Addendum al Trattamento dei Dati

Questo Shoprocket Data Processing Addendum ("Addendum") modifica i Termini & Condizioni di Shoprocket ("Accordo") tra te ("Tu") e Shoprocket LTD (numero di registrazione aziendale 12656598, registrata in Inghilterra e Galles presso 20-22 Wenlock Road, Londra, NG 17U). Se hai un SLA separato con Shoprocket, i riferimenti all'Accordo significano quel SLA. Questo Addendum è soggetto e incorporato nell'Accordo. Qualsiasi termine in maiuscolo non definito qui ha il significato fornito nell'Accordo.

Definizioni

Impostazioni dell'Account: Configurazioni per il tuo Account Shoprocket (inclusa la sicurezza) che ti permettono di gestire come Shoprocket elabora i Dati Personali.
Scopi Aziendali: I Servizi definiti nell'Accordo.
Dati dell'Account Cliente: Dati Personali riguardanti la tua relazione con Shoprocket (ad es. contatti autorizzati, dettagli di fatturazione), oltre alle informazioni che Shoprocket raccoglie per la gestione dell'account, controlli di identità o requisiti legali.
Dati di Utilizzo del Cliente: Dati di utilizzo elaborati da Shoprocket in relazione al tuo utilizzo dei Servizi (ad es. registri, metriche di prestazione, dati di prevenzione degli abusi).
Normativa sulla Protezione dei Dati: Include il CCPA, l'UE GDPR, la Legge Federale Svizzera sulla Protezione dei Dati, l'UK GDPR, la DPA 2018 e il PECR 2003, ciascuna come aggiornata. I termini (ad es. "Titolare del Dato," "Responsabile del Dato") seguono l'UE GDPR.
EEA: Spazio Economico Europeo.
EU SCCs: Le Clausole Contrattuali Standard secondo la Decisione della Commissione 2021/914.
Trasferimento Ex-EEA: Un trasferimento di Dati Personali (ai sensi dell'UE GDPR) al di fuori dell'EEA senza una decisione di adeguatezza ai sensi dell'Articolo 45 dell'UE GDPR.
Trasferimento Ex-Regno Unito: Un trasferimento di Dati Personali (ai sensi dell'UK GDPR) al di fuori del Regno Unito senza una decisione di adeguatezza da parte del Segretario di Stato del Regno Unito.
Fornitore di Servizi: Come definito nel CCPA.
Servizi: Gli strumenti di Shoprocket per la creazione/gestione di negozi online ("Negozio Shoprocket"), gestione di prodotti, pagamenti, spedizioni, marketing e qualsiasi strumento o servizio che Shoprocket possa offrire.
Account Shoprocket: Il tuo account che fornisce accesso ai Servizi, incluse le Impostazioni dell'Account, su https://www.shoprocket.io.
Informativa sulla Privacy di Shoprocket: L'avviso su https://shoprocket.io/privacy, come aggiornato.
Negozio Shoprocket: Il tuo sito ecommerce ospitato o facilitato da Shoprocket.
Dati di Categoria Speciale: Come definito negli Articoli 4(13), 4(14), 4(15) e 9 dell'UE/UK GDPR (come applicabile).
Clausole Contrattuali Standard (SCCs): Le EU SCCs e UK SCCs, come pertinenti.
UK SCCs: Le EU SCCs come modificate dall'IDTA Addendum dell'ICO del Regno Unito.
Noi/Noi/Nostro: Shoprocket LTD (inclusi "Shoprocket" e "Shoprocket.io").
Tu/Tuo: La parte contrattuale nominata nell'Accordo.

Istruzioni per i Clienti

Questo Addendum e l'Accordo (inclusi le istruzioni nelle Impostazioni dell'Account) formano le Istruzioni Documentate su come Shoprocket elabora i Dati Personali. Shoprocket elaborerà solo i Dati Personali come istruito. Le istruzioni aggiuntive al di fuori di questi termini richiedono un accordo scritto precedente (e possono comportare costi aggiuntivi).

Shoprocket può terminare questo Addendum e l'Accordo se le tue istruzioni violano la Normativa sulla Protezione dei Dati o deviano dalle istruzioni concordate. Data la natura dell'elaborazione, Shoprocket generalmente non può giudicare se le tue istruzioni violano la legge; se forma un'opinione del genere, ti informerà, e potrai modificare o ritirare le istruzioni.

