Appendice sull'elaborazione dei dati Brisk

Data di decorrenza: 22 agosto 2024

Questa appendice sul trattamento dei dati (»DPA«) integra e fa parte dell'accordo tra Brisk Labs Corp. (»Vivace«) e l'Istituto di istruzione o (se applicabile) un Insegnante in relazione al trasferimento e al trattamento dei Dati coperti in relazione alla fornitura del Servizio.

1. DEFINIZIONI
1.1

Salvo diversa definizione nel presente DPA, i termini in maiuscolo utilizzati ma non definiti all'interno del presente DPA avranno il significato indicato nell'Accordo. I seguenti termini in maiuscolo utilizzati nel presente DPA saranno definiti come segue:
«Accordo«indica l'accordo stipulato tra Brisk e il Cliente che incorpora i termini https://www.briskteaching.com/terms o come diversamente concordato tra le parti.
«Leggi applicabili sulla protezione dei dati«indica tutte le leggi, le norme, i regolamenti e i requisiti governativi applicabili relativi alla privacy, alla riservatezza o alla sicurezza dei dati personali, poiché possono essere modificati o altrimenti aggiornati di volta in volta, incluso (a titolo esemplificativo) il GDPR.
«Sub-processore autorizzato«indica i Sub-responsabili elencati nell'Allegato 4 e qualsiasi altro Sub-responsabile nominato ai sensi del paragrafo 7.4.
«Scopi del titolare«significa: (a) intraprendere attività di ricerca e sviluppo interne per sviluppare, testare, migliorare e modificare la funzionalità dei prodotti e servizi di Brisk; (b) creare set di dati anonimi per la formazione o la valutazione dei prodotti e servizi di Brisk; e (c) amministrare gli account del Cliente sul Servizio e gestire il rapporto di Brisk con il Cliente ai sensi del Contratto, in ogni caso come ulteriormente descritto nell'Allegato 1.
«Dati coperti«indica i Dati personali che sono: (a) forniti da o per conto del Cliente a Brisk in relazione alla fornitura del Servizio; o (b) ottenuti, sviluppati, prodotti o altrimenti trattati da Brisk, o dai suoi agenti o subappaltatori, ai fini della fornitura del Servizio, in ogni caso come ulteriormente descritto nell'Allegato 1.
«Cliente«indica l'Istituto di Istruzione o un Insegnante che stipula l'Accordo con Brisk in relazione al Servizio.
«Soggetto dei dati«ha il significato che gli è stato dato nel GDPR.
«Data di validità«indica la data in cui Brisk e il Cliente stipulano il Contratto.
«GDPR«significa il Regolamento (UE) 2016/679 (il»EU GDPR«) o, se del caso, il»GDPR DEL REGNO UNITO«, come definito nella sezione 3 (10) del Data Protection Act 2018.
«Dati personali«ha il significato che gli è stato dato nel GDPR.
«Elaborazione«ha il significato che gli è stato attribuito nel GDPR e»Processo«,»Processi«e»Elaborato«sarà interpretato di conseguenza.
«Incidente di sicurezza«indica una violazione della sicurezza che porta alla distruzione, alla perdita, all'alterazione, alla divulgazione non autorizzata o all'accesso non autorizzato (incluso l'accesso interno non autorizzato ai) Dati coperti.
«Clausole contrattuali standard«o»SCC«indica le clausole contrattuali tipo allegate alla decisione di esecuzione (UE) 2021/914 della Commissione e disponibili all'indirizzo https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en.
«Sub-processore«indica un processore incaricato da un altro processore di eseguire le istruzioni del titolare del trattamento.
«Leggi svizzere sulla protezione dei dati«indica la legge federale svizzera sulla protezione dei dati del 25 settembre 2020 (»FADP«) e l'ordinanza svizzera sulla protezione dei dati del 31 agosto 2022 (la»decreto«) e qualsiasi versione nuova o rivista di queste leggi che possa entrare in vigore di volta in volta.

1.2

I termini»controller«e»processore«hanno i significati loro attribuiti nel GDPR.

2. INTERAZIONE CON L'ACCORDO
2.1

Il presente DPA è incorporato e costituisce parte integrante dell'Accordo. Il presente DPA integra e (in caso di contraddizioni) sostituisce l'Accordo per quanto riguarda qualsiasi trattamento dei dati coperti.

3. RUOLO DELLE PARTI
3.1

Le parti riconoscono e concordano che:

  1. salvo quanto indicato nel paragrafo 3.1, Brisk elabora i Dati coperti in qualità di responsabile del trattamento nell'adempimento dei suoi obblighi ai sensi del Contratto e questo DPA e il Cliente agiscono come controllori; e
  2. Brisk agisce in qualità di titolare del trattamento dei dati coperti per le finalità del titolare del trattamento identificate nell'Allegato 1.
4. DETTAGLI DEL TRATTAMENTO DEI DATI
4.1

I dettagli del trattamento dei dati personali ai sensi dell'Accordo e del presente DPA (inclusi oggetto, natura e finalità del trattamento, categorie di dati personali e interessati) sono descritti nell'Accordo e nell'Allegato 1 del presente DPA.

