Vai al contenuto principale

Accordi e Termini

Politiche e linee guida

Marchi registrati e proprietà intellettuale

Approvvigionamento e fornitori

Protezione dei dati e privacy

ACCORDO SUL TRATTAMENTO DEI DATI

Questo Accordo sul Trattamento dei Dati (“DPA”) è stipulato tra il Cliente e Zendesk, Inc. (“Zendesk”), ciascuno una “Parte” e insieme le “Parti”.

Il Cliente e Zendesk hanno stipulato l'Accordo in base al quale al Cliente è fornito l'accesso e l'uso dei Servizi durante il Periodo di Abbonamento. Questo DPA è incorporato e reso parte integrante del Contratto. Se desideri firmare elettronicamente il DPA, fai clic qui.

1. OBBLIGHI GLOBALI IN MATERIA DI PRIVACY DELLE PARTI

  1. Proprietà dei Dati di Servizio. Zendesk non rivendica alcun diritto di proprietà o interesse sui Dati del Servizio trattati ai sensi del presente DPA e, tra le Parti, i Dati del Servizio di proprietà del Cliente rimangono di proprietà del Cliente.
  2. Dati Personali. Le Parti concordano che la natura, le finalità, l'Oggetto, la durata del trattamento, le categorie di Dati Personali o degli interessati e i periodi di conservazione applicabili sono come descritto nell'Allegato I.
  3. Legge applicabile in materia di protezione dei dati. Zendesk e il cliente concordano di rispettare i rispettivi obblighi della Legge Applicabile sulla Protezione dei Dati.
  4. Obblighi di Zendesk. Zendesk accetta di:

    1. trattare Dati Personali secondo le istruzioni documentate del cliente, salvo diversamente consentito o obbligatorio dalla legge applicabile. Zendesk informerà il cliente immediatamente se le sue istruzioni di elaborazione violano la Legge Applicabile sulla Protezione dei Dati;

    2. non vendere o condividere Dati Personali;

    3. assicurarsi che tutti i dipendenti e i contrattisti siano pienamente consapevoli delle loro responsabilità per proteggere i Dati Personali ai sensi di questo DPA e abbiano assunto un'adeguata obbligazione contrattuale o legale di riservatezza;

    4. notificare al Cliente se non può più soddisfare i suoi obblighi ai sensi della Legge Applicabile sulla Protezione dei Dati e consentire al Cliente di intraprendere misure ragionevoli e appropriate per porre rimedio al trattamento non autorizzato dei Dati Personali;

    5. implementare e mantenere misure tecniche e organizzative appropriate progettate per proteggere i Dati Personali contro la distruzione, perdita, alterazione, divulgazione o accesso non autorizzati, tenendo conto della probabilità e della gravità dei rischi per i diritti alla privacy degli Oggetti dei dati, comprese le misure nell'Allegato II;

    6. notificare al Cliente una violazione confermata dei dati Personali senza indebito ritardo e entro 48 ore, a meno che non sia vietato dalla legge o da un'agenzia governativa; adottare misure appropriate progettate per mitigare la causa o le cause della violazione dei dati Personali; e fornire al Cliente tutte le informazioni necessarie come richiesto dalla Legge Applicabile sulla Protezione dei Dati;

    7. assistere ragionevolmente il Cliente con il suo obbligo di rispondere alle richieste degli Oggetti dei dati e, se Zendesk riceve una richiesta direttamente dall'Oggetto dei dati del Cliente, indirizzare l'Oggetto dei dati al Cliente a meno che non sia vietato dalla legge; e

    8. rendere disponibili informazioni e assistenza ragionevoli a livello aziendale per attivare il Cliente a condurre qualsiasi valutazione d'impatto sulla protezione dei dati o consultazione con l'autorità di controllo, come richiesto dalla Legge Applicabile sulla Protezione dei Dati.

  5. Obblighi del cliente. Cliente, in qualità di titolare del trattamento dei dati, determina quali Dati personali vengono trattati dai Servizi. Il Cliente è responsabile di valutare le misure tecniche e organizzative di Zendesk come appropriate per i tipi di Dati personali che il Cliente desidera elaborare utilizzando i Servizi.

