Contratto per l'elaborazione degli ordini
tra
Cliente ai sensi delle CGC in qualità di Responsabile del trattamento (di seguito "Responsabile del trattamento**"),
e
Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland in qualità di Responsabile del trattamento dei dati (di seguito "Processore dei dati", Titolare del trattamento e Responsabile del trattamento congiuntamente le "Parti")
Preambolo
Il Titolare del trattamento ha incaricato il Responsabile del trattamento dei dati nelle CGC (di seguito "Contratto principale") per i servizi ivi specificati. Parte dell'esecuzione del contratto è il trattamento dei dati personali. In particolare, l'Art. 28 del GDPR impone requisiti specifici su tale trattamento commissionato. Per ottemperare a tali requisiti, le Parti stipulano il seguente Accordo per il trattamento dei dati (di seguito denominato "Accordo"), la cui esecuzione non sarà remunerata separatamente se non espressamente concordata.
§ 1 Definizioni
(1) Ai sensi dell'Art. 4 (7) GDPR, il Titolare del trattamento è l'entità che da sola o congiuntamente ad altri Titolari determina le finalità e i mezzi del trattamento dei dati personali.
(2) Ai sensi dell'Art. 4 (8) GDPR, un Responsabile del trattamento è una persona fisica o giuridica, un'autorità, un'istituzione o un altro organismo che tratta i dati personali per conto del Titolare.
(3) Ai sensi dell'Art. 4 (1) GDPR, per dati personali si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile (di seguito "Soggetto interessato"); per persona fisica identificabile si intende una persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
(4) I dati personali che richiedono una protezione speciale sono i dati personali ai sensi dell'art. 9 GDPR che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale dei Soggetti interessati, i dati personali ai sensi dell'art. 9 GDPR che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale dei Soggetti interessati, i dati personali ai sensi dell'Art. 10 GDPR relativi a condanne penali e reati o relative misure di sicurezza, nonché i dati genetici ai sensi dell'art. 4 (13) GDPR, i dati biologici. 4 (13) GDPR, dati biometrici ai sensi dell'art. 4 (14) GDPR, dati sulla salute. 4 (14) GDPR, dati sanitari ai sensi dell'art. 4 (15) GDPR, e dati biometrici ai sensi dell'art. 4 (14) GDPR. 4 (15) GDPR, e dati sulla vita sessuale o sull'orientamento sessuale di una persona fisica.
(5) Ai sensi dell'articolo 4, paragrafo 2, del GDPR, il trattamento è costituito da qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati, come la raccolta, la registrazione, l'organizzazione, l'archiviazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
(6) Ai sensi dell'articolo 4 (21) del GDPR, l'autorità di vigilanza è un organismo statale indipendente istituito da uno Stato membro ai sensi dell'articolo 51 del GDPR.
§ 2 Oggetto del contratto
(1) Il Responsabile del trattamento fornisce i servizi specificati nel Contratto principale per il Titolare del trattamento. Nel fare ciò, il Responsabile del trattamento ottiene l'accesso ai dati personali che elabora per il Titolare del trattamento esclusivamente per conto e in conformità alle istruzioni del Titolare del trattamento. L'ambito e lo scopo del trattamento dei dati da parte del Responsabile del trattamento sono definiti nel Contratto principale e nelle descrizioni dei servizi associati. Il Titolare del trattamento è responsabile della valutazione dell'ammissibilità del trattamento dei dati.
(2) Le Parti concludono il presente Accordo per specificare i reciproci diritti e obblighi ai sensi della legge sulla protezione dei dati. In caso di dubbio, le disposizioni del presente Accordo avranno la precedenza sulle disposizioni del Contratto principale.
(3) Le disposizioni del presente contratto si applicano a tutte le attività relative al Contratto Principale in cui il Responsabile del Trattamento e i suoi dipendenti o le persone autorizzate dal Responsabile del Trattamento entrano in contatto con i dati personali provenienti dal Titolare o raccolti per conto del Titolare.