4.2

Oltre che per quanto riguarda il trattamento dei dati coperti per le finalità del titolare del trattamento:

  1. Brisk tratterà i Dati coperti solo secondo le istruzioni fornite dal Cliente e in conformità con le leggi applicabili sulla protezione dei dati; e
  2. l'Accordo e il presente DPA costituiranno le istruzioni a Brisk per il trattamento dei dati coperti da parte di Brisk e il Cliente può impartire ulteriori istruzioni scritte in conformità con il presente DPA.
4.3

Brisk potrà:

  1. fornire al Cliente informazioni per consentirgli di condurre e documentare eventuali valutazioni d'impatto sulla protezione dei dati e consultazioni preventive con le autorità di vigilanza richieste dalle leggi applicabili sulla protezione dei dati; e
  2. informa tempestivamente il Cliente se, a suo avviso, un'istruzione del Cliente viola le leggi applicabili sulla protezione dei dati.
5. CONFORMITÀ
5.1

Il Cliente deve rispettare i propri obblighi ai sensi delle leggi applicabili sulla protezione dei dati e garantire che:

  1. eventuali istruzioni a Brisk in relazione al trattamento dei dati coperti sono conformi alle leggi applicabili sulla protezione dei dati;
  2. fornisce tali informazioni agli interessati in merito al trattamento dei dati coperti da parte di Brisk come richiesto dalle leggi applicabili sulla protezione dei dati;
  3. notifica tempestivamente a Brisk qualsiasi richiesta ricevuta da un interessato per esercitare i propri diritti ai sensi delle leggi applicabili sulla protezione dei dati.
6. RISERVATEZZA E DIVULGAZIONE
6.1

Brisk deve:

  1. limitare l'accesso ai Dati coperti al personale che ha l'esigenza aziendale di avere accesso a tali Dati coperti; e
  2. garantire che tale personale sia soggetto a obblighi di protezione dei Dati coperti almeno quanto i termini del presente DPA e dell'Accordo, compresi gli obblighi di riservatezza rispetto ai Dati coperti a cui hanno accesso.
7. DEFINIZIONI
7.1

Brisk può trattare i Dati coperti ovunque Brisk o i suoi subprocessori mantengano strutture, fatte salve le restanti disposizioni del presente paragrafo 7 e le eventuali restrizioni sui trasferimenti successivi contenute negli SCC.

7.2

Il Cliente concede a Brisk l'autorizzazione generale a coinvolgere qualsiasi Sub-processore autorizzato per il trattamento dei dati coperti.

7.3

Brisk deve:

  1. stipulare un accordo scritto con ciascun Sub-responsabile autorizzato che imponga obblighi di protezione dei dati che, in sostanza, non sono meno protettivi dei Dati coperti rispetto agli obblighi di Brisk ai sensi del presente DPA; e
  2. rimangono responsabili della conformità di ciascun Sub-processore autorizzato agli obblighi previsti dal presente DPA.
7.4

Brisk fornirà al Cliente un preavviso di almeno quattordici (14) giorni in merito a qualsiasi modifica proposta ai Sub-processori autorizzati. Il Cliente deve notificare a Brisk se si oppone alla modifica proposta ai Sub-responsabili autorizzati (incluso, se applicabile, l'esercizio del diritto di opposizione ai sensi della clausola 9 (a) delle SCC) fornendo a Brisk una notifica scritta dell'obiezione entro sette (7) giorni dalla notifica al Cliente di tale modifica proposta (un»Obiezione«).

7,5

Nel caso in cui il Cliente presenti un'obiezione, Brisk e il Cliente collaboreranno in buona fede per trovare una soluzione reciprocamente accettabile per risolvere tale obiezione. Se Brisk e il Cliente non sono in grado di raggiungere una risoluzione reciprocamente accettabile entro un lasso di tempo ragionevole, che non deve superare i trenta (30) giorni, Brisk può risolvere la parte dell'Accordo relativa ai Servizi interessata da tale modifica dandone comunicazione scritta al Cliente.

8. RICHIESTE RELATIVE AI DIRITTI DEGLI INTERESSATI
8.1

Brisk notificherà al Cliente senza indebito ritardo qualsiasi richiesta ricevuta da Brisk o da qualsiasi Sub-responsabile autorizzato da un Interessato per far valere i propri diritti ai sensi delle Leggi applicabili sulla protezione dei dati in relazione ai Dati coperti trattati da Brisk in qualità di processore o Sub-responsabile (a»Richiesta dell'interessato«).

8.2

Fatta eccezione per il trattamento dei dati coperti da parte di Brisk per le finalità del titolare del trattamento, tra Brisk e il Cliente, il Cliente avrà la sola discrezione di rispondere alla Richiesta dell'interessato. Brisk non risponderà alla Richiesta dell'Interessato senza il previo consenso del Cliente, salvo che Brisk possa avvisare l'Interessato che la sua richiesta è stata inoltrata al Cliente.

