Accordo per l'elaborazione dei dati

Stand: 18 giugno 2024

Accordo sul trattamento dei dati ai sensi dell'art. 28 GDPR 28 GDPR

  1. Oggetto e durata dell'accordo
    1. Articolo
      • Il presente Accordo per il trattamento dei dati ("DPA") viene stipulato tra Smoobu GmbH ("Smoobu", "Responsabile del trattamento", "Contraente", "Fornitore") e una società in qualità di utente della Piattaforma Smoobu e dei suoi servizi ("Utente", "Cliente", "Titolare del trattamento"), dove i dettagli delle parti sono definiti nell'Accordo principale e nelle T&C applicabili all'Accordo per la Piattaforma SaaS per la fornitura di servizi digitali ("T&C") da parte di Smoobu. Il presente DPA costituisce un'integrazione al Contratto principale, in quanto vi è incorporato per riferimento, definisce i diritti e gli obblighi del Cliente e di Smoobu e si applica a tutti i servizi eseguiti e descritti nel Contratto principale e forniti da Smoobu al Cliente.
      • La presente DPA si applica nella misura in cui il Cliente utilizza i servizi digitali (compresi i siti web e le applicazioni mobili) di Smoobu sulla Piattaforma o Smoobu tratta i dati personali secondo le istruzioni del Cliente, compresi i dati personali forniti al Contraente da o per conto del Cliente, allo scopo di fornire i servizi previsti dal Contratto principale. Se nessuna delle condizioni di cui sopra è applicabile, la presente DPA non si applica.
      • Nel caso in cui altre leggi locali a cui il Cliente è soggetto richiedano ulteriori precauzioni in materia di protezione dei dati in relazione all'adempimento dell'Accordo principale, che non sono menzionate o sufficientemente descritte nel presente DPA, le parti adotteranno tali precauzioni, a condizione che il Cliente informi il Fornitore con sufficiente anticipo e che il Fornitore possa attuarle in modo economico e tecnico dopo averle esaminate.
    2. Durata
      • La durata del presente DPA ("Termine") corrisponde alla durata del Contratto principale. Il Contraente tratterà i dati personali del Cliente per tutta la durata della fornitura dei Servizi e successivamente fino alla cancellazione o alla restituzione dei dati secondo le relative istruzioni. L'annullamento o un altro tipo di risoluzione del rapporto contrattuale principale risolverà contemporaneamente il presente DPA.
      • In deroga al paragrafo precedente, la presente DPA si applica per tutto il tempo in cui il Contraente tratta i dati personali del Cliente (compresi i backup, ecc.). Come misura necessaria per garantire l'integrità e la disponibilità dei dati, il Fornitore può conservare copie di backup dei dati personali del Cliente anche dopo la fine della fornitura dei Servizi. Il Fornitore dovrà garantire che tali dati personali non vengano utilizzati attivamente e che l'accesso ad essi sia strettamente limitato.
    3. Cancellazione
      • Il Cliente può risolvere il presente DPA con effetto immediato se il Fornitore o uno dei suoi subfornitori viola le disposizioni del presente DPA o le leggi sulla protezione dei dati.
      • Il Fornitore può risolvere il presente DPA se il Cliente si oppone a un subprocessore che il Fornitore ritiene necessario per la fornitura dei servizi o se il Cliente emette un'istruzione che il Fornitore ritiene impraticabile da attuare.
    4. Definizioni
      • Ai fini del presente DPA, i termini "misure tecniche e organizzative adeguate", "responsabile del trattamento", "dati personali", "violazione dei dati personali", "trattamento", "incaricato del trattamento" e "autorità di controllo" (o termini adeguatamente equivalenti) avranno ciascuno il significato loro attribuito dalla legge applicabile in materia di protezione dei dati.
