Addendum sulla privacy della legge statunitense
Data di entrata in vigore: 30 dicembre 2022
Il presente Addendum sulla privacy della legge statunitense ("Addendum") integra le condizioni dell'Accordo quadro di abbonamento, delle Condizioni d'uso o delle Condizioni d'uso del cliente rivenditore (come applicabile, l'"Accordo") e delinea alcuni diritti e obblighi sulla privacy dei dati in relazione ad alcune leggi sta I termini in maiuscolo utilizzati ma non altrimenti definiti nel presente documento hanno il significato attribuitogli nell'Accordo.
Sezione A: disposizioni generali. La presente Sezione A dell'Addendum si applica alle disposizioni di Zoom e all'utilizzo da parte dei clienti dei Servizi nella misura in cui il Cliente è un'azienda o un controller e Zoom tratta o sta trattando le informazioni personali o i dati personali del cliente ai sensi del CCPA o di altre leggi statali sulla protezione dei dati applicabili.
- Definizioni. Come usato nel presente Addendum, per "Cliente" si intende un'azienda o un controller che si abbona ai Servizi Zoom. I termini in maiuscolo nella presente Sezione A, ma non altrimenti definiti, hanno il significato attribuitegli nelle Sezioni B(1) e C(1), di seguito.
- Audit e valutazioni.
- Zoom condurrà audit di terze parti per attestare i framework ISO 27001 e SOC 2 di tipo II come segue:
- Su base annuale, Zoom eseguirà l'audit dei Criteri di sicurezza, disponibilità e privacy nell'audit SOC-2.
- Gli audit verranno eseguiti secondo gli standard e le norme dell'ente normativo o di accreditamento per lo standard o il framework di controllo applicabile.
- Gli audit verranno eseguiti da revisori di sicurezza di terze parti qualificati e indipendenti, su selezione e a spese di Zoom.
- Ciascun audit determinerà la generazione di un report di audit rivolto al cliente ("Report di audit di Zoom"), che Zoom renderà disponibile al cliente su richiesta su base annuale. Il Report di audit di Zoom sarà considerato Informazioni confidenziali di Zoom.
- Zoom condurrà audit di terze parti per attestare i framework ISO 27001 e SOC 2 di tipo II come segue:
- Limitazioni sulla ricezione di informazioni. Niente ai sensi del presente Addendum potrà richiedere a Zoom di divulgare: (a) qualsivoglia dato o informazione di qualsivoglia altro cliente di Zoom o di qualsivoglia altra parte; (b) qualsivoglia informazione finanziaria o di contabilità interna; (c) qualsivoglia segreto commerciale di Zoom; o (d) qualsivoglia informazione che nell'opinione ragionevole di Zoom potrebbe: (i) compromettere la sicurezza delle reti, dei sistemi e delle sedi di Zoom; (ii) causare la violazione da parte di Zoom dei propri obblighi di privacy o sicurezza nei confronti di terze parti; o (iii) qualsivoglia informazione desiderata per qualsivoglia motivo diverso da quelli descritti nel presente Addendum. Zoom può richiedere l'accettazione da parte del Cliente di termini e condizioni ragionevoli di Zoom (o del revisore o valutatore di terze parti) prima di fornire il Report di audit di Zoom al cliente.
- Eliminazione di dati. Zoom (a) cancellerà o restituirà i dati personali al cliente, come richiesto dalla legge statale sulla protezione dei dati applicabile e su richiesta del cliente, al termine della fornitura di Servizi o (b) non conserverà, utilizzerà o divulgherà Informazioni personali al termine o alla scadenza della relazione tra il Cliente e Zoom, come richiesto dal CCPA. Niente nella presente sezione A(4) (Eliminazione di dati) richiederà a Zoom di (i) eliminare o restituire i dati che deve conservare ai sensi delle Leggi applicabili o (ii) restituire, anziché distruggere i Dati personali nella misura in cui tale restituzione non è tecnicamente fattibile o implicherebbe oneri o costi sostanziali, o entrambi, per Zoom.
Sezione B – California. La presente Sezione B dell'Addendum si applica alle disposizioni di Zoom e all'uso da parte dei clienti dei Servizi nella misura in cui tale Cliente è un'azienda e Zoom tratta le informazioni personali per conto del Cliente ai sensi del CCPA.
