EX ART. 28 DEL REGOLAMENTO UE 2016/679 TRA
Data processing agreement
EX ART. 28 DEL REGOLAMENTO UE 2016/679 TRA
L'utente della Piattaforma e/o delle App e/o dei Servizi, quale operatore professionale e che
utilizza la Piattaforme e/o i Servizi di Kalyos per scopi professionali. TITOLARE DEL TRATTAMENTO.
E
Kalyos S.r.l., con sede legale in Xxx Xxx Xxxxxxxx 00, 00000 – Xxxxxxxxxx (XX), X. XXX 00000000000 (nel seguito, **Kalyos**) contattabile al seguente indirizzo mail: xxxx@Xxxxxx.xx in persona del proprio amministratore. RESPONSABILE DEL TRATTAMENTO. Titolare e Responsabile potranno essere definiti anche singolarmente la Parte e congiuntamente le Parti
PREMESSO CHE
• Le parti accettando che il presente Agreement (nel seguito, anche DPA) definisce le rispettive obbligazioni riguardanti il trattamento e la protezione dei dati personali inseriti dall’Utente all’interno delle Piattaforme e Applicazioni di Kalyos, o nel corso dell’erogazione dei Servizi a favore del Cliente, così come definiti dalle condizioni generali di contratto;
• Il Titolare del Trattamento e il Responsabile del Trattamento si obbligano a porre in essere, nell’ambito dei compiti delimitati contrattualmente e dei rispettivi ruoli definiti dal legislatore nazionale e comunitario in materia di trattamento dei dati personali, tutte le misure necessarie a ridurre al minimo il rischio data breach, inteso quale rischio connesso alla violazione di dati personali, così come definito dal Reg. UE n. 679/16;
• L’Utente accetta che le condizioni generali di contratto, unitamente al presente Agreement e all’informativa sul trattamento dei dati personali costituiscano l’insieme completo e finale di istruzioni documentate fornite dall’Utente a Kalyos per il trattamento dei Dati Personali.
• Le premesse costituiscono parte integrante e sostanziale del presente contratto.
1. DEFINIZIONI
TUTTO CIÒ PREMESSO
A. Nel presente Agreement vengono utilizzate le seguenti definizioni:
• Dati dell’Utente: tutti i dati personali, inclusi i file di testo, audio, video o immagini contenenti dati personali e forniti a Kalyos da o per conto dell’Utente tramite l’utilizzo delle Piattaforme di Kalyos.
• Dati personali: qualsiasi dato relativo a una persona fisica identificata o identificabile.
• GDPR: il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
• Piattaforma: la piattaforma digitale di servizi denominata Kalyos MyKumo, creato e sviluppato da Xxxxxx, erogato al Cliente in modalità SaaS (Software As A Service).
• Piattaforme: il termine include, oltre alla Piattaforma Kalyos MyKumo, anche le altre Applicazioni, integrate o integrabili alla Piattaforma, nonché i servizi online ad esse correlati e qualsiasi altro prodotto o servizio di Kalyos.
B. I termini utilizzati, ma non definiti nel presente Agreement relativo alla Protezione dei Dati Personali, ad esempio violazione dei dati personali, trattamento, titolare del trattamento, responsabile del trattamento, profilazione interessato avranno la stessa accezione attribuita nell’Articolo 4 del Regolamento Generale sulla Protezione dei Dati, anche se quest’ultimo non è applicabile.
2. QUALITÀ DELLE PARTI
L’Utente delle Piattaforme quale Titolare del trattamento dei dati cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali, riconosce e accetta Xxxxxx quale Responsabile dei trattamenti dei dati personali effettuati nell’ambito dei contratti in essere tra le parti.
3. OGGETTO
Ai sensi dell’art. 28 del GDPR il presente accordo (Data Processing Agreement) disciplina i rapporti tra Titolare (Utente) e Responsabile (Kalyos) e le operazioni di trattamento da quest’ultimo intraprese per conto del Titolare nell’ambito delle Piattaforme di Kalyos e dei dati che il Titolare inserisce al loro interno.
L’Utente, in qualità di Titolare dei dati personali immessi nelle Piattaforme di Xxxxxx, conserva la piena autonomia in merito ai mezzi e alle finalità dei trattamenti di tali dati e dichiara di trattarli legittimamente, avendo pienamente adempiuto a tutti gli obblighi di sua competenza previsti dal Reg. UE n. 679/16 e dalle altre normative applicabili, compresi gli obblighi di informazione a cui è tenuto nei confronti delle persone fisiche interessate;
L’utente, inoltre, dichiara fin da ora di manlevare e tenere indenne Xxxxxx da qualunque pretesa – a qualsiasi titolo o causa – avanzata da interessati e/o terzi e/o Autorità di controllo nazionali o estere, in conseguenza del mancato o parziale adempimento degli obblighi sanciti dal Reg. UE n. 679/16 o da altre normative applicabili in materia di protezione dei dati personali;
Il Titolare si impegna, nella sua veste di Responsabile del Trattamento e nei limiti delle sue competenze, ad elaborare i dati personali trattati tramite le Piattaforme Kalyos nel rispetto e in conformità del Reg. UE n. 679/16 e delle altre normativi applicabili in materia di protezione dei dati personali.
