Accordo di Trattamento dei Dati

Questo Accordo di Trattamento dei Dati ("DPA") si applica quando voi ("Cliente", "Titolare del Trattamento") utilizzate i Servizi Kapsule Cloud per trattare informazioni personali relative ad altri individui ("Interessati"). Costituisce parte integrante dei Termini di Servizio tra voi e Kapsule Group Limited ("Kapsule Cloud", "noi", "nostri", "Responsabile del Trattamento").

Questo DPA riflette i requisiti del New Zealand Privacy Act 2020. Qualora siate soggetti ad altre leggi sulla privacy applicabili (ad esempio, il Regolamento Generale sulla Protezione dei Dati dell'UE, il UK GDPR o l'Australian Privacy Act 1988), le disposizioni rilevanti di questo DPA, lette insieme alla nostra Privacy Policy e all'Elenco dei Sub-responsabili del Trattamento, sono intese a fornire una protezione comparabile a quella di tali leggi. Qualora siano necessarie misure contrattuali aggiuntive a sostegno della vostra conformità a una legge straniera, prenderemo in considerazione tali misure su richiesta.

Se utilizzate i Servizi unicamente per trattare le vostre informazioni personali (e non le informazioni personali di altri individui), questo DPA non si applica; si applica unicamente la Privacy Policy.

Nel presente DPA:

"Leggi sulla privacy applicabili" significa il Privacy Act 2020 e qualsiasi altra legge sulla privacy o sulla protezione dei dati applicabile al trattamento dei dati personali da parte del Cliente utilizzando i Servizi.

"Titolare del trattamento" significa la persona fisica o giuridica che determina le finalità e i mezzi del trattamento dei dati personali.

"Dati personali del Cliente" significa i dati personali trattati da noi per conto del Cliente utilizzando i Servizi rispetto agli Interessati.

"Interessato" significa una persona fisica identificata o identificabile alla quale si riferiscono i Dati personali del Cliente.

"Violazione della privacy notificabile" ha il significato attribuito nella sezione 112 del Privacy Act 2020 (una violazione della privacy che ha causato, o è probabile che causi, un danno grave).

"Dati personali" ha il significato attribuito nel Privacy Act 2020.

"Responsabile del trattamento" significa una persona che tratta i dati personali per conto del Titolare del trattamento.

"Trattamento" significa qualsiasi operazione o insieme di operazioni eseguita su dati personali, indipendentemente dal fatto che siano eseguite con mezzi automatici o meno.

"Sub-responsabile del trattamento" significa una terza parte con cui ci impegniamo a trattare i Dati personali del Cliente per conto nostro.

"Clausole contrattuali tipo" significa le clausole standard di protezione dei dati adottate da un'autorità di protezione dei dati riconosciuta (ad esempio, le Clausole contrattuali tipo UE della Commissione europea) per i trasferimenti di dati personali da una giurisdizione con norme restrittive sui trasferimenti transfrontalieri di dati.

Gli altri termini con iniziale maiuscola hanno i significati attribuiti nelle Condizioni di servizio.

#2.1 Ruoli. In relazione alle Informazioni Personali del Cliente, voi siete il Titolare del Trattamento e noi siamo il Responsabile del Trattamento. Siete responsabili della liceità della vostra raccolta e del vostro trattamento delle Informazioni Personali del Cliente, inclusa la fornitura di tutti gli avvisi sulla privacy richiesti, l'ottenimento di tutti i consensi richiesti e il rispetto di tutte le Leggi sulla Privacy Applicabili nei vostri rapporti con gli Interessati.

#2.2 Istruzioni documentate. Tratteremo le Informazioni Personali del Cliente unicamente: (a) come necessario per fornire i Servizi in conformità alle Condizioni di Servizio; (b) in conformità alle vostre istruzioni ragionevoli e documentate (le Condizioni di Servizio, le scelte di configurazione che effettuate in KPanel e qualsiasi ulteriore istruzione scritta che ci fornite sono considerate vostre istruzioni documentate); e (c) come richiesto dalla legge a noi applicabile, nel qual caso vi comunicheremo il requisito legale prima del trattamento, a meno che ciò non sia vietato da quella legge per importanti motivi di interesse pubblico.