- Definizioni. Come usato nella presente Sezione B dell'Addendum: (a) per "CCPA" si intende il California Consumer Privacy Act del 2018, come modificato dal California Privacy Rights Act del 2020 e qualsivoglia normativa promulgata ai sensi degli stessi; (b) "Azienda"; "Scopo aziendale", "Scopo commerciale", "Consumatore", "Trattamento" "Vendita", "Fornitore di servizi" e "Condivisione" hanno i rispettivi significati attribuiti loro nel CCPA; e (c) per "Informazioni personali" si intendono le "informazioni personali" come definite nel CCPA, ma soltanto nella misura in cui tali informazioni personali siano raccolte, consultate, ottenute, ricevute, usate, divulgate o altrimenti elaborate da Zoom come risultato della fornitura di Servizi da parte di Zoom al Cliente nell'ambito delle proprie capacità come azienda ai sensi dell'Accordo.
- Riconoscimenti e obblighi Zoom (a) accetta che le Informazioni personali vengano divulgate dal Cliente soltanto per gli scopi limitati e specificati di fornitura dei servizi descritti in Modulo d'ordine e per gli scopi descritti nell'Accordo; (b) deve rispettare gli obblighi applicabili ai Fornitori di servizi ai sensi del CCPA e deve fornire lo stesso livello di protezione della privacy alle Informazioni personali come richiesto dal CCPA, inclusa la stessa protezione della privacy richiesta alle Aziende; (c) accetta che il Cliente possa intraprendere azioni ragionevoli e opportune coerenti con la Sezione A(2) nel presente documento per contribuire a garantire che l'uso delle Informazioni personali da parte di Zoom è coerente con gli obblighi del cliente ai sensi del CCPA; (d) deve avvisare immediatamente il Cliente di qualsivoglia decisione presa da Zoom per cui non può più adempiere ai propri obblighi ai sensi del CCPA; e (e) accetta che il Cliente possa, in seguito a notifica, intraprendere azioni ragionevoli e appropriate per interrompere e porre rimedio all'uso non autorizzato delle Informazioni personali, coerentemente e in conformità con le normative applicabili, richiedendo a Zoom la documentazione ragionevole che verifica che Zoom non conserva o utilizza più le Informazioni personali soggette a richiesta di eliminazione valida.
- Limitazioni. Zoom non può (a) vendere né condividere Informazioni personali; (b) trattenere, utilizzare o divulgare Informazioni personali per qualsivoglia scopo diverso dallo/dagli scopo/i descritto/i nella Sezione B(2)(a), di cui sopra, o come altrimenti consentito dal CCPA, tra cui la conservazione, l'utilizzo o la divulgazione di Informazioni personali per uno Scopo commerciale diverso da tale/i scopo/i o dalla manutenzione di un'attività diversa; (c) trattenere, utilizzare o divulgare le Informazioni personali all'esterno della relazione commerciale diretta tra Zoom e il Cliente, a eccezione di quanto consentito dal CCPA; o (d) combinare le Informazioni personali ricevute ai sensi dell'Accordo con le Informazioni personali ricevute da un'altra parte, o dalle interazioni personali di Zoom con il Cliente a cui appartengono tali Informazioni personali, a eccezione della misura in cui il Fornitore di servizi è autorizzato a farlo ai sensi del CCPA. Con la presente, Zoom certifica di comprendere i propri obblighi ai sensi del presente Addendum e li rispetterà.
- Audit, revisioni e valutazioni. I clienti, soggetti a requisiti ragionevoli e accordi scritti come richiesto da Zoom e coerentemente con il CCPA, e a esclusivo costo del Cliente, possono eseguire l'audit, la revisione o la valutazione di Zoom non più di una volta ogni 12 mesi, in conformità con quanto previsto dalla sezione A(2) (Audit e valutazioni), di cui sopra.
- Richieste dei clienti. I clienti avviseranno immediatamente Zoom e forniranno tutte le informazioni necessarie alla stessa dopo aver ricevuto e verificato la richiesta di un Cliente e Zoom deve immediatamente intraprendere tali azioni e fornire tali informazioni che un Cliente potrebbe ragionevolmente richiedere in merito alle Informazioni personali di un cliente al fine di aiutare il Cliente a soddisfare le richieste degli individui di esercitare i propri diritti ai sensi del CCPA, tra cui, senza limitazione, richieste di accedere, correggere, eliminare, rinunciare alla Vendita o alla Condivisione di, o ricevere informazioni relative a Informazioni personali a essi relative. Se Zoom riceve qualsivoglia richiesta direttamente dal/dai Consumatore/i del Cliente, allora Zoom può (i) suggerire al Cliente di contattare direttamente il Cliente con tale richiesta o (ii) contattare il Cliente per rispondere direttamente al Cliente.
