Accordo con il responsabile del trattamento
Accordo con il responsabile del trattamento
Il titolare del trattamento: Cliente con sede all'interno dell'UE (qui di seguito, il “Titolare del trattamento”) e
Il responsabile del trattamento:
Azienda: Xxx.xxx Group AB
N. immatricolazione 559205-2400
Città: Malmö
Paese di immatricolazione: Svezia
(qui di seguito il "Titolare del trattamento")
(singolarmente definita la "Parte" e collettivamente le "Parti") hanno concluso quanto segue:
ACCORDO CON IL RESPONSABILE DEL TRATTAMENTO
(qui di seguito l'"accordo")
sul trattamento dei dati sensibili da parte del responsabile del trattamento a nome e per conto del titolare.
1. Il trattamento dei dati sensibili
1.1 Il presente accordo è stato concluso per l'utilizzo da parte dei titolari dei servizi del responsabile del trattamento, quale parte della sottoscrizione e dei servizi aggiuntivi di cui ai "Termini e condizioni di Xxx.xxx" (qui di seguito l'"Accordo principale").
1.2 Il responsabile del trattamento elabora le tipologie di dati sensibili a nome e per conto del titolare e in relazione alla pertinenza degli interessati, come specificato nell'Allegato 1. I dati sensibili riguardano i soggetti interessati di cui all'Allegato 1.
1.3 Il responsabile del trattamento è autorizzato a processare i dati sensibili a nome e per conto del titolare dopo che l'accordo è entrato in vigore. La durata del trattamento è riportata nelle disposizioni dell'Allegato 1 dell'accordo.
1.4 L'accordo e l'accordo principale sono interdipendenti e non sono soggetti a risoluzione disgiunta. Tuttavia l'accordo è sostituibile con un altro accordo valido del responsabile del trattamento, senza forzatamente risolvere l'accordo principale.
2. Finalità
2.1 Il responsabile del trattamento è tenuto a processare i dati sensibili per i soli scopi necessari al soddisfacimento dei suoi obblighi, al fine di fornire i servizi di cui all'accordo principale.
3. Obblighi del titolare del trattamento
3.1 Il titolare garantisce che i dati sensibili siano trattati per scopi legittimi e oggettivi e che il responsabile non ne processi più del dovuto per ottemperare a detti scopi.
3.2 Il titolare deve garantire l'esistenza di una solida base legale in sede di trasferimento dei dati sensibili al responsabile. Su richiesta del responsabile del trattamento, il titolare si impegna, per iscritto, a rendere conto e/o a fornire la documentazione per le basi giuridiche del trattamento.
3.3 Inoltre, il titolare garantisce che agli interessati cui si riferiscono i dati personali siano state fornite sufficienti informazioni sul trattamento dei loro dati sensibili.
4. Obblighi del responsabile del trattamento
4.1 Tutti i trattamenti da parte del responsabile dei dati personali forniti dal titolare devono avvenire secondo le istruzioni predisposte da quest'ultimo e il responsabile del trattamento è altresì obbligato a rispettare qualsivoglia normativa vigente di volta in volta in materia di protezione dei dati. Se il diritto dell'Unione o di uno Stato membro dell'UE cui è soggetto il responsabile del trattamento prevede che quest'ultimo sia tenuto a trattare i dati personali elencati nell'Allegato 1, il responsabile deve informare il titolare di tale obbligo di legge prima del trattamento. Tuttavia, quanto sopra non si applica se la presente legislazione vieta tali informazioni per importanti ragioni di interesse pubblico. Il responsabile del trattamento deve informare tempestivamente il titolare se, a giudizio del responsabile, un'istruzione viola il Regolamento generale sulla protezione dei dati (UE 2016/679) o le disposizioni in materia di protezione dei dati di uno Stato membro dell'UE.