#2.3 Istruzioni incoerenti. Vi comunicheremo se, secondo il nostro ragionevole parere, un'istruzione da voi fornita viola una Legge sulla Privacy Applicabile. Potremmo rifiutare di trattare le Informazioni Personali del Cliente laddove il trattamento ci porrebbe in violazione di una Legge sulla Privacy Applicabile.

#3.1 Garantiamo che qualsiasi persona autorizzata a trattare le Informazioni Personali del Cliente per nostro conto sia vincolata da obblighi di riservatezza, sia attraverso contratto che per legge, e sia informata della natura riservata delle informazioni.

#3.2 L'accesso alle Informazioni Personali del Cliente è limitato sulla base della necessità di conoscenza ed è protetto da controlli di accesso, autenticazione a due fattori obbligatoria e registrazione di audit.

#4.1 Implementeremo e manterremo misure tecniche e organizzative appropriate per proteggere le Informazioni Personali del Cliente contro il trattamento non autorizzato o illegittimo, la perdita accidentale, la distruzione o il danno. Le misure attuali sono riassunte nell'Allegato B del presente DPA e su kapsulecloud.com/legal/security.

#4.2 Esamineremo regolarmente e aggiorneremo le nostre misure di sicurezza tenendo conto dello stato dell'arte, dei costi di implementazione, della natura, dell'ambito, del contesto e degli scopi del trattamento, nonché del rischio per i diritti e le libertà degli Interessati.

#4.3 Non ridurremo materialmente la protezione complessiva senza avvisarvi.

#5.1 Autorizzazione. Lei ci autorizza ad affidare il trattamento dei Dati Personali dei Clienti ai Sub-processor elencati in kapsulecloud.com/legal/sub-processors.

#5.2 Termini relativi ai Sub-processor. Stipuleremo un contratto scritto con ciascun Sub-processor che imponga obblighi in materia di protezione dei dati non inferiori a quelli previsti dal presente DPA, inclusi gli obblighi di riservatezza, sicurezza e trattamento limitato.

#5.3 Notifica di nuovi Sub-processor. La notificheremo di qualsiasi nuovo Sub-processor che tratterà i Dati Personali dei Clienti almeno trenta (30) giorni prima che il Sub-processor inizi il trattamento. La notifica sarà inviata per posta elettronica e pubblicata nella pagina dei Sub-processor.

#5.4 Obiezione. Lei può presentare un'obiezione su basi ragionevoli (ad esempio, una preoccupazione documentata riguardante la sicurezza, la conformità o la giurisdizione del Sub-processor proposto) inviando un'email a [email protected] entro la finestra di 30 giorni. Se non possiamo ragionevolmente accogliere la Sua obiezione (ad esempio, cambiando Sub-processor o modificando la configurazione), Lei potrà recedere dal Servizio interessato e ricevere un rimborso proporzionale di qualsiasi Corrispettivo prepagato per la porzione inutilizzata del relativo ciclo di fatturazione.

#5.5 Responsabilità per i Sub-processor. Rimaniamo responsabili nei Suoi confronti per gli atti e le omissioni dei nostri Sub-processor rispetto ai Dati Personali dei Clienti come se fossero nostri.

#6.1 Forniremo, tenuto conto della natura del trattamento, un'assistenza ragionevole per aiutarvi a rispondere alle richieste dei Data Subject di esercitare i loro diritti secondo le Applicable Privacy Laws, inclusi i diritti di accesso, rettifica, cancellazione, limitazione e portabilità.

#6.2 Se riceviamo una richiesta da un Data Subject che riguarda l'utilizzo dei Servizi da parte vostra, procederemo a: (a) indirizzare il Data Subject a voi (il Titolare del Trattamento); e (b) salvo diverso divieto legale, notificarvi della richiesta senza ingiustificato ritardo.

#6.3 L'assistenza è fornita attraverso le funzionalità di accesso, esportazione e cancellazione di KPanel ove queste risultino sufficienti, e attraverso supporto manuale ove le funzionalità tecniche non possano soddisfare la richiesta.

#6.4 Possiamo addebitare un compenso ragionevole per l'assistenza manuale che sia materialmente superiore al supporto ordinario, qualora la richiesta sia manifestamente infondata o eccessiva.

#7.1 Notifica. Vi notificheremo di qualsiasi Violazione della Riservatezza notificabile confermata che interessi i Dati Personali del Cliente senza indebito ritardo e, in ogni caso, entro settantadue (72) ore dal momento in cui ne abbiamo conoscenza.