Elaborazione dei Dati

Elaborazione di Shoprocket
- Responsabile del Dato/Fornitore di Servizi: Ad eccezione dei Dati dell'Account Cliente e dei Dati di Utilizzo del Cliente, Shoprocket elabora Dati Personali (ai sensi dell'UE/UK GDPR) o informazioni personali (ai sensi del CCPA) per tuo conto.
- Titolare Indipendente del Dato: Shoprocket è un Titolare del Dato per i Dati Personali raccolti direttamente dai clienti del Negozio e per i Dati dell'Account Cliente o Dati di Utilizzo del Cliente.
Storage
- I Dati Personali sono archiviati su:
  1. Server AWS in Irlanda (o in altre regioni dell'EEA),
  2. Server Hetzner a Norimberga/Falkenstein (Germania).
Ambito e Scopo
- Shoprocket elabora solo i Dati Personali come necessario per gli Scopi Aziendali specificati (coerenti con i Servizi acquistati) e in conformità con la Normativa sulla Protezione dei Dati.
- Se la legge richiede un'elaborazione differente, Shoprocket ti notificherà a meno che non sia vietato dalla legge.
- Shoprocket segue prontamente le tue istruzioni scritte per modificare, trasferire o eliminare i Dati Personali, o per fermare l'elaborazione non autorizzata.
- Shoprocket mantiene i Dati Personali riservati a meno che la divulgazione non sia autorizzata o legalmente richiesta.
- Shoprocket ti assiste con i tuoi obblighi di conformità (ad es., richieste di interessati, DPIA) senza costi aggiuntivi.
- Shoprocket ti notifica i cambiamenti legali che potrebbero influenzare l'Accordo o questo Addendum.
Shoprocket come Titolare Indipendente del Dato
- Per i Dati dell'Account Cliente e i Dati di Utilizzo del Cliente, Shoprocket non è un co-titolare ma elabora quei dati per gestire il proprio rapporto con te, prevenire frodi / incidenti di sicurezza, ottemperare agli obblighi legali, ecc., conformemente all'Informativa sulla Privacy di Shoprocket.
CCPA
- Ad eccezione dei Dati dell'Account Cliente e dei Dati di Utilizzo del Cliente, Shoprocket è il tuo Fornitore di Servizi ai sensi del CCPA; non venderà tali informazioni personali e le utilizzerà solo per eseguire i Servizi o come altrimenti permesso dalla legge.
Add-On
- Puoi integrare add-on di terze parti ("Add-Ons") sotto EULA separati con ciascun editore. Shoprocket trasferisce i Dati Personali necessari all'Editore dell'Add-On, ma non è responsabile per la loro elaborazione. Gli attuali Add-Ons commercializzati da Shoprocket includono:
  - Amazon, eBay, Facebook Marketplace, Google Shopping, Instagram Shopping: Adempimento e sincronizzazione multicanale.
  - Affirm, Afterpay, Alipay, Apple Pay, Click to Pay, GrabPay, GooglePay, iDEAL, Klarna, Microsoft Pay, PayPal, P24, Sofort, Stripe, WeChat Pay: Integrazioni di pagamento che supportano vari metodi / valute.
  - Zapier: Automatizza trasferimenti di dati / flussi di lavoro tra Shoprocket e altre applicazioni.
- Se Shoprocket e tu avete SCCs, la tua istruzione di integrare Add-Ons equivale al consenso al trasferimento dei Dati Personali a quegli Editori di Add-On se richiesto dagli SCCs.
Le tue Responsabilità
- Sei il Titolare del Dato per qualsiasi Dato Personale raccolto o elaborato da Shoprocket per tuo conto.
- Sei responsabile per soddisfare i requisiti di avvisi / consensi e garantire la conformità con la Normativa sulla Protezione dei Dati.

Tipi di Dati Personali e Scopi di Elaborazione

Oggetto: Dati Personali che carichi sui Servizi, incluso il tuo Account Shoprocket o Negozio.
Durata: Determinata da te (fino a quando non sospendi / termini il tuo abbonamento a Shoprocket o integrazioni pertinenti).
Scopo: Fornire i Servizi su tua istruzione (ad es., gestire il tuo Negozio / Account Shoprocket).
Tipo di Elaborazione: La piattaforma ecommerce di Shoprocket (e qualsiasi Sub-processori / Editori di Add-On) può archiviare o elaborare Dati Personali.
Tipi di Dati Personali: Dati che carichi (ad es. informazioni di contatto, dettagli dei clienti, registrazioni delle transazioni).
Soggetti dei Dati: Tu, i tuoi clienti, dipendenti, appaltatori, agenti, fornitori o venditori.