4.2 Il responsabile del trattamento deve adottare tutte le misure di sicurezza tecniche e organizzative necessarie, ivi comprese le eventuali misure aggiuntive, volte a garantire che i dati sensibili non siano distrutti, persi o alterati accidentalmente o illegalmente, o portati a conoscenza di terzi non autorizzati, abusati, o comunque trattati in modo contrario alla normativa vigente in materia di protezione dei dati in qualsivoglia momento. Le misure sono descritte in dettaglio all'Allegato 2.
4.3 Il responsabile deve garantire che i dipendenti autorizzati al trattamento dei dati sensibili si siano impegnati alla riservatezza o siano soggetti all'opportuno obbligo legale di riservatezza.
4.4 Ove richiesto dal titolare, il responsabile del trattamento deve dichiarare e/o documentare il proprio rispetto dei requisiti della normativa applicabile in materia di protezione dei dati, inclusa la documentazione relativa ai flussi di dati, nonché le procedure/policy per il trattamento dei dati sensibili.
4.5 Tenuto conto della natura del trattamento, il Responsabile deve, nella misura del possibile, coadiuvare il titolare con azioni tecniche e organizzative adeguate, per l'adempimento dell'obbligo di quest'ultimo di rispondere alle richieste di esercizio dei diritti dell'interessato, come da articolo 3 del Regolamento generale sulla protezione dei dati (GDPR).
4.6 Il Responsabile del trattamento, o un eventuale altro responsabile del trattamento incaricato dall'azienda, è tenuto a inviare richieste e obiezioni degli interessati al titolare, per l'ulteriore trattamento da parte di quest'ultimo, fatti salvi i casi in cui il responsabile non sia legittimato a gestire tale richiesta. Se richiesto dal titolare, il responsabile del trattamento deve assisterlo nel gestire dette richieste e/o obiezioni.
4.7 Se il responsabile del trattamento tratta dati personali in un altro Stato membro dell'UE, è tenuto a rispettare la normativa in materia di misure di sicurezza in detto Stato membro.
4.8 Il responsabile del trattamento è tenuto a segnalare al titolare l'eventuale interruzione dell'operazione, il sospetto di violazione delle norme sulla protezione dei dati o il verificarsi di altre irregolarità in relazione al trattamento dei dati sensibili. Il termine del responsabile del trattamento per la notifica al titolare di una violazione della sicurezza è di 24 ore dal momento in cui il primo viene a conoscenza di detta violazione. Se richiesto dal titolare, il responsabile del trattamento deve assisterlo in relazione al chiarimento della portata della violazione della sicurezza, inclusa la predisposizione di eventuali notifiche all'Agenzia per la protezione dei dati competente e/o agli interessati.
4.9 Il responsabile del trattamento deve mettere a disposizione del titolare tutte le informazioni necessarie a dimostrare la conformità dell'articolo 28 del Regolamento generale sulla protezione dei dati e dell'accordo. In tale contesto il responsabile del trattamento consente e contribuisce a verifiche, anche ispettive, condotte dal titolare o da altro revisore incaricato da quest'ultimo.
4.10 In aggiunta a quanto sopra, il responsabile del trattamento è tenuto ad assistere il titolare nel garantire il rispetto dei suoi obblighi ai sensi degli articoli 32-36 del Regolamento generale sulla protezione dei dati. L'assistenza tiene conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento.
5. Trasferimento di dati a terzi o a responsabili del trattamento incaricati dall'azienda
5.1 Il responsabile del trattamento deve rispettare le condizioni previste dall'articolo 28, commi 2 e 4 del Regolamento generale sulla protezione dei dati per avvalersi di un altro responsabile del trattamento (altro responsabile del trattamento incaricato dall'azienda). Ciò implica che il responsabile del trattamento non impegna un altro responsabile (altro responsabile del trattamento incaricato dall'azienda) nell'esecuzione dell'accordo senza il previo consenso scritto, specifico o generale, del titolare.
