Versione: 1 Data: [12 marzo 2026] Il presente Addendum sul trattamento dei dati, inclusi i relativi allegati ("DPA"), è incorporato nel Contratto di Servizi Master e nei singoli Ordini (insieme, il "Contratto") che intercorrono tra Lei ("Cliente" o "Titolare") e Doodle AG con indirizzo commerciale Werdstrasse 21, 8004 Zurigo, Svizzera (insieme, con le eventuali filiali ed entità affiliate, collettivamente "Doodle" o "Responsabile del trattamento") e stabilisce termini aggiuntivi che si applicano nella misura in cui le informazioni da lei fornite a Doodle ai sensi del Contratto includono Dati personali (come definiti di seguito).

A. "CCPA" indica il California Consumer Privacy Act (California Consumer Privacy Act del 2018, Cal. Civ. Code § [1798.100 - 1798.199.100]) e i suoi regolamenti di attuazione, ciascuno dei quali può essere modificato di volta in volta, incluso, senza limitazioni, il California Privacy Rights Act del 2020.

B. "Quadro/i sulla privacy dei dati " indica, a seconda dei casi, il Quadro sulla privacy dei dati UE-USA, l'Estensione del Regno Unito al Quadro sulla privacy dei dati UE-USA e il Quadro sulla privacy dei dati Svizzera-USA sviluppati dal Dipartimento del Commercio degli Stati Uniti e dalla Commissione Europea, dal Governo del Regno Unito e dall'Amministrazione Federale Svizzera che consentono alle organizzazioni con sede negli Stati Uniti che partecipano a tali Quadri sulla privacy dei dati di ricevere Dati Personali dall'Unione Europea / Spazio Economico Europeo, dal Regno Unito e da Gibilterra, e dalla Svizzera in conformità con le Leggi sulla Protezione dei Dati applicabili in tali regioni.

C. Per "Leggi sulla Protezione dei Dati " si intendono tutte le leggi federali, statali ed estere applicabili in materia di protezione dei dati, privacy e sicurezza dei dati, nonché i regolamenti e le direttive formali applicabili che, per loro natura, sono destinati ad avere forza di legge, tutti come modificati di volta in volta, e quando ci si riferisce all'elaborazione dei Dati Personali da parte del Processore, nella misura in cui sono direttamente applicabili a tale elaborazione, comprese, a titolo esemplificativo e non esaustivo, le Leggi sulla Protezione dei Dati dell'Unione Europea, le Leggi sulla Protezione dei Dati del Regno Unito, le Leggi sulla Protezione dei Dati della Svizzera, la Legge sulla Privacy del 1988, la Legge sulla Protezione delle Informazioni Personali e sui Documenti Elettronici, e il CCPA.

D. "Soggetto dei Dati" indica l'individuo o il consumatore a cui si riferiscono i Dati Personali.

E. Per "Richiesta dell'interessato" si intende la richiesta di un interessato di esercitare i diritti previsti dalle Leggi sulla Protezione dei Dati in relazione ai Dati Personali dell'interessato.

F. "Leggi dell'Unione Europea sulla Protezione dei Dati" indica il GDPR insieme a qualsiasi legislazione o regolamento di attuazione applicabile, nonché le leggi dell'Unione Europea o degli Stati Membri, come di volta in volta modificate.

G. "GDPR" indica il Regolamento Generale sulla Protezione dei Dati (Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati).

H. "Parte" indica il Cliente o Doodle.

I. "Parti" indica collettivamente il Cliente e Doodle.

J. Per "Dati personali"si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile che viene elaborata da Doodle per conto del Cliente in relazione alla fornitura dei Servizi al Cliente, quando tali informazioni sono protette come "dati personali" o "informazioni personali" o un termine simile ai sensi della/e Legge/e sulla protezione dei dati.

K. Per "Processo" o "Trattamento" si intende qualsiasi operazione o insieme di operazioni eseguite sui Dati Personali, con o senza mezzi automatici, come la raccolta, la registrazione, l'organizzazione, l'archiviazione, l'adattamento o l'alterazione, il recupero, la consultazione, l'uso, la divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, l'allineamento o la combinazione, il blocco, la cancellazione o la distruzione.

L."Violazione della sicurezza" significa una violazione confermata delle misure di sicurezza delle informazioni di Doodle che porta alla distruzione accidentale o illegale, alla perdita, all'alterazione, alla divulgazione non autorizzata o all'accesso ai Dati personali coperti dal presente DPA.

M. "Servizi" indica i servizi forniti da Doodle al Cliente ai sensi del Contratto.

N. "Clausole Contrattuali Standard" o "SCC" indica le clausole tipo per il trasferimento di Dati Personali a responsabili del trattamento stabiliti in paesi terzi approvate dalla Commissione Europea, la cui versione approvata è contenuta nella Decisione di esecuzione 2021/914 della Commissione Europea del 4 giugno 2021 e all'indirizzo: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=e.

O. "Leggi svizzere sulla protezione dei dati " indica tutte le leggi relative alla protezione dei dati, al Trattamento dei Dati Personali, alla privacy e/o alle comunicazioni elettroniche in vigore di volta in volta in Svizzera, compresa la Legge federale svizzera sulla protezione dei dati del 25 settembre 2020 e le relative ordinanze.

P. "Leggi sulla protezione dei dati del Regno Unito " indica tutte le leggi relative alla protezione dei dati, al Trattamento dei Dati Personali, alla privacy e/o alle comunicazioni elettroniche in vigore di volta in volta nel Regno Unito ("Regno Unito"), compresi il GDPR del Regno Unito e il Data Protection Act 2018.

Q. "UK GDPR" indica il Regolamento Generale sulla Protezione dei Dati del Regno Unito, come parte della legge del Regno Unito in virtù della sezione 3 della Legge sull'Unione Europea (Ritiro) del 2018.