(4) La durata del presente Contratto sarà disciplinata dalla durata del Contratto principale, a meno che le seguenti disposizioni non diano luogo a ulteriori obblighi o diritti di risoluzione.
§ 3 Diritto di istruzione
(1) Il Responsabile del trattamento può raccogliere, elaborare o utilizzare i dati solo nell'ambito del Contratto principale e in conformità alle istruzioni del Titolare. Qualora il Responsabile del trattamento dei dati sia tenuto ad effettuare ulteriori trattamenti in base alle leggi dell'Unione Europea o degli Stati membri a cui è soggetto, dovrà notificare al Titolare del trattamento tali requisiti legali prima del trattamento stesso.
(2) Le istruzioni del Controllore saranno inizialmente stabilite dal presente Accordo. Successivamente, potranno essere modificate, integrate o sostituite dal Titolare del trattamento in forma scritta o testuale mediante istruzioni individuali (Istruzioni individuali). Il Titolare del trattamento avrà il diritto di impartire tali istruzioni in qualsiasi momento. Ciò include le istruzioni relative alla correzione, alla cancellazione e al blocco dei dati.
(3) Tutte le istruzioni emesse saranno documentate dal Controllore. Le istruzioni che vanno oltre il servizio concordato nel Contratto Principale saranno considerate come una richiesta di modifica del servizio.
(4) Qualora il Responsabile del trattamento ritenga che un'istruzione del Titolare del trattamento violi le disposizioni in materia di protezione dei dati, lo comunicherà al Titolare del trattamento senza indebito ritardo. Il Responsabile del trattamento avrà il diritto di sospendere l'esecuzione dell'istruzione in questione fino alla sua conferma o modifica da parte del Titolare. Il Responsabile del trattamento può rifiutarsi di eseguire un'istruzione palesemente illegittima.
§ 4 Tipi di dati trattati, gruppo di Interessati, paese terzo
(1) Nell'ambito dell'attuazione del Contratto Principale, il Responsabile del Trattamento avrà accesso ai dati personali specificati più dettagliatamente nell'Allegato 1..
(2) Il gruppo di persone interessate dal trattamento dei dati è elencato nell'allegato 1..
(3) Il trasferimento dei dati personali a un paese terzo può avvenire alle condizioni di cui agli artt. 44 e seguenti. GDPR.
§ 5 Misure di protezione del Responsabile del trattamento
(1) Il Responsabile del trattamento è tenuto a rispettare le disposizioni di legge in materia di protezione dei dati e a non divulgare a terzi le informazioni ottenute dal dominio del Titolare del trattamento o a esporle al loro accesso. I documenti e i dati devono essere protetti contro la divulgazione a persone non autorizzate, tenendo conto dello stato dell'arte.
(2) Il Responsabile del trattamento deve organizzare l'organizzazione interna nel suo ambito di responsabilità in modo tale da soddisfare i requisiti speciali di protezione dei dati. Dovrà aver adottato le misure tecniche e organizzative specificate nell'Allegato 2 per proteggere adeguatamente i dati del Titolare ai sensi dell'Art. 32 GDPR, che il Titolare riconosce come adeguate. Il Responsabile del trattamento si riserva il diritto di modificare le misure di sicurezza adottate garantendo che il livello di protezione concordato contrattualmente non sia inferiore.
(3) Alle persone impiegate nel trattamento dei dati dal Responsabile del trattamento è vietato raccogliere, trattare o utilizzare i dati personali senza autorizzazione. Il Responsabile del trattamento dei dati è tenuto ad obbligare tutte le persone da lui incaricate del trattamento e dell'esecuzione del presente contratto (di seguito "Dipendenti") a rispettare tale obbligo (obbligo di riservatezza, Art. 28 (3) lit. b GDPR) e a garantire il rispetto di tale obbligo con la dovuta diligenza. 28 (3) lit. b GDPR) e dovrà garantire il rispetto di tale obbligo con la dovuta attenzione.
(4) Il Responsabile del trattamento ha nominato un responsabile della protezione dei dati. Il responsabile della protezione dei dati del Responsabile è heyData GmbH, Schützenstr. 5, 10117 Berlino, datenschutz@heydata.eu, www.heydata.eu.