5.2 Il titolare conferisce al responsabile del trattamento una procura generale per concludere accordi con altri responsabili incaricati dall'azienda. Il responsabile del trattamento è tenuto a comunicare al titolare eventuali modifiche riguardanti l'integrazione o la sostituzione di altri responsabili incaricati non oltre 30 giorni prima che un nuovo responsabile inizi il trattamento dei dati sensibili. Il titolare del trattamento può opporre obiezioni ragionevoli e pertinenti a tali modifiche entro 14 giorni dalla ricezione della notifica. Qualora il responsabile del trattamento continui ad avvalersi di un altro responsabile incaricato al quale il titolare si sia opposto, le parti hanno la facoltà di procedere alla risoluzione contrattuale, come da clausola 7.
5.3 Una volta che il titolare ha approvato la possibilità per il responsabile di avvalersi di un altro responsabile incaricato, il responsabile è tenuto a imporre al sub-responsabile gli stessi obblighi previsti dall'accordo. L'esecuzione effettiva avviene per il tramite dell'accordo o di altra pattuizione giuridica ai sensi della legislazione dell'UE o del diritto di uno Stato membro. Deve essere assicurato, ad esempio, che il sub-responsabile del trattamento fornisca garanzie sufficienti per attuare misure tecniche e organizzative adeguate, affinché il trattamento soddisfi i requisiti del Regolamento generale sulla protezione dei dati (termini "back-to-back").
5.4 Qualora il responsabile incaricato del trattamento non adempia ai propri obblighi in materia di protezione dei dati, il responsabile permane pienamente responsabile nei confronti del titolare per l'adempimento degli obblighi da parte dei suoi sub-responsabili.
5.5 La comunicazione, il trasferimento e l'utilizzo interno dei dati sensibili del titolare verso paesi terzi o organizzazioni internazionali possono avvenire solo in conformità con le istruzioni documentate del titolare – salvo quanto previsto dalla normativa dell'UE o dalla legislazione di uno Stato membro a cui il responsabile del trattamento è soggetto. In tal caso, il responsabile del trattamento deve notificare al titolare tale obbligo di legge prima del trattamento, a meno che la legge non vieti la notifica per importanti ragioni di interesse pubblico.
5.6 Qualora i dati sensibili di cui all'Allegato 1 siano trasferiti ad altri responsabili incaricati dall'azienda al di fuori dell'UE/SEE, il suddetto accordo deve specificare che ai sub-responsabili si applica la normativa sulla protezione dei dati vigente nel Paese del titolare. Inoltre, se il sub- responsabile dei dati ricevente è scelto in ambito UE/SEE, nel suddetto accordo per il trattamento dei dati deve essere esatto il rispetto dei requisiti legali specifici del paese dell'UE ricevente per i responsabili del trattamento, ad esempio riguardo alle richieste di notifica alle autorità nazionali.
5.7 Il responsabile del trattamento è obbligato a stipulare accordi scritti per il trattamento dei dati con i sub-responsabili in ambito UE/SEE. Per quanto riguarda i sub-responsabili del trattamento al di fuori dell'UE/SEE, il responsabile deve garantire i meccanismi di trasferimento sufficienti e stipulare un accordo con i sub-responsabili tramite contratti tipo in conformità con le clausole contrattuali tipo della Commissione europea ("clausole contrattuali tipo") sulla base della Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021 relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio.
5.8 Al momento della firma del presente accordo, il responsabile del trattamento si avvale dei responsabili incaricati dall'azienda elencati nell'Allegato 3.
6. Responsabilità
6.1 La responsabilità delle parti è disciplinata dall'accordo principale.
6.2 La responsabilità delle parti per eventuali danni ai sensi del presente accordo è disciplinata dall'accordo principale.
7. Data di entrata in vigore e risoluzione contrattuale
7.1 L'accordo entra in vigore contestualmente all'accordo principale. In caso di risoluzione dell'accordo principale, si risolve anche il presente accordo. Tuttavia il responsabile del trattamento continua a essere vincolato alle disposizioni di cui al presente accordo, fintanto che processa i dati sensibili per conto del titolare.