8.3

Brisk fornirà al Cliente l'assistenza ragionevole necessaria affinché il Cliente adempia all'obbligo ai sensi delle Leggi applicabili sulla protezione dei dati di rispondere alle richieste degli interessati in relazione ai Dati coperti.

9. SICUREZZA
9.1

Brisk implementerà e manterrà adeguate misure tecniche e organizzative di protezione e sicurezza dei dati progettate per garantire la sicurezza dei Dati coperti, inclusa, a titolo esemplificativo, la protezione contro l'elaborazione non autorizzata o illegale e contro la perdita, la distruzione o il danneggiamento accidentale dei o ai Dati coperti.

9.2

Nel valutare il livello di sicurezza appropriato, Brisk terrà conto della natura, della portata, del contesto e dello scopo del Trattamento, nonché dei rischi che ne derivano, in particolare, dalla distruzione accidentale o illegale, dalla perdita, dall'alterazione, dalla divulgazione non autorizzata o dall'accesso ai Dati coperti.

9.3

Brisk implementerà e manterrà come standard minimo le misure stabilite nell'Allegato 2.

10. INFORMAZIONI E VERIFICHE
10.1

Il Cliente può verificare la conformità di Brisk al presente DPA in relazione al trattamento dei dati coperti. Le Parti concordano che tutti questi audit saranno condotti:

  1. non più di una volta all'anno, a meno che non siano richiesti audit più frequenti da parte di un'autorità di controllo con giurisdizione sul trattamento dei dati coperti o altrimenti ai sensi delle leggi applicabili sulla protezione dei dati;
  2. dietro ragionevole preavviso scritto a Brisk;
  3. solo durante il normale orario lavorativo di Brisk; e
  4. in un modo che non perturbi materialmente l'attività o le operazioni di Brisk.
10.2

Per quanto riguarda eventuali audit condotti in conformità al paragrafo 10.3:alcuni testi

  1. il Cliente può incaricare un revisore terzo di condurre l'audit per suo conto, salvo che Brisk possa ragionevolmente opporsi all'incarico di un revisore terzo se tale revisore terzo è un concorrente di Brisk; e
  2. Brisk non è tenuta a facilitare tale revisione a meno che e fino a quando le Parti non abbiano concordato per iscritto la portata e la tempistica di tale revisione.
10.3

Il Cliente deve notificare tempestivamente a Brisk qualsiasi non conformità rilevata durante un audit.

10.4

I risultati dell'audit devono essere informazioni riservate di Brisk.

10,5

Brisk fornirà al Cliente su richiesta, o può fornire al Cliente in risposta a qualsiasi richiesta di audit inviata dal Cliente a Brisk, uno dei seguenti:

  1. certificazioni di conformità alla protezione dei dati rilasciate da un emittente di certificazioni comunemente accettato che è stato verificato da un esperto di sicurezza dei dati o da una società di revisione certificata pubblicamente; o
  2. tale altra documentazione che dimostri ragionevolmente l'implementazione delle misure tecniche e organizzative di sicurezza dei dati in conformità con gli standard del settore.
10.6

Se una verifica richiesta dal Cliente è trattata nei documenti o nella certificazione forniti da Brisk in conformità al paragrafo 10.7 e:

  1. la certificazione o la documentazione è datata entro dodici (12) mesi dalla richiesta di audit del Cliente; e
  2. Brisk conferma che non sono note modifiche sostanziali nei controlli controllati,

Il Cliente si impegna ad accettare tale certificazione o documentazione anziché condurre un audit fisico dei controlli coperti dalla certificazione o documentazione pertinente.

11. INCIDENTI DI SICUREZZA
11.1

Brisk informerà il Cliente per iscritto senza indebito ritardo dopo essere venuto a conoscenza di qualsiasi incidente di sicurezza.

11.2

Brisk adotterà misure ragionevoli per contenere, indagare e mitigare qualsiasi Incidente di sicurezza e invierà al Cliente informazioni tempestive sull'Incidente di sicurezza, nella misura nota a Brisk o non appena le informazioni saranno disponibili a Brisk, tra cui, a titolo esemplificativo, la natura dell'Incidente di sicurezza, le misure adottate per mitigare o contenere l'Incidente di sicurezza e lo stato dell'indagine.

11,3

Brisk fornirà un'assistenza ragionevole nelle indagini del Cliente (o, se del caso, dei suoi Clienti) su eventuali incidenti di sicurezza e su qualsiasi obbligo del Cliente (o, ove applicabile, dei suoi Clienti) in relazione all'incidente di sicurezza ai sensi delle leggi applicabili sulla protezione dei dati, inclusa qualsiasi notifica agli interessati o alle autorità di vigilanza.

11,4

La notifica o la risposta di Brisk a un Incidente di Sicurezza ai sensi del presente paragrafo 11 non devono essere interpretate come un riconoscimento da parte di Brisk di qualsiasi colpa o responsabilità in relazione all'Incidente di sicurezza.