Sicurezza dell'Elaborazione dei Dati

Shoprocket manterrà misure tecniche e organizzative appropriate per proteggere i Dati Personali contro elaborazioni non autorizzate o illecite, perdita accidentale o distruzione, in conformità all'Articolo 32 dell'UE/UK GDPR. Le misure includono (ove appropriato):

Pseudonimizzazione / crittografia dei dati;
Garantire la riservatezza, integrità, disponibilità e resilienza dei sistemi;
Ripristino della disponibilità dei dati in modo tempestivo dopo eventi incidentali;
Testare, valutare e valutare regolarmente queste misure.

Dipendenti di Shoprocket

Shoprocket garantisce che i dipendenti, appaltatori e agenti che gestiscono i Dati Personali siano formati, vincolati da obblighi di riservatezza e pienamente consapevoli dei loro obblighi di protezione dei dati.

Sicurezza (Riformulata)

Shoprocket aggiorna continuamente le misure di salvaguardia tecniche / organizzative per prevenire l'elaborazione non autorizzata, inclusa la crittografia, la resilienza del sistema, la ripristinabilità e il test dell'efficacia.

Violazione dei Dati Personali

Notifica
- Shoprocket ti notificherà entro 72 ore (e senza indebito ritardo) se diventa a conoscenza di:
  1. Perdita / danneggiamento dei Dati Personali;
  2. Qualsiasi trattamento accidentale, non autorizzato o illecito;
  3. Una violazione dei Dati Personali.
Informazioni
- Shoprocket fornisce una descrizione dell'incidente, categorie di dati interessati / numeri e misure adottate o proposte per mitigare l'impatto.
Cooperazione
- Shoprocket coordina con te l'indagine e non informa terze parti senza il tuo consenso scritto a meno che non sia legalmente richiesto.
Costi
- Shoprocket copre le spese ragionevoli per questi obblighi a meno che l'incidente derivi dalle tue istruzioni, negligenza o violazione, nel qual caso tu copri le spese ragionevoli di Shoprocket (inclusi consulenti professionali).

Sub-processori

Shoprocket utilizza attualmente questi Sub-processori per l'hosting / elaborazione dei dati, servizi infrastrutturali / di rete o altre funzioni di servizio:

Nome	Descrizione	Posizione
200OK LLC (Profitwell)	Reporting / analytics per abbonamenti.	MA, USA
Amazon Web Services EMEA SARL	Hosting cloud, computing, storage.	Lussemburgo, UE
Automattic, Inc. (Gravatar)	Consente agli utenti di caricare immagini del profilo negli account Shoprocket.	CA, USA
Cloudflare, Inc.	Sicurezza e connettività della rete.	CA, USA
Crisp IM SAS	App per chat dal vivo e messaggistica ai clienti per supporto utenti.	Francia, UE
Facebook Technologies Ireland	Pixel di Facebook per conversioni, ottimizzazione degli annunci, costruzione del pubblico.	Irlanda, UE
Google Ireland Limited	Google Analytics (analisi comportamentale), Adwords (posizionamento/monetizzazione degli annunci).	Irlanda, UE
GmbH	Hosting cloud, computing e storage.	Germania, UE
TPS Unlimited, Inc. (Taxjar)	Automazione fiscale per IVA UE e imposta sulle vendite negli Store Shoprocket.	CA, USA
Twilio, Inc. (Sendgrid)	Messaggistica multicanale (email, SMS, WhatsApp).	Irlanda, UE
Twitter, Inc.	Twitter Pixel per il tracciamento delle conversioni e metriche sulle prestazioni degli annunci.	CA, USA

Autorizzi Shoprocket a utilizzare i suddetti Sub-processori e dai autorizzazione generale per Shoprocket di aggiungerne altri ("Subprocessori Autorizzati"). Shoprocket fornirà almeno 30 giorni di preavviso (tramite sito web, email o notifica dell'Account) prima di utilizzare un nuovo Sub-processore. Puoi opporsi entro 10 giorni dalla notifica, per iscritto, per motivi ragionevoli di protezione dei dati. Se un Sub-processore essenziale è coinvolto e non viene trovata un'alternativa entro 90 giorni, puoi interrompere o terminare i Servizi pertinenti (continuando a pagare le eventuali commissioni dovute).