7.2 Alla cessazione dei servizi di trattamento il responsabile è obbligato, su richiesta del titolare, a cancellare o restituire tutti i dati sensibili a quest'ultimo, nonché a cancellarne le copie esistenti, salvo i casi in cui la conservazione dei dati sia prescritta dall'UE o da una legge nazionale.
8. Legislazione applicabile e foro competente
8.1 Qualsivoglia reclamo o controversia derivante o comunque riconducibile al presente accordo è di competenza esclusiva del foro adito in primo grado nell'ambito della medesima legislazione e con la stessa scelta di legge indicate nell'accordo principale.
9. Firme
Per conto del titolare del trattamento:
[Nome] [Funzione]
Per conto del responsabile del trattamento:
Xxxxx Xxxxxxxxxx CEO
Allegato 1
Categorie di interessati al trattamento dei dati sensibili, tipologie di dati sensibili e istruzioni
1. Categorie di interessati al trattamento dei dati sensibili:
• Il responsabile del trattamento tratta le informazioni di contatto sui clienti effettivi, potenziali o passati del titolare e/o dei membri, dipendenti, fornitori, partner commerciali e di collaborazione e affiliati.
• Il responsabile del trattamento mette a disposizione del titolare il proprio sistema quale servizio host e non gli è possibile determinare tutte le categorie di interessati. Se il titolare ospita dati su ulteriori categorie di interessati presso il responsabile del trattamento, è obbligo del primo registrare tali informazioni.
2. Tipologie di dati sensibili:
• Informazioni di contatto e di identificazione, tra cui l'e-mail
• Indirizzi IP
• Nomi di domini
• Username
• Informazioni sull'associazione
• Dati analitici e di utilizzo
• Storico degli ordini e informazioni sull'ordine
• Accordi
• Comunicazioni
• Assistenza
• Fotografie
• Altre possibili tipologie di dati sensibili
3. Istruzioni Servizio
Il responsabile del trattamento può processare i dati sensibili relativi agli interessati allo scopo di fornire, sviluppare, gestire e amministrare i servizi dell'accordo principale, incluso garantire la
stabilità e l'operatività dei nostri server, nonché soddisfare i requisiti legali.
Periodo di conservazione
I dati personali archiviati/ospitati nei nostri sistemi sono cancellati o resi anonimi entro un tempo ragionevole dopo che il titolare del trattamento ha risolto definitivamente l'accordo principale. Fanno eccezione i dati in cui sussiste un obbligo legale per il responsabile del trattamento di conservarli più a lungo. Questa tipologia di dati è in genere cancellata entro otto settimane ma anche prima. Altre tipologie di dati archiviate nei log ecc. sono rimosse in un ragionevole periodo di tempo, in genere pari a 8 settimane, dopodiché cancellate presso la sede del responsabile del trattamento.
Luogo del trattamento
Il trattamento dei dati sensibili oggetto dell'accordo esige il previo consenso scritto del titolare per sedi diverse dall'indirizzo del responsabile e dei sub-responsabili del trattamento, come da Allegato 3.
Ispezioni presso il responsabile del trattamento
Il responsabile del trattamento dei dati deve farsi rilasciare ogni anno a sue spese un relazione di verifica/ispezione da eventuali terzi che attesti la sua conformità con il presente accordo e con i relativi allegati. La relazione o altro formato di audit deve essere inoltrata al titolare o pubblicata sul sito web di quest'ultimo quanto prima previa predisposizione.