§ 6 Obblighi di informazione del Responsabile del trattamento
(1) In caso di interruzioni, sospette violazioni della protezione dei dati o violazioni degli obblighi contrattuali del Responsabile del trattamento, sospetti incidenti legati alla sicurezza o altre irregolarità nel trattamento dei dati personali da parte del Responsabile del trattamento, di persone da esso impiegate nell'ambito del contratto o di terzi, il Responsabile del trattamento informerà il Titolare del trattamento senza indebito ritardo. Lo stesso vale per le verifiche del Responsabile del trattamento da parte dell'autorità di vigilanza sulla protezione dei dati. La notifica di una violazione dei dati personali dovrà contenere almeno le seguenti informazioni:
(a) una descrizione della natura della violazione dei dati personali, compresi, nella misura del possibile, le categorie e il numero di soggetti interessati, le categorie interessate e il numero di registrazioni di dati personali interessate;
(b) una descrizione delle misure adottate o proposte dal Responsabile del trattamento per affrontare la violazione e, se del caso, le misure per mitigarne i possibili effetti negativi;
(c) una descrizione delle probabili conseguenze della violazione dei dati personali.
(2) Il Responsabile del trattamento adotterà immediatamente le misure necessarie per mettere al sicuro i dati e per attenuare le possibili conseguenze negative per gli interessati, informerà il Titolare del trattamento e chiederà ulteriori istruzioni.
(3) Inoltre, il Responsabile del trattamento è tenuto a fornire al Titolare del trattamento informazioni in qualsiasi momento nella misura in cui i dati del Titolare del trattamento siano interessati da una violazione ai sensi del paragrafo 1.
(4) Il Responsabile del trattamento dei dati informerà il Titolare del trattamento di eventuali modifiche significative alle misure di sicurezza ai sensi della Sezione 5 (2).
§ 7 Diritti di controllo del Titolare
(1) Il Titolare del trattamento può accertarsi delle misure tecniche e organizzative del Responsabile del trattamento prima dell'inizio del trattamento dei dati e in seguito regolarmente su base annua. A tal fine, il Titolare del trattamento può, ad esempio, ottenere informazioni dal Responsabile del trattamento, ottenere certificati esistenti da esperti, certificazioni o audit interni o, previo tempestivo coordinamento, ispezionare personalmente le misure tecniche e organizzative del Responsabile del trattamento durante il normale orario di lavoro o farle ispezionare da un terzo competente, a condizione che il terzo non sia in rapporto di concorrenza con il Responsabile del trattamento. Il Titolare del trattamento effettuerà i controlli solo nella misura necessaria e non interromperà in modo sproporzionato l'attività del Responsabile del trattamento.
(2) Il Responsabile del trattamento si impegna a fornire al Titolare del trattamento, su richiesta verbale o scritta di quest'ultimo ed entro un periodo di tempo ragionevole, tutte le informazioni e le prove necessarie per effettuare un controllo delle misure tecniche e organizzative del Responsabile del trattamento.
(3) Il Titolare del trattamento documenterà i risultati dell'ispezione e li comunicherà al Responsabile del trattamento. In caso di errori o irregolarità riscontrati dal Titolare del trattamento, in particolare durante il controllo dei risultati dell'ispezione, il Titolare del trattamento informerà il Responsabile del trattamento senza indebito ritardo. Se durante il controllo vengono riscontrati fatti la cui futura evasione richiede modifiche alla procedura ordinata, il Titolare del trattamento notificherà senza indugio al Responsabile del trattamento le modifiche procedurali necessarie.
§ 8 Utilizzo di fornitori di servizi
(1) I servizi concordati contrattualmente saranno eseguiti con il coinvolgimento dei fornitori di servizi indicati nell'Allegato 3 (di seguito "Subprocessori**"). Il Titolare concede al Responsabile del trattamento la propria autorizzazione generale ai sensi dell'articolo 28 (2) s. 1 GDPR ad assumere ulteriori Subprocessori nell'ambito dei propri obblighi contrattuali o a sostituire i Subprocessori già assunti.