      • Le leggi in materia di protezione dei dati sono (i) il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE ("GDPR"); (ii) il Regolamento (UE) 2016/679 del Regno Unito ("GDPR UK"), dove i riferimenti al GDPR devono essere intesi come riferimenti alle corrispondenti disposizioni del GDPR UK; (iii) la legislazione nazionale che integra il GDPR e regola il trattamento dei dati personali.
      • I Dati personali del Cliente comprendono tutti i dati personali, compresi i dati del Cliente e dei suoi clienti, che utilizzano i servizi del Cliente ("Cliente") trattati dal Fornitore in conformità alle Istruzioni allo scopo di fornire i Servizi, compresi i dati personali forniti al Fornitore da o per conto del Cliente. A scanso di equivoci, i Dati personali del Cliente non comprendono (i) i dati personali di cui il Fornitore sarebbe in possesso indipendentemente dall'utilizzo dei Servizi da parte del Cliente, in particolare i dati sul traffico provenienti da terzi, come le informazioni tecniche collegate sui dispositivi utilizzati (indirizzo IP, ID dei cookie, altri metadati) (se pertinenti) e (ii) le informazioni statistiche aggregate che non costituiscono dati personali.
      • Istruzione / Istruzione indica un'istruzione relativa all'ambito e alle modalità di trattamento dei dati personali del Cliente che il Cliente fornisce al Fornitore in qualsiasi forma, come, a titolo esemplificativo ma non esaustivo, disposizioni selezionate dell'Accordo principale e del presente DPA, ordini scritti del Cliente, e-mail o impostazioni sulla Piattaforma fornite al Cliente dal Fornitore.
      • Un Subprocessore è un terzo elaboratore di dati incaricato dal Fornitore che ha accesso ai dati del Cliente in qualità di elaboratore o che li elaborerà in conformità alle istruzioni impartite.
      • Le Clausole Contrattuali Standard/ SCC sono le Clausole Contrattuali Standard approvate dalla Commissione Europea per il trasferimento di dati personali dall'Unione Europea a Paesi terzi, come di volta in volta modificate, sostituite, integrate o sostituite, e la cui versione completa e aggiornata è disponibile al seguente link: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
      • DPF indica l'EU-U.S. Data Privacy Framework e/o lo Swiss-U.S. Data Privacy Framework o qualsiasi programma di autocertificazione successivo gestito dal Dipartimento del Commercio degli Stati Uniti e approvato dalla Commissione Europea di volta in volta che non sia stato invalidato (e in ogni caso include l'estensione del Regno Unito dell'EU-U.S. Data Privacy Framework e qualsiasi altra estensione di tale framework che estenda l'applicazione dell'EU-U.S. Data Privacy Framework a quel paese)
  2. Specifica del contenuto della DPA
    1. L'utente in qualità di Cliente e Titolare del trattamento incarica Smoobu in qualità di Fornitore di trattare i dati personali del Cliente in qualità di Responsabile del trattamento secondo le istruzioni documentate.
    2. Nell'ambito degli obblighi generali, il Cliente dovrà garantire e documentare che il Fornitore possa, ai fini della fornitura dei Servizi, trattare i dati personali forniti dal Cliente, compresi i Dati personali dei clienti utilizzati dal Cliente, in conformità alle istruzioni del Cliente e nel rispetto delle leggi applicabili a tale trattamento. Il Cliente dovrà garantire un'adeguata base giuridica per il trattamento dei Dati personali del Cliente e dovrà fornire informazioni accurate e complete agli interessati in merito al trattamento dei Dati personali del Cliente, come richiesto dalle Leggi sulla protezione dei dati. Di conseguenza, il Cliente informerà i propri Clienti in modo trasparente, in conformità con i requisiti legali pertinenti.

