove vengono forniti i servizi VoiP
- Gamma Telecomm Limited (con sede nel Regno Unito) - dove vengono forniti i Servizi VoiP
- Il fornitore di linee di telecomunicazione all'ingrosso - dove vengono forniti i servizi di linea in leasing (questo sarà fornito nell'ordine o su richiesta)
- Formagrid, Inc. fornisce Airtable, che utilizziamo come software per i processi aziendali.
- Aspire Community Enterprise (Sheffield) Ltd - per la distruzione sicura di apparecchiature elettriche
- Utopi Limited - dove forniamo contatori intelligenti e la relativa rendicontazione ESG attraverso la piattaforma e le apparecchiature Utopi.
NOTA: ASK4 può rivendere soluzioni software fornite da terzi come parte dei servizi (ad esempio, prodotti Microsoft). Per il trattamento dei dati personali si applicherà il relativo EULA/Accordo con il cliente (ed eventuali allegati al trattamento dei dati o simili in esso incorporati) tra il cliente e il fornitore, e non il presente accordo.