2. UTILIZZO DEI SOTTO-PROCESSORI

  1. Sub-responsabili del trattamento. Il cliente fornisce la sua autorizzazione scritta generale a Zendesk per utilizzare Sub-processors a condizione che:

    1. Zendesk rimane responsabile nei confronti del cliente per gli atti o le omissioni dei suoi Sub-responsabili riguardo al loro trattamento dei Dati Personali; e

    2. ogni Sub-responsabile del trattamento accetta di proteggere i Dati Personali secondo standard coerenti con i requisiti di questo DPA.

  2. Aggiornamenti della politica per i sub-responsabili del trattamento. Zendesk aggiornerà la Politica del Sub-responsabile del trattamento con eventuali Sub-responsabili del trattamento di nuova nomina almeno 30 giorni prima di tale modifica. Il cliente può iscriversi per ricevere notifiche email di tali modifiche.
  3. Obiezioni alla Politica sui Sub-responsabili. Il cliente può opporsi a qualsiasi Sub-responsabile del trattamento appena nominato per motivi ragionevoli relativi alla protezione dei dati. Se il cliente si oppone, informerà Zendesk per iscritto inviando un'email a privacy@zendesk.com entro 30 giorni successivi all'aggiornamento della Sub-processor Policy. In tal caso, le Parti negozieranno, in buona fede, una soluzione all'obiezione del Cliente. Se le Parti non possono raggiungere una soluzione entro 60 giorni dal ricevimento da parte di Zendesk dell'obiezione del cliente, Zendesk, a sua esclusiva discrezione, farà una delle seguenti cose:

    1. istruire il Sub-responsabile a non trattare i Dati Personali del cliente, e il DPA continuerà senza modifiche, oppure

    2. consentire al Cliente di risolvere qualsiasi parte interessata dei Servizi e fornire al Cliente un rimborso proporzionale delle Spese di Abbonamento pagate in anticipo per la parte interessata dei Servizi non ancora ricevuta alla data di decorrenza della risoluzione.

3. AUDIT

  1. Revisori esterni. Zendesk utilizza revisori esterni indipendenti e qualificati per verificare l'adeguatezza delle sue misure di protezione dei dati e la conformità ai suoi obblighi in questo DPA (ad es. SOC 2 Tipo II o ISO 27001).
  2. Report di audit. Su richiesta scritta del cliente, Zendesk fornirà al cliente un Rapporto di Audit, soggetto alle disposizioni di riservatezza dell'Accordo.
  3. Assistenza. Nella misura in cui i requisiti di audit del Cliente ai sensi della Legge Applicabile sulla Protezione dei Dati non siano ragionevolmente soddisfatti tramite il Rapporto di Audit o altra documentazione che Zendesk rende generalmente disponibile ai suoi clienti, e il Cliente non abbia altrimenti accesso alle informazioni pertinenti, Zendesk assisterà ragionevolmente il Cliente.
  4. Verifica. Se il cliente non può soddisfare i propri obblighi di audit ai sensi della Legge Applicabile sulla Protezione dei Dati tramite l’assistenza fornita da Zendesk nella Sezione 3.3 e il cliente ha il diritto di condurre un audit ai sensi della Legge Applicabile sulla Protezione dei Dati, il cliente può richiedere tale audit fornendo un preavviso scritto di almeno 30 giorni a privacy@zendesk.com. Tale verifica può essere condotta non più di una volta all'anno, deve essere condotta durante il normale orario di attività con una durata ragionevole, non deve interferire con le operazioni di Zendesk e deve essere condotta solo presso la sede centrale di Zendesk o un ufficio commerciale concordato. Tale verifica non comporterà l'accesso a dati relativi ad altri clienti Zendesk, né a strutture o sistemi protetti in alcun modo che violino i controlli di sicurezza di Zendesk o inducano Zendesk a violare i propri obblighi di riservatezza nei confronti di terze parti. Qualsiasi informazione generata in connessione con tale verifica è Informazione Riservata di Zendesk e sarà prontamente fornita a Zendesk. Il cliente è responsabile dei costi e delle spese relative a qualsiasi verifica che richiede oltre al Report di verifica.