      Ulteriori dettagli sono riportati nell'Accordo principale e nell'Allegato 1.
  3. Misure tecniche e organizzative
    1. Il Fornitore adotterà tutte le misure tecniche e organizzative necessarie nella sua area di responsabilità in conformità con l'Art. 32 GDPR per proteggere i dati personali e fornirà al Cliente la documentazione per la revisione, allegata come Allegato 2. Il Cliente può richiedere di volta in volta ulteriori informazioni sulle misure tecniche e organizzative attuate dal Fornitore.

      Se accettate dal Cliente, le misure documentate costituiranno la base del DPA. Il Fornitore deve implementare e mantenere le misure, comprese quelle di sicurezza adeguate, necessarie a proteggere i dati personali del Cliente da accessi non autorizzati o accidentali, perdita, alterazione, divulgazione o distruzione, e deve assistere il Cliente nel garantire il rispetto degli obblighi del Cliente a questo proposito, tenendo conto della natura del trattamento e delle informazioni disponibili. Il Fornitore deve garantire la sicurezza in conformità all'Art. 28 par. 3 lett. c, 32 GDPR, in particolare in relazione all'Art. 5 comma. 1, comma 2 GDPR. In generale, le misure da adottare sono misure di sicurezza dei dati e misure volte a garantire un livello di protezione adeguato al rischio per quanto riguarda la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi. Occorre tenere conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito e delle finalità del trattamento, nonché della diversa probabilità e gravità del rischio per i diritti e le libertà delle persone fisiche.
    2. Se l'ispezione/verifica del Cliente rivela la necessità di un adeguamento, questo sarà attuato di comune accordo.
    3. Le misure tecniche e organizzative concordate sono soggette al progresso tecnico e all'ulteriore sviluppo. A questo proposito, il Contraente è autorizzato a implementare in futuro misure adeguate alternative. In questo modo, il livello di sicurezza delle misure specificate non può essere compromesso. Il Cliente deve essere informato immediatamente di eventuali modifiche significative, che devono essere documentate dal Fornitore.
  4. Diritti degli interessati
    1. Il Fornitore deve supportare il Cliente nella sua area di responsabilità e, per quanto possibile, mediante misure tecniche e organizzative adeguate, nel rispondere e attuare le richieste degli interessati in merito ai loro diritti di protezione dei dati. Il Fornitore non può fornire informazioni, portare, correggere, cancellare o limitare il trattamento dei dati elaborati per conto del Cliente senza autorizzazione, ma solo in conformità alle istruzioni documentate del Cliente. Se una persona interessata si rivolge direttamente al Fornitore a questo proposito, il Fornitore inoltrerà tale richiesta all Cliente senza indugio. Il Cliente riceverà il supporto del Fornitore per rispondere alle richieste degli interessati e rimborserà i costi sostenuti dal Fornitore.
    2. Se coperti dall'ambito dei servizi, i diritti di informazione, rettifica, limitazione del trattamento, cancellazione e portabilità dei dati saranno garantiti direttamente dal Fornitore in conformità alle istruzioni documentate del Cliente.
  5. Garanzia di qualità e altri obblighi del Contraente
    1. Oltre al rispetto delle disposizioni del presente DPA, il Contraente ha i propri obblighi legali ai sensi del GDPR; a tal proposito, garantisce in particolare il rispetto dei seguenti requisiti:
      • Mantenere la riservatezza in conformità con l'Art. 28 par. 3 frase 2 lit. b, 29, 32 para. 4 GDPR. Nell'esecuzione dei lavori, il Fornitore si avvale esclusivamente di dipendenti, collaboratori, rappresentanti, fornitori di servizi e subfornitori che sono stati obbligati a mantenere la riservatezza e che sono stati preventivamente informati sulle disposizioni in materia di protezione dei dati personali che li riguardano. Il Fornitore e qualsiasi persona subordinata al Fornitore che abbia accesso autorizzato ai dati personali possono trattare tali dati solo in conformità alle istruzioni del Cliente, comprese le autorizzazioni concesse nel presente DPA, a meno che non siano legalmente obbligati a trattarli.