R. I termini "Processore" e "Controllore" avranno il significato loro attribuito ai sensi della Legge sulla Protezione dei Dati applicabile. Tutti i termini in maiuscolo qui riportati che non sono definiti nel presente DPA avranno il significato ad essi associato nel Contratto e sono qui adottati come riferimento nel presente Addendum.

A. Obblighi del Cliente. IlCliente è, tra il Cliente e Doodle, il Titolare del Trattamento dei Dati Personali e dovrà (a) determinare lo scopo e i mezzi essenziali del Trattamento dei Dati Personali in conformità con il Contratto; (b) essere responsabile dell'accuratezza dei Dati Personali; e (c) rispettare i suoi obblighi ai sensi delle Leggi sulla Protezione dei Dati, incluso, quando applicabile, garantire che il Cliente abbia una base legittima per raccogliere i Dati Personali, fornire ai Soggetti dei Dati qualsiasi avviso richiesto, e/o ottenere il consenso del Soggetto dei Dati per trattare i Dati Personali.

B. Obblighi di Doodle. Doodle è il Responsabile del trattamento dei Dati personali e dovrà (a) trattare i Dati personali per conto del Cliente in conformità con le istruzioni scritte del Cliente (a meno che non sia derogato da un requisito scritto) fornite durante il periodo di validità del presente DPA; e (b) rispettare i suoi obblighi ai sensi delle Leggi sulla protezione dei dati. Una descrizione del trattamento dei Dati Personali che si intende effettuare ai sensi del presente DPA è riportata nell'Allegato 1. Le Parti concordano che il Contratto, compreso il presente DPA, insieme all'utilizzo dei Servizi da parte del Cliente in conformità al Contratto, costituiscono l'istruzione scritta completa e definitiva del Cliente a Doodle in relazione al Trattamento dei Dati Personali, e ulteriori istruzioni al di fuori dell'ambito di queste istruzioni richiederanno un accordo preventivo scritto e reciprocamente eseguito tra il Cliente e Doodle. Nel caso in cui Doodle ritenga ragionevolmente che vi sia un conflitto con una Legge sulla protezione dei dati e con le istruzioni del Cliente, Doodle informerà tempestivamente il Cliente e le Parti collaboreranno in buona fede per risolvere il conflitto e raggiungere gli obiettivi di tali istruzioni.

C. Utilizzo dei dati. Doodle non utilizzerà i Dati personali, ad eccezione dell'utilizzo dei Dati personali in base alle istruzioni del Cliente, come consentito dal Contratto e come necessario per presentare e difendere reclami, per conformarsi ai requisiti del processo legale, per collaborare con le autorità di regolamentazione e per esercitare altri usi simili consentiti come espressamente previsto dalle Leggi sulla protezione dei dati.

D. LeParti riconoscono e concordano che il trattamento dei Dati Personali avverrà nell'Unione Europea (UE), in Svizzera e forse in (altre) giurisdizioni al di fuori della residenza dei Soggetti dei Dati, e il Cliente dovrà rispettare tutti i requisiti di notifica e di consenso per tale trasferimento e trattamento nella misura richiesta dalle Leggi sulla Protezione dei Dati. E. Restituzione o distruzione dei dati.Doodle restituirà o distruggerà in modo sicuro i Dati Personali, in conformità alle istruzioni del Cliente, su richiesta del Cliente o alla cessazione del/i conto/i del Cliente, a meno che i Dati Personali non debbano essere conservati per ottemperare alla legge applicabile.

La presente Sezione si applica in relazione al Trattamento dei Dati Personali quando tale Trattamento è soggetto alle Leggi sulla Protezione dei Dati della Svizzera, alle Leggi sulla Protezione dei Dati dell'UE o alle Leggi sulla Protezione dei Dati del Regno Unito.

A. Trasferimenti di Dati Personali. Il Cliente riconosce e accetta che Doodle ha sede in Svizzera. A meno che non si applichi un'eccezione prevista dalle Leggi sulla Protezione dei Dati dell'Unione Europea, dalle Leggi sulla Protezione dei Dati della Svizzera o dalle Leggi sulla Protezione dei Dati del Regno Unito (a seconda dei casi), i trasferimenti di Dati Personali soggetti alle Leggi sulla Protezione dei Dati dell'Unione Europea, alle Leggi sulla Protezione dei Dati della Svizzera o alle Leggi sulla Protezione dei Dati del Regno Unito (a seconda dei casi) a un destinatario in una giurisdizione non soggetta a una decisione di adeguatezza ai sensi delle Leggi sulla Protezione dei Dati applicabili saranno regolati da un accordo di trasferimento dei dati in una forma prescritta dalle Leggi sulla Protezione dei Dati dell'Unione Europea, dalle Leggi sulla Protezione dei Dati della Svizzera o dalle Leggi sulla Protezione dei Dati del Regno Unito (a seconda dei casi) (ad es.ad esempio, Clausole Contrattuali Standard o equivalenti), nella misura in cui la formalizzazione di tale documento rappresenti un mezzo valido per il trasferimento di Dati Personali soggetti alle Leggi sulla Protezione dei Dati dell'Unione Europea, alle Leggi sulla Protezione dei Dati della Svizzera o alle Leggi sulla Protezione dei Dati del Regno Unito (a seconda dei casi), o essere condotto in base a qualsiasi altro meccanismo di trasferimento valido prescritto dalle Leggi sulla Protezione dei Dati dell'Unione Europea, dalle Leggi sulla Protezione dei Dati della Svizzera o dalle Leggi sulla Protezione dei Dati del Regno Unito (a seconda dei casi). Nella misura in cui le Leggi sulla Protezione dei Dati dell'Unione Europea, le Leggi sulla Protezione dei Dati della Svizzera o le Leggi sulla Protezione dei Dati del Regno Unito (a seconda dei casi) richiedano ulteriori misure contrattuali, tecniche o organizzative per effettuare legittimamente trasferimenti di Dati Personali soggetti alle Leggi sulla Protezione dei Dati dell'Unione Europea, alle Leggi sulla Protezione dei Dati della Svizzera o alle Leggi sulla Protezione dei Dati del Regno Unito (a seconda dei casi), ciascuna Parte coopererà in buona fede e implementerà e accetterà tali misure, inclusa, a titolo esemplificativo ma non esaustivo, la conclusione delle Clausole Contrattuali Standard (se richieste), come necessario per consentire e mantenere la legittimità di tale trasferimento.