4. TRASFERIMENTI INTERNAZIONALI DI DATI

  1. Trasferimenti internazionali di dati. Il Cliente riconosce che è necessario per l'esecuzione dei Servizi che Zendesk possa trattare i Dati di Servizio su base globale in conformità alla Legge applicabile in materia di protezione dei dati. Se Zendesk trasferisce Dati Personali da un paese di origine a un paese che non ha ricevuto una decisione di adeguatezza dal paese di origine, i trasferimenti aderiranno a uno o più dei seguenti Meccanismi di Trasferimento, resi applicabili a tutti i Dati Personali, e nel seguente ordine:

    1. un meccanismo di certificazione valido;

    2. Regole Aziendali Vincolanti;

    3. SCC.

  2. Meccanismi di trasferimento. Meccanismi di trasferimento, selezioni delle clausole e requisiti specifici del paese, se applicabile, sono dettagliati e incorporati per riferimento nell'Allegato III.
  3. Valutazione del trasferimento dei dati. Il cliente riconosce che potrebbe essere obbligato a condurre una valutazione del trasferimento dei dati oltre a fare affidamento sui Meccanismi di Trasferimento. Zendesk fornirà assistenza ragionevole con questa valutazione su richiesta.
  4. Firma vincolante. Il cliente riconosce che la firma dell'Accordo costituisce firma vincolante delle SCC e degli altri requisiti di firma indicati nei Termini Specifici per Regione.

5. INVIO E DISTRUZIONE DEI DATI PERSONALI

Su richiesta scritta del cliente, Zendesk renderà i Dati del Servizio disponibili al cliente per l'esportazione o il download come previsto nell'Accordo. Zendesk eliminerà i Dati di Servizio in conformità con la Politica di Eliminazione dei Dati di Servizio di Zendesk.

6. SERVIZI DI INNOVAZIONE

Tutte le Sezioni di questo DPA si applicano ai Servizi di Innovazione tranne la Sezione 3 (Audit), l'Allegato II (Misure di Sicurezza Tecniche e Organizzative di Zendesk – Servizi per grandi aziende), e l'Allegato III, Sezioni 1 e 2 (Regole Aziendali Vincolanti e Quadro di Riservatezza dei Dati).

7. CONFLITTI

Salvo diverso accordo, i termini del presente DPA avranno la precedenza su qualsiasi termine in conflitto nel Contratto.

8. DEFINIZIONI

Tutti i termini utilizzati nel presente DPA avranno i significati loro attribuiti di seguito. Dove non definiti in questo DPA, i termini “sell”, “condividere”, “trattamento”, “trattare”, “responsabile del trattamento”, “titolare del trattamento”, “esportatore di dati”, “importatore di dati”, “Oggetto dei dati”, “violazione dei dati Personali” (e termini simili), e “autorità di controllo” avranno lo stesso significato come nella Legge Applicabile sulla Protezione dei Dati. Eventuali termini in maiuscolo non altrimenti definiti nel presente DPA sono quelli definiti nel Contratto.

“Legge Applicabile sulla Protezione dei Dati” indica tutte le leggi e i regolamenti sulla protezione dei dati applicabili a ciascuna parte in connessione con il rispettivo trattamento dei Dati Personali ai sensi del presente Accordo.

“Report di Audit” indica un riepilogo riservato di qualsiasi tale certificazione o report per i Servizi di grande azienda.

“Regole Vincolanti d’Impresa” significa (a) Regola Vincolante d’Impresa dell’UE – Responsabile per trasferimenti di Dati Personali soggetti al GDPR, oppure (b) Regola Vincolante d’Impresa del Regno Unito – Responsabile per trasferimenti di Dati Personali del Regno Unito.

“Programma Bug Bounty” indica i termini su: https://support.zendesk.com/hc/en-us/articles/115002853607-Zendesk-Bug-Bounty-Program.

Pagina Web sulla Resilienza Aziendale https://support.zendesk.com/hc/en-us/articles/360022191434-Business-Continuity-and-Disaster-recovery.

“Dati Personali” indica qualsiasi dato personale relativo, direttamente o indirettamente, a una persona fisica identificata o identificabile che è contenuto nei Dati del Servizio.

“Pagina Stato” https://status.zendesk.com/.

“SCC” indica le clausole contrattuali standard approvate da un'autorità di controllo come Meccanismo di trasferimento.