Se non ti opponi entro 10 giorni, il nuovo Sub-processore è considerato approvato. In caso Shoprocket coinvolga un Sub-processore, esso:

Limita l'accesso solo a quanto necessario per fornire o migliorare i Servizi;
Impone gli stessi obblighi di protezione dei dati su di essi;
Rimane responsabile per la loro conformità.

Se si applicano SCCs, la tua autorizzazione conta come consenso scritto pregresso ai sensi della Clausola 9(c) o delle clausole SCC pertinenti del Regno Unito. Shoprocket può redigere dettagli commerciali non essenziali prima di condividere contratti di sub-elaborazione con te.

Trasferimenti di Dati Personali

Shoprocket può trasferire Dati Personali al di fuori dell'EEA, del Regno Unito o della Svizzera per fornire i Servizi (ad es., alcuni Editori di Add-On / Sub-processori negli Stati Uniti). Dove non si applica una decisione di adeguatezza, Shoprocket garantirà le opportune garanzie ai sensi della Normativa sulla Protezione dei Dati.

Trasferimenti Ex-EEA: Coperti dalle EU SCCs (Modulo Uno per Shoprocket come Titolare, Modulo Due per Shoprocket come Responsabile). Alcune clausole (ad es., il docking della Clausola 7) non si applicano; le controversie sono regolate dalla legge / dai tribunali irlandesi.
Trasferimenti Ex-Regno Unito: Coperti dall'IDTA Addendum.
Trasferimenti dalla Svizzera: Simili alle EU SCCs, con modifiche per la Svizzera FADP.
Misure Supplementari:
- Non esistono richieste formali di accesso ai dati da parte del governo alla data di questo Addendum.
- Se costretta a divulgare i tuoi dati, Shoprocket ti notificherà (a meno che non sia vietato) e ti aiuterà a cercare misure protettive.
- Shoprocket e tu discuterete regolarmente se le leggi nel paese importatore offrono protezioni equivalenti o richiedono misure aggiuntive.
- Se qualche meccanismo di trasferimento cessa di essere valido o un'Autorità di Vigilanza lo sospende, Shoprocket può implementare disposizioni alternative o sospendere i trasferimenti.

Dove approvi un Sub-processore / Add-On al di fuori dell'EEA, autorizzi anche Shoprocket a firmare SCCs per tuo conto.

Reclami, Richieste dei Soggetti dei Dati e Diritti delle Terze Parti

Shoprocket ti fornirà prontamente qualsiasi informazione o assistenza di cui hai bisogno per:

Rispettare i diritti degli Interessati (accesso, rettifica, cancellazione, portabilità, obiezioni, ecc.).
Affrontare o ottemperare agli avvisi di informazione / valutazione da parte dei regolatori.

Shoprocket ti notificherà immediatamente se riceve reclami o comunicazioni riguardanti l'elaborazione, e entro 14 giorni se riceve una richiesta da un Soggetto dei Dati. Shoprocket assiste nella risposta e non divulgherà Dati Personali a terze parti a meno che non sia richiesto dalla legge o dalle tue istruzioni.

Durata e Risoluzione

Questo Addendum rimane in vigore finché l'Accordo è in vigore o Shoprocket mantiene qualsiasi Dato Personale correlato. Le disposizioni che devono sopravvivere per la protezione dei dati rimangono in vigore. Qualsiasi violazione materiale di questo DPA è una violazione materiale dell'Accordo, che ti dà diritto a risolvere immediatamente senza ulteriori responsabilità.

Se i cambiamenti nella Normativa sulla Protezione dei Dati impediscono a una parte di adempiere ai propri obblighi, le parti possono sospendere l'elaborazione fino al conseguimento della conformità. Se non viene risolto entro 90 giorni, ciascuna parte può risolvere con effetto immediato previa notifica.

Restituzione e Distruzione dei Dati

Su richiesta, Shoprocket ti fornisce (o a una terza parte nominata per iscritto) copie o accesso ai Dati Personali in un formato che specifichi (dove ragionevole).
Alla risoluzione, Shoprocket restituisce o elimina i Dati Personali a meno che un'archiviazione continua non sia legalmente richiesta. Se l'eliminazione è impraticabile o illegale, Shoprocket blocca ulteriori elaborazioni e continua a proteggere i dati.
Certificazioni SCC: Se si applicano le SCCs, Shoprocket certificherà l'eliminazione ai sensi della Clausola 8.1(d) delle EU SCCs (o UK SCCs) su richiesta scritta.
Se qualche legge / regolamento richiede a Shoprocket di mantenere determinati dati, notificherà la base, la tempistica e poi eliminerà non appena non è più richiesta.
Shoprocket certifica l'eliminazione entro 30 giorni dopo averla completata.