12. DURATA, CANCELLAZIONE E RESTITUZIONE
12,1

Il presente DPA entrerà in vigore alla Data di entrata in vigore e, nonostante l'eventuale risoluzione del Contratto, rimarrà in vigore fino alla cancellazione da parte di Brisk di tutti i Dati coperti come descritto nel presente DPA, e scadrà automaticamente dopo la cancellazione da parte di Brisk di tutti i Dati coperti.

12,2

Brisk deve:

  1. se richiesto dal Cliente (per conto dei suoi Clienti, a seconda dei casi) entro trenta (30) giorni dalla scadenza del Contratto (il»Periodo di conservazione«), fornire una copia di tutti i Dati coperti nel formato comunemente utilizzato richiesto dal Cliente o fornire una funzionalità self-service che consenta al Cliente di scaricare tali Dati coperti; e
  2. alla scadenza del Periodo di conservazione, elimina tutte le copie dei Dati coperti trattati da Brisk o da eventuali Sub-responsabili autorizzati, diverse dai Dati coperti che Brisk è tenuta a conservare per rispettare la legge applicabile, per perseguire o difendere rivendicazioni legali o per le Finalità del Titolare.
13. TRASFERIMENTI INTERNAZIONALI
13,1

Le clausole contrattuali standard si applicano, come ulteriormente indicato nell'Allegato 3, ai trasferimenti di Dati coperti dal Cliente a Brisk e fanno parte del presente DPA.

13,2

Le parti convengono che l'esecuzione dell'accordo avrà lo stesso effetto della firma degli SCC.

ALLEGATO 1: Dettagli del trattamento
A. Elenco delle parti
Cliente
Cliente
Ruolo
Esportatore di dati (titolare del trattamento)
Importatore di dati (controllore/processore)
l'amministratore dell'account del Cliente come notificato a Brisk.
Attività rilevanti per il trasferimento
B. Descrizione del trattamento
Soggetti dei dati
Natura e finalità del trattamento
Periodo di conservazione
Informazioni di contatto, come nome, indirizzo email, nome dell'istituto di istruzione.
Nessuna
Raccolti direttamente dall'interessato.
Comunica con gli amministratori degli account in relazione all'amministrazione del Contratto e ai rapporti tra le parti.

Inviare e-mail promozionali in base alle preferenze dell'amministratore dell'account.

Identifica i modi in cui Brisk può migliorare il Servizio e correggere gli errori nel Servizio.
Preferenze dell'account in relazione ai messaggi promozionali.
Raccolti direttamente dall'interessato o forniti dall'istituto di istruzione
Responsabile del trattamento per conto dell'istituto di istruzione pertinente.

Fino alla data precedente:

  • risoluzione del Contratto; e
  • chiusura del relativo account sul Servizio detenuto dall'interessato, su richiesta del responsabile del trattamento o dopo 18 mesi di inattività.
Preferenze dell'account in relazione ai messaggi relativi al servizio.

Livello di account, vale a dire se l'Insegnante Indipendente utilizza un account premium o gratuito sul Servizio.

Domande, commenti e altra corrispondenza inviati in relazione al Servizio.

Materie insegnate e gruppi o gradi dell'anno studentesco.

Contenuti e materiali creati tramite il Servizio, comprese le modifiche apportate ai contenuti generati automaticamente tramite il Servizio.

Siti Web visitato rispetto al quale il Servizio è attivato.

Feedback in relazione ai contenuti generati tramite il Servizio.