“Sub-responsabile del trattamento” indica qualsiasi responsabile del trattamento dei dati di terze parti incaricato da Zendesk che riceve ed elabora i Dati di servizio in conformità alle istruzioni del Cliente (come comunicato da Zendesk) e ai termini del suo subappalto scritto con Zendesk, come elencato nella Politica sul sub-responsabile del trattamento.

“Politica sui Sub-responsabili” significa la politica all'indirizzo: https://support.zendesk.com/hc/en-us/articles/4408883061530-Sub-processor-Policy.

“Meccanismo di trasferimento” indica il quadro normativo che regola il trattamento internazionale dei Dati Personali descritto nell’Allegato III.

ALLEGATO I

Dettagli del trattamento

Esportatore dei dati: Cliente

Dettagli di contatto: Fornito nel blocco della firma del DPA.

Ruolo dell’esportatore dei dati: Il cliente è un responsabile (rispetto a Zendesk)

Importatore di dati: Zendesk, Inc.

Dettagli di contatto: Fornito nel blocco della firma del DPA

Ruolo dell’importatore di dati: Zendesk è un processore

  1. Natura e finalità del trattamento: Zendesk elaborerà i Dati Personali come specificato nell'Accordo e per le finalità determinate dal Cliente.
  2. Attività di trattamento: Le attività di elaborazione includeranno l'hosting e l'elaborazione dei Dati Personali come specificamente istruito dal programma del Cliente o nell'Accordo.
  3. Durata del trattamento e conservazione: Zendesk elaborerà e conserverà i Dati Personali su base continuativa per la Durata dell'Abbonamento. Zendesk elimina i Dati Personali secondo la Politica di Eliminazione dei Dati di Servizio di Zendesk.
  4. Oggetti dei dati: Il cliente può, a sua esclusiva discrezione, inviare Dati Personali ai Servizi, che possono includere, ma non sono limitati a: dipendenti (inclusi appaltatori e dipendenti temporanei), parenti dei dipendenti, clienti, potenziali clienti, fornitori di servizi, partner commerciali, fornitori, Utenti Finali, consulenti (tutti i quali sono persone fisiche) del cliente e qualsiasi persona fisica autorizzata dal cliente a utilizzare i Servizi.
  5. Categorie di Dati Personali: Il cliente può elaborare qualsiasi categoria di Dati Personali a sua esclusiva discrezione utilizzando i Servizi, che possono includere, ma non sono limitati a, le seguenti categorie di Dati Personali: nome e cognome, indirizzo email, titolo, posizione, datore di lavoro, informazioni di contatto (azienda, email, numeri di telefono, indirizzo fisico), data di nascita, genere, comunicazioni (registrazioni telefoniche, messaggi vocali, metadati) e informazioni sul servizio clienti.
  6. Categorie speciali di dati (se applicabile): Le categorie sensibili di dati che richiedono un trattamento speciale ai sensi della Legge Applicabile sulla Protezione dei Dati possono essere incluse nei Dati Personali a discrezione del cliente.

ALLEGATO II

Misure di Sicurezza Tecniche e Organizzative di Zendesk – Servizi per Grandi Aziende

Le misure tecniche e organizzative per proteggere i Dati del Servizio per i Servizi di Grande Azienda sono contenute nelle Misure di Sicurezza per le Grandi Aziende di Zendesk.

Zendesk si riserva il diritto di aggiornare il proprio programma di sicurezza di volta in volta; a condizione, tuttavia, che qualsiasi aggiornamento non ridurrà significativamente le protezioni generali di cui al presente Allegato II.