      • Il Cliente e il Fornitore collaborano con l'autorità di vigilanza nell'adempimento dei propri compiti su richiesta.
      • informare immediatamente il Cliente di eventuali ispezioni e misure adottate dall'autorità di vigilanza nella misura in cui si riferiscono alla presente DPA. Ciò vale anche nel caso in cui un'autorità competente indaghi sul trattamento dei dati personali nel contesto di un reato amministrativo o di un procedimento penale relativo al trattamento dei dati personali da parte del Fornitore.
      • Se il Cliente è soggetto a un'ispezione da parte dell'autorità di vigilanza, a un'infrazione amministrativa o a un procedimento penale, a un'azione di responsabilità da parte di un soggetto interessato o di un terzo, a un altro reclamo o a una richiesta di informazioni in relazione al trattamento commissionato al Fornitore, quest'ultimo dovrà supportare il Cliente al meglio delle sue possibilità.
      • Il Fornitore controlla regolarmente i processi interni e le misure tecniche e organizzative per garantire che il trattamento nella sua area di responsabilità sia effettuato in conformità con i requisiti della legge sulla protezione dei dati applicabile e che sia garantita la protezione dei diritti dell'interessato.
      • Verificabilità delle misure tecniche e organizzative adottate nei confronti del Cliente nell'ambito dei suoi poteri di controllo ai sensi della Sezione 8 del presente DPA.
      • Tenendo conto del tipo di trattamento e delle informazioni disponibili, il Fornitore comunicherà immediatamente al Cliente eventuali violazioni della protezione dei dati personali in modo tale che il Cliente possa adempiere ai propri obblighi legali, in particolare ai sensi degli artt. 33, 34 GDPR. Il Fornitore preparerà una documentazione sull'intero processo, che metterà a disposizione del Cliente per ulteriori misure.
      • Il Fornitore assiste il Cliente nella sua area di responsabilità e, per quanto possibile, nell'ambito degli obblighi di informazione esistenti nei confronti delle autorità di controllo e degli interessati e le fornisce senza indugio tutte le informazioni pertinenti in questo contesto.
      • Il Fornitore non comunicherà con le autorità di vigilanza, gli interessati o i media in merito a violazioni dei dati, risposte a richieste di esercizio dei diritti di protezione dei dati o altri incidenti relativi ai dati personali del Cliente senza le istruzioni del Cliente, a meno che ciò non sia richiesto dalle leggi sulla protezione dei dati.
      • Nella misura in cui il Cliente è tenuto a effettuare una valutazione d'impatto sulla protezione dei dati ai sensi dell'art. 35 del GDPR, il Fornitore lo sosterrà, tenendo conto del tipo di trattamento e delle informazioni disponibili. Lo stesso vale per qualsiasi obbligo esistente di consultare l'autorità di controllo della protezione dei dati competente.
    2. La presente DPA non esonera il Fornitore dal rispetto di altre disposizioni del GDPR.
  6. Rapporti di subcontratto
    1. Per rapporti di subcontratto ai sensi della presente disposizione si intendono i servizi che si riferiscono direttamente alla fornitura del servizio principale. Non sono compresi i servizi accessori utilizzati dal Fornitore, ad esempio i servizi di telecomunicazione, i servizi postali/di trasporto, i servizi di pulizia o i servizi di sicurezza. I servizi di manutenzione e collaudo costituiscono un rapporto di subcontratto se sono forniti per sistemi IT che sono forniti in connessione con un servizio fornito dal Contraente ai sensi del presente DPA. Tuttavia, il Fornitore è tenuto a stipulare accordi contrattuali adeguati e conformi alla legge e ad adottare misure di controllo per garantire la protezione e la sicurezza dei dati del Cliente, anche nel caso di servizi accessori esternalizzati.