Le caratteristiche e funzionalità utilizzato nel Servizio.
Nessuno, a meno che non sia contenuto in contenuti e materiali generati tramite, o richieste o feedback inviati al Servizio.
Insegnanti sui conti scolastici
Informazioni di contatto, come nome, indirizzo email, nome dell'istituto di istruzione.
Nessuna
Per la durata dell'Accordo e per i 6 anni successivi.
Fino a 2 anni dalla chiusura dell'account dell'interessato sul Servizio, su richiesta dell'interessato o dopo 18 mesi di inattività.
Domande, commenti e altra corrispondenza inviati in relazione al Servizio.
Le caratteristiche e funzionalità utilizzato nel Servizio.
Fornitura dell'accesso alle caratteristiche e alle funzionalità del Servizio, inclusa la facilitazione dell'accesso e la risoluzione dei problemi di accesso.
Fino a 90 giorni.
Referenze, vale a dire il numero di altri insegnanti indirizzati dal Docente Indipendente al Servizio.
Raccolti direttamente dall'interessato.
Gestisci il programma di referral di Brisk, inclusa la gestione dei premi o dell'accesso promozionale alle funzionalità premium.
Controller
Per la durata del contratto.
Corsi di sviluppo professionale intrapresi e completati tramite il Servizio.
Concessione dell'accesso a funzionalità premium legate al completamento di corsi di sviluppo professionale.
Insegnanti indipendenti
Informazioni di contatto, come nome, indirizzo email, nome dell'istituto di istruzione.
Raccolti direttamente dall'interessato.
Livello di account, vale a dire se l'Insegnante Indipendente utilizza un account premium o gratuito sul Servizio.
Per la durata dell'Accordo e per i 6 anni successivi.
Informazioni sul pagamento, come carta di credito o debito e indirizzo di fatturazione.
Preferenze dell'account in relazione a messaggi promozionali e relativi ai servizi.
Domande, commenti e altra corrispondenza inviati in relazione al Servizio.
Materie insegnate e gruppi o gradi dell'anno studentesco.
Per la durata del contratto.
Contenuti e materiali creati tramite il Servizio, comprese le modifiche apportate ai contenuti generati automaticamente tramite il Servizio.
Per la durata del contratto.
Queste informazioni vengono archiviate in forma aggregata e anonima.
Dispositivo utilizzato per accedere al Servizio, ad esempio l'indirizzo IP.
Fornitura dell'accesso alle caratteristiche e alle funzionalità del Servizio, inclusa la facilitazione dell'accesso, la risoluzione dei problemi di accesso e il bilanciamento del carico.
Fino a 90 giorni.
Studenti
Informazioni di contatto, ad esempio nome, indirizzo email e nome dell'istituto di istruzione o dell'insegnante che concede l'accesso.
Nessuna
Fornito dal cliente.
Fornitura dell'accesso alle caratteristiche e alle funzionalità del Servizio, inclusa la personalizzazione del Servizio.
Responsabile del trattamento per conto dell'istituto di istruzione pertinente o dell'insegnante indipendente.
Qualsiasi dato personale sensibile contenuto nel prodotto di lavoro o nelle interazioni caricate sul Servizio dallo Studente.
l'amministratore dell'account del Cliente come notificato a Brisk.
l'amministratore dell'account del Cliente come notificato a Brisk.
Raccolti direttamente dall'interessato.
Controller
Fino a 90 giorni.
C. Autorità di vigilanza competente

L'autorità di controllo competente è il Commissario irlandese per la protezione dei dati.

TABELLA 2: Misure tecniche e organizzative

Introduzione

Brisk utilizza una combinazione di politiche, procedure, linee guida e controlli tecnici e fisici per proteggere i dati personali che elabora da perdite accidentali e accesso, divulgazione o distruzione non autorizzati.

Governance e politiche

Brisk assegna al personale la responsabilità della determinazione, revisione e implementazione delle politiche e delle misure di sicurezza.

Vivace:

  • ha documentato le misure di sicurezza che ha implementato in una politica di sicurezza e/o in altre linee guida e documenti pertinenti;
  • rivede regolarmente le sue misure e politiche di sicurezza per garantire che continuino a essere appropriate per i dati protetti.

Brisk stabilisce e segue configurazioni sicure per sistemi e software e garantisce che le misure di sicurezza siano prese in considerazione durante l'avvio del progetto e lo sviluppo di nuovi sistemi IT.

Risposta alla violazione

Brisk ha un piano di risposta alle violazioni sviluppato per affrontare gli eventi di violazione dei dati. Il piano viene regolarmente testato e aggiornato.

Difese contro le intrusioni, antivirus e antimalware

I sistemi IT di Brisk utilizzati per trattare i dati personali sono dotati di un software di sicurezza dei dati appropriato, inclusi sistemi firewall, antivirus, antimalware e di rilevamento delle intrusioni standard del settore.

Brisk raccoglie, conserva ed esamina i registri degli eventi per identificare attività sospette.

Controlli degli accessi

Brisk limita l'accesso ai dati personali implementando controlli di accesso appropriati, tra cui:

  • limitazione dei privilegi di accesso amministrativo e dell'uso degli account amministrativi;
  • modifica di tutte le password predefinite prima di distribuire sistemi operativi, risorse o applicazioni;
  • richiedere l'autenticazione e l'autorizzazione per accedere ai sistemi IT (ad esempio richiedendo agli utenti di inserire un ID utente e una password prima di poter accedere ai sistemi IT);
  • misure per garantire l'accesso con il minimo privilegio ai sistemi IT;
  • procedure appropriate per il controllo dell'attribuzione e della revoca dei diritti di accesso ai dati personali. Ad esempio, predisporre procedure appropriate per revocare l'accesso dei dipendenti ai sistemi IT quando lasciano il lavoro o cambiano ruolo;
  • uso dell'autenticazione a più fattori per accedere ai dati sui sistemi di Brisk;
  • timeout automatico e blocco dei terminali utente se lasciati inattivi;
  • l'accesso al sistema IT viene bloccato dopo diversi tentativi falliti di inserire i dati di autenticazione e/o autorizzazione corretti;
  • monitoraggio e registrazione degli accessi ai sistemi IT;
  • monitoraggio e registrazione delle modifiche ai dati o ai file sui sistemi IT.

Disponibilità e backup dei dati personali

Brisk dispone di un piano di disaster recovery documentato che garantisce che i sistemi e i dati chiave possano essere ripristinati in modo tempestivo in caso di incidente fisico o tecnico. Il piano viene regolarmente testato e aggiornato.