  1. Programma di Sicurezza delle Informazioni e Team: Il programma di sicurezza Zendesk include politiche e standard documentati di garanzie amministrative, tecniche, fisiche e organizzative, che regolano la gestione dei Dati di servizio in conformità con la legge applicabile. Il programma di sicurezza è progettato per proteggere la riservatezza e l'integrità dei Dati del Servizio, in modo adeguato alla natura, portata, contesto e finalità del trattamento e ai rischi coinvolti nel trattamento per gli Oggetti dei dati. Zendesk mantiene un team di sicurezza distribuito a livello globale In chiamata 24/7 per rispondere agli avvisi e agli eventi di sicurezza.
  2. Certificazioni di sicurezza: Zendesk possiede le seguenti certificazioni relative alla sicurezza da revisori indipendenti di terze parti: SOC 2 Tipo II, ISO 27001:2013, o ISO 27018:2014.
  3. Controlli di accesso fisico: Zendesk adotta misure ragionevoli, come personale di sicurezza ed edifici protetti, per impedire a persone non autorizzate di ottenere l'accesso fisico ai Dati del Servizio e verifica che terze parti che gestiscono data center per conto di Zendesk aderiscano a tali controlli.
  4. Controlli di accesso al sistema: Zendesk adotta misure ragionevoli per impedire che i Dati del Servizio vengano utilizzati senza autorizzazione. Questi controlli variano in base alla natura del trattamento effettuato e possono includere, tra gli altri controlli, l'autenticazione tramite password e/o autenticazione a due fattori, processi di autorizzazione documentati, processi di gestione del cambiamento documentati e/o registrazione degli accessi su diversi livelli.
  5. Controlli di accesso ai dati: Zendesk adotta misure ragionevoli per garantire che i Dati di servizio siano accessibili e gestibili solo da personale adeguatamente autorizzato, che l'accesso diretto alle query di database sia limitato e che i diritti di accesso alle applicazioni siano stabiliti e applicati per garantire che le persone autorizzate a utilizzare un sistema di elaborazione dei dati abbiano accesso solo ai Dati di servizio a cui hanno il privilegio di accedere; e che i Dati di servizio non possano essere letti, copiati, modificati o rimossi senza autorizzazione nel corso del trattamento.
  6. Controlli della trasmissione: Zendesk adotta misure ragionevoli per garantire la possibilità di verificare e stabilire quali entità vengono trasferite ai Dati di servizio tramite strutture di trasmissione dei dati in modo che i Dati di servizio non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante la trasmissione o il trasporto elettronico. I dati del servizio sono crittografati in transito su reti pubbliche quando si comunica con le interfacce utente (UI) di Zendesk e l'API tramite lo standard industriale HTTPS/TLS (TLS 1.2 o superiore). Eccezioni alla crittografia in transito possono includere qualsiasi prodotto di terze parti che non fornisce assistenza alla crittografia, al quale il responsabile del trattamento dei dati può collegare tramite i servizi per le grandi aziende a sua discrezione. I dati di servizio sono crittografati a riposo dal sub-responsabile del trattamento di Zendesk e dal fornitore di servizi gestiti, Amazon Web Services Inc., via AES-256.
  7. Controlli di ingresso: Zendesk adotta misure ragionevoli per fornire la possibilità di verificare e stabilire se e da chi i Dati di servizio sono stati inseriti nei sistemi di elaborazione dei dati, modificati o rimossi, e che qualsiasi trasferimento dei Dati di servizio a un fornitore di servizi di terze parti avviene tramite una trasmissione sicura.
  8. Separazione logica: I dati provenienti da diversi ambienti clienti di Zendesk sono logicamente separati su sistemi gestiti da Zendesk per garantire che i dati di servizio raccolti da diversi controller siano separati l'uno dall'altro.
  9. Nessun backdoor: Zendesk non ha integrato backdoor o altri metodi nei Servizi per consentire alle autorità governative di eludere le proprie misure di sicurezza per ottenere l'accesso ai Dati del Servizio.