In merito alle operazioni di trattamento effettuate dalle Piattaforme di Xxxxxx si precisa quanto segue:
I. BASE GIURIDICA:
Il Titolare conferisce a Kalyos un mandato in base al quale il Responsabile tratterà i dati personali riferibili collaboratori, clienti dell’Utente e in ogni caso dati personali di cui l’Utente è titolare al fine di: offrire servizi a favore dell’Utente per la digitalizzazione di processi relativi ad aree, funzioni e attività tipiche di una società di servizi, mediante l’accesso e l’utilizzo di Kalyos MyKumo e/o di altre App integrate o integrabili.
II. FINALITÁ:
Il trattamento delegato al Responsabile in relazione alle singole Piattaforme, ha come finalità quello di erogare all’Utente i servizi relativi alle Piattaforme utilizzate e per svolgere attività aziendali di Kalyos, nei limiti riportati di seguito:
EROGAZIONE SERVIZI: Kalyos MyKumo
Gestire un archivio di dati personali relativi ai collaboratori, clienti e/o fornitori del Titolare;
Trattare i dati personali immessi nella piattaforma dall’Utente, per gestire adempimenti di natura finanziaria, amministrativa o per agevolare l’organizzazione;
Conservare dati personali anche per fini statistici;
Effettuare operazioni di backup per motivi legati ad interventi di manutenzione e/o riparazione dei sistemi;
Archiviare dati personali in Data Center e/o archivi digitali; SERVIZIO DI DIGITALIZZAZIONE DOCUMENTI ISTITUZIONALI
offrire alle società clienti un servizio di digitalizzazione dei documenti anche di natura fiscale.
ATTIVITÀ AZIENDALI DI Kalyos
Attività di Risoluzione dei problemi (prevenzione, rilevamento e correzione di problemi) e di Miglioramento continuo (installazione degli ultimi aggiornamenti e applicazione di miglioramenti relativi a produttività utente, affidabilità, efficacia e sicurezza).
Gestione account e fatturazioni. Attivazione di servizi a favore degli utenti.
Creazione di report e modelli interni, anche per finalità statistiche.
attività volte alla prevenzione di frodi, crimini informatici o cyber attacchi che potrebbero avere impatto negativo su Kalyos o su Prodotti e Servizi di Kalyos.
III. TIPOLOGIE DI DATI
Le tipologie dei dati che il Responsabile è autorizzato a trattare sono:
- Dati anagrafici dipendenti e collaboratori, clienti e fornitori.
- Dati finanziari/contabili riguardanti lo stato pagamento;
- Dati finanziari/contabili riguardanti clienti o fornitori;
- Dati di fatturazione riguardanti clienti e/o fornitori;
- Files, documentazione contenenti dati personali;
- Documenti di identificazione univoci ad esempio codice fiscale, numero di conto
corrente bancario, numero di passaporto e carta d’identità, numero di patente, indirizzi IP, firma, identificatore univoco per cookie o tecnologie simili;
- Credenziali e/o chiavi di accesso, ad esempio nome utente e password;
IV. CATEGORIE DI INTERESSATI:
I soggetti interessati dal trattamento sono dipendenti, collaboratori, clienti e/o fornitori dell’Utente.
V. TRATTAMENTO CONCESSO AL RESPONSABILE:
Al Responsabile è delegato ogni trattamento di dati personali che sia inerente alla corretta esecuzione dei Servizi a cui ha accesso l’Utente in relazione al tipo di Pacchetto o Applicazione scelta.
4. AMBITO E DURATA
Il Responsabile è autorizzato a trattare, per conto del Titolare, i dati personali necessari a svolgere la sua Attività, così come meglio descritti al punto 2 del presente Accordo (cfr: oggetto), nonché ai relativi contratti inter partes;
Il presente accordo avrà durata pari al rapporto contrattuale in essere tra le Parti, costituendone parte integrante, e dovrà considerarsi automaticamente cessata in seguito a qualunque causa interruttiva del medesimo rapporto.
5. OBBLIGHI DEL TITOLARE
Spetta all’Utente ogni adempimento connesso al Titolare del trattamento dei dati, con riguardo a tutte le attività di trattamento in cui assume tale veste nei rapporti con Xxxxxx;
Spetta all’Utente, in veste di Titolare, fornire ai soggetti Interessati, al momento dell’acquisizione dei dati, l’informativa sul trattamento dei dati personali di cui agli artt. 13 e 14 del GDPR.