Brisk esegue regolarmente il backup delle informazioni sui sistemi IT e mantiene i backup in postazioni separate. I backup delle informazioni vengono testati regolarmente.

Segmentazione dei dati personali

Vivace:

  • separa e limita l'accesso tra i componenti della rete e, se del caso, attua misure per prevedere un trattamento separato (archiviazione, modifica, cancellazione, trasmissione) dei dati personali raccolti e utilizzati per scopi diversi;
  • non utilizza dati in tempo reale per testare i suoi sistemi.

Smaltimento delle apparecchiature informatiche

Vivace:

  • dispone di procedure per rimuovere in modo sicuro tutti i dati personali prima dello smaltimento dei sistemi IT;
  • utilizza una tecnologia appropriata per eliminare i dati dalle apparecchiature.

Criptaggio

Brisk crittografa i dati a riposo utilizzando AES-256 e in transito utilizzando TLS 1.2 o versioni successive.

Le chiavi di crittografia vengono archiviate separatamente dalle informazioni crittografate.

Trasmissione o trasporto di dati personali

Brisk implementa controlli appropriati per proteggere i dati personali durante la trasmissione o il transito, tra cui:

  • crittografia in transito;
  • registrazione dei dati personali quando trasmessi elettronicamente.

Indurimento del dispositivo

Brisk garantisce che tutte le macchine virtuali siano rafforzate in conformità con i benchmark del Center for Internet Security (CIS).

Gestione di asset e software

Brisk mantiene un inventario delle risorse IT e dei dati in esse archiviati, insieme a un elenco dei proprietari delle risorse IT pertinenti.

Vivace:

  • documenta e implementa le regole per un uso accettabile delle risorse IT.
  • richiede l'autenticazione a livello di rete e utilizza i certificati client per convalidare e autenticare i sistemi;
  • implementa strumenti automatizzati di gestione delle patch e strumenti di aggiornamento software per sistemi operativi e software;
  • monitora in modo proattivo le vulnerabilità del software e implementa tempestivamente eventuali patch fuori ciclo;
  • consente l'uso solo delle versioni più recenti dei browser Web e dei client di posta elettronica completamente supportati.

Brisk archivia tutte le chiavi API in modo sicuro, incluse le seguenti:

  • Brisk memorizza le chiavi API direttamente nelle sue variabili di ambiente;
  • Brisk non memorizza le chiavi API sul lato client;
  • Brisk non pubblica le credenziali delle chiavi API negli archivi di codice online (privati o meno); e
  • Brisk utilizza strumenti di gestione delle chiavi API per recuperare e gestire le credenziali per progetti di sviluppo di grandi dimensioni.

Formazione e sensibilizzazione del personale

Gli accordi di Brisk con il personale e gli appaltatori e i manuali per i dipendenti stabiliscono le responsabilità del personale in relazione alla sicurezza delle informazioni.

Brisk effettua:

  • formazione regolare del personale sulle questioni relative alla sicurezza e alla privacy dei dati pertinenti al loro ruolo lavorativo e garantisce che i nuovi assunti ricevano una formazione adeguata prima di iniziare il loro ruolo (nell'ambito delle procedure di imbarco);
  • screening e controlli dei precedenti appropriati delle persone che hanno accesso a dati personali sensibili.

Brisk garantisce che le responsabilità in materia di sicurezza delle informazioni applicabili immediatamente prima della cessazione o del cambio di rapporto di lavoro e quelle che si applicano dopo la cessazione/il cambio di rapporto di lavoro siano comunicate e implementate.

Il personale è soggetto a misure disciplinari per le violazioni delle politiche e delle procedure di Brisk relative alla privacy e alla sicurezza dei dati.

Selezione dei fornitori di servizi e commissione dei servizi

Brisk valuta la capacità dei fornitori di servizi di soddisfare i propri requisiti di sicurezza prima di coinvolgerli.

Brisk ha stipulato contratti con i fornitori di servizi che richiedono loro di implementare misure di sicurezza appropriate per proteggere i dati personali a cui hanno accesso e limitare l'uso dei dati personali in conformità con le istruzioni di Brisk.

Parte 2

Assistenza per le richieste relative ai diritti degli interessati

Brisk ha implementato politiche e misure appropriate per identificare e rispondere alle richieste relative ai diritti degli interessati, tra cui:

  • Brisk mantiene registri accurati per consentirle di identificare rapidamente tutti i dati personali trattati per conto del Cliente; e
  • i backup dei dati personali trattati da Brisk per conto del Cliente vengono sovrascritti regolarmente e in ogni caso ogni trenta (30) giorni per garantire che le richieste di cancellazione e rettifica siano pienamente soddisfatte.
ALLEGATO 3: CLAUSOLE CONTRATTUALI STANDARD
1. EU SCCS

Per quanto riguarda i trasferimenti di cui alla clausola 13, le clausole contrattuali standard devono essere completate come segue:

1.1

Modulo due (da titolare a processore) o, a seconda dei casi, il Modulo Tre (da processore a processore) degli SCC si applicherà al trattamento dei dati coperti da parte di Brisk.