Sezione C – Virginia, Colorado, Utah e altri Stati. La presente Sezione C dell'Addendum si applica alla disposizione di Zoom e all'uso del Cliente dei Servizi nella misura in cui il Cliente è un Controller dei Dati personali e Zoom tratta i dati personali del Cliente ai sensi della Legge statale sulla protezione dei dati applicabile.
- Definizioni. Come usato nella presente Sezione C dell'Addendum: (a) per "Leggi statali sulla protezione dei dati applicabili" si intende (i) il Colorado Privacy Act del 2021, il Virginia Consumer Data Protection Act del 2021, o lo Utah Consumer Privacy Act del 2022, come modificato, o (ii) qualsivoglia legge statale statunitense applicabile promulgata allo scopo di proteggere i Dati personali dei quali il Cliente è un Controller e Zoom è il Responsabile del trattamento e i termini e le condizioni del presente Addendum soddisfano i requisiti di tali Leggi statali; (b) "Controller", "Dati personali", "Trattare" e "Responsabile del trattamento" devono avere i rispettivi significati attribuiti loro nelle Leggi statali sulla protezione dei dati applicabili; e (c) "Istruzioni" ha il significato attribuitogli di seguito.
- Trattamento dei dati personali: ruoli, scopo e responsabilità.
- Le parti accettano e riconoscono quanto segue: il Cliente è il Controller dei Dati personali del cliente. Zoom è il Responsabile del trattamento dei Dati personali del Cliente.
- Soltanto nella misura necessaria e proporzionata, il Cliente in qualità di Controller fornisce istruzioni a Zoom sull'esecuzione delle seguenti attività in qualità di Responsabile del trattamento per conto del Cliente (collettivamente, le "Istruzioni"):
- Fornitura e aggiornamento dei Servizi come concessi in licenza, configurati e usati dal Cliente e dai propri utenti, incluso l'uso da parte del Cliente delle impostazioni di Zoom, dei controlli degli amministratori o di altre funzionalità del Servizio;
- Monitoraggio sicuro e in tempo reale dei Servizi;
- Risoluzione di problemi, bug ed errori;
- Fornitura dell'assistenza richiesta dal Cliente, tra cui applicazione della conoscenza ottenuta dalle singole richieste di assistenza clienti a vantaggio di tutti i clienti Zoom, ma soltanto nella misura in cui tale conoscenza è anonimizzata; e
- Trattamento dei Dati personali del Cliente come delineato nell'Accordo (incluso il presente Addendum e l'allegato A al presente documento), nonché qualsivoglia altra istruzione documentata fornita dal Cliente e accettata da Zoom come istruzione costitutiva.
- Nella misura in cui Zoom agisce come Responsabile del trattamento dei Dati personali del Cliente, Zoom deve trattare i Dati personali del Cliente soltanto in conformità con le Istruzioni del Cliente. Il Cliente deve garantire che le proprie Istruzioni a Zoom rispettino tutte le Leggi, le regole e le normative applicabili ai Dati personali del Cliente e che il Trattamento dei Dati personali del Cliente in base alle Istruzioni del Cliente stesso non causi la violazione da parte di Zoom delle Leggi statali sulla protezione dei dati applicabili. Il Cliente è esclusivamente responsabile di accuratezza, qualità e legalità (i) dei Dati personali del Cliente forniti a Zoom dal, o per conto del, Cliente; (ii) del modo in cui il Cliente ha acquisito tali Dati personali del Cliente; e (iii) delle Istruzioni che fornisce a Zoom in relazione al Trattamento di tali Dati personali del Cliente. Il Cliente non deve fornire o rendere disponibile a Zoom qualsivoglia Dato personale del Cliente in violazione dell'Accordo o del presente Addendum.
- Il Cliente autorizza Zoom a eseguire scansioni e segnalazioni di Dati personali in circostanze limitate (ad esempio, per rilevare e segnalare materiale pedopornografico, per rispettare altre Leggi in vigore, per garantire la conformità con le Linee guida di uso accettabile di Zoom).
- Persone autorizzate. Zoom deve garantire che tutti i soggetti autorizzati a trattare i Dati personali del Cliente siano informati della natura confidenziale dei Dati personali del cliente e sono soggetti a dovere di riservatezza in relazione a tali dati.