      Il Cliente autorizza il Fornitore a nominare dei sub-elaboratori nell'ambito del trattamento dei dati specificato nella presente DPA e accetta che tali sub-elaboratori possano incaricare altri elaboratori del trattamento dei dati personali del Cliente. Il Cliente acconsente all'incarico dei subprocessori specificati nell'Allegato 3 a condizione che venga stipulato un accordo contrattuale con i subprocessori ai sensi dell'Art. 28 (2-4) GDPR. 28 (2-4) GDPR.

      L'accordo contrattuale sarà presentato al Cliente su richiesta, ad eccezione delle clausole commerciali non correlate alla legge sulla protezione dei dati.
    2. L'esternalizzazione a subfornitore o la modifica del subfornitore esistente in conformità all'Appendice 3 è consentita, a condizione che:
      • Il Fornitore notifichi in anticipo al Cliente l'esternalizzazione o la modifica dei subfornitori in modo appropriato, in formato digitale o in altra forma, in conformità all'Allegato 3, entro un periodo di tempo ragionevole, che non può essere inferiore a 14 giorni; e
      • il Cliente non si opponga all'esternalizzazione prevista per iscritto o in forma di testo al Fornitore entro la consegna dei dati, e
      • si basa su un accordo contrattuale ai sensi dell'art. 28 (2-4) del GDPR. 28 (2-4) GDPR.
      • A tal fine, il Cliente dovrà informarsi sulle modifiche a intervalli irregolari sul sito web sul quale il Contraente ha debitamente comunicato l'identità e l'entità dell'ordine.
    3. Il trasferimento dei dati personali del Cliente al Subfornitore e le attività iniziali del Subfornitore sono consentite solo una volta soddisfatti tutti i requisiti per il subcontratto. La conformità e l'attuazione delle misure tecniche e organizzative del Subfornitore saranno verificate prima del trattamento dei dati personali, tenendo conto del rischio del Subfornitore, e poi regolarmente dal Fornitore.
    4. Se il Subfornitore fornisce il servizio concordato al di fuori dell'UE/SEE, il Fornitore deve garantire che il servizio sia consentito dalla legge sulla protezione dei dati adottando misure appropriate.
  7. Trasferimenti internazionali di dati
    1. Qualsiasi trasferimento di dati personali a un paese terzo o a un'organizzazione internazionale richiede istruzioni documentate da parte del Cliente e richiede il rispetto dei requisiti per il trasferimento di dati personali a paesi terzi in conformità al capitolo V del GDPR.  Il Cliente autorizza il trasferimento dei dati a un paese terzo ai destinatari elencati nell'Allegato 3. Le misure autorizzate dal Cliente per garantire un livello di protezione adeguato ai sensi degli Artt. 44 e segg. GDPR nel contesto del subcontratto. Tali misure possono comprendere, in particolare, l'attuazione delle clausole standard di protezione dei dati (SCC) di cui all'articolo 46, paragrafo 2, lettera c), del GDPR o, come nel caso di un trasferimento a un fornitore negli Stati Uniti, in conformità con le regole del DPF.
    2. Se il Cliente ordina il trasferimento dei dati a terzi in un paese terzo, il Cliente sarà responsabile della conformità al capitolo V del GDPR.
  8. Diritti di controllo del Cliente
    1. Il Cliente ha il diritto di effettuare ispezioni in consultazione con il Fornitore o di farle effettuare da revisori indipendenti da nominare in singoli casi. Ha il diritto di accertarsi del rispetto del presente DPA da parte del Fornitore nelle sue operazioni commerciali durante il normale orario di lavoro mediante controlli a campione, che in genere devono essere notificati in tempo utile. Il Cliente è tenuto a informare preventivamente il Contraente per iscritto (è sufficiente un messaggio di posta elettronica) in merito a qualsiasi ispezione da effettuare ai sensi della presente sezione, indicando la portata, la forma e il contributo desiderato della collaborazione del Contraente. A seconda del lavoro da svolgere, dei costi sostenuti e del grado di interruzione delle operazioni commerciali in corso, il Contraente invierà al Cliente un accordo di remunerazione adeguato in anticipo e lo fatturerà successivamente.
    2. Il Fornitore deve garantire che il Cliente possa accertarsi del rispetto da parte del Fornitore degli obblighi previsti dall'art. 28 GDPR. 28 GDPR. Il Fornitore si impegna a fornire al Cliente le informazioni necessarie su richiesta e, in particolare, a fornire la prova dell'attuazione delle misure tecniche e organizzative.