1.2

La clausola 7 delle clausole contrattuali standard (clausola di aggancio) non si applica.

1.3

Opzione 2 della clausola 9 (a) (Autorizzazione scritta generale) si applicherà e il periodo di tempo da specificare è determinato nella clausola 7.4 del DPA.

1.4

L'opzione di cui alla clausola 11 (a) delle clausole contrattuali standard (Organismo indipendente per la risoluzione delle controversie) non si applica.

1,5

Per quanto riguarda la clausola 17 delle clausole contrattuali standard (Legge applicabile), le parti concordano che si applicherà l'opzione 1 e che la legge applicabile sarà la legge irlandese.

1,6

Nella clausola 18 delle clausole contrattuali standard (Scelta del foro e della giurisdizione), le parti si sottomettono alla giurisdizione dei tribunali irlandesi.

1,7

Ai fini dell'allegato I delle clausole contrattuali standard, l'Allegato 1 del DPA contiene le specifiche relative alle parti, la descrizione del trasferimento e l'autorità di vigilanza competente.

1.8

Ai fini dell'allegato II delle clausole contrattuali standard, l'Allegato 2 del DPA contiene le misure tecniche e organizzative.

2. Addendum del Regno Unito
2.1

Questo paragrafo 2 (Addendum del Regno Unito) si applicherà a qualsiasi trasferimento di Dati coperti dal Cliente (in qualità di esportatore di dati) a Brisk (in qualità di importatore di dati), nella misura in cui:

  1. le leggi sulla protezione dei dati del Regno Unito si applicano al Cliente quando effettua tale trasferimento; o
  2. il trasferimento è un «trasferimento successivo» come definito nell'Addendum approvato.
2.2

Come utilizzato in questo paragrafo 2:

«Addendum approvato«indica l'addendum al modello, versione B.1.0 rilasciato dal Commissario per le informazioni del Regno Unito ai sensi del S119A (1) Data Protection Act 2018 e presentato al Parlamento del Regno Unito il 2 febbraio 2022, in quanto potrebbe essere rivisto in base alla Sezione 18 dell'Addendum approvato.

«Leggi sulla protezione dei dati del Regno Unito«indica tutte le leggi relative alla protezione dei dati, al trattamento dei dati personali, alla privacy e/o alle comunicazioni elettroniche in vigore di volta in volta nel Regno Unito, incluso il GDPR del Regno Unito e il Data Protection Act 2018.

2.3

L'Addendum approvato farà parte del presente DPA rispetto a qualsiasi trasferimento di cui al paragrafo 2.1 e l'esecuzione del presente DPA avrà lo stesso effetto della firma dell'Addendum approvato.

2.4

L'Addendum approvato si considera completato come segue: del testo

  1. l' «Addendum EU SCC» si riferisce ai SCC così come sono integrati nel presente accordo in conformità alla clausola 13 e al presente Allegato 3;
  2. La tabella 1 dell'Addendum approvato deve essere completata con i dettagli di cui al paragrafo A dell'Allegato 1;
  3. le «Informazioni in appendice» si riferiscono alle informazioni di cui alla Tabella 1 e alla Tabella 2
  4. ai fini della Tabella 4 dell'Addendum approvato, Brisk (in qualità di importatore di dati) può porre fine al presente DPA, nella misura in cui si applica l'Addendum approvato, in conformità alla Sezione‎19 dell'Addendum approvato; e
  5. La sezione 16 dell'Addendum approvato non si applica.
3. Addendum svizzero
3.1

Il presente Addendum svizzero si applicherà a qualsiasi trattamento dei dati coperti soggetto alle leggi svizzere sulla protezione dei dati.

3.2

Interpretazione del presente addendum

  1. Laddove il presente Addendum utilizzi termini definiti nelle Clausole contrattuali standard, tali termini avranno lo stesso significato delle Clausole contrattuali standard. Inoltre, i seguenti termini hanno i seguenti significati:

    «appendice«indica questo addendum alle Clausole;
    «Clausole«indica le Clausole contrattuali standard incorporate nel presente DPA in conformità al paragrafo 13 e come ulteriormente specificato nel presente Allegato 3; e
    «FDPIC«indica l'Incaricato federale per la protezione dei dati e l'informazione.
  1. Il presente Addendum deve essere letto e interpretato in modo coerente con le leggi svizzere sulla protezione dei dati e in modo da soddisfare gli obblighi delle parti ai sensi dell'articolo 16, paragrafo 2, lettera d), del FADP.
  2. Il presente Addendum non sarà interpretato in modo contrario ai diritti e agli obblighi previsti dalle leggi svizzere sulla protezione dei dati.
  3. Qualsiasi riferimento alla legislazione (o a disposizioni legislative specifiche) indica quella legislazione (o disposizione specifica) in quanto può cambiare nel tempo. Ciò include il caso in cui tale legislazione (o disposizione specifica) sia stata consolidata, riemanata e/o sostituita dopo l'entrata in vigore del presente Addendum svizzero.
  4. In relazione a qualsiasi trattamento di dati personali soggetto alle leggi svizzere sulla protezione dei dati, il presente Addendum modifica e integra le clausole nella misura necessaria affinché funzionino: alcuni testi
    1. per i trasferimenti effettuati dall'esportatore di dati all'importatore di dati, nella misura in cui le leggi svizzere sulla protezione dei dati si applicano al trattamento dei dati da parte dell'esportatore di dati al momento di effettuare tale trasferimento; e
    2. come clausole standard di protezione dei dati approvate, emesse o riconosciute dal FDPIC ai fini dell'articolo 16, paragrafo 2, lettera d), del FADP.