Allegato 2
Misure di sicurezza
Xxxxxxx | Xxxxxx |
Gestione della sicurezza delle informazioni | Titolarità della sicurezza. Xxx.xxx ha nominato un responsabile della sicurezza per il coordinamento e il monitoraggio delle regole e delle procedure di sicurezza. Una governance composta da personale di categoria C assiste e guida il responsabile della sicurezza. Ruoli e responsabilità in materia di sicurezza. Il personale di Xxx.xxx che ha accesso ai dati dei clienti è soggetto agli obblighi di riservatezza, sottolineati costantemente sul posto di lavoro e oggetto di continua sensibilizzazione. Gestione dei rischi. Xxx.xxx procede continuamente alla valutazione dei rischi, parte del Risk Management, prima di processare i dati dei clienti o di attivare i servizi. L'iter di gestione dei rischi consente di concentrarsi sulle minacce rilevanti assegnando priorità, strutturando e mitigando i rischi oltre il limite accettato. Implementazione del backup. Il responsabile del trattamento conserva i suoi documenti sulla sicurezza in conformità con i requisiti di conservazione, una volta che non sono più in vigore. |
Gestione delle risorse | Inventario delle risorse. Il responsabile del trattamento tiene un inventario di tutti i supporti su cui sono archiviati i dati dei clienti. L'accesso agli inventari di tali supporti è limitato al personale incaricato del trattamento dei dati, previa autorizzazione scritta alla loro consultazione. Gestione del patrimonio - Xxx.xxx classifica i dati dei clienti per agevolare l'identificazione e per consentire un'adeguata limitazione all'accesso. |
Xxxxxxx | Xxxxxx |
- Il personale del responsabile del trattamento deve ottenere l'autorizzazione di quest'ultimo prima di archiviare i dati dei clienti su dispositivi portatili, accedere in remoto o processare i dati fuori dalle infrastrutture del responsabile. | |
Sicurezza delle risorse umane | Formazione sulla sicurezza. Xxx.xxx informa il personale sulle procedure di sicurezza pertinenti e sui rispettivi ruoli e affronta, tra l'altro, le nuove possibili minacce in cui i dipendenti svolgono un ruolo fondamentale. |
Sicurezza fisica e ambientale | Accesso fisico alle infrastrutture. Xxx.xxx limita l'accesso alle infrastrutture in cui si trovano i sistemi informativi che processano i dati dei clienti alle persone autorizzate identificate. Accesso fisico ai componenti. Xxx.xxx garantisce restrizioni sufficienti per i supporti di salvataggio dei dati dei clienti. Protezione dalle interruzioni. Xxx.xxx utilizza una varietà di sistemi standard di settore per proteggersi dalla perdita di dati dovuta a interruzioni dell'alimentazione, allagamenti, incendi o interferenze di linea. Smaltimento dei componenti. Xxx.xxx utilizza iter standard nel settore per cancellare i dati dei clienti qualora non più necessari. |
Comunicazione e gestione delle operazioni | Policy operativa. Xxx.xxx conserva e aggiorna i documenti di sicurezza che descrivono le misure di sicurezza e le relative procedure, nonché le responsabilità del personale autorizzato all'accesso ai dati dei clienti. Procedure di ripristino dei dati - Xxx.xxx archivia le copie dei dati dei clienti e le procedure di ripristino in un luogo diverso da quello in cui si trova l'apparecchiatura informatica principale che processa dette informazioni. - Xxx.xxx dispone di procedure specifiche che disciplinano l'accesso alle copie dei dati dei clienti. Software del tipo malware o dannosi. Xxx.xxx dispone di controlli anti-malware per evitare che un software dannoso ottenga l'accesso non autorizzato ai dati dei clienti, compresi i software provenienti da reti pubbliche. È stato implementato anche l'antivirus. Registrazione eventi. Xxx.xxx registra o consente al cliente di effettuare il log-in, di accedere e di utilizzare i sistemi informatici contenenti i suoi dati, previa registrazione dell'ID di accesso, dell'ora, dell'autorizzazione concessa o negata e dell'attività pertinente. Crittografia. Le comunicazioni online tra i sistemi che gestiscono i dati personali sono crittografate. |