(2) Il Responsabile del trattamento dovrà informare il Titolare del trattamento prima di qualsiasi cambiamento previsto in relazione al coinvolgimento o alla sostituzione di un Subprocessore. Il Titolare può opporsi al coinvolgimento o alla sostituzione di un Subprocessore per un motivo importante ai sensi della legge sulla protezione dei dati.
(3) L'obiezione al previsto coinvolgimento o alla sostituzione di un Subprocessore deve essere sollevata entro 2 settimane dal ricevimento delle informazioni sulla modifica. Se non viene sollevata alcuna obiezione, il coinvolgimento o la sostituzione si considerano approvati. Se sussiste un motivo importante ai sensi della legge sulla protezione dei dati e non è possibile una soluzione amichevole tra il Titolare e il Responsabile del trattamento, il Titolare ha un diritto speciale di recesso alla fine del mese successivo all'obiezione.
(4) Quando si avvale di subprocessori, il Responsabile del trattamento dei dati li obbliga a rispettare le disposizioni del presente Contratto.
(5) Non esiste un rapporto di subprocessore ai sensi delle presenti disposizioni se il Responsabile del trattamento commissiona a terzi servizi considerati puramente accessori. Si tratta, ad esempio, di servizi postali, di trasporto e di spedizione, di servizi di pulizia, di servizi di telecomunicazione senza alcun riferimento specifico ai servizi forniti dal Responsabile del trattamento al Titolare e di servizi di sorveglianza. I servizi di manutenzione e collaudo costituiscono rapporti di subprocesso che richiedono il consenso nella misura in cui sono forniti per sistemi informatici che sono utilizzati anche in relazione alla fornitura di servizi per il Titolare.
§ 9 Richieste e diritti degli interessati
(1) Il Responsabile del trattamento dei dati supporta il Titolare del trattamento con misure tecniche e organizzative adeguate nell'adempimento degli obblighi del Titolare del trattamento ai sensi degli articoli 12-22 e 32-36 del GDPR.
(2) Se un Interessato fa valere i propri diritti, come il diritto di accesso, rettifica o cancellazione dei propri dati, direttamente nei confronti del Responsabile del trattamento, quest'ultimo non reagirà autonomamente, ma dovrà rivolgersi al Titolare del trattamento e attendere le istruzioni di quest'ultimo.
§ 10 Responsabilità
(1) Nel rapporto interno con il Responsabile del trattamento, il Titolare del trattamento è il solo responsabile nei confronti dell'Interessato per il risarcimento dei danni subiti dall'Interessato a causa di un trattamento dei dati inammissibile o scorretto ai sensi delle leggi sulla protezione dei dati o di un utilizzo nell'ambito del trattamento commissionato.
(2) Il Responsabile del trattamento dei dati avrà una responsabilità illimitata per i danni nella misura in cui la causa del danno si basa su una violazione intenzionale o per grave negligenza da parte del Responsabile del trattamento dei dati, del suo rappresentante legale o del suo agente vicario.
(3) Il Responsabile del trattamento sarà responsabile solo per condotta negligente in caso di violazione di un obbligo il cui adempimento è un prerequisito per la corretta esecuzione del contratto e sulla cui osservanza il Titolare fa regolarmente affidamento e può fare affidamento, ma limitatamente al danno medio tipico del contratto. Per tutti gli altri aspetti, la responsabilità del Responsabile del trattamento - anche per i suoi agenti vicari - è esclusa.
(4) La limitazione di responsabilità ai sensi del § 10.3 non si applica alle richieste di risarcimento danni derivanti da lesioni alla vita, al corpo, alla salute o dall'assunzione di una garanzia.