3.3

Gerarchia

In caso di conflitto o incongruenza tra il presente Addendum e le disposizioni delle Clausole o altri accordi correlati tra le Parti, esistenti nel momento in cui il presente Addendum è concordato o stipulato successivamente, prevarranno le disposizioni che forniscono la massima protezione agli interessati.

3.4

Modifiche alle clausole

  1. Nella misura in cui il trattamento dei dati personali da parte dell'esportatore di dati è soggetto esclusivamente alle leggi svizzere sulla protezione dei dati, o il trasferimento di dati personali da un esportatore di dati a un importatore di dati ai sensi delle Clausole è un «trasferimento successivo» (come definito nelle Clausole, come modificato dal resto del presente paragrafo 3.3 (a)), vengono apportate le seguenti modifiche alle Clausole:
    1. I riferimenti alle «Clausole» o ai «SCC» si riferiscono al presente Addendum svizzero in quanto modifica i SCC.
    2. La clausola 6 La descrizione del/dei bonifico è sostituita dalla seguente:
    3. «I dettagli del/i trasferimento/i, e in particolare le categorie di dati personali che vengono trasferiti e gli scopi per i quali vengono trasferiti, sono quelli specificati nell'Allegato 1 del presente DPA in cui le leggi svizzere sulla protezione dei dati si applicano al trattamento dei dati da parte dell'esportatore durante tale trasferimento.»
    4. I riferimenti al «Regolamento (UE) 2016/679" o «tale regolamento» o «GDPR» sono sostituiti da «Leggi svizzere sulla protezione dei dati» e i riferimenti agli articoli specifici del «Regolamento (UE) 2016/679" o «GDPR» sono sostituiti dall'articolo o sezione equivalente delle leggi svizzere sulla protezione dei dati nella misura applicabile.
    5. I riferimenti al regolamento (UE) 2018/1725 sono rimossi.
    6. I riferimenti a «Unione europea», «Unione», «UE» e «Stato membro dell'UE» sono tutti sostituiti da «Svizzera».
    7. la clausola 13 (a) e la parte C dell'allegato I non sono utilizzate; l' «autorità di vigilanza competente» è l'FDPIC;
    8. La clausola 17 è sostituita dalla seguente: «Queste clausole sono regolate dalle leggi della Svizzera».
    9. La clausola 18 è sostituita per dichiarare: «Qualsiasi controversia derivante da queste clausole relative alle leggi svizzere sulla protezione dei dati sarà risolta dai tribunali svizzeri. L'interessato può anche intentare un'azione legale contro l'esportatore e/o l'importatore di dati dinanzi ai tribunali della Svizzera in cui ha la sua residenza abituale. Le parti convengono di sottomettersi alla giurisdizione di tali tribunali.»
ALLEGATO 4: Sub-processori autorizzati
Sub-processore
Descrizione
Datadog Inc
Strumento di monitoraggio e affidabilità del sito che aiuta a tracciare le prestazioni, rilevare problemi e migliorare l'esperienza degli utenti attraverso approfondimenti e visualizzazioni dei dati in tempo reale
Ospita database e server che alimentano e eseguono il backup di Brisk
Snowflake Inc.
Esegue vari report sui dati precedentemente acquisiti in Snowflake in modo da poter migliorare lo strumento.
Google LLC (Alphabet Inc.)
Fornisce l'autenticazione Single Sign-on (SSO) per gli utenti di Brisk, ospita corsi per studenti e contenuti generati dagli insegnanti.
Segmento (Twilio Inc.)
Strumento di registrazione e analisi che aiuta gli sviluppatori a capire come gli utenti interagiscono con Brisk
OpenAI Inc.
Anthropic in esecuzione su AWS Bedrock
Servizi di intelligenza artificiale
Sentry (Software funzionale, Inc.)
GPTZero Inc.
Strumento di analisi del testo che aiuta a rilevare il testo generato dall'intelligenza artificiale
Alberello
Strumento di analisi del testo che aiuta a migliorare la scrittura fornendo suggerimenti grammaticali e stilistici
Salesforce
Contiene e tiene traccia degli accordi di partenariato, dei punti di contatto e di altre informazioni di coordinamento.