Registri

Shoprocket tiene registri dettagliati, accurati e aggiornati di tutti i trattamenti di Dati Personali (ad es., misure di sicurezza, sub-processori, scopi di elaborazione, eventuali trasferimenti internazionali). Questi registri devono consentirti di verificare la conformità di Shoprocket. Le copie sono fornite su richiesta.

Garanzie

Shoprocket garantisce che:

I suoi dipendenti, subappaltatori o agenti con accesso ai Dati Personali siano affidabili, degni di fiducia e adeguatamente formati.
Elaborerà i Dati Personali in piena conformità con la Normativa sulla Protezione dei Dati e le leggi correlate.
Non ha motivo di ritenere che la legge impedisca di fornire i Servizi concordati.
Considerando tecnologia e costi, adotterà misure appropriate per prevenire trattamenti non autorizzati o danni / perdite accidentali, garantendo sicurezza proporzionata al rischio e alla sensibilità dei dati.

Esecuzione e Modifiche

30 giorni di preavviso scritto se necessario per motivi legali o normativi. Se ti opponi e non si raggiunge alcuna soluzione reciproca, puoi risolvere i Servizi interessati mediante notifica scritta entro tale periodo (dovendo pagare eventuali commissioni sostenute). Nessuna ulteriore rivendicazione deriva da tale risoluzione.

Allegato A

Standard di Sicurezza di Shoprocket

(I termini in maiuscolo non definiti qui hanno i significati assegnati nell'Addendum.)

Questo Allegato delinea le misure tecniche e organizzative di Shoprocket per:

Proteggere i Dati Personali contro perdite, accessi o divulgazioni accidentali o illecite;
Identificare i rischi prevedibili per la sicurezza e prevenire accessi non autorizzati ai Servizi (incluso il tuo account Shoprocket);
Minimizzare i rischi di sicurezza mediante valutazioni e test del rischio.

Shoprocket designa uno o più dipendenti per sovrintendere a queste pratiche di sicurezza delle informazioni e rispondere alle relative richieste.

1. Modello di Responsabilità Condivisa

Shoprocket è un'applicazione basata su cloud, SaaS ospitata da:

Amazon Web Services (AWS) nella regione eu-west-1 (Irlanda)
Hetzner Online a Falkenstein, Germania

AWS gestisce la principale piattaforma Shoprocket, l'infrastruttura e l'hosting dei dati. Hetzner Online fornisce ulteriore spazio server dedicato per immagini, download digitali, registri e fatture. Secondo questo modello:

Shoprocket gestisce la sicurezza a livello applicativo (ad es., accesso utente, patch applicative).
AWS / Hetzner gestiscono la sicurezza fisica e l'ambiente cloud sottostante.

Per ulteriori dettagli sulla sicurezza di AWS e Hetzner, consulta la relativa documentazione.

2. Server AWS e Hetzner Online

AWS

Shoprocket ha selezionato AWS dopo un attento esame ai sensi degli Articoli 28(3)(c) e 32 dell'UK GDPR. AWS è certificato secondo numerosi standard (ad es., SOC 1/2/3, ISO 27001/27017/27018, PCI DSS, FedRAMP, HITRUST) e fornisce ampia documentazione di conformità. Shoprocket configura AWS per archiviare i Dati Personali solo nell'UE/EEA.

Hetzner Online

Hetzner Online, certificato secondo DIN ISO/IEC 27001, fornisce spazio server dedicato per backup e registri di dati. I centri dati di Hetzner Online a Norimberga e Falkenstein sono auditati e certificati da terzi, implementando un Sistema di Gestione della Sicurezza delle Informazioni (ISMS).

