DATA PROCESSING AGREEMENT [Last Updated January 2026] This Data Processing Agreement (“DPA”) is incorporated and forms an integral part of the Software as a Service Agreement and any Service Order (collectively “Agreement”) executed by and between Wevo Energy LTD (“Wevo”), a wholly owned subsidiary of Solaredsge technologies, and the customer identified under the Service Order (“Customer”). Wevo and the Customer shall each be referred to as a “party” and collectively the “parties”. All capitalized terms not defined herein shall have the meaning set forth in the Agreement. The parties have agreed to enter into this DPA to address the compliance obligations imposed upon Wevo and the Customer pursuant to the Data Protection Laws (as defined below). Therefore, this DPA sets forth the parties’ responsibilities and obligations regarding the Processing of Users’ Personal Data during the course of the engagement.
1.1 Per "Paese adeguato" si intende un Paese che ha ricevuto una decisione di adeguatezza dalla Commissione europea.
1.2 Per "CCPA" si intende il California Consumer Privacy Act (Cal. Civ. Code §§ 1798.100 - 1798.199) del 2018, incluso come modificato dal California Privacy Rights Act ("CPRA"), nonché tutti i regolamenti promulgati di volta in volta ai sensi dello stesso.
1.3 The terms “Controller”, “Processor”, “Data Subject”, “Processing” (and “Process“), “Personal Data”, “Personal Data Breach”, “Special Categories of Personal Data” and “Supervisory Authority”, shall all have the same meanings as ascribed to them in the EU Data Protection Law. The terms “Business”, “Business Purpose”, “Consumer”, “Service Provider”, “Contractor”, “Third Party Business”, “Sale”, “Sell” and “Share” shall have the same meaning as ascribed to them in the CCPA. ““Data Subject” shall also mean and refer to “Consumer”, as such term defined under the CCPA, “Personal Data” shall include “Personal Information” under this DPA.
1.4 Per "Legge sulla protezione dei dati" si intendono tutte le leggi e i regolamenti applicabili in materia di privacy e protezione dei dati (comprese, ove applicabili, le leggi sulla protezione dei dati dell'UE, le leggi sulla protezione dei dati del Regno Unito, le leggi sulla protezione dei dati della Svizzera e la CCPA), come eventualmente modificate o sostituite di volta in volta.
1.5 Per "Legge europea sulla protezione dei dati" si intende (i) il Regolamento generale dell'UE sulla protezione dei dati (Regolamento 2016/679) ("GDPR"); (ii) il Regolamento 2018/1725; (iii) la Direttiva UE sulla e-Privacy (Direttiva 2002/58/CE), come modificata (Legge sulla e-Privacy); (iv) qualsiasi legge nazionale sulla protezione dei dati emanata ai sensi di, in virtù di, che sostituisca, adotti o succeda a (i) e (ii), compreso il Data Protection Act 2018 (DPA 2018), come modificato, e il GDPR in quanto parte del diritto interno del Regno Unito in virtù dell'articolo 3 dell'European Union (Withdrawal) Act 2018 ("GDPR del Regno Unito"), e la Legge federale svizzera sulla protezione dei dati (del 19 giugno 1992, in vigore dal 1° marzo 2019) ("LPD") nonché l'Ordinanza sulla Legge federale sulla protezione dei dati ("ODP"); (v) qualsiasi legge che sostituisca o aggiorni una delle precedenti; e (vi) qualsiasi interpretazione giudiziaria o amministrativa di una delle precedenti, compresi orientamenti vincolanti, linee guida, codici di pratica, codici di condotta approvati o meccanismi di certificazione approvati emessi da qualsiasi Autorità di vigilanza pertinente.
1.6 Per "Incidente di sicurezza" si intende qualsiasi distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato ai Dati personali. Qualsiasi violazione dei dati personali costituirà un incidente di sicurezza.