  10. Architettura e sicurezza del data center: Zendesk gestisce i dati in hosting principalmente presso data center AWS certificati secondo gli standard ISO 27001, PCI DSS Service Provider Level 1 e/o SOC2. I servizi di infrastruttura AWS includono alimentazione di riserva, impianti di climatizzazione e apparecchiature antincendio per aiutare a proteggere i server e, in ultima analisi, i dati del Cliente. La sicurezza on-site di AWS include una serie di misure, come guardie di sicurezza, recinzioni, protezione dei flussi, tecnologia di rilevamento delle intrusioni e altre misure di sicurezza. Ulteriori dettagli sui controlli AWS sono disponibili su: https://aws.amazon.com/security.
  11. Architettura e sicurezza di rete: I sistemi Zendesk sono alloggiati in zone commisurate alla loro sicurezza, a seconda della funzione, della classificazione delle informazioni e del rischio. L'architettura di sicurezza di rete di Zendesk è costituita da più zone con sistemi più sensibili, come i server di database, nelle zone più affidabili di Zendesk. A seconda della zona, verranno applicati ulteriori controlli di sicurezza e di accesso. Le DMZ sono utilizzate tra Internet e internamente tra le diverse zone di fiducia. La rete di Zendesk è protetta attraverso l'uso di servizi di sicurezza chiave di AWS, audit regolari e tecnologie di intelligence di rete, che monitorano e/o bloccano il traffico dannoso noto e gli attacchi alla rete. Zendesk utilizza la scansione della sicurezza di rete per fornire un'identificazione rapida dei sistemi potenzialmente vulnerabili, oltre al vasto programma di scansione e test interno di Zendesk. Zendesk partecipa anche a diversi programmi di condivisione di threat intelligence per monitorare le minacce postate su queste reti di threat intelligence e agire in base al rischio. Zendesk adotta un approccio multilivello alla mitigazione DDoS, utilizzando difese al differenziale competitivo della rete, insieme a strumenti di scalabilità e protezione.
  12. Test, monitoraggio e registrazione: Ogni anno, Zendesk impiega esperti di sicurezza di terze parti per eseguire un ampio test di penetrazione sulle reti di produzione e aziendali di Zendesk. Zendesk utilizza un sistema di gestione degli eventi di sicurezza (SIEM), che Gather i log dai dispositivi di rete importanti e dai sistemi host. Gli avvisi SIEM sui Trigger che notificano il team di Sicurezza in base agli eventi correlati per l'indagine e la risposta. I punti di ingresso e di uscita del servizio sono dotati di strumentazione e monitorati per rilevare comportamenti anomali, incluso il monitoraggio del sistema 24/7.
  13. Posizione di hosting dei dati: Zendesk offre ai Clienti un'opzione per scegliere dove sono ospitati i Dati del Servizio se un Cliente acquista il componente aggiuntivo Ubicazione data center. Una full descrizione di questa offerta è disponibile su: https://support.zendesk.com/hc/en-us/articles/360053579674.
  14. Disponibilità e continuità: Zendesk mantiene una pagina web dello Stato pubblicamente disponibile, che include dettagli sulla disponibilità del sistema, manutenzione programmata, cronologia degli Incidenti di servizio ed eventi di sicurezza rilevanti. Zendesk utilizza il clustering dei servizi e le ridondanze di rete per eliminare i singoli punti di errore. Il nostro rigoroso regime di backup e/o l'offerta di servizi di disaster recovery avanzato di Zendesk ci consente di fornire un elevato livello di disponibilità del servizio, poiché i Dati di Servizio vengono replicati nelle zone di disponibilità. Il programma di Disaster Recovery di Zendesk garantisce che i servizi Zendesk rimangano disponibili e siano facilmente recuperabili in caso di disastro, attraverso la costruzione di un ambiente tecnico robusto. Ulteriori dettagli sono disponibili sulla pagina Web Business Resilience di Zendesk.
  15. Sicurezza delle Persone: Zendesk esegue controlli dei precedenti pre-assunzione di tutti i dipendenti, inclusa la verifica dell'istruzione e dell'impiego, in conformità con le leggi locali applicabili. I dipendenti ricevono l'addestramento sulla sicurezza al momento dell'assunzione e successivamente ogni anno. I dipendenti sono vincolati da accordi di riservatezza scritti a mantenere la riservatezza dei dati.
  16. Gestione dei fornitori: Zendesk si avvale di fornitori terzi per fornire determinati aspetti dei Servizi. Zendesk completa una valutazione del rischio di sicurezza dei prospect fornitori.
  17. Bug Bounty: Zendesk mantiene un Programma Bug Bounty per consentire ai ricercatori di sicurezza indipendenti di reportare le vulnerabilità di sicurezza su base continuativa.