#7.2 Contenuto della notifica. La notifica includerà, nella misura in cui conosciuta e ragionevolmente disponibile al momento: (a) la natura della violazione, incluse, ove possibile, le categorie e il numero approssimativo di Interessati e di record interessati; (b) le probabili conseguenze della violazione; (c) le misure che abbiamo adottato o che proponiamo di adottare per affrontare la violazione e mitigarne i possibili effetti avversi; e (d) il punto di contatto per ulteriori informazioni.

#7.3 Aggiornamenti successivi. Qualora alcune informazioni non siano disponibili al momento della notifica iniziale, le forniremo in ulteriori aggiornamenti non appena praticabile.

#7.4 Cooperazione. Coopereremo ragionevolmente con voi in qualsiasi indagine richiesta, notifica alle autorità, notifica agli Interessati interessati e bonifica.

#7.5 Responsabilità del Cliente. Rimane vostra responsabilità valutare se una violazione sia una Violazione della Riservatezza notificabile secondo la legge applicabile e per effettuare le necessarie notifiche all'Ufficio del Commissario della Privacy, agli Interessati interessati o ad altre autorità di regolamentazione. Vi forniremo le informazioni di cui avrete ragionevolmente bisogno a tal fine.

#8.1 Informazioni. Metteremo a vostra disposizione le informazioni necessarie a dimostrare la conformità al presente DPA, inclusa la Dichiarazione sulla sicurezza disponibile su kapsulecloud.com/legal/security, l'elenco dei Sub-processor e gli eventuali rapporti di audit di terze parti o le certificazioni in nostro possesso.

#8.2 Audit in loco. Qualora le informazioni di cui alla clausola 8.1 non risultassero sufficienti a dimostrare la conformità rispetto a una questione specifica che avete sollevato per iscritto, potete condurre un audit della nostra conformità al presente DPA alle seguenti condizioni: (a) gli audit sono condotti a vostro carico (inclusi i nostri costi ragionevoli di assistenza); (b) ci fornite almeno trenta (30) giorni di preavviso scritto; (c) gli audit si svolgono durante i nostri normali orari di attività; (d) gli audit sono condotti non più di una volta in un qualsiasi periodo di dodici (12) mesi, salvo dopo una Notifiable Privacy Breach confermata che vi riguardi, nel qual caso è possibile condurre un ulteriore audit con preavviso ragionevole; (e) l'audit non interferisce indebitamente con le nostre operazioni né compromette la riservatezza delle informazioni di altri clienti; (f) l'auditor deve essere qualificato, indipendente dai nostri competitor e vincolato da obblighi di riservatezza secondo termini accettabili per noi; (g) potremmo, a nostra discrezione, adempiere ai nostri obblighi di audit fornendo copie di rapporti di audit di terze parti o certificazioni (ove disponibili) oppure rispondendo a un questionario sulla sicurezza.

#8.3 Fornirete una copia di qualsiasi rapporto di audit e dei relativi risultati, e faremo ragionevoli sforzi per affrontare i risultati materiali entro un periodo concordato.

#9.1 Lei riconosce che alcuni dei nostri Sub-processor sono ubicati al di fuori della Nuova Zelanda. Le ubicazioni attuali sono indicate su kapsulecloud.com/legal/sub-processors.

#9.2 Laddove le Informazioni Personali del Cliente vengono trasferite al di fuori della Nuova Zelanda, garantiremo che si applichino misure di protezione comparabili, incluse: (a) garantire che il Sub-processor sia soggetto a una normativa sulla privacy che, a nostro parere, fornisce protezioni comparabili al Privacy Act 2020; oppure (b) stipulare misure di protezione contrattuali con il Sub-processor che richiedono protezioni comparabili (ad esempio, mediante riferimento a Standard Contractual Clauses ove appropriato); oppure (c) ottenere la Sua autorizzazione esplicita per il trasferimento.

#9.3 Sottoscrivendo il presente DPA, Lei autorizza i trasferimenti descritti nella clausola 7 della Privacy Policy e nella clausola 5 del presente DPA, sulla base delle misure di protezione della clausola 9.2.

#10.1 Durante la durata dei Servizi, è possibile esportare i Dati Personali del Cliente tramite KPanel utilizzando i nostri strumenti di esportazione standard (CSV, JSON, download di archivi o dump del database, a seconda del tipo di dato).