1.7 “Standard Contractual Clauses” mean, collectively and as applicable: (i) the standard contractual clauses for the transfer of Personal Data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council adopted by the European Commission Decision 2021/914 of 4 June 2021, which may be found at: Standard Contractual Clauses; (ii) the UK “International Data Transfer Addendum to The European Commission Standard Contractual Clauses” available HERE as adopted, amended or updated by the UK Information Commissioner Office, Parliament or Secretary of State; and (iii) the applicable standard data protection clauses issued, approved or recognized by the Swiss Federal Data Protection and Information Commissioner.
2.1 Le parti convengono e riconoscono che, nell'ambito dell'adempimento degli obblighi previsti dal Contratto e in relazione al Trattamento dei Dati Personali degli Utenti:
- Per quanto riguarda: (i) i Dati Personali degli Utenti Autorizzati; (ii) i Dati Personali degli Utenti caricati dagli Utenti Autorizzati sulla Piattaforma; e (iii) i Dati Personali degli Utenti Finali raccolti durante l'utilizzo di un'App di marca (collettivamente "Dati del Cliente") - Wevo agisce come Processore e Fornitore di Servizi e il Cliente agisce come Controllore e Impresa.
- Per quanto riguarda i Dati Personali degli Utenti Finali raccolti durante l'utilizzo di un'App Wevo - le parti agiranno in qualità di co-responsabili del trattamento indipendenti ("ICC") e ciascuna in qualità di Impresa per quanto riguarda determinati set di dati, come ulteriormente dettagliato nella Sezione 10. I Dati personali trattati da Wevo in qualità di ICC saranno ulteriormente indicati nel presente documento come "Dati Wevo". Ciascuna parte sarà individualmente e separatamente responsabile del rispetto degli obblighi che le competono ai sensi della legge sulla protezione dei dati personali.
2.2 L'oggetto e la durata del Trattamento effettuato dal Responsabile per conto del Titolare, la natura e la finalità del Trattamento, il tipo di Dati personali e le categorie di Interessati sono descritti nell'Allegato I allegato alla presente.
2.3 Laddove il CCPA si applichi al trattamento dei Dati del Cliente da parte di Wevo in qualità di Fornitore di Servizi, Wevo non dovrà:
(i) vendere o condividere i Dati dell'Utente; (ii) conservare, utilizzare o divulgare i Dati dell'Utente per scopi diversi da quelli aziendali specificati nel Contratto; (iii) combinare i Dati dell'Utente con altre Informazioni Personali ricevute da, o per conto di, un altro cliente, o raccolte dalla propria interazione con i residenti in California (diversi, ove applicabile, dagli Utenti dell'Utente che utilizzano l'App Wevo), salvo quanto altrimenti consentito dal CCPA; (iv) Wevo consente all'Acquirente di monitorare la propria conformità ai sensi della Sezione 8 del DPA "Diritti di verifica"; (v) Wevo si impegna a notificare all'Acquirente se Wevo stabilisce di non poter più adempiere ai propri obblighi ai sensi del presente DPA o del CCPA;
(vi) Wevo fornirà assistenza, come ragionevolmente richiesto dall'Utente, in relazione a qualsiasi obbligo dell'Utente di rispondere alle richieste di esercizio dei diritti di un Consumatore ai sensi del CCPA. Inoltre, Wevo riconosce e conferma di non ricevere o trattare alcun Dato del Cliente come corrispettivo per i Servizi che Wevo fornisce all'Utente ai sensi del Contratto.
3.1 Wevo dichiara e garantisce che tratterà i Dati dell'Utente, per conto dell'Utente (soggetto all'articolo 28 del GDPR), al solo scopo di fornire il Servizio, il tutto in conformità alle istruzioni scritte dell'Utente ai sensi del Contratto e del presente DPA. Fermo restando quanto sopra, nel caso in cui Wevo sia tenuta, ai sensi delle leggi applicabili, ivi inclusa la legge sulla protezione dei dati, a trattare i Dati dell'Utente in modo diverso da quanto istruito dall'Utente, Wevo farà del suo meglio per informare l'Utente di tale requisito prima di trattare tali Dati dell'Utente, a meno che non sia vietato dalla legge applicabile.