A-1. Clausole contrattuali standard.

a. Doodle (in qualità di "esportatore di dati") e il Cliente (in qualità di "importatore di dati") stipulano le Clausole Contrattuali Standard, Modulo 4, in relazione a qualsiasi trasferimento di Dati Personali soggetti alle Leggi sulla Protezione dei Dati dell'Unione Europea, alle Leggi sulla Protezione dei Dati della Svizzera o alle Leggi sulla Protezione dei Dati del Regno Unito (a seconda dei casi) da Doodle al Cliente. Le Parti accettano di avere accesso e di conoscere le Clausole Contrattuali Standard e rinunciano a riprodurre le Clausole Contrattuali Standard nel presente DPA. In caso di conflitto tra il presente DPA e le Clausole Contrattuali Standard, prevarranno le Clausole Contrattuali Standard.

b. In relazione alle Clausole Contrattuali Standard, le Parti concordano che l'Allegato 1.A. del presente DPA costituisce l'Allegato I.A. delle Clausole Contrattuali Standard e l'Allegato 1.B.-I. costituisce l'Allegato I.B. Le Parti concordano inoltre che ( i) si applica la Clausola 7; (ii) si applica la Clausola 11(a) senza l'opzione; (iii) le Clausole Contrattuali Standard sono regolate dalle leggi della Svizzera e sono competenti i tribunali di Zurigo (Clausole 17 e 18).

c. In relazione alle Clausole Contrattuali Standard, laddove un trasferimento da Doodle al Cliente sia soggetto alle Leggi svizzere sulla protezione dei dati, ( i) i riferimential diritto dell'Unione Europea sono interpretati come un riferimento alla Legge federale svizzera sulla protezione dei dati ("LPD"); (ii) la Svizzera sarà considerata uno "Stato membro" e i riferimenti a uno "Stato membro" saranno interpretati come un riferimento alla Svizzera; (iii) i termini utilizzati nelle Clausole Contrattuali Standard che sono definiti nella LPD saranno interpretati come ai sensi della LPD. d. In relazione alle Clausole Contrattuali Standard, laddove un trasferimento da Doodle al Cliente sia soggetto alle Leggi sulla Protezione dei Dati del Regno Unito, tali Clausole devono essere lette in conformità con le disposizioni della Parte 2 (Clausole Obbligatorie) dell'Addendum sul Trasferimento Internazionale dei Dati del Regno Unito alle Clausole Contrattuali Standard della Commissione UE ("IDTA del Regno Unito") e le Parti confermano che le informazioni richieste ai fini della Parte 1 (Tabelle) dell'IDTA del Regno Unito sono qui completate come segue:

1. Per la Tabella 1: i campi delle Parti saranno considerati precompilati con le parti esportatore e importatore di cui all'Allegato 1.A del presente documento;

2. Per la Tabella 2: dette Clausole, comprese le Informazioni dell'Appendice e con solo i moduli, le clausole o le disposizioni opzionali delle Clausole sopra elencate per l'Unione Europea e la Svizzera, rese effettive ai fini dell'IDTA del Regno Unito;

3. Per la Tabella 3: le Informazioni dell'Appendice sono riportate di seguito:

i. Allegato IA: Elenco delle Parti: come indicato nell'Allegato 1.A del presente documento; ii. Allegato IB: Descrizione del Trasferimento: come indicato nell'Allegato 1.B; iii. Allegato II: N/A;

4. Per la Tabella 4: una delle due parti può porre fine all'IDTA del Regno Unito in conformità alle disposizioni della Sezione 19 dell'IDTA del Regno Unito.

B. Obblighi. Doodle dovrà: (i) assisterà il Cliente, in misura ragionevole, nell'adempimento dei suoi obblighi ai sensi degli articoli da 32 a 36 del GDPR, il loro equivalente ai sensi delle leggi britanniche sulla protezione dei dati o il loro equivalente ai sensi delle leggi svizzere sulla protezione dei dati, a seconda dei casi a); (ii) manterrà un registro di tutte le categorie di attività di trattamento svolte per conto del Cliente in conformità con l'articolo 30, paragrafo 2, del GDPR o il loro equivalente ai sensi delle leggi britanniche sulla protezione dei dati o il loro equivalente ai sensi delle leggi svizzere sulla protezione dei dati, a seconda dei casi; e (iii) collaborerà, su richiesta, con un'autorità di vigilanza dell'UE, del Regno Unito o della Svizzera, a seconda dei casi, per quanto riguarda l'esecuzione dei Servizi.

A. CCPA. La presente Sezione si applica a Doodle e Doodle agisce in qualità di Fornitore di servizi del Cliente (salvo quanto diversamente previsto nella presente Sezione) in relazione al Trattamento dei Dati personali soggetti al CCPA. Il Cliente divulga i Dati personali a Doodle, e Doodle tratterà tali Dati personali solo per gli scopi stabiliti nel presente Contratto, compreso il presente DPA. Nella misura in cui vi sia un conflitto tra i termini della presente Sezione, da un lato, e il Contratto, dall'altro, prevarranno i termini della presente Sezione. Tutti i termini in maiuscolo utilizzati nella presente Sezione ma non definiti nell'Accordo avranno il significato loro attribuito nel CCPA, salvo diversa indicazione.