6. OBBLIGHI GENERALI DEL RESPONSABILE
• Il Responsabile del trattamento dichiara di presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, così come espressamente richiesto dal Titolare, in modo tale che il trattamento soddisfi i requisiti del Regolamento Ue n. 679/16 e garantisca la tutela dei diritti dell’interessato;
• Il Responsabile si obbliga a dare notizia al Titolare tramite comunicazione scritta di ogni eventuale nuovo trattamento che si dovesse rendere necessario al fine di erogare i servizi connessi al rapporto fra le parti;
• il Responsabile è autorizzato a svolgere operazioni di trattamento di dati personali connessi ai Servizi descritti dalle condizioni d’uso accettate dal Titolare o quelle operazioni compatibili a tali finalità;
• il Responsabile è inoltre tenuto a:
- garantire la protezione dei dati personali oggetto del presente accordo, adottando misure tecniche e organizzative adeguate e tenendo conto dello stato dell’arte;
- garantire che le persone autorizzate dal Responsabile a trattare i dati personali ricevano la
formazione adeguata in materia di protezione dei dati personali nel rispetto della normativa vigente in materia di protezione dei dati personali e siano soggette ad impegni di riservatezza;
- non trattare i dati personali di cui all’Incarico per finalità differenti e/o ulteriori senza previo
accordo con il Titolare. Se il Responsabile, in violazione del GDPR e del presente contratto, determina ulteriori finalità e mezzi del trattamento, è considerato a tutti gli effetti un Titolare per quei trattamenti;
- vigilare costantemente sull’operato delle persone autorizzate al trattamento
- relativamente alla puntuale applicazione da parte di esse delle istruzioni dettagliate in
merito alle operazione di trattamento consentito e alle misure di sicurezza adottate in relazione alle criticità dei dati trattati;
- garantire diversi livelli di autorizzazione al trattamento dei dati,
- al fine di consentire l’accesso ai soli dati necessari allo svolgimento delle operazioni
rispetto alle mansioni svolte;
• il Responsabile se ritiene che un’istruzione del Titolare possa violare una disposizione del GDPR, o altra normativa vigente in materia di protezione dei dati personali, deve informare immediatamente il Titolare;
• il Responsabile è tenuto a tenere per iscritto un Registro delle attività di trattamento per conto del Titolare ai sensi dell’art. 30 GDPR. Su richiesta del Titolare il Responsabile fornisce copia del registro aggiornata in formato strutturato di uso comune e leggibile;
• il Responsabile si impegna a collaborare con il Titolare e mettere a disposizione del
• Titolare tutte le informazioni e i documenti necessari per dimostrare la conformità del trattamento al GDPR e normativa vigente in materia di protezione dei dati personali;
• alla cessazione dell’incarico o su richiesta del Titolare, il Responsabile è tenuto a restituire tutti i dati personali oggetto del trattamento al termine della prestazione di servizi, ad eccezione di quei dati che il Responsabile è tenuto a conservare per legge e comunque per un periodo di tempo non eccedente gli scopi per i quali sono stati raccolti o successivamente conservati. Il Responsabile deve fornire certificazione sottoscritta dal Titolare attestante il rispetto delle procedure per la restituzione dei dati personali;
ESERCIZIO DEI DIRITTI DEI SOGGETTI INTERESSATI
• Per quanto possibile, il Responsabile deve assistere il Titolare nelle attività e procedure dirette a permettere l’esercizio dei diritti dei soggetti interessati previsti agli artt. 15 – 22 del GDPR, tenendo conto del fatto che in caso di attività di profilazione, i diritti di cui agli artt. 16 e 17 (diritto di rettifica e cancellazione) si applicano non soltanto ai dati personali utilizzati per creare il profilo, ma anche l’output dell’attività di profilazione (il profilo o il punteggio assegnato)
• qualora l’interessato faccia valere i suoi diritti presso il Responsabile presentandogli relativa richiesta, il Responsabile è tenuto ad informare tempestivamente il Titolare;
SUB-RESPONSABILI
• Il Responsabile è autorizzato sin d’ora ad impiegare sub-responsabili per lo svolgimento delle operazioni di trattamento di dati personali per conto del Titolare, garantendo che quest’ultimi siano in possesso dei requisiti di esperienza, capacità e affidabilità necessari per l’esecuzione delle attività affidategli, incluso il profilo relativo alla sicurezza (cfr.: art. 32 GDPR);
• il Responsabile del trattamento informa il Titolare di eventuali modifiche riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando al Titolare la possibilità di visionare preventivamente il contratto tra Responsabile e sub-responsabile ed opporsi, eventualmente, a tali modifiche;
• il Responsabile si impegna a svolgere le adeguate procedure di controllo in relazione a ciascun sub-responsabile del trattamento per verificare che sia in grado di fornire un livello adeguato di protezione dei dati personali attraverso l’implementazione di idonee misure tecniche ed organizzative;
• rimane inteso che il Responsabile del trattamento conserva nei confronti del Titolare l’intera responsabilità per l’inadempimento degli obblighi a cui sono soggetti i sub-responsabili.