3. Progettazione, Integrità e Disponibilità dell'Applicazione Shoprocket

Architettura: Costruita con un framework JavaScript, l'applicazione Shoprocket si basa sul servizio di database relazionali di Amazon (Amazon RDS) per MySQL.
Prestazioni Elevate e Ridondanza: AWS gestisce automaticamente il bilanciamento del carico e Shoprocket mantiene backup giornalieri su Amazon S3. I backup sono archiviati in diverse regioni AWS per resilienza. Inoltre, i backup sono archiviati sui server dedicati di Hetzner Online (con sistemi RAID-1 di dischi).
Sicurezza per Progettazione: Shoprocket controlla regolarmente vulnerabilità web note (ad es., OWASP Top Ten) e implementa misure di protezione contro XSS e sanitizzazione. Un terzo specialista testa annualmente il codice e l'infrastruttura per vulnerabilità, supportato da un servizio di scansione delle vulnerabilità di terzi.

4. Crittografia

At Rest: I Dati Personali su AWS/Hetzner sono crittografati utilizzando AES-256 o superiore.
Gestione delle Chiavi: Il servizio di gestione delle chiavi di AWS (KMS) garantisce che nessuno (incluso il personale AWS) possa accedere a chiavi in chiaro; le chiavi ruotano annualmente. Hetzner implementa la crittografia AES-256 su disco completo più autenticazione obbligatoria.
In Transit: Tutti i trasferimenti di dati esterni utilizzano TLS 1.2+. API e interfacce web richiedono HTTPS (nessuna connessione non crittografata).

5. Restrizione delle Posizioni dei Server all'EEA / UE

Shoprocket archivia i dati esclusivamente nell'EEA (AWS in Irlanda, Hetzner in Germania), riducendo al minimo i rischi legati ai trasferimenti di dati non EEA (ad es., conformità alla decisione Schrems II).

6. Zone di Disponibilità

I sistemi front-end/back-end di Shoprocket sono distribuiti in modo ridondante su più zone di disponibilità (sia AWS che Hetzner). Ogni zona ha più ISP, fonti di alimentazione e collegamenti ad alta velocità, garantendo alta disponibilità e prestazioni ottimali.

7. Rilevamento delle Intrusioni

Shoprocket utilizza un Sistema di Rilevamento delle Intrusioni (IDS) per monitorare:

File di log per voci insolite,
Cambiamenti di integrità dei file,
Traffico di rete (spoofing, exploit noti, rootkit),
Cambiamenti di porta, e
Eventi dell'account AWS (ad es., modifiche nella configurazione).

Le anomalie critiche innescano misure preventive automatiche. L'IDS supporta anche i requisiti PCI DSS 3.0.

8. Logging / Audit Trail

Shoprocket registra:

Eventi di sistema,
Errore,
Attività degli utenti,
Accessi / richieste al database,
Altri eventi di sicurezza.

Utilizzando AWS CloudTrail, Shoprocket registra tutti gli eventi nei suoi ambienti cloud per trasparenza e analisi forense.

9. Monitoraggio

Shoprocket impiega più strumenti di monitoraggio per garantire disponibilità e prestazioni, monitorando:

Disponibilità: Accessibilità dell'applicazione, salute del sistema / backend;
Risorse: CPU, interfacce di rete, utilizzo dello storage;
Prestazioni: Tempi di risposta dell'applicazione / del database;
Sicurezza: Stato dell'IDS, aggiornamenti di sistema, registri di errore / accesso.

Il personale di Shoprocket monitora anche aggiornamenti di sicurezza, rapporti di vulnerabilità e blog di sicurezza pertinenti (come OWASP).

10. Audit di Sicurezza e Test di Penetrazione

Shoprocket esegue test di sicurezza interni ed esterni periodicamente. I fornitori esterni controllano le vulnerabilità, mentre le audit interne valutano l'efficacia delle misure tecniche e organizzative.

11. Gestione delle Modifiche

Shoprocket mantiene repository controllati da versioni per le modifiche al codice, con un ambiente di staging che rispecchia la produzione. Le modifiche vengono testate prima della distribuzione, garantendo la tracciabilità del tempo / contenuto.

12. Controllo degli Accessi

Principio del Bisogno di Sapere: Solo i dipendenti le cui mansioni richiedono l'accesso al sistema ricevono tale accesso.
Sistemi IAM: Il controllo degli accessi utilizza la gestione delle identità AWS / Hetzner.
Sicurezza: I sistemi backend sono accessibili solo tramite connessioni sicure e autenticate. Un numero molto limitato di personale ha accesso diretto ai dati per scopi diagnostici; tale accesso è registrato e monitorato.