3.2 Wevo fornirà al Cliente una ragionevole cooperazione e assistenza per garantire l'adempimento del suo obbligo di effettuare valutazioni d'impatto sulla protezione dei dati in relazione al Trattamento dei suoi Dati del Cliente e di consultarsi con l'Autorità di Vigilanza (come applicabile).
3.3 Ove applicabile, Wevo assisterà il Cliente nel garantire che i Dati del Cliente trattati siano accurati e aggiornati, informando il Cliente qualora venga a conoscenza del fatto che i Dati del Cliente che sta trattando sono inesatti o sono diventati obsoleti. Wevo adotterà misure ragionevoli per garantire: (i) l'affidabilità del proprio personale e di qualsiasi altra persona che agisca sotto la sua supervisione e che possa entrare in contatto con i Dati del Cliente o che abbia altrimenti accesso a tali Dati; (ii) che le persone autorizzate a trattare i Dati del Cliente si siano impegnate alla riservatezza o siano soggette a un appropriato obbligo legale di riservatezza; e (iii) che tale personale sia consapevole delle proprie responsabilità ai sensi della presente DPA e di qualsiasi legge applicabile in materia di protezione dei dati.
4.1 Si conviene che qualora Wevo riceva una richiesta da parte di un Soggetto interessato o di un'autorità applicabile in relazione ai Dati del Cliente, ove applicabile, Wevo indirizzerà il Soggetto interessato o l'autorità applicabile al Cliente al fine di consentire al Cliente di rispondere direttamente alla richiesta del Soggetto interessato o dell'autorità applicabile, a meno che non sia altrimenti richiesto dalle leggi applicabili. Le Parti si forniranno reciprocamente la cooperazione e l'assistenza commercialmente ragionevole in relazione alla gestione di una richiesta dell'Interessato o dell'autorità applicabile, nella misura consentita dalla legge sulla protezione dei dati.
5.1 Il Cliente riconosce e accetta che Wevo possa trasferire i Dati del Cliente a e interagire in altro modo con terzi Responsabili del trattamento ("Sub-Processore").
5.2 Where the European Data Protection Laws apply – the Customer hereby authorizes Wevo to engage and appoint such Sub-Processors as listed in Annex II, to Process Customer Data, as well as permits each Sub-Processor to appoint a Sub-Processor on its behalf. Where Wevo may engage an additional or replace an existing Sub-Processors to process Customer Data, subject to the provision of a ten (10) days prior notice of its intention to do so to the Customer. In case the Customer has not objected to the adding or replacing of a Sub-Processor within the aforesaid prior notice period, such Sub-Processor shall be considered approved by the Customer. In the event the Customer objects to the adding or replacing of a Sub-Processor, where such objection can be made solely on reasonably grounds related to non-compliance with Data Protection Laws, Wevo may, under Wevo’ sole discretion, suggest the engagement of a different Sub-Processor, or otherwise terminate the Agreement.
5.3 Qualora Wevo assuma un Subprocessore, imporrà, tramite un contratto giuridicamente vincolante, obblighi di protezione dei dati analoghi a quelli stabiliti nel presente DPA. Wevo rimarrà responsabile nei confronti del Cliente per l'adempimento degli obblighi del Subprocessore in conformità al presente DPA.
6.1 Tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, del contesto e delle finalità del Trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, e fatti salvi eventuali altri standard di sicurezza concordati dalle parti, Wevo implementerà e manterrà adeguate misure fisiche, tecniche e organizzative per proteggere i Dati del Cliente come richiesto dalle Leggi sulla protezione dei dati.
7.1 Wevo informerà l'Acquirente non appena verrà a conoscenza di un Incidente di Sicurezza confermato che coinvolge i Dati dell'Acquirente in possesso o sotto il controllo di Wevo. La notifica o la risposta di Wevo a un Incidente di Sicurezza non dovrà essere interpretata come un riconoscimento da parte di Wevo di qualsiasi colpa o responsabilità in relazione all'Incidente di Sicurezza.
7.2 Wevo will: (i) take necessary steps to remediate, minimize any effects of and investigate any Security Incident and to identify its cause; (ii) co-operate with the Customer and provide the Customer with such reasonable assistance and information as it may reasonably require in connection with the containment, investigation, remediation or mitigation of the Security Incident; and (iii) reasonably co- operate with the Customer and assist Customer with its obligation to notify the affected individuals in the case of a Security Incident.