B. Doodle non potrà: a. vendere o condividere i Dati personali; b. conservare, utilizzare o divulgare i Dati personali (i) per qualsiasi scopo, compreso uno Scopo commerciale, diverso dagli Scopi aziendali definiti nel Contratto o ragionevolmente correlati ai Servizi, o diverso da quanto altrimenti consentito dal CCPA, o (ii) al di fuori della relazione commerciale diretta tra le Parti, salvo espressa autorizzazione del CCPA; c. combinare i Dati personali con i dati personali che Doodle riceve da, o per conto di, un'altra o più persone, o che raccoglie dalla propria interazione con il Consumatore, fermo restando che Doodle può combinare i Dati personali per adempiere a qualsiasi Scopo commerciale come consentito dal CCPA. C. Doodle rispetterà gli obblighi ad essa applicabili in qualità di Fornitore di Servizi ai sensi del CCPA, e fornirà ai Dati Personali lo stesso livello di protezione della privacy richiesto all'Azienda dal CCPA. D. Il Cliente avrà il diritto di adottare misure ragionevoli e appropriate per contribuire a garantire che Doodle utilizzi i Dati personali in modo coerente con gli obblighi del Cliente ai sensi del CCPA. La procedura per tali passi sarà quella descritta nella Sezione 8 di seguito. E. Doodle comunicherà al Cliente la decisione di non poter più adempiere ai propri obblighi di Fornitore di Servizi ai sensi del CCPA. Se Doodle lo comunica al Cliente, quest'ultimo avrà il diritto di adottare misure ragionevoli e appropriate per interrompere e porre rimedio all'uso non autorizzato dei Dati personali. F. Doodle può ingaggiare un subprocessore per assistere nell'Elaborazione dei Dati Personali per uno Scopo Aziendale per conto del Cliente, in base a un contratto scritto (è sufficiente la forma testuale) vincolante per il subprocessore e conforme al CCPA. G. Nella misura in cui il Cliente divulga, condivide o mette a disposizione in altro modo i Dati Personali a Doodle, il Cliente lo fa per lo Scopo Aziendale limitato e specificato, come descritto nell'Allegato 1. H. Nella misura in cui il Cliente divulga, condivide o mette a disposizione in altro modo i Dati Personali a Doodle, il Cliente lo fa per lo Scopo Aziendale limitato e specificato. Nella misura in cui il Cliente divulga o mette a disposizione di Doodle dati deidentificati o Doodle deidentifica i Dati personali, Doodle accetta di (i)adottare misure ragionevoli per garantire che i dati deidentificati non possano essere associati a una persona o a un nucleo familiare; (ii) impegnarsi pubblicamente a mantenere e utilizzare i Dati personali in forma deidentificata e a non tentare di reidentificare i Dati personali e (iii) obbligare contrattualmente qualsiasi ulteriore destinatario a rispettare tutte le disposizioni del presente paragrafo H. I. Doodle fornirà un'assistenza ragionevole al Cliente per garantire l'adempimento degli obblighi del Cliente di effettuare valutazioni del rischio e audit di sicurezza informatica, e di rispettare i requisiti del Cliente in relazione alle tecnologie decisionali automatizzate, considerando la natura del trattamento e le informazioni disponibili a Doodle. J. Le Parti convengono che nessuna vendita o condivisione di Dati Personali è prevista come parte del presente Accordo, e le Parti convengono che qualsiasi fornitura di Dati Personali da parte di una Parte all'altra ai sensi del presente Accordo è necessaria per eseguire uno Scopo Commerciale come descritto nella Sezione 9 di seguito o nell'Allegato 1, e non fa parte, ed è esplicitamente esclusa, dallo scambio di un corrispettivo, o qualsiasi altra cosa di valore, tra le Parti.

A. Elenco dei subprocessori. Il Cliente acconsente all'utilizzo da parte di Doodle di sub-processori che possono trattare i Dati personali per conto del Cliente per aiutare Doodle a fornire i Servizi. L'elenco degli attuali subprocessori di Doodle è disponibile qui. Doodle può aggiornare di volta in volta il suo elenco di subprocessori e renderà disponibile online qualsiasi aggiornamento di tale elenco e ne darà comunicazione al Cliente. Il Cliente può opporsi per iscritto entro due (2) settimane dalla notifica per giusta causa. Se il Cliente si oppone, le Parti negozieranno in buona fede per trovare una soluzione. Se le Parti non riescono a trovare una soluzione entro due (2) mesi dalla notifica dell'obiezione, ciascuna Parte può risolvere l'Ordine Individuale interessato dandone comunicazione scritta entro due (2) settimane dalla scadenza del periodo di negoziazione. B. Accordi di subprocessore. Doodle stipulerà un accordo scritto (è sufficiente la forma testuale) con qualsiasi sub-processore che contenga obblighi di protezione dei dati almeno altrettanto restrittivi dei suoi obblighi nel presente DPA.

A. Sicurezza dei dati. Doodle utilizzerà misure tecniche e organizzative commercialmente ragionevoli e adeguate alla natura dei Dati personali per mantenere la sicurezza, la riservatezza e l'integrità dei Dati personali e per proteggere i Dati personali da accesso, distruzione, uso, modifica o divulgazione non autorizzati o illegali. Doodle implementerà e manterrà almeno le misure tecniche e organizzative di cui all'Allegato 2. B. Personale autorizzato. Doodle garantirà che i dipendenti, gli appaltatori, gli agenti e i revisori di Doodle che hanno bisogno di conoscere o accedere in altro modo ai Dati personali per consentire a Doodle di adempiere ai suoi obblighi ai sensi del Contratto, siano soggetti all'obbligo di riservatezza rispetto ai Dati personali. C. Violazioni della sicurezza. Violazioni della sicurezza. Nel momento in cui viene a conoscenza di una violazione della sicurezza, Doodle provvederà tempestivamente a: (i) notificare al Cliente la violazione della sicurezza; (ii) indagare sulla violazione della sicurezza; (iii) fornire al Cliente i dettagli necessari sulla violazione della sicurezza come richiesto dalla legge applicabile; e (iv) intraprendere azioni ragionevoli per prevenire il ripetersi della violazione della sicurezza. Doodle metterà a disposizione i registri pertinenti e altri materiali relativi agli effetti della Violazione della sicurezza sul Cliente nella misura richiesta per conformarsi alle Leggi sulla protezione dei dati, nel rispetto di qualsiasi obbligo di riservatezza vincolante per Doodle ai sensi di qualsiasi legge o contratto applicabile.