Allegato B

Trasferimenti Transfrontalieri

PARTE 1 - Trasferimenti Ex-EEA

Allegato I.A delle Clausole Contrattuali Standard (SCCs)
- Esportatore di Dati: Tu (ai sensi dell'Accordo).
  - Dettagli di contatto: Come nell'Accordo.
  - Ruolo: Titolare dei dati.
  - Modulo Uno: L'Importatore di Dati è un Titolare dei Dati (per i Dati dell'Account Cliente & Dati di Utilizzo del Cliente).
  - Modulo Due: L'Importatore di Dati è un Responsabile dei Dati (per tutti gli altri Dati Personali).
  - Firma/Data: Firmando l'Accordo & DPA, l'Esportatore di Dati è considerato aver firmato le SCCs alla Data di Entrata in Vigore.
- Importatore di Dati: Shoprocket.
  - Dettagli di contatto: Come nell'Accordo.
  - Firma/Data: Firmando l'Accordo & DPA, l'Importatore di Dati è considerato aver firmato le SCCs alla Data di Entrata in Vigore.
Allegato I.B delle SCCs
- Soggetti dei Dati: Descritti nella clausola 4.6 dell'Addendum.
- Categorie di Dati Personali: Descritte nella clausola 4.5 dell'Addendum.
- Nessun Dato di Categoria Speciale previsto per il trasferimento.
- Frequenza: Base continua per la durata dell'Accordo.
- Essenza: Vedi clausola 4.4 dell'Addendum.
- Scopo: Vedi clausola 4.3 dell'Addendum.
- Conservazione: Durata dell'Accordo salvo diversa indicazione.
- Trasferimenti di sub-processori: Oggetto, natura e durata ai sensi della clausola 9 dell'Addendum.
Allegato I.C delle SCCs
- Autorità di Vigilanza Competente: Come nella clausola 10(e) dell'Addendum.
- Standard di Sicurezza di Shoprocket (Allegato A) soddisfano i requisiti dell'Allegato II SCC.
Conflitto
- Se sorge un conflitto tra le SCCs e il DPA o l'Accordo, prevalgono le SCCs.

PARTE 2 - Trasferimenti Ex-Regno Unito

L'IDTA Addendum si applica ai Trasferimenti Ex-Regno Unito, efficace 21 Marzo 2022.
I termini non definiti nell'Accordo o nel DPA seguono il significato in Parte 2 dell'Allegato 2 (Clausole Obbligatorie).

Parte 1: Tabelle

Tabella 1 dell'IDTA Addendum

Tabella 1
- Esportatore di Dati: Tu (ai sensi dell'Accordo).
  - Dettagli di contatto: Come nell'Accordo.
  - Firma/Data: Firmando l'Accordo & Addendum, l'Esportatore è considerato aver firmato l'IDTA Addendum alla Data di Entrata in Vigore.
- Importatore di Dati: Shoprocket.
  - Dettagli di contatto: Come nell'Accordo.
  - Firma/Data: Firmando l'Accordo & DPA, l'Importatore è considerato aver firmato l'IDTA Addendum alla Data di Entrata in Vigore.

Tabella 2 dell'IDTA Addendum

Tabella 2
- SCCs UE Approvate: Le clausole / moduli delle SCCs UE Approvate in vigore per questo Addendum.
- Moduli/clausole utilizzati:
  - Il Modulo 1 e il Modulo 2, la Clausola 7 e la Clausola 11 (opzione) non si applicano, la Clausola 9a è Autorizzazione Generale con un periodo di preavviso di 30 giorni (clausola 9.2 dell'Addendum).
  - Nessuna combinazione di Dati Personali da parte dell'Importatore con dati dell'Esportatore.

Tabella 3 dell'IDTA Addendum

Allegato I.A
- Esportatore di Dati: Tu (titolare).
- Importatore di Dati: Shoprocket (titolare per Dati dell'Account Cliente / Dati di Utilizzo; responsabile per altri Dati Personali).
- Firma/Data: Considerato firmato al momento dell'ingresso nell'Accordo e DPA.
Allegato I.B
- Soggetti dei dati, categorie di dati, assenza di Dati di Categoria Speciale, trasferimenti continui, natura / scopo dell'elaborazione e conservazione corrispondono alle clausole 4.4, 4.3, 4.5, 4.6 dell'Addendum.
- Informazioni sui sub-processori ai sensi della clausola 9 dell'Addendum.
- L'Allegato III (elenco dei sub-processori) non si applica, in quanto Shoprocket utilizza un'autorizzazione generale.