8.1 Wevo conserverà le registrazioni delle attività di trattamento dei Dati del Cliente effettuate ai sensi del presente DPA e metterà tali registrazioni a disposizione del Cliente e delle autorità di vigilanza applicabili su richiesta scritta. Tali registrazioni fornite saranno considerate Informazioni riservate di Wevo e saranno soggette a obblighi di riservatezza.
8.2 Nel caso in cui i registri e la documentazione forniti ai sensi della Sezione 8.1 di cui sopra non siano sufficienti, Wevo metterà a disposizione, esclusivamente su preavviso scritto ragionevole e non più di una volta all'anno, a un revisore affidabile nominato dal Cliente, le informazioni necessarie a dimostrare ragionevolmente la conformità al presente DPA in qualità di Responsabile del trattamento, e consentirà verifiche, comprese ispezioni, da parte di tale revisore affidabile esclusivamente in relazione al trattamento dei Dati del Cliente (fermo restando che il Cliente non avrà il diritto di accedere a nessuno dei sistemi di Wevo) ("Audit") in conformità ai termini e alle condizioni di cui al presente documento. L'auditor sarà soggetto ai termini del presente DPA e agli obblighi di riservatezza standard (anche nei confronti di terzi). Wevo può opporsi a un revisore nominato dal Cliente nel caso in cui ritenga ragionevolmente che il revisore non sia adeguatamente qualificato o indipendente, sia un concorrente di Wevo o sia altrimenti inadatto ("Avviso di opposizione"). Il Cliente nominerà un altro revisore o condurrà direttamente l'Audit al ricevimento di un avviso di obiezione da parte di Wevo. Il Cliente sosterrà tutte le spese relative all'Audit e dovrà (e assicurarsi che ciascuno dei suoi revisori lo faccia), evitare di causare danni, lesioni o interruzioni ai locali, alle attrezzature, al personale e all'attività di Wevo mentre il suo personale si trova in tali locali nel corso di tale Audit. Tutte le conclusioni di tale Audit dovranno essere riservate e comunicate immediatamente a Wevo.
9.1 Where the GDPR, UK GDPR or the Swiss FADP is applicable, if the Processing of Personal Data by Wevo in its role as a Processor to a Sub-Processor includes transfer of Personal Data to a third country outside the European Economic Area (“EEA”), the UK and Switzerland that is not an Adequate Country, such transfer shall only occur if an appropriate safeguard approved by the applicable Data Protection Law (the GDPR (Article 46), UK GDPR (Article 46) or Swiss FADP (as applicable)) for the lawful transfer of Personal Data under is in place.
10.1 Quando le parti sono ICC: (i) si chiarisce che in nessun caso le parti tratteranno i dati come controllori congiunti. Ciascuna parte sarà individualmente e separatamente responsabile del rispetto degli obblighi che le competono, in conformità alle leggi sulla protezione dei dati; (ii) se una parte riceve una richiesta da parte di un Soggetto interessato o di un'autorità applicabile in relazione ai Dati personali trattati dalle parti in qualità di CCI, ne darà notifica all'altra parte e, se del caso, indirizzerà il Soggetto interessato o l'autorità applicabile all'altra parte; (iii) ciascuna parte informerà l'altra parte nel momento in cui viene a conoscenza di un incidente di sicurezza che coinvolga i Dati personali trattati in qualità di CCI.
11.1 This DPA shall be effective as of the Effective Date (as defined in the agreement) and shall remain in force until the Agreement terminates. Wevo shall be entitled to terminate this DPA or terminate the Processing of Customer Data in the event that Processing of Customer Data under the Customer’s instructions or this DPA infringe applicable legal requirements. Following the termination of this DPA, Wevo shall, at the choice of the Customer, delete all Customer Data processed on behalf of the Customer and certify to the Customer that it has done so, or, return all Customer Data to the Customer and delete existing copies, unless applicable law or regulatory requirements requires that Wevo continue to store Customer Data.