    3. La prova delle misure tecniche e organizzative per il rispetto dei requisiti speciali della protezione dei dati in generale e di quelli relativi all'ordine può essere fornita, su espressa richiesta scritta del Cliente, inviando i relativi rapporti o estratti di rapporti di organismi indipendenti (ad esempio revisori dei conti, audit interno, responsabile della protezione dei dati, dipartimento di sicurezza informatica, revisori della protezione dei dati, revisori della qualità) sulla base degli standard informatici e di protezione dei dati attualmente riconosciuti e di misure economicamente proporzionate.
  9. Autorizzazione del Cliente a impartire istruzioni
    1. Durante il periodo di validità del presente DPA, il Cliente può impartire istruzioni a Smoobu in qualità di Fornitore. Il Fornitore tratterà i dati personali solo sulla base di istruzioni documentate del Cliente, a meno che non sia obbligato a farlo ai sensi della legge dello Stato membro o del diritto dell'Unione. Il Cliente deve confermare senza indugio le istruzioni verbali (almeno in forma testuale). Le istruzioni iniziali del Cliente saranno determinate dal presente DPA. Se il Cliente impartisce ulteriori istruzioni al Fornitore, il Cliente è tenuto a rimborsare al Fornitore i costi sostenuti a seguito di tali istruzioni.
    2. Il Fornitore informerà immediatamente il Cliente se ritiene che un'istruzione violi le norme sulla protezione dei dati o se ritiene che un'istruzione specifica comporti una violazione. Il Fornitore ha il diritto di sospendere l'attuazione dell'istruzione in questione fino alla sua conferma o modifica da parte del Cliente.
    3. Al termine della durata e della fornitura di servizi ai sensi dell'Accordo principale e fatti salvi i periodi di conservazione e cancellazione dei dati del Cliente previsti dalla legge, il Cliente incarica il Fornitore di cancellare o anonimizzare i dati personali dei clienti del Cliente in suo possesso entro 120 giorni dalla cessazione, a meno che un'istruzione o le leggi sulla protezione dei dati non richiedano diversamente.
  10. Cancellazione e restituzione dei dati personali
    1. Non è consentito creare copie o duplicati dei dati senza che il Cliente ne sia a conoscenza. Sono escluse le copie di backup, nella misura in cui sono necessarie per garantire un corretto trattamento dei dati, nonché i dati necessari per rispettare gli obblighi di conservazione previsti dalla legge.
    2. Al termine dei lavori concordati contrattualmente o prima su richiesta del Cliente - ma al più tardi al momento della risoluzione del Contratto principale - il Contraente è tenuto a consegnare al Cliente tutti i documenti, i risultati della lavorazione e dell'utilizzo e i dati relativi al rapporto contrattuale di cui è entrato in possesso o, previo consenso, a distruggerli in conformità alle norme sulla protezione dei dati. Lo stesso vale per il materiale di prova e di scarto. Il registro di cancellazione deve essere presentato su richiesta.
  11. Responsabilità
    1. Il Fornitore indennizzerà il Cliente per qualsiasi danno diretto subito dal Cliente in conseguenza di una violazione del presente DPA, compresi la perdita, la divulgazione, la distruzione o il danneggiamento accidentale dei dati personali del Cliente da parte del Fornitore o di uno dei suoi subfornitori, a meno che quanto sopra non sia dovuto al rispetto delle istruzioni del Cliente. A scanso di equivoci, le limitazioni di responsabilità del Contraente stabilite nell'Accordo principale non si applicano a questa sezione.
  12. Disposizioni finali
    1. Nella misura in cui altri accordi sulla protezione dei dati personali derivino da altri accordi tra il Cliente e il Fornitore, il presente DPA sul trattamento commissionato avrà la precedenza, a meno che le parti non concordino espressamente diversamente.
    2. Se una parte del presente DPA è ritenuta non valida o non applicabile, la parte restante del presente DPA dovrà essere interpretata in modo da preservare il più possibile le intenzioni delle parti.
    3. Ciascuna delle parti può proporre modifiche al presente DPA che ritiene necessarie a causa delle leggi sulla protezione dei dati o di altri regolamenti, interpretazioni, decisioni o linee guida. In tali casi, le parti collaboreranno per modificare il presente DPA di conseguenza.
    4. A meno che le controversie tra le parti non vengano risolte in via amichevole, il presente DPA sarà interpretato, interpretato e applicato in conformità alla legge e ai tribunali della Repubblica Federale di Germania, come previsto nell'Accordo principale.
    5. Per tutte le richieste relative al trattamento dei dati personali del Cliente, il Cliente deve contattare il Contraente all'indirizzo [email protected].