A. Assistenza al Processore. Su richiesta scritta del Cliente, Doodle fornirà al Cliente l'assistenza ragionevole necessaria per aiutarlo a soddisfare i suoi obblighi ai sensi delle Leggi sulla Protezione dei Dati, anche fornendo informazioni al Cliente sulle misure di sicurezza tecniche e organizzative di Doodle e, se necessario, per completare le valutazioni sulla protezione dei dati (il cui processo è descritto nella Sezione 8 di seguito). B. Richieste dell'interessato. Se un invitato, un dipendente del Cliente o un altro Soggetto interessato fa una richiesta di Dati personali a Doodle, Doodle consiglierà al Soggetto interessato di presentare la sua richiesta direttamente al cliente di Doodle che è il Titolare del trattamento dei Dati personali in questione, e informerà il Cliente di tale richiesta se il Soggetto interessato identifica il Cliente come il Titolare del trattamento applicabile a Doodle. Il Cliente è responsabile delle richieste dell'Interessato. Doodle fornirà piena collaborazione e assistenza al Titolare del trattamento in relazione a qualsiasi richiesta di accesso ai Dati personali detenuti dagli Interessati o in relazione a qualsiasi altra richiesta, accusa o reclamo da parte di un'autorità competente o di un Interessato, compresa la notifica scritta al Titolare del trattamento senza indebito ritardo del ricevimento di tale avviso o richiesta. Le informazioni di contatto per le richieste dei Soggetti interessati sono disponibili sul nostro sito web. C. Costi. Se Doodle determina in buona fede che una richiesta di assistenza ai sensi della presente Sezione è irragionevole, eccessivamente onerosa e al di fuori delle aspettative del settore per l'assistenza in ogni rispettiva questione, le Parti concorderanno in buona fede i costi che il Cliente dovrà pagare a Doodle per tale assistenza.

Entro trenta (30) giorni dalla richiesta scritta del Cliente, e non più di una volta all'anno, Doodle metterà a disposizione del Cliente (o di un revisore terzo concordato) le informazioni ragionevolmente necessarie per dimostrare l'adempimento da parte di Doodle degli obblighi stabiliti nel presente DPA, sotto forma del/i suo/i più recente/i rapporto/i di revisione o certificazione di terzi (come SOC 2 o Cloud Verify). Se, dopo aver ricevuto il/i rapporto/i, il Cliente, a suo ragionevole giudizio, ritiene che siano necessarie ulteriori informazioni per confermare che Doodle sta rispettando i suoi obblighi nel presente DPA o per consentire al Cliente di completare una valutazione della protezione dei dati, il Cliente può richiedere per iscritto tali informazioni aggiuntive. Le Parti collaboreranno in buona fede per concordare le informazioni aggiuntive che Doodle dovrà fornire e Doodle fornirà le informazioni concordate. Nel caso in cui la legge sulla protezione dei dati applicabile richieda il diritto a ispezioni in loco, Doodle consentirà al Cliente di condurre tali ispezioni. Tutte le informazioni fornite da Doodle ai sensi della presente Sezione sono considerate Informazioni riservate di Doodle e sono soggette agli obblighi di riservatezza previsti dal Contratto.

Le Parti riconoscono e concordano che Doodle tratta alcuni dati personali in qualità di Titolare del trattamento, come descritto nella nostra Informativa sulla privacy, e li tratta in conformità alla stessa, per le seguenti finalità, quando a tali dati personali si applicano le leggi sulla protezione dei dati dell'UE, del Regno Unito o della Svizzera: (i) per gestire il rapporto con il Cliente, compresa la creazione di account cliente, la gestione della fatturazione e l'esecuzione di attività di vendita e di marketing; (ii) per scopi legati alle operazioni commerciali interne di Doodle, come la contabilità, le revisioni, la preparazione e l'archiviazione delle imposte e gli scopi di conformità; (iii) per monitorare, indagare, prevenire e rilevare frodi, incidenti di sicurezza e altri usi impropri dei Servizi; (iv) per finalità di verifica dell'identità; (v) per ottemperare agli obblighi legali o normativi applicabili all'elaborazione e alla conservazione dei dati personali a cui Doodle è soggetta; (vi) per sviluppare, migliorare e comprendere l'utilizzo dei suoi prodotti e servizi, e (vii) come altrimenti consentito dalle Leggi sulla Protezione dei Dati e come indicato nell'Informativa sulla Privacy di Doodle.

A. Conflitto. In caso di conflitto o incongruenza tra il presente DPA e le Leggi sulla Protezione dei Dati, prevarranno le Leggi sulla Protezione dei Dati. In caso di conflitto o incongruenza tra i termini del presente DPA e i termini dell'Accordo, i termini del presente DPA prevarranno esclusivamente nella misura in cui l'oggetto riguarda il trattamento dei Dati Personali. B. Modifiche. Il presente DPA non potrà essere modificato se non mediante uno strumento scritto firmato dalle Parti. Nella misura in cui un'autorità di protezione dei dati stabilisca che l'Accordo o il presente DPA non sono sufficienti per conformarsi alle Leggi sulla Protezione dei Dati o alle modifiche apportate alle Leggi sulla Protezione dei Dati, il Cliente e Doodle concordano di collaborare in buona fede per modificare l'Accordo o il presente DPA o stipulare ulteriori accordi di trattamento dei dati reciprocamente accettabili nel tentativo di conformarsi a tutte le Leggi sulla Protezione dei Dati. C. Responsabilità. La responsabilità di ciascuna Parte derivante da o correlata al presente DPA, sia per contratto che per illecito civile o in base a qualsiasi altra teoria di responsabilità, è soggetta alle limitazioni di responsabilità contenute nel Contratto. A scanso di equivoci, ogni riferimento al "DPA" nel presente documento indica il presente DPA, compresi i suoi allegati e le sue appendici. D. Legge applicabile e arbitrato. A scanso di equivoci, la Sezione 16.1 del Contratto di Servizi Master ("Legge applicabile e arbitrato") si applica al presente DPA. E. Intero Accordo. Il presente DPA non pregiudica i diritti e gli obblighi delle Parti ai sensi dell'Accordo, che continuerà ad avere piena forza ed effetto. Il presente DPA, unitamente all'Accordo, costituisce l'accordo finale, completo ed esclusivo delle Parti in relazione all'oggetto dello stesso e sostituisce e fonde tutte le discussioni e gli accordi precedenti tra le Parti in relazione a tale oggetto.