§ 11 Risoluzione del Contratto principale
(1) Dopo la risoluzione del Contratto Principale, il Responsabile del Trattamento dovrà restituire al Titolare tutti i documenti, i dati e i supporti dati che gli sono stati forniti o - su richiesta del Titolare, a meno che non vi sia l'obbligo di conservare i dati personali ai sensi del diritto dell'Unione o del diritto della Repubblica Federale di Germania - cancellarli. Ciò vale anche per eventuali backup dei dati presso il Responsabile del trattamento. Su richiesta, il Responsabile del trattamento dovrà fornire una prova documentata della corretta cancellazione dei dati.
(2) Il Titolare ha il diritto di controllare la restituzione o la cancellazione completa e contrattuale dei dati presso il Responsabile del trattamento in modo appropriato.
(3) Il Responsabile del trattamento dei dati sarà obbligato a mantenere la riservatezza dei dati di cui è venuto a conoscenza in relazione al Contratto principale anche oltre il termine del Contratto principale. Il presente Contratto resterà valido anche dopo la scadenza del Contratto Principale finché il Responsabile del trattamento avrà a disposizione dati personali che gli sono stati trasmessi dal Titolare o che ha raccolto per conto del Titolare.
§ 12 Disposizioni finali
(1) Nella misura in cui il Responsabile del trattamento dei dati non esegua espressamente e gratuitamente le azioni di supporto previste dal presente Contratto, potrà addebitare al Titolare del trattamento un compenso ragionevole, a meno che le azioni o le omissioni del Responsabile del trattamento dei dati non abbiano reso direttamente necessario tale supporto.
(2) Le modifiche e le integrazioni al presente Contratto devono essere effettuate per iscritto. Ciò vale anche per qualsiasi rinuncia a questo requisito formale. La priorità dei singoli accordi contrattuali rimarrà inalterata.
(3) Se singole disposizioni del presente Contratto sono o diventano in tutto o in parte non valide o non applicabili, ciò non pregiudica la validità delle restanti disposizioni.
(4) Il presente contratto è soggetto alla legge tedesca.
Allegato 1 - Descrizione dei dati/categorie di dati e degli Interessati/gruppi di Interessati interessati
| Tipo di cliente | Categorie di soggetti interessati | Categorie di dati |
|---|---|---|
| Conti dell'azienda | Dipendenti | Nome, dati di contatto, posizione, reparto, foto, dettagli dell'azienda, link ai social media |
| Account aziendali e utenti individuali | Parti interessate | Indirizzo IP (città, paese), dati di contatto, nome, azienda, messaggio (facoltativo) |
Allegato 2 - Misure tecniche e organizzative del Responsabile del trattamento dei dati personali
1. Introduzione
Il presente documento riepiloga le misure tecniche e organizzative adottate dal Responsabile del trattamento ai sensi dell'Art. 32 para. 1 GDPR. Si tratta di misure adottate dal Responsabile del trattamento per proteggere i dati personali. Lo scopo del documento è quello di supportare il Titolare del trattamento nell'adempimento dei suoi obblighi di responsabilità ai sensi dell'art. 5 par. 2 GDPR. 5 comma 2 GDPR.
2. Riservatezza (Art. 32 comma 1 lett. b GDPR)
2.1 Controllo dell'ingresso
Le seguenti misure implementate impediscono a persone non autorizzate di accedere ai sistemi di elaborazione dei dati:
-
Lavorare da casa: le persone non autorizzate non hanno accesso all'abitazione dei dipendenti.
-
Lavoro in casa: istruzioni ai dipendenti di lavorare in un ufficio separato dal proprio salotto, se possibile.
2.2 Controllo di ammissione
Le seguenti misure implementate impediscono a persone non autorizzate di accedere ai sistemi di elaborazione dei dati:
-
Autenticazione con utente e password
-
Utilizzo di firewall
-
Utilizzo della gestione dei dispositivi mobili
-
Crittografia dei supporti di dati
-
Blocco automatico del desktop
-
Gestione delle autorizzazioni degli utenti
-
Creazione di profili utente
-
Regole centrali per le password
-
Utilizzo dell'autenticazione a 2 fattori
-
Politica aziendale per le password sicure
-
Istruzioni generali per bloccare manualmente il desktop quando si lascia la postazione di lavoro
2.3 Controllo degli accessi
Le seguenti misure implementate garantiscono che persone non autorizzate non abbiano accesso ai dati personali:
-
Registrazione degli accessi alle applicazioni (in particolare per quanto riguarda l'inserimento, la modifica e la cancellazione dei dati)
-
Il numero di amministratori è ridotto al minimo.