11.2 In the event of a conflict between the terms and conditions of this DPA and the Agreement, this DPA shall prevail. For the avoidance of doubt, in the event Standard Contractual Clauses have been executed between the parties, the terms of the Standard Contractual Clauses shall prevail over those of this DPA. Except as set forth herein, all of the terms and conditions of the Terms shall remain in full force and effect. ANNEX I – DETAILS OF PROCESSING This Annex includes certain details of the Processing of Customer Data as required by Article 28(3) GDPR. Categories of Data Subjects: Authorized Users and Users, as defined under the Agreement. Categories of Personal Data processed: Credentials; contact information; authentication and security credentials; online identifiers; address and parking space; payment information; Charger’s usage information. Special Categories of Personal Data: None. Nature of the processing: Collection, storage, organization, communication, transfer, host and other uses in performance of the Services as set out in the Agreement. Purpose(s) of Processing: To provide the Service. Retention Period: For as long as is necessary to provide the Service by Wevo; provided there is no legal obligation to retain the Personal Data past termination or unless otherwise requested by the Customer. Process Frequency: Continuous basis ANNEX II – LIST OF SUB-PROCESSORS Name Servers Address Description of the processing Amazon Web Services (AWS) EU hosting and storage Intercom, inc. EU/US Cloud based customer support and messaging. Coralogix Ltd EU Analytics Pipedrive EU/US CRM sales tool Stripe EU/US Payment processing Grow EU Payment processing Retell AI US AI support agent
Il presente allegato contiene alcuni dettagli sul trattamento dei dati del cliente, come richiesto dall'articolo 28, paragrafo 3, del GDPR.
Categories of Data Subjects:
Authorized Users and Users, as defined under the Agreement.
Categories of Personal Data processed:
Credentials; contact information; authentication and security credentials; online identifiers; address and parking space; payment information; Charger’s usage information.
Special Categories of Personal Data:
None.
Nature of the processing:
Collection, storage, organization, communication, transfer, host and other uses in performance of the Services as set out in the Agreement.
Purpose(s) of Processing:
To provide the Service.
Retention Period:
For as long as is necessary to provide the Service by Wevo; provided there is no legal obligation to retain the Personal Data past termination or unless otherwise requested by the Customer.
Process Frequency:
Continuous basis
|
Nome |
Indirizzo dei server |
Descrizione del trattamento |
|
Servizi Web Amazon (AWS) |
UE |
hosting e archiviazione |
|
Intercom, inc. |
UE/USA |
Assistenza clienti e messaggistica basate sul cloud. |
|
Coralogix Ltd |
UE |
Analisi |
|
Pipedrive |
UE/USA |
Strumento di vendita CRM |
|
Striscia |
UE/USA |
Elaborazione dei pagamenti |
|
Crescere |
UE |
Elaborazione dei pagamenti |
|
Retell AI |
US |
AI support agent |
Last Updated: December 2025
This Annex forms part of the Data Processing Agreement (“DPA”) between Wevo Energy Ltd. (“Processor”) and the Customer (“Controller”).
1.1 Information Security Management
Wevo Energy maintains an Information Security Management System (ISMS) certified to the following international standards:
| Certification | Scope | Certification Body |
| ISO/IEC 27001 | Information Security Management System | SII (Standards Institution of Israel) |
| ISO/IEC 27017 | Cloud Security Controls | SII (Standards Institution of Israel) |
| ISO/IEC 27018 | Protection of PII in Public Clouds | SII (Standards Institution of Israel) |
Certificates are available upon request and are subject to annual surveillance audits and triennial recertification.