A. Elenco delle parti a. Controllore.i. Il Titolare è il Cliente. ii. Indirizzo: l'indirizzo del Cliente indicato nel Contratto. iii. Nome, posizione e recapiti della persona di contatto: Marko Midzor Head of IT, [email protected]iv. Attività rilevanti: attività necessarie per fornire i Servizi descritti nel Contratto. v. Firma e data: si ritiene che il Cliente abbia firmato il presente Allegato I stipulando il Contratto di Servizi Master.b. Processore.i.Il Processore è Doodle AG. ii. Indirizzo: Werdstrasse 21, 8004 Zurigo, Svizzera iii. Nome, posizione e recapiti delle persone di contatto: Responsabile IT di Doodle: Marko Midzor Email: [email protected]. DPO di Doodle AG: Elena Frahm, TÜV Informationstechnik GmbH Am TÜV 1, 45307 Essen Germania, Email: [email protected] iv.Attività rilevanti: Attività necessarie per fornire i Servizi descritti nel Contratto. v. Firma e data: si ritiene che Doodle abbia firmato il presente Allegato I stipulando l'Accordo sui Servizi Master. B. Categorie di Soggetti interessati al trattamento dei Dati personali. Il Cliente può inviare a Doodle Dati personali, la cui entità è determinata e controllata dal Cliente a sua esclusiva discrezione, e che possono includere, ma non sono limitati ai Dati personali relativi alle seguenti categorie di Soggetti: (i) gli utenti finali del Cliente (e delle sue Affiliate), come consentito dal Contratto, compresi i dipendenti, i collaboratori, i rappresentanti e gli agenti, e (ii) le persone con le quali il Cliente (e le sue Affiliate) programma appuntamenti e incontri attraverso l'uso dei servizi di Doodle, che possono includere i suoi rappresentanti, partner commerciali, collaboratori, candidati al lavoro, clienti e potenziali clienti. C. Categorie di Dati personali trattati. Il Cliente può inviare a Doodle Dati personali, la cui entità è determinata e controllata dal Cliente a sua esclusiva discrezione, e che possono includere, ma non solo, le seguenti categorie di Dati personali: Nome e cognome; Titolo; Posizione; Datore di lavoro; Informazioni di contatto (azienda, e-mail, telefono, indirizzo fisico di lavoro); Dati personali contenuti nei dettagli dell'evento del calendario collegato; Posizione approssimativa e/o fuso orario; e altri dati in forma elettronica utilizzati dal Cliente nel contesto dei Servizi. D. Dati sensibili trasferiti (se applicabile). I dati sensibili possono essere trasferiti in alcuni casi di utilizzo dei Servizi, come l'origine razziale o etnica, l'appartenenza a sindacati o i dati relativi alla salute. E. Frequenza del trasferimento. Continua. F. Oggetto/Natura del trattamento. I processi possono includere la raccolta, l'archiviazione, il recupero, la consultazione, l'uso, la cancellazione o la distruzione, la divulgazione tramite trasmissione, la diffusione o la messa a disposizione in altro modo dei Dati Personali del Cliente, come necessario per fornire i Servizi in conformità alle istruzioni del Cliente, compresi gli scopi interni correlati, ove consentito dalle leggi applicabili (come il controllo di qualità, la risoluzione dei problemi, la sicurezza delle informazioni, la prevenzione e l'individuazione di spam, frodi e abusi e lo sviluppo e il miglioramento dei prodotti). G. Finalità del trasferimento dei dati e dell'ulteriore trattamento. L'obiettivo del trattamento dei Dati personali da parte di Doodle è l'esecuzione dei Servizi contrattuali ai sensi dell'Accordo con il Cliente. H. Il periodo per il quale i Dati personali saranno conservati o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo. I Dati personali vengono conservati per tutto il tempo ragionevolmente necessario per adempiere alle finalità per cui sono stati raccolti, per adempiere ai nostri obblighi contrattuali e legali e per qualsiasi periodo di prescrizione applicabile ai fini della presentazione e della difesa di reclami. I. Per i trasferimenti a (sub)responsabili del trattamento, specificare anche l'oggetto, la natura e la durata del trattamento. L'oggetto e la natura del trattamento da parte dei sub-processori sono quelli indicati nell'elenco dei sub-processori qui riportato. La durata del trattamento da parte dei sub-responsabili del trattamento sarà pari al tempo in cui Doodle fornirà al Cliente i Servizi previsti dal Contratto.

J. Scopi aziendali. (1) Contribuire a garantire la sicurezza e l'integrità dei Servizi (nella misura in cui l'uso dei Dati Personali pertinenti è ragionevolmente necessario e proporzionato per questi scopi). (2) Eseguire il debug per identificare e riparare gli errori che compromettono la funzionalità prevista dei Servizi. (3) Esecuzione dei Servizi per conto del Cliente, compresa la fornitura del servizio di assistenza agli Utenti autorizzati, la verifica delle informazioni dell'Utente autorizzato del Cliente e l'archiviazione dei dati. (4) Intraprendere ricerche interne per lo sviluppo tecnologico e la dimostrazione dei Servizi.