- Subappaltatore e sub-responsabili del trattamento. Nella misura in cui Zoom è un Responsabile del trattamento, con la presente il Cliente autorizza generalmente Zoom a ingaggiare subappaltatore e sub-responsabili del trattamento in conformità con la presente Sezione C(4).
- Il Cliente approva l'utilizzo da parte di Zoom dei fornitori presenti su https://explore.zoom.us/it/subprocessors/ per trattare i Dati personali del Cliente.
- Zoom può rimuovere, sostituire o nominare ulteriori fornitori. Il Cliente fornito si iscrive agli aggiornamenti su https://explore.zoom.us/it/subprocessors/, Zoom deve avvisare il Cliente di qualsivoglia modifica a tali impegni del fornitore. Ove richiesto dalla Legge statale sulla protezione dei dati applicabile, Zoom può altresì fornire un'opportunità per il Cliente di opporsi all'impegno in conformità con le Sezioni C(4)(d) e C(4)(e) del presente documento.
- In un'emergenza riguardante la disponibilità o la sicurezza dei Servizi, Zoom non è tenuta a fornire in anticipo una notifica al Cliente della rimozione, della sostituzione o della nomina di subappaltatore, ma deve fornire una notifica entro i sette (7) giorni lavorativi dalla modifica di un subappaltatore.
- In entrambi i casi, il Cliente può opporsi a tale impiego di un subappaltatore per iscritto entro quindici (15) giorni lavorativi dalla ricezione della summenzionata notifica da parte di Zoom.
- Se il Cliente si oppone all'impiego di un nuovo subappaltatore, Zoom deve avere il diritto di trattare l'opposizione tramite una delle seguenti opzioni (da selezionare a esclusiva discrezione di Zoom):
- Zoom può annullare i propri piani per utilizzare il subappaltatore in relazione ai Dati personali del Cliente.
- Zoom può intraprendere le azioni correttive necessarie richieste dal Cliente nella propria opposizione (il che rimuove l'opposizione del Cliente) e procedere all'utilizzo del subappaltatore in relazione ai Dati personali del Cliente.
- Zoom può interrompere la fornitura o i Clienti possono accettare di non utilizzare (temporaneamente o permanentemente) il particolare aspetto del Servizio che implicherebbe l'uso di tale subappaltatore in relazione ai Dati personali del cliente. Zoom deve fornire al Cliente una descrizione scritta di alternative commercialmente ragionevoli, se presenti, a tale impiego, inclusa, senza limitazione, la modifica a tali Servizi. Se Zoom, a propria esclusiva discrezione, non può fornire nessuna di queste alternative, o se il Cliente non accetta nessuna di tali alternative, se fornite, Zoom e il Cliente possono cessare l'Accordo, incluso il presente accordo, a mezzo notifica scritta sessanta (60) giorni prima. La cessazione non deve sollevare il Cliente dalla corresponsione di qualsivoglia tariffa o importo dovuti a Zoom per i Servizi forniti fino alla data di decorrenza della cessazione ai sensi dell'Accordo.
- Se il Cliente non si oppone all'impiego di un nuovo subappaltatore entro 15 giorni lavorativi dall'emissione della notifica da parte di Zoom, tale subappaltatore deve ritenersi accettato.
- Zoom deve impiegare qualsivoglia subappaltatore che elabora i Dati personali del Cliente soltanto in base a un contratto scritto e richiedere al subappaltatore di soddisfare qualsivoglia obbligo di Zoom oggetto di subappalto in relazione a tali Dati personali. Zoom rimane responsabile nei confronti del Cliente laddove il subappaltatore non riesce a rispettare i propri obblighi di protezioni dei dati per le prestazioni di tali obblighi del subappaltatore nella stessa misura per cui Zoom stessa sarebbe ritenuta responsabile ai sensi del presente Addendum qualora avesse intrapreso tali atti od omissioni.
- Sicurezza delle informazioni. Prendendo in considerazione il contesto del Trattamento, Zoom deve conservare le misure tecniche e organizzative appropriate in relazione ai Dati personali del cliente per garantire un livello di sicurezza appropriato per il rischio in conformità con il presente Addendum e come altrimenti espressamente affermato nell'Accordo.
- Informazioni sulla conformità. Su richiesta ragionevole del Cliente, Zoom deve rendere disponibile al Cliente informazioni ragionevoli, coerenti con le Leggi applicabili e conformi a esse, in possesso di Zoom, necessarie per dimostrare la conformità di Zoom con gli obblighi per la stessa previsti dal presente Addendum.