Misure di sicurezza tecniche e organizzative Zendesk – Servizi di innovazione

Le misure tecniche e organizzative per proteggere i dati di servizio per i servizi di innovazione sono contenute nelle misure di sicurezza dell'innovazione di Zendesk.

Il programma di sicurezza delle informazioni di Zendesk include politiche o standard documentati che disciplinano la gestione dei Dati di servizio in conformità con la legge applicabile e misure di salvaguardia amministrative, tecniche e fisiche progettate per proteggere la riservatezza e l'integrità dei Dati di servizio. Zendesk si riserva il diritto di aggiornare il proprio programma di sicurezza di volta in volta; a condizione, tuttavia, che qualsiasi aggiornamento non ridurrà significativamente le protezioni generali di cui al presente Allegato II.

  1. Controlli di accesso fisico: Zendesk adotta misure ragionevoli per impedire a persone non autorizzate di accedere fisicamente ai Dati del Servizio.

  2. Controlli di accesso al sistema: Zendesk adotta misure ragionevoli per impedire che i Dati del Servizio vengano utilizzati senza autorizzazione.

  3. Controlli di accesso ai dati: Zendesk adotta misure ragionevoli per garantire che i Dati del Servizio siano accessibili e gestibili solo dal personale debitamente autorizzato.

  4. Comandi della trasmissione: Zendesk adotta misure ragionevoli per garantire la possibilità di verificare e stabilire a quali entità vengono trasferiti i Dati di servizio tramite strutture di trasmissione dei dati in modo che i Dati di servizio non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante la trasmissione o il trasporto elettronico.

  5. Controlli di input: Zendesk adotta misure ragionevoli per garantire che sia possibile verificare e stabilire se e da chi i Dati di servizio sono stati inseriti nei sistemi di elaborazione dei dati, modificati o rimossi, e che qualsiasi trasferimento dei Dati di servizio a un fornitore di servizi di terze parti avvenga tramite una trasmissione sicura.

  6. Separazione logica: I dati provenienti da diversi ambienti clienti di Zendesk sono logicamente separati su sistemi gestiti da Zendesk per garantire che i dati di servizio raccolti da diversi controller siano separati l'uno dall'altro.

  7. Politiche di sicurezza e personale: Zendesk ha e manterrà un programma di sicurezza gestito per identificare i rischi e implementare tecnologia preventiva, così come tecnologia e processi per la mitigazione degli attacchi comuni. Zendesk ha, e manterrà, un team di sicurezza delle informazioni a tempo pieno responsabile della salvaguardia delle reti, dei sistemi e dei servizi di Zendesk e dello sviluppo e della fornitura di formazione ai dipendenti di Zendesk in conformità alle politiche di sicurezza di Zendesk.

ALLEGATO III

Meccanismi di Trasferimento e Termini Specifici per Regione

Zendesk utilizza diversi meccanismi di trasferimento che regolano il trasferimento internazionale di Dati Personali, a seconda della giurisdizione dei Dati Personali che vengono elaborati. Termini aggiuntivi specifici per la privacy nei Termini specifici per regione sono incorporati, a seconda dei casi.

1. Regole aziendali vincolanti

Zendesk, le sue affiliate e i Sub-responsabili del trattamento sono conformi ai requisiti delle Norme vincolanti d’impresa di Zendesk, che sono state approvate dalla Commissione irlandese per la protezione dei dati e dall’Ufficio della Commissione per l’informazione del Regno Unito e disponibili sul Trust Center di Zendesk all’indirizzo: https://www.zendesk.com/trust-center/.

2. Quadro di Riferimento per la Privacy dei Dati

Zendesk ha ottenuto la certificazione per partecipare e rispettare la normativa UE-USA. Framework sulla Privacy dei Dati ("UE-USA DPF"), l'estensione del Regno Unito all'UE-USA. DPF, e il Svizzera-USA. Quadro sulla privacy dei dati ("Svizzera-USA DPF”) (vedi: https://www.dataprivacyframework.gov/s/). Zendesk si impegna a mantenere l'autocertificazione di conformità con l'UE-USA. DPF, l'estensione del Regno Unito all'UE-USA. DPF, e il Svizzera-USA. DPF, o qualsiasi quadro sostitutivo, per i Servizi forniti ai sensi del Contratto e del presente DPA.

3. SCC

  1. Zendesk utilizza inoltre le clausole contrattuali standard adottate dalla Commissione Europea indicate nell’Allegato alla Decisione di esecuzione 2021/914 della Commissione Europea del 4 giugno 2021, disponibili all’indirizzo: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914 (“EU SCCs”), e l’Addendum internazionale per il trasferimento dei dati del Regno Unito alle Clausole Contrattuali Standard della Commissione UE, disponibile all’indirizzo: https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf (“UK Addendum”). Le parti riconoscono che le SCC sono incorporate nel presente DPA come se fossero pienamente indicate di seguito. Questi collegamenti possono essere aggiornati di volta in volta in base agli aggiornamenti delle autorità di regolamentazione e saranno aggiornati mediante emendamento a questo DPA.