Doodle implementa e mantiene almeno le misure tecniche e organizzative indicate nel presente Allegato. I subprocessori di Doodle implementano e mantengono misure tecniche e organizzative che forniscono almeno lo stesso livello di protezione delle misure di Doodle, anche se tali misure non sono identiche.

A. Riservatezza (Articolo 32(1)(a-b) del GDPR o il loro equivalente ai sensi delle Leggi sulla Protezione dei Dati applicabili)

a. Controllo dell'accesso fisico. Misure per evitare che persone non autorizzate accedano alle apparecchiature di elaborazione dati con cui i dati vengono elaborati o utilizzati:

• Doodle utilizza sistemi di gestione video e di controllo degli accessi fisici in tutti i suoi uffici, per evitare che persone non autorizzate (cioè senza privilegi di accesso adeguati) accedano alle apparecchiature di elaborazione dati.

b. Controllo elettronico degli accessi. Misure per impedire l'utilizzo dei sistemi di elaborazione dati da parte di persone non autorizzate:

• L'accesso è limitato in base al principio del minimo privilegio e della necessità di sapere.

• Doodle utilizza una piattaforma di gestione delle identità e degli accessi, username/password, SSO e MFA per limitare l'accesso.

• Doodle ha una politica di password scritta che viene abbinata e applicata utilizzando la politica di password dell'applicazione del servizio di gestione delle identità.

• Tutti i computer portatili di Doodle sono crittografati utilizzando l'applicazione di archiviazione dei file.

• I dati dei clienti sono crittografati nel cloud utilizzando la crittografia nativa AES-256 dell'applicazione Ambiente Cloud e le chiavi sono gestite tramite il servizio di gestione delle chiavi (KMS) dell'applicazione Ambiente Cloud.

• Doodle utilizza TLS 1.2 o superiore per criptare i dati dei clienti in transito.

c. Controllo dell'accesso interno. Misure per evitare che le persone autorizzate all'uso di un sistema di elaborazione dati possano accedere solo ai dati soggetti alla loro autorizzazione di accesso e che i dati non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante l'elaborazione, l'uso e dopo la conservazione:

• I dati dei clienti vengono crittografati nel cloud utilizzando la crittografia a blocchi AES-256 nativa dell'applicazione ambiente cloud e le chiavi vengono gestite tramite il Key Management Service (KMS) dell'applicazione ambiente cloud.

• Doodle utilizza TLS 1.2 o superiore per criptare i dati dei clienti in transito.

• La segregazione dei compiti è esplicitamente trattata nella Politica di controllo degli accessi, che contiene una spiegazione di alto livello della metodologia di segregazione degli accessi dell'azienda.

• I diritti di accesso logici sono segregati attraverso le autorizzazioni di gruppo nell'applicazione del servizio di gestione delle identità.

• Doodle esegue revisioni periodiche dei diritti di accesso per applicare la segregazione dei compiti.

• Doodle utilizza la piattaforma di protezione degli endpoint per monitorare gli endpoint interni.

d. Controllo dell'isolamento. Misure per evitare che i dati raccolti per scopi diversi possano essere elaborati separatamente:

• L'accesso ai sistemi del Cliente e ai dati di configurazione è limitato al personale autorizzato di Doodle.

• L'accesso alla produzione è limitato al personale autorizzato, con tutte le distribuzioni di codice e le correzioni di emergenza regolate da revisioni paritetiche obbligatorie, flussi di lavoro di approvazione CI/CD automatizzati e processi di gestione delle modifiche con ticket.

• Doodle mantiene una rete Guest distinta e utilizza una soluzione MDM per ruotare e inviare password nascoste per la rete wireless interna ogni sei mesi, garantendo una rigorosa demarcazione degli accessi.

e. Pseudonimizzazione e crittografia. Elaborazione di dati personali in modo tale che i dati non possano più essere attribuiti a un soggetto specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e che vengano adottate misure tecniche e organizzative adeguate:

• Tutti i computer portatili di Doodle sono crittografati utilizzando l'applicazione di archiviazione dei file.

• Doodle utilizza TLS 1.2 o superiore per criptare i dati dei clienti in transito.

• I dati dei clienti sono crittografati nel cloud utilizzando la crittografia nativa AES-256 dell'applicazione Ambiente Cloud e le chiavi sono gestite tramite il Servizio di gestione delle chiavi (KMS) dell'applicazione Ambiente Cloud.

• L'accesso alle chiavi di crittografia è strettamente regolato dal principio del minimo privilegio, limitato a un numero limitato di persone autorizzate all'interno di Doodle.

B. Integrità

(Articolo 32(1)(b) del GDPR o il loro equivalente ai sensi delle Leggi sulla Protezione dei Dati applicabili)

a. Controllo del trasferimento. Misure per evitare che i dati possano essere letti, copiati, alterati o rimossi da persone non autorizzate durante la trasmissione elettronica o durante il trasporto o l'archiviazione su supporti di dati:

• Tutti i computer portatili di Doodle sono crittografati utilizzando l'applicazione di archiviazione dei file.

• I dati dei clienti sono crittografati nel cloud utilizzando la crittografia nativa AES-256 dell'Applicazione Ambiente Cloud e le chiavi sono gestite tramite il Servizio di Gestione Chiavi (KMS) dell'Applicazione Ambiente Cloud.

• Doodle utilizza TLS 1.2 o superiore per criptare i dati dei clienti in transito.

b. Controllo dell'ingresso e della divulgazione. Misure che consentono di verificare retrospettivamente se e da chi i dati sono stati inseriti, modificati, divulgati (se del caso, a chi) e rimossi dai sistemi di elaborazione dati:

• Doodle mantiene registri completi per tutti gli ambienti di produzione. Questi registri sono archiviati in un repository centralizzato, logicamente separato dai sistemi di produzione per evitare manomissioni e garantire l'integrità forense.