-
Gestione dei diritti degli utenti da parte degli amministratori di sistema
-
Istruzione ai dipendenti che i dati saranno cancellati solo dopo essere stati consultati.
2.4 Controllo della separazione
Le seguenti misure garantiscono che i dati personali raccolti per scopi diversi siano trattati separatamente:
-
Archiviazione fisicamente separata su sistemi o supporti dati separati
-
Separazione del sistema di produzione e di test
-
Separazione logica dei client (lato software)
-
Definizione dei diritti del database
-
Istruzioni interne per anonimizzare/pseudonimizzare i dati personali in caso di divulgazione o dopo la scadenza del periodo di cancellazione previsto dalla legge, se possibile.
3. Integrità (Art. 32 comma 1 lett. b GDPR)
3.1 Controllo del trasferimento
Viene garantito che i dati personali non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante la trasmissione o l'archiviazione su supporti di dati e che sia possibile verificare quali persone o enti abbiano ricevuto i dati personali. Per garantire ciò sono state implementate le seguenti misure:
-
Crittografia WLAN (WPA2 con password forte)
-
Registrazione degli accessi e dei prelievi
-
Fornitura di dati tramite connessioni criptate come SFTP o HTTPS.
-
Divieto di caricare i dati aziendali su server esterni
3.2 Controllo degli ingressi
Le seguenti misure garantiscono la possibilità di controllare chi ha trattato i dati personali nei sistemi di elaborazione dati e in quale momento:
-
Registrazione dell'inserimento, della modifica e della cancellazione dei dati
-
Controllo manuale o automatico dei registri
-
Tracciabilità dell'inserimento, della modifica e della cancellazione dei dati attraverso i nomi dei singoli utenti (non dei gruppi di utenti)
-
Responsabilità chiare per le cancellazioni
legal.dpa.latest.annexes.2.3.2.text.6
4. Disponibilità e resilienza (Art. 32 par. 1 lit. b GDPR)
Le seguenti misure assicurano che i dati personali siano protetti contro la distruzione o la perdita accidentale e siano sempre a disposizione del cliente:
-
Estintori nelle sale server
-
Dispositivi per il monitoraggio della temperatura e dell'umidità nelle sale server
-
Aria condizionata nelle sale server
-
Prese di corrente protettive nelle sale server
-
Gruppo di continuità (UPS)
-
Videosorveglianza nelle sale server
-
Messaggio di allarme per accesso non autorizzato alle sale server
-
Backup regolari
-
Verifica del processo di backup
-
Conservazione dei backup dei dati in un luogo sicuro e fuori sede.
-
Test regolari di recupero dei dati e registrazione dei risultati.
-
Non ci sono servizi igienici all'interno o al di sopra della sala server.
-
Hosting (almeno dei dati più importanti) con un hoster professionale
5. Procedure per il riesame, la valutazione e l'analisi periodica (art. 32, par. 1, lett. d, GDPR; art. 25, par. 1, GDPR).
5.1 Gestione della protezione dei dati
Le seguenti misure sono volte a garantire che l'organizzazione soddisfi i requisiti fondamentali della legge sulla protezione dei dati:
-
Utilizzo della piattaforma heyData per la gestione della protezione dei dati
-
Nomina del responsabile della protezione dei dati heyData
-
Obbligo dei dipendenti di mantenere la segretezza dei dati
-
Formazione regolare sulla protezione dei dati per i dipendenti
-
Mantenere una panoramica delle attività di trattamento (Art. 30 GDPR)
5.2 Gestione della risposta agli incidenti
Le seguenti misure mirano a garantire l'attivazione di processi di segnalazione in caso di violazioni della protezione dei dati:
-
Procedura di segnalazione di violazioni della protezione dei dati ai sensi dell'Art. 4 No. 12 GDPR alle autorità di vigilanza (Art. 33 GDPR). 4 No. 12 GDPR alle autorità di vigilanza (Art. 33 GDPR)
-
Processo di notifica delle violazioni dei dati ai sensi dell'Art. 4 No. 12 GDPR agli interessati (Art. 34 GDPR). 4 No. 12 GDPR agli interessati (Art. 34 GDPR)
-
Coinvolgimento del responsabile della protezione dei dati negli incidenti di sicurezza e nelle violazioni dei dati.