Versione: Giugno 2024

Appendice 1 - Ambito di trattamento

Controllore☒  Client
Processori☒ Fornitore - Smoobu

Descrizione del trattamento:

  1. Natura e finalità del trattamento dei dati previsto
    La natura e le finalità del trattamento dei dati personali da parte del Fornitore per il Cliente sono specificamente descritte nell'accordo di servizio (Accordo principale). Il Fornitore tratterà i dati personali del Cliente in forma elettronica su base continuativa e potrà effettuare le seguenti operazioni su di essi su istruzione: Raccolta, registrazione, organizzazione, strutturazione, archiviazione, utilizzo, divulgazione e cancellazione.
  2. Tipologia di dati
    Oggetto del trattamento dei dati personali ai sensi del Contratto principale sono le seguenti tipologie di dati e riguardano sia il Cliente che i Clienti del Cliente con i quali il Cliente ha un rapporto giuridico:
    • Dati anagrafici personali
    • Dati di comunicazione (ad es. telefono, e-mail)
    • Attività degli interessati sui servizi specificati dal Cliente
    • Dati anagrafici del contratto (relazione contrattuale, prodotto o interesse contrattuale) 
    • Storia del cliente 
    • Dati di fatturazione del contratto
    • Non vengono trattate categorie particolari di dati personali.
  3. Categorie di soggetti interessati
    Le categorie di soggetti interessati dal trattamento comprendono, in conformità al contratto principale:
    • Cliente
    • Clienti del Cliente
    • Dipendenti del Cliente
    • Fornitori di servizi di integrazione e loro referenti

Appendice 2 - Misure tecniche e organizzative

Descrizione delle misure tecniche e organizzative adottate dal Fornitore, tenendo conto della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà degli interessati.

Misure di pseudonimizzazione e crittografia dei dati personali:

A seconda del tipo di dati da trattare, si applicano requisiti di sicurezza diversi per ciascuna categoria.

I dati personali del Cliente (e dei suoi dipendenti) saranno pseudoanonimizzati (e resi anonimi se necessario) dal Fornitore, se possibile e come richiesto in conformità con lo standard definito dal Fornitore.

Il Contraente utilizza connessioni criptate tramite VPN per l'accesso remoto, SSL ecc. e utilizza meccanismi di autenticazione a più livelli, ove possibile. Garantisce inoltre che non vi sia un uso non autorizzato del sistema impostando l'uso di password sicure, meccanismi di blocco automatico dopo un certo periodo di tempo, la crittografia dei supporti di dati, l'uso di un firewall, la crittografia dei notebook, la gestione delle autorizzazioni degli utenti, la creazione di profili utente e linee guida generali sulla protezione dei dati e l'assegnazione delle password.

Descrizione delle misure per garantire in modo continuativo la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi connessi all'elaborazione.

Il Contraente dovrà mantenere le responsabilità e le procedure per la gestione e il funzionamento di tutte le strutture di elaborazione delle informazioni per garantire un'elaborazione completa, valida e accurata dei dati.