  2. Nella misura in cui le SCC sono pubblicate e obbligatorie da un'autorità di vigilanza che non sono le SCC dell'UE, le parti le interpretano come completato in modo coerente con le selezioni nella sottosezione (e).

  3. In caso di conflitto o ambiguità, i termini delle SCC prevarranno sul DPA e su tutti gli altri termini tra Zendesk e Cliente.

  4. Dove le SCC dell'UE sono riconosciute da un'autorità di vigilanza locale come un Meccanismo di Trasferimento, si applicano a tutti i Dati Personali soggetti a tale autorità e saranno considerati completati nel modo specificato nel sottoparagrafo (e).

  5. SCC UE. Dove le SCC dell'UE sono utilizzate come Meccanismo di Trasferimento, sono considerate completate come segue:

    1. Modulo 2 (dal Titolare al Responsabile del trattamento) si applicherà laddove il Cliente sia un titolare del trattamento dei Dati di servizio e Zendesk sia un responsabile del trattamento dei Dati di servizio; Modulo 3 (dal Responsabile del trattamento al Responsabile del trattamento) si applicherà laddove il Cliente sia un responsabile del trattamento dei Dati di servizio e Zendesk sia un responsabile del trattamento dei Dati di servizio;

    2. nella Clausola 7, la clausola di attracco facoltativo non si applicherà;

    3. nella Clausola 9(a), l'Opzione 2 “Autorizzazione Generale Scritta” si applicherà, e il periodo di tempo per il preavviso delle modifiche al Sub-responsabile del trattamento come indicato nella sezione “Uso dei Sub-responsabili del trattamento” di questo DPA;

    4. nella Clausola 11, il linguaggio facoltativo non si applicherà;

    5. nella Clausola 17, l'Opzione 1 si applicherà e sarà disciplinata dalle leggi previste nell'Accordo, o dalle leggi dell'Irlanda se non si applica alcuna legge dello Stato membro del SEE, o dalle leggi dell'importatore laddove nessuna si applica;

    6. nella Clausola 18(b), le contestazioni saranno risolte davanti ai tribunali nel seguente ordine di precedenza: (1) come previsto nell'Accordo, (2) Dublino, Irlanda, se non si applica alcun stato membro SEE, (3) il paese del Cliente con giurisdizione sulla sede centrale del Cliente, (4) l'indirizzo della sede legale di Zendesk;

    7. nell'Allegato I.A e I.B e nell'Allegato II delle SCC dell'UE sono considerati completati con le informazioni elencate negli Allegati I e II del presente DPA; e

    8. nell'allegato I.C delle SCC, l'autorità di controllo sarà l'autorità competente per quanto riguarda l'esportatore di dati. Dove l'esportatore di dati non è stabilito nel paese locale ma è comunque all'interno dell'ambito territoriale della Legge Applicabile sulla Protezione dei Dati, l'autorità di controllo competente sarà situata dove l'esportatore di dati ha nominato un rappresentante, ma se non ha nominato un rappresentante, allora l'autorità di controllo dell'Irlanda sarà l'autorità competente.

  6. Addendum per il Regno Unito. Dove si applica l'Addendum del Regno Unito, sarà considerato completato come segue:

    1. Tabella 1, è considerata completata con le informazioni indicate nell'Allegato I del presente DPA, il Contenuto del quale è qui concordato dalle Parti;

    2. Tabella 2, le Parti selezionano la casella di controllo che recita: “I SCC dell'UE approvati, inclusi le Informazioni dell'Appendice e con solo i seguenti moduli, clausole o disposizioni facoltative degli SCC dell'UE approvati messi in atto ai fini di questo Addendum”, e la tabella allegata sono considerati completati secondo le preferenze delle Parti delineate in questo Allegato;

    3. Tabella 3, è considerata completata con le informazioni indicate nell'Allegato I, Allegato II e come indicato nella sezione “Uso dei Sub-responsabili” di questo DPA; e

    4. Tabella 4, le Parti concordano che nessuna Parte può terminare l'Addendum del Regno Unito come indicato nella Sezione 19.