2.1 Encryption
| Measure | Implementation |
| Data at Rest | AES-256 encryption for all stored Personal Data |
| Data in Transit | TLS 1.2 or higher for all data transmissions |
| Key Management | Encryption keys managed through AWS KMS with automatic rotation |
| Database Encryption | Transparent Data Encryption (TDE) enabled on all production databases |
2.2 Access Control
| Measure | Implementation |
| Authentication | Multi-factor authentication (MFA) required for all administrative access |
| Authorization | Role-based access control (RBAC) with principle of least privilege |
| Password Policy | Minimum 12 characters, complexity requirements, 90-day rotation |
| Session Management | Automatic session timeout after 15 minutes of inactivity |
| Privileged Access | Just-in-time privileged access for administrative functions |
| Access Reviews | Quarterly access reviews for all systems containing Personal Data |
2.3 Network Security
| Measure | Implementation |
| Firewalls | Web Application Firewall (WAF) and network firewalls (AWS security groups) with default-deny policies |
| Segmentation | Network segmentation between production, development, and corporate environments |
| Intrusion Detection | IDS/IPS monitoring with 24/7 alerting (AWS GuardDuty) |
| DDoS Protection | AWS Shield and CloudFront for DDoS mitigation |
| VPN | Encrypted VPN required for all remote administrative access |
2.4 Application Security
| Measure | Implementation |
| Secure Development | Secure Software Development Lifecycle (SSDLC) practices |
| Code Reviews | Mandatory peer code reviews before production deployment |
| Vulnerability Scanning | Automated vulnerability scanning in CI/CD pipeline |
| Penetration Testing | Annual third-party penetration testing |
| Dependency Mgmt | Automated scanning for vulnerable dependencies |
2.5 Infrastructure Security
| Measure | Implementation |
| Cloud Provider | Amazon Web Services (AWS) EU Region (Frankfurt) |
| Hardening | CIS Benchmark hardening standards applied |
| Patch Management | Critical patches applied within 72 hours; routine patches within 30 days |
| Logging | Centralized logging with minimum 12-month retention |
| Monitoring | Real-time security monitoring via Coralogix SIEM (AWS Ireland) |
2.6 Security Assessments
| Measure | Implementation |
| Internal Audits | Annual internal ISMS audits |
| Vulnerability Assessments | Quarterly vulnerability assessments |
| Penetration Testing | Annual penetration testing by qualified third parties |
| Third-Party Audits | Annual ISO 27001/27017/27018 surveillance audits |
| SOC 2 Report | SOC 2 Type II report available upon request under NDA |
3.1 Information Security Governance
| Measure | Implementation |
| Security Leadership | Designated Chief Security Officer (CSO) |
| ISMS Framework | Documented ISMS policies and procedures aligned with ISO 27001 |
| Risk Management | Annual risk assessments with documented risk treatment plans |
| Policy Review | Annual review and update of all security policies |
3.2 Personnel Security
| Measure | Implementation |
| Confidentiality | NDAs and confidentiality clauses in all employment contracts |
| Security Training | Mandatory annual security awareness training |
| Specialized Training | Role-specific security training for technical personnel |
| Termination Procedures | Immediate access revocation upon termination; exit procedures documented |
3.3 Physical Security
| Measure | Implementation |
| Data Center Security | AWS data centers with SOC 2 Type II certification |
| Physical Access | Badge access, visitor logging, CCTV monitoring at office locations |
| Clean Desk Policy | Enforced clean desk policy for all personnel |
| Media Disposal | Secure destruction of media containing Personal Data |
4.1 Data Segregation
Personal Data is logically segregated by customer using:
Unique tenant identifiers
Application-level access controls
4.2 Data Backup and Recovery
| Measure | Implementation |
| Backup Frequency | Daily automated backups with point-in-time recovery |
| Backup Encryption | All backups encrypted at rest using AES-256 |
| Backup Testing | Quarterly backup restoration testing |
| Geographic Redundancy | Backups replicated across multiple AWS Availability Zones |
| Retention | Backup retention per contractual requirements (minimum 30 days) |
4.3 Data Deletion
Upon termination of the Agreement or upon Controller’s request:
Personal Data is deleted within 30 days.
Deletion is confirmed via written certification.
Backups are purged according to retention schedule (maximum 90 days).
Data Protection Officer:
SolarEdge Technologies Ltd.
Email: DPO@solaredge.com
Security Inquiries:
Wevo Energy Ltd.
Email: info@wevo.energy
This Annex is subject to periodic review and update. The Processor shall notify the Controller of any material changes to the security measures described herein.
Parla con il nostro Specialista