Controllo degli accessi | Politica di accesso. Xxx.xxx tiene un registro dei privilegi di amministratore delle persone che hanno accesso ai dati dei clienti. Autorizzazione all'accesso - Xxx.xxx disattiva le credenziali di autenticazione che non sono state utilizzate per un periodo di tempo di almeno sei mesi. |
Xxxxxxx | Xxxxxx |
- Xxx.xxx identifica il personale che può concedere, modificare o disattivare l'accesso autorizzato a dati e risorse. - Xxx.xxx garantisce che ove più di una persona abbia accesso a sistemi contenenti i dati dei clienti, i singoli siano dotati di identificativi/login separati. Privilegio minimo - Xxx.xxx limita l'accesso ai dati dei clienti solo a quanti lo richiedono per svolgere la propria mansione. Integrità e riservatezza - Xxx.xxx istruisce il personale affinché disabiliti le sessioni amministrative quando abbandona i locali o quando i computer sono lasciati incustoditi. - Xxx.xxx memorizza le password secondo una modalità che le rende intellegibili finché sono attive. Autenticazione - Xxx.xxx utilizza pratiche standard di settore per identificare e autenticare gli utenti che tentano di accedere ai sistemi informatici. - Se i meccanismi di autenticazione si basano sul sistema a password, il responsabile del trattamento richiede che le password siano modificate regolarmente. - Xxx.xxx garantisce che gli identificativi disattivati o scaduti non siano concessi ad altri utenti. - Xxx.xxx monitora o consente al cliente di monitorare i ripetuti tentativi di accesso al sistema informatico tramite password non valida. - Xxx.xxx si affida a procedure standard del settore per disattivare le password eventualmente danneggiate o divulgate inavvertitamente. - Xxx.xxx utilizza le prassi standard del settore in materia di protezione delle password, comprese quelle ideate a garanzia della riservatezza e dell'integrità delle password quando queste sono assegnate, distribuite e in sede di archiviazione. Progettazione della rete. Xxx.xxx predispone controlli per evitare che le persone non autorizzate assumano diritti di accesso per consultare i dati dei clienti. | |
Gestione degli incidenti riguardanti la sicurezza delle informazioni | Iter di riposta a eventuali incidenti - Xxx.xxx conserva un registro delle violazioni della sicurezza con la descrizione della stessa, l'indicazione del lasso temporale, delle conseguenze della violazione, del nome del segnalante e della persona a cui è stata segnalata, nonché della procedura per il recupero dei dati. - Per ogni violazione della sicurezza suscettibile di costituire un incidente, la notifica da parte di Xxx.xxx deve avvenire senza indebito ritardo e, in ogni caso, entro 72 ore. |
Xxxxxxx | Xxxxxx |
- Xxx.xxx tiene traccia, o consente al cliente di fare altrettanto, delle divulgazioni dei dati, inclusi la tipologia di dati, il destinatario e l'ora. | |
Gestione della continuità aziendale | - Xxx.xxx assicura piani di emergenza e di contingenza per le strutture in cui si trovano i sistemi informatici del responsabile che elaborano i dati dei clienti. - L'archiviazione ridondante di Xxx.xxx e le relative procedure per il ripristino dei dati sono progettate per cercare di ricostruire i dati dei clienti nel loro stato originale o in quello dell'ultima replica dall'istante immediatamente antecedente un'eventuale perdita o distruzione. |
Allegato 3
Elenco dei responsabili del trattamento incaricati dall'azienda
Fornitore | Luogo | Funzione | Aggiornamento |
Global Connect A/S | DK | Banca dati | 20.02.2021 |
Interxion | DK | Banca dati | 12.04.2021 |
Interxion | DK/UK/NL/FR/DE | PoP (Punto di presenza) | 12.04.2021 |
Equinix | SE | PoP (Punto di presenza) | 12.04.2021 |