-
Utilizzo di firewall
5.3 Impostazioni predefinite per la protezione dei dati (Art. 25 comma 2 GDPR)
Le seguenti misure mirano a garantire l'attivazione di processi di segnalazione in caso di violazioni della protezione dei dati:
-
Procedura di segnalazione di violazioni della protezione dei dati ai sensi dell'Art. 4 No. 12 GDPR alle autorità di vigilanza (Art. 33 GDPR). 4 No. 12 GDPR alle autorità di vigilanza (Art. 33 GDPR)
-
Processo di notifica delle violazioni dei dati ai sensi dell'Art. 4 No. 12 GDPR agli interessati (Art. 34 GDPR). 4 No. 12 GDPR agli interessati (Art. 34 GDPR)
5.4 Controllo degli ordini
Le seguenti misure garantiscono che i dati personali possano essere trattati solo in conformità alle istruzioni:
-
Istruzioni scritte all'appaltatore o istruzioni in forma di testo (ad esempio attraverso un accordo di elaborazione dati)
-
Assicurare la distruzione dei dati dopo il completamento dell'ordine, ad esempio richiedendo le relative conferme.
-
Conferma da parte degli appaltatori di impegnare i propri dipendenti alla segretezza dei dati (tipicamente nell'accordo di trattamento dei dati)
-
Selezione accurata degli appaltatori (soprattutto per quanto riguarda la sicurezza dei dati)
-
Revisione continua degli appaltatori e delle loro attività
-
Assicurare la distruzione dei dati dopo il completamento dell'ordine, ad esempio richiedendo le relative conferme.
Allegato 3 - Subprocessori attuali
Tutti i subprocessori statunitensi sono certificati ai sensi del Data Privacy Framework.
| Nome | Indirizzo | Funzione | Posizione del server |
|---|---|---|---|
| Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Germany | Hosting e infrastruttura | UE |
| Cloudflare, Inc. | 101 Townsend Street, San Francisco, CA 94107, USA | Rete di distribuzione dei contenuti e sicurezza | Globale, a seconda della posizione dell'utente |
| ActiveCampaign, LLC | 1 N Dearborn St., 5th Floor, Chicago, Illinois 60602, USA | Consegna via e-mail | USA |
| Functional Software, Inc. | 132 Hawthorne Street San Francisco, CA 94107, USA | Segnalazione e monitoraggio degli errori | UE |
| Microsoft Ireland Operations, Ltd. | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland | Servizio clienti e comunicazione | UE |
| HubSpot, Inc. | 25 1st Street Cambridge, MA 0214, USA | Servizio clienti e comunicazione | UE |
Versione 1.3, in vigore dal 10 aprile 2024.
| Nome: | |
| Posizione: | |
| Email: | |
| Data: | |
| Firma: |
| Nome: | Florian Theimer |
| Posizione: | Founder & CEO |
| Email: | privacy@spreadly.app |
| Data: | |
| Firma: |
Stampa il presente Accordo per l'elaborazione dei dati e inviane una versione firmata a privacy@spreadly.app con allegato il tuo codice cliente. Riceverai una versione firmata da noi entro i prossimi giorni lavorativi.
Vuoi avere una copia firmata del nostro Accordo sul trattamento dei dati?
Stampa il presente Accordo per l'elaborazione dei dati e inviane una versione firmata a privacy@spreadly.app con allegato il tuo codice cliente.
Riceverai una versione firmata da noi entro i prossimi giorni lavorativi.