Il Fornitore deve garantire che non vi siano accessi non autorizzati ai sistemi di elaborazione dei dati proteggendo il sistema con un sistema di allarme con transponder o blocco dei codici, serrature di sicurezza, norme per l'assegnazione delle chiavi e un regolamento per i visitatori solo se accompagnati dai dipendenti.

Descrizione delle misure per garantire la disponibilità dei dati personali e l'accesso rapido ai dati in caso di incidente fisico o tecnico.

I sistemi del Contraente sono progettati per difendersi o prevenire gli attacchi più comuni e garantire la disponibilità per il funzionamento, il monitoraggio e la manutenzione. A tal fine, il Contraente condurrà regolarmente test e audit simulati per confermare la disponibilità dei propri sistemi.

La disponibilità e l'affidabilità vengono monitorate per garantire che la piattaforma del Contraente rimanga online con un'interruzione minima del servizio.

Descrizione delle misure per garantire un processo di revisione, valutazione e verifica periodica dell'efficacia delle misure tecniche e organizzative volte a garantire la sicurezza del trattamento.

Le misure tecniche e organizzative, le istruzioni applicabili e le linee guida pertinenti vengono regolarmente verificate da fornitori di servizi esterni e attraverso test interni.

Il Fornitore esegue regolarmente valutazioni dei rischi, tra cui test di vulnerabilità, test di penetrazione interni ed esterni, scansioni e controlli della rete, del sistema e del firewall. 

Descrizione delle misure per l'identificazione e l'autenticazione degli utenti

I sistemi del Contraente sono allineati con gli standard e le pratiche riconosciute del settore e dispongono di procedure di comunicazione per l'identificazione degli utenti, nonché di solidi controlli di password e autenticazione. L'accesso al sistema è registrato e gli amministratori possono gestire i diritti degli utenti.

Descrizione delle misure di protezione dei dati personali durante la trasmissione e l'archiviazione

Il Contraente dovrà mantenere procedure per prevenire l'accesso non autorizzato o l'uso improprio delle informazioni e utilizzare le migliori pratiche del settore, ove necessario, come ad esempio ID univoci per l'autenticazione e ai fini della mappatura sicura durante il trasferimento e l'archiviazione nei sistemi di produzione.

Descrizione delle misure per garantire la sicurezza fisica dei luoghi in cui vengono trattati i dati personali

I locali del Fornitore sono protetti in loco da una videosorveglianza delle aree di ingresso e da un sistema di accesso personalizzato per impedire l'ingresso di terzi.  

I data center utilizzati utilizzano diritti di amministrazione rigorosi e hanno strutture di database chiare, in modo che ogni cliente possa accedere solo ai record di dati assegnati al suo ID utente.

Solo le persone espressamente autorizzate e che necessitano di informazioni per il loro lavoro hanno accesso ai dati personali.

Descrizione dei requisiti di registrazione degli eventi (ad esempio per l'autenticazione del Cliente o per l'inserimento, la modifica o la cancellazione dei dati)

La politica di conservazione dei dati del Fornitore prevede diversi periodi di conservazione e copie di backup a seconda della categoria di dati, compresi gli obblighi legali o altre eccezioni che richiedono la conservazione di tali dati fino alla scadenza di determinati obblighi legali, ad esempio a fini fiscali e contabili. Se non è possibile distruggere i dati personali, continueranno ad applicarsi le disposizioni di protezione pertinenti a tali dati personali e cesserà qualsiasi ulteriore trattamento.

Appendice 3 - Rapporti di subcontratto autorizzati

L'elenco dei subpfornitori che trattano i dati personali è riportato sul seguente sito web (e sarà aggiornato di volta in volta) e il Cliente conferma il consenso ai subfornitori in essere alla conclusione del Contratto. Il sito web dei Subfornitori include una procedura che consente ai Clienti di iscriversi per ricevere notifiche di nuovi Subfornitori o modifiche all'elenco dei Subfornitori. Per ricevere gli aggiornamenti o le modifiche a questo elenco, è necessario registrarsi tramite l'apposito meccanismo.