• Tutti i registri degli accessi e delle attività vengono conservati per un minimo di un anno, ai fini dell'audit di conformità e del monitoraggio della sicurezza.

c. Controllo dell'archiviazione: Misure per impedire a persone non autorizzate di leggere, copiare, alterare, spostare, eliminare o distruggere i dati memorizzati:

• I dati dei clienti vengono gestiti, elaborati e archiviati in base alle norme di protezione dei dati e ad altri regolamenti formalmente stabiliti nelle nostre politiche.

• Doodle segue una politica di controllo degli accessi basata sui ruoli (RBAC), come indicato nelle politiche interne di Doodle.

• I diritti di amministrazione sono limitati agli account accessibili solo dal team dei servizi tecnici di Doodle, ai quali il ruolo di amministrazione è stato approvato e concesso attraverso le procedure di controllo delle modifiche.

C. Disponibilità e resilienza

(Articolo 32(1)(c) del GDPR o l'equivalente ai sensi delle leggi sulla protezione dei dati applicabili)

a. Controllo della disponibilità: Misure per proteggere i dati da distruzione o perdita accidentale:

• In quanto organizzazione cloud-first, tutti i dati sono ospitati su un'infrastruttura cloud ad alta disponibilità con ridondanza integrata in più zone di disponibilità.

b. Recuperabilità rapida: Misure per consentire un rapido ripristino dei dati in caso di incidente fisico o tecnico.

• Doodle esegue quotidianamente backup completi della sua infrastruttura cloud.

• I backup interni sono criptati in transito e a riposo. Per il transito, Doodle utilizza un minimo di TLS 1.2 e per la crittografia a riposo Doodle utilizza un algoritmo di crittografia AES-256, standard del settore.

c. Sicurezza del sistema: Misure per adattare i sistemi operativi e il software applicativo ai nuovi standard di sicurezza e risolvere le vulnerabilità critiche:

• La Politica di gestione delle patch di Doodle regola un ecosistema centralizzato in cui gli endpoint vengono patchati tramite l'applicazione di automazione della gestione dei dispositivi mobili e l'applicazione di gestione del cloud, l'infrastruttura viene gestita tramite il Cloud Environment Application Patch Manager e le release di versioning vengono distribuite tramite lo strumento App - Dev, incorporando idealmente test di pre-produzione per valutare le patch prima della distribuzione completa.

• Doodle esegue frequenti scansioni della sua infrastruttura interna e pubblica per individuare vulnerabilità ed esposizioni comuni.

D. Procedure per la revisione, la valutazione e l'analisi regolari

(Articolo 32(1)(d) del GDPR o il loro equivalente ai sensi delle leggi sulla protezione dei dati applicabili)

a. Gestione della protezione dei dati:

• Doodle dispone di politiche, procedure e standard volti a garantire che i dati personali dei clienti siano gestiti in modo responsabile e in conformità ai principi di protezione dei dati, alle leggi e ai regolamenti applicabili a Doodle.

• Doodle ha pubblicato e implementato una Politica di classificazione delle informazioni che affronta la classificazione e la crittografia delle informazioni. I dati personali del personale e dei clienti sono crittografati in base alla politica.

• Tutti i computer portatili del personale sono crittografati utilizzando l'applicazione di archiviazione dei file.

• Su base continuativa, Doodle offre una formazione di sensibilizzazione alla privacy a tutto il personale e, ove consentito, ne registra il completamento.

• Doodle esamina e registra dove e come i suoi prodotti e servizi raccolgono, utilizzano, conservano e smaltiscono i dati personali. I rischi vengono identificati, registrati e mitigati.

• Doodle è trasparente sulle modalità di raccolta, elaborazione, conservazione ed eliminazione dei dati personali. I dati personali che Doodle raccoglie, utilizza, tratta e condivide dipendono dai servizi particolari che sono stati richiesti e/o dalle attività che vengono svolte. Per maggiori informazioni, consulti la nostra Informativa sulla privacy.

• Doodle utilizza i dati personali raccolti in conformità alle norme e ai regolamenti sulla protezione dei dati applicabili a Doodle. Doodle è chiara sulle ragioni per cui raccoglie e utilizza i dati personali e in modo coerente con tali finalità.

• I dati dei clienti sono ulteriormente protetti da un processo SDLC che implementa le migliori prassi e controlli di sicurezza per le sue applicazioni, come la crittografia AES a 256 bit per i dati a riposo, il monitoraggio e la registrazione, la gestione delle vulnerabilità e l'indurimento del sistema.

• Doodle utilizza una piattaforma integrata per la formazione di sensibilizzazione alla sicurezza, combinata con attacchi di phishing simulati su base regolare per tutti i suoi dipendenti.

• Su base annuale, Doodle completa un audit esterno indipendente basato sui requisiti dei principi dei servizi fiduciari del SOC 2 Tipo II dell'AICPA. Doodle ha anche ottenuto il livello 3 di MSP Alliance Cyber Verify, il che significa che le aree critiche delle nostre operazioni di servizio cloud, tra cui la privacy dei dati, la sicurezza della rete, la disponibilità e il tempo di attività, i piani di ripristino d'emergenza, la scalabilità e la conformità sono state verificate e ritenute conformi alle normative del settore.

• Per soddisfare i requisiti del GDPR, Doodle ha formalmente nominato un Responsabile della Protezione dei Dati (DPO) esterno per fornire una supervisione indipendente e una continua integrità delle sue attività di trattamento dei dati personali.

• Doodle mantiene un processo formalizzato per la gestione delle richieste degli interessati, al fine di consentire la conformità con i diritti di accesso, rettifica e cancellazione previsti dalla legge, entro i tempi previsti dalla normativa.

b. Gestione della risposta agli incidenti:

• Doodle dispone di un Piano di continuità aziendale, di un Piano di risposta agli incidenti di sicurezza e di Procedure di risposta agli incidenti di sicurezza, nonché di una Politica e di Procedure di gestione delle violazioni dei dati che vengono testate annualmente.