Tabella 4 dell'IDTA Addendum

L'Importatore può terminare questo IDTA Addendum ai sensi della clausola 26 di questo IDTA Addendum.

Parte 2: Clausole Obbligatorie

Ogni Parte è vincolata da questi termini dell'IDTA Addendum in cambio dell'accordo dell'altra Parte, consentendo ai soggetti dei dati di far valere i diritti come dichiarato.
Entrare in questo IDTA Addendum equivale a firmare le SCCs UE Approvate (compresa qualsiasi firma richiesta ai sensi dell'Allegato 1A / Clausola 7).

Interpretazione

I termini delle SCCs UE Approvate hanno lo stesso significato qui; ulteriori termini rilevanti (ad es., "SCCs dell'Addendum UE," "Addendum Approvato," "Leggi sulla Protezione dei Dati del Regno Unito") sono definiti all'interno di questo IDTA Addendum.
Questo IDTA Addendum deve essere interpretato in conformità con le Leggi sulla Protezione dei Dati del Regno Unito e deve soddisfare i requisiti di "Sicurezze Appropriate".
Qualsiasi modifica alle SCCs Approvate non consentita ai sensi di esse o dell'Addendum Approvato è nulla. Le disposizioni in conflitto tornano ai termini delle SCCs non modificate.
Se c'è un conflitto con le Leggi sulla Protezione dei Dati del Regno Unito, queste ultime si applicano.
Qualsiasi ambiguità è risolta per allinearsi meglio alle Leggi sulla Protezione dei Dati del Regno Unito.
Riferimenti a legislazioni includono qualsiasi versione rivista o consolidata.

Gerarchia

La clausola 5 delle SCCs UE Approvate stabilisce che prevalgono sugli altri accordi, ma per i trasferimenti riservati, la gerarchia nella Sezione 17 di seguito si applica.
Se inopportune o contrastanti con le SCCs UE Approvate, l'Addendum Approvato malgrado tutto prevarrà eccetto dove le SCCs forniscano una maggiore protezione ai soggetti dei dati, nel qual caso prevalgono i termini delle SCCs.
Niente qui influisce su eventuali SCCs che le parti utilizzano per la conformità all'UE GDPR.

Incorporazione e Modifiche alle SCCs UE

L'IDTA Addendum incorpora le SCCs UE Approvate con modifiche necessarie affinché funzionino per i trasferimenti relativi al Regno Unito, annullando la gerarchia della Clausola 5 e garantendo che siano regolati dalla legge / tribunali inglesi (a meno che non venga scelto diversamente per la Scozia o l'Irlanda del Nord).
Se non viene concordata un'alternativa specifica, si applica la Sezione 22.
Nessuna ulteriore modifica alle SCCs UE Approvate è consentita oltre a quanto necessario nella Sezione 19.
Modifiche alle SCCs dell'Addendum UE includono chiarimenti riguardo ai riferimenti alle Leggi sulla Protezione dei Dati del Regno Unito, sostituendo i riferimenti al Regolamento (UE) 2016/679 con "Leggi sulla Protezione dei Dati del Regno Unito," rimuovendo i riferimenti al Regolamento (UE) 2018/1725, adeguando le Clausole 17/18 alla legge / ai tribunali inglesi, ecc. Le note a piè di pagina non fanno parte dell'IDTA tranne le note 8, 9, 10, 11.

Modifiche a questo IDTA

Le Parti possono modificare le Clausole 17 o 18 per riferirsi ai tribunali scozzesi o dell'Irlanda del Nord.
Le Parti possono anche modificare il formato delle Tabelle previa reciproca intesa scritta, garantendo che rimanga lo stesso livello di protezione.
L'ICO può emettere di tanto in tanto un Addendum Approvato revisionato, che modifica automaticamente questo IDTA Addendum dalla sua data di entrata in vigore, richiedendo possibilmente una revisione da parte delle parti.
Se le modifiche dell'ICO aumentano sostanzialmente e in modo sproporzionato i costi o i rischi di una parte, e non è fattibile una riduzione di tali costi / rischi, quella parte può terminare questo IDTA con ragionevole preavviso all'altra parte prima che l'Addendum revisionato entri in vigore.
Non è necessario il consenso di terzi per le modifiche, ma le modifiche devono soddisfare i termini di questo IDTA Addendum.