#10.2 Al termine dei Servizi e a vostra scelta, provvederemo a: (a) rendere disponibili i Dati Personali del Cliente per l'esportazione per trenta (30) giorni dopo la cessazione (il "Periodo di Grazia"); e (b) successivamente, cancellare permanentemente i Dati Personali del Cliente dai sistemi in uso.

#10.3 Le copie di backup crittografate saranno eliminate al successivo ciclo di rotazione programmato, non oltre trenta (30) giorni dopo la cancellazione dai sistemi in uso.

#10.4 Potremmo conservare i Dati Personali del Cliente dopo la cessazione ove richiesto dalla legge (ad esempio, i registri di fatturazione e fiscali secondo il Tax Administration Act 1994, o per difendere un reclamo legale). Qualsiasi conservazione sarà limitata al minimo necessario, e le informazioni rimarranno soggette agli obblighi di riservatezza e sicurezza previsti dal presente DPA.

#11.1 Le disposizioni sulla responsabilità contenute nei Termini di Servizio (inclusa la limitazione della responsabilità nella clausola 16) si applicano al presente DPA.

#11.2 Fermo restando quanto disposto nella clausola 11.1, nulla nel presente DPA limita la responsabilità di una parte per frode, rappresentazione fraudolenta, condotta intenzionale sleale, o qualsiasi responsabilità che non possa essere legittimamente limitata secondo le Leggi sulla Privacy Applicabili.

#11.3 Qualora sosteniamo una sanzione amministrativa in conseguenza di, o in connessione con, il vostro mancato rispetto degli obblighi previsti dal presente DPA o dalle Leggi sulla Privacy Applicabili, l'importo di tale sanzione sarà considerato come un danno recuperabile da voi, soggetto ai limiti previsti nei Termini di Servizio.

#11.4 I crediti di servizio previsti dal SLA non sono crediti secondo il presente DPA.

#12.1 Il presente DPA entra in vigore quando iniziate a utilizzare i Servizi (o il 15 maggio 2026, se successivo) e continua fino alla risoluzione dei Servizi e al completamento dei nostri obblighi di cancellazione secondo la clausola 10.

#12.2 Possiamo aggiornare il presente DPA di tanto in tanto per riflettere i cambiamenti della normativa o delle nostre operazioni. Le modifiche sostanziali saranno comunicate con almeno trenta (30) giorni di anticipo.

#13.1 In caso di conflitto tra il presente DPA e i Termini di Servizio o l'Informativa sulla Privacy rispetto al trattamento dei Dati Personali del Cliente, il presente DPA prevale.

#13.2 In caso di conflitto tra il presente DPA e una disposizione cogente applicabile di una Legge sulla Privacy Applicabile, la disposizione cogente prevale nella misura del conflitto.

Responsabile della Privacy

Kapsule Group Limited, Christchurch, New Zealand.

Email: [email protected]

A.1 Oggetto. Fornitura di hosting cloud, registrazione di domini, hosting di posta elettronica e servizi correlati come descritto nelle Condizioni di servizio.

A.2 Durata. Per la durata dei Servizi, più il Periodo di grazia e qualsiasi conservazione richiesta dalla legge come indicato nella clausola 10.

A.3 Natura e finalità. Archiviazione, trasmissione, backup, sicurezza, replica, indicizzazione, conversione di formato (per compatibilità tecnica), prevenzione degli abusi, fatturazione e altri trattamenti necessari per operare i Servizi.

A.4 Categorie di dati personali del cliente. Come determinato e caricato da voi. Possono includere: nomi, dettagli di contatto (email, telefono, indirizzo), credenziali dell'account, informazioni di verifica dell'identità, informazioni di pagamento, dati transazionali, indirizzi IP, identificatori dispositivo, foto e altre immagini, contenuto di siti web e applicazioni, contenuto di posta elettronica, metadati dei messaggi, record di gestione delle relazioni con i clienti, comunicazioni di supporto e qualsiasi altro dato personale che scegliate di trattare tramite i Servizi.

A.5 Categorie di interessati. Come determinato da voi. Possono includere: vostri dipendenti, appaltatori, agenti, clienti, potenziali clienti, fornitori, membri, utenti finali, donatori e altri individui i cui dati personali scegliete di trattare tramite i Servizi.