ALLEGATO A
Descrizione del trattamento
Dal Controller al Responsabile del trattamento
Natura e scopo del trattamento: Zoom tratta i Dati personali del Cliente per i seguenti scopi in conformità con l'Accordo (incluso il presente Addendum):
- Fornitura e aggiornamento dei Servizi come concessi in licenza, configurati e usati dal Cliente e dai propri utenti, incluso l'uso da parte del Cliente delle impostazioni di Zoom, dei controlli degli amministratori o di altre funzionalità del Servizio;
- Monitoraggio sicuro e in tempo reale dei Servizi;
- Risoluzione di problemi, bug ed errori;
- Fornitura dell'assistenza richiesta dal Cliente, tra cui applicazione della conoscenza ottenuta dalle singole richieste di assistenza clienti a vantaggio di tutti i clienti Zoom, ma soltanto nella misura in cui tale conoscenza è anonimizzata; e
- Come delineato nell'Accordo o nel presente Addendum o in qualsivoglia altra istruzione documentata fornita dal Cliente e accettata da Zoom come istruzione costitutiva; e
- Qualora sia necessario per soddisfare i nostri obblighi legali.
Tipo di dati personali da trattare:
Informazioni del profilo dell'account Zoom: i dati associati all'account Zoom dell'utente finale, all'immagine del profilo, alla password, al nome dell'azienda e alle preferenze del Cliente. Questo includerà:
- ID utente univoco di Zoom,
- immagine del profilo (facoltativa)
Dati diagnostici:
Metadati della riunione: metriche relative all'utilizzo del Servizio, incluso quando e come le riunioni sono state eseguite).
Questa categoria include:
- registri degli eventi (inclusi azioni intraprese, tipo e sottotipo degli eventi, posizione degli eventi all'interno dell'app, timestamp, UUID del client, ID utente e ID riunione)
- informazioni sulla sessione della riunione, tra cui frequenza, durata media ed effettiva, quantità, qualità, attività di rete e connessione di rete
- numero di riunioni
- numero di sessioni con condivisione dello schermo e senza condivisione dello schermo
- numero di partecipanti
- informazioni sull'organizzatore della riunione
- nome organizzatore
- URL del sito della riunione
- Orario di inizio/fine della riunione
- metodo di partecipazione
- prestazioni, risoluzione dei problemi e informazioni diagnostiche
Dati telemetrici: dati raccolti dal software installato localmente (informazioni sulle applicazioni e sul browser relative all'implementazione dei Servizi Zoom e informazioni ambientali/tecniche su sistemi correlati. Questi includono:
- Nome PC
- microfono
- altoparlante
- videocamera
- dominio
- ID hard disc
- tipo di rete
- tipo e versione del sistema operativo
- versione client
- Indirizzo MAC
- registri degli eventi (inclusi azioni intraprese, tipo e sottotipo degli eventi, posizione degli eventi all'interno dell'app, timestamp, UUID del client, ID utente e ID riunione)
- registri del servizio (informazioni relative agli eventi e agli stati del sistema)
Dati generati da altri servizi:
- identificazione di spam
- notifiche push
- L'identificativo univoco persistente di Zoom come UUID o id utente che sono combinati con altri elementi tra cui:
- Indirizzo IP
- Data center
- Nome PC
- Microfono
- Altoparlante
- Videocamera
- Dominio
- ID Hard disc
- Tipo di rete
- Tipo e versione del sistema operativo
- Versione client
- Indirizzi IP nel percorso di rete
Dati di assistenza:
- Nome di contatto del richiedente assistenza, orario, oggetto, descrizione del problema, feedback post-riunione (pollice in su/giù)
- Allegati forniti dall'utente tra cui registrazioni, trascrizioni o screenshot, feedback post-riunione (testo aperto fornito con pollice in giù
Durata del trattamento: il periodo dell'Accordo più il periodo fino a quando Zoom elimina o restituisce tutti i Dati personali del Cliente trattati per conto del Cliente stesso.
Zoom può modificare o integrare il presente Addendum sulla privacy di volta in volta. Tutte le eventuali modifiche al presente Addendum sulla privacy saranno pubblicate qui. Se desideri ricevere notifiche su modifiche o integrazioni al presente Addendum sulla privacy, allora fornisci il tuo indirizzo e-mail nella seguente casella di testo.