NOTIFICA DELLE VIOLAZIONI (DATA BREACH)
• Il Responsabile si impegna a documentare qualsiasi violazione dei dati personali, comprese le circostanze ad esse relative, le sue conseguenze e le azioni intraprese per limitare l’impatto della violazione sui diritti e le libertà dei soggetti interessati.
• Il Responsabile dovrà: comunicare tempestivamente tutti gli elementi e le informazioni ai sensi dell’art. 33 del GDPR;
• fornire l’assistenza necessaria alla comprensione dell’evento anche per l’eventuale notifica all’Autorità di Controllo competente ed ai soggetti interessati qualora necessario.
VARIE
• L’eventuale nullità di una o più clausole del presente accordo o di parte di esse non inficerà la validità e l’applicabilità delle altre clausole e/o del resto della disposizione in questione.
• Eventuali deroghe, modifiche e/o aggiunte all’accordo saranno comunicate da Kalyos con mezzi adeguati a renderle conoscibili all’Utente;
• Il presente accordo e i diritti e gli obblighi da esso derivanti per le Parti non sono trasferibili, né direttamente né indirettamente, senza il previo accordo scritto della controparte. L’eventuale o persino ripetuta mancata applicazione dalle Parti di un dato diritto è interpretabile unicamente come tolleranza di una determinata situazione e non dà adito ad acquiescenza.
ALLEGATO 1 ELENCO MISURE DI SICUREZZA IMPLEMENTATE DA Kalyos 1. INVENTARIO DISPOSITIVI E SOFTWARE
Il Team tecnico di Xxxxxx si compone di personale specializzato in ambito ITC;
Sono inoltre definiti e resi noti (mediante apposite nomine) ruoli e responsabilità inerenti al trattamento e la protezione dei dati personali per tutto il personale e per terze parti rilevanti (clienti, fornitori), anche tramite invio e/o pubblicazione di informative aggiornate alla nuova normativa;
I servizi web offerti da terze parti (a cui si è registrati) sono quelli strettamente necessari. In ogni momento potrai richiedere l’elenco dei Responsabili o Sub-responsabili del Trattamento.
Xxxxxx, anche per mezzo della compilazione del registro del trattamento, ha individuato i dati e le informazioni più rilevanti in relazione al proprio business. In tal senso, i trattamenti di dati personali sono identificati e catalogati.
2. GOVERNANCE e GESTIONE ACCOUNT/PASSWORD
Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di trattamento dati personali. Nello specifico il Titolare ha predisposto: 1) registro del trattamento; 2) organigramma privacy con relative nomine; 3) informative aggiornate a Reg. UE n. 674/16;
4) policy relative al trattamento dei dati personali; 5) valutazioni di impatto là dove necessarie.
3. PROTEZIONE DA MALWARE
• Tutti i dispositivi aziendali sono dotati di software di protezione regolarmente aggiornati e disposti su più livelli.
•
• E’ pianificata la dismissione dei software, che viene gestita direttamente dal Team competente di Xxxxxx;
•
• La posta elettronica aziendale è dotata di strumenti antispam/antivirus di adeguata efficacia.
4. FORMAZIONE
• L’azienda affida a consulenti l’organizzazione di incontri formativi rivolti al personale perché venga adeguatamente sensibilizzato sul corretto trattamento dei dati personali e sulle procedure da adottare per un loro impiego sicuro.
5. PROTEZIONE DEI DATI
• La configurazione iniziale di tutti i dispositivi IT è svolta dai referenti interni di competenza;
• Sono eseguiti back-up giornalieri e incrementali e back-up in cloud;
6. PROTEZIONE DELLE RETI
• le reti e i sistemi sono protetti da accessi esterni non autorizzati attraverso strumenti specifici: firewall (hardware e software); intrusion detection-prevention system.
• Le reti wireless sono adeguatamente protette e configurate con algoritmo di protezione WPA2 e password complesse;
• L’accesso che viene eseguito tramite Internet è crittografato tramite protocolli crittografici (TLS/SSL);
7. PREVENZIONE E MITIGAZIONE
• In caso di data breach è stato predisposto un apposito registro per annotare violazioni di dati personali.
• I sistemi vengono messi in sicurezza da personale esperto.
• Tutti i software in uso sono aggiornati ed i dispositivi o software obsoleti sono dismessi.
========================== FINE DOCUMENTO ==========================