A.6 Categorie particolari. Non dovete caricare nei Servizi dati personali di categorie particolari o sensibili (quali informazioni sulla salute, informazioni biometriche, precedenti penali, convinzioni religiose, orientamento sessuale o iscrizione a sindacati) senza il nostro preventivo accordo scritto in merito a appropriate salvaguardie aggiuntive. Se caricate tali informazioni senza il nostro accordo, siete responsabili della liceità di tale azione e ci indennizzate in relazione a qualsiasi reclamo correlato.

A.7 Frequenza e durata del trattamento. Continuo, per la durata dei Servizi.

Implementiamo le seguenti misure tecniche e organizzative, che potremmo aggiornare di volta in volta al fine di mantenere o migliorare la protezione complessiva:

B.1 Politiche di sicurezza informatica e governance. Politiche documentate di sicurezza informatica e privacy, sottoposte a revisione almeno annualmente. Un Responsabile della Privacy designato responsabile della conformità. Formazione del personale sulla privacy e la sicurezza al momento dell'assunzione e annualmente in seguito. Controlli dei precedenti del personale con accesso ai sistemi di produzione, ove consentito dalla legge.

B.2 Controlli di accesso. Severi controlli di accesso basati su ruoli secondo i principi del privilegio minimo. Autenticazione a due fattori obbligatoria per tutto il personale con accesso ai sistemi di produzione. Revisioni periodiche dell'accesso e revoca tempestiva in caso di cambio di ruolo o partenza. Separazione degli ambienti di produzione e non di produzione. Registrazione dell'accesso privilegiato.

B.3 Crittografia e protezione dei dati. Crittografia TLS (almeno TLS 1.2) per tutti i dati in transito. Crittografia a riposo per i backup esterni (restic) e per gli archivi di dati sensibili. Backup esterni crittografati con restic archiviati in Cloudflare R2 (regione Oceania). Gestione sicura delle chiavi con copie offline delle chiavi di ripristino master.

B.4 Sicurezza della rete e dei sistemi. Segmentazione della rete tra gli ambienti dei clienti. Web application firewall e protezione DDoS tramite Cloudflare. Patching di sicurezza regolare dei sistemi operativi, runtime e applicazioni. Scansione delle vulnerabilità dell'infrastruttura esposta a Internet. Test di penetrazione periodici.

B.5 Registrazione, monitoraggio e risposta agli incidenti. Registrazione centralizzata degli accessi, dei cambiamenti e degli eventi di sicurezza. Monitoraggio 24x7 della salute della piattaforma e dei segnali di sicurezza. Piano documentato di risposta agli incidenti con severità definite e percorsi di escalation. Procedura di notifica dei Notifiable Privacy Breach allineata al Privacy Act 2020 e alla clausola 7 di questo DPA.

B.6 Backup, continuità operativa e disaster recovery. Backup crittografati giornalieri esterni dei dati del sito del cliente e dei dati di posta elettronica. Conservazione dei backup esterni di almeno trenta (30) giorni, con conservazione più lunga nei Piani superiori. Procedure di disaster recovery documentate e runbook. Test di ripristino regolari.

B.7 Personale e Sub-processori. Impegni di riservatezza per tutto il personale. Contratti scritti con tutti i Sub-processori che impongono protezioni non meno protettive di questo DPA. Revisione annuale dei Sub-processori per idoneità continuativa.

B.8 Sicurezza fisica. Server di produzione gestiti in data centre di Tier III o equivalente con accesso fisico controllato, sicurezza 24x7, controlli ambientali e sistemi di soppressione degli incendi.

B.9 Sicurezza dell'applicazione. Ciclo di vita dello sviluppo software sicuro, includendo revisione del codice, scansione delle dipendenze e test pre-release. Utilizzo di secrets management (nessun segreto nel codice sorgente). Revisione del codice obbligatoria per i cambiamenti in produzione.

B.10 Segregazione e cancellazione dei dati. Segregazione logica dei dati dei clienti. Procedure di cancellazione dei dati documentate allineate alla clausola 10 di questo DPA. Procedure documentate per la gestione delle richieste di accesso, correzione e cancellazione dei Titolari dei Dati.

Una versione più dettagliata di queste misure è pubblicata su kapsulecloud.com/legal/security e viene aggiornata di volta in volta.