CONTRATTO DI NOMINA DA RESPONSABILE DEL TRATTAMENTO ai sensi dell’art. 28 del Regolamento UE 679/2016
CONTRATTO DI NOMINA DA RESPONSABILE DEL TRATTAMENTO
ai sensi dell’art. 28 del Regolamento UE 679/2016
La presente Nomina da Responsabile del Trattamento (la nomina)fa parte dei :
● i termini e le condizioni di Factorial o in caso
● qualsiasi altro accordo stipulato tra l'utente e Factorial per disciplinare la stipulazione del Contratto e l'utilizzo della Piattaforma da parte del cliente (collettivamente, il "Contratto").
● (insieme al "Contratto").
La presente nomina e le altre clausole dell'Accordo sono complementari, tuttavia, in caso di conflitto, prevarrà la presente nomina .
I. COME PROCEDERE CON LA PRESENTE NOMINA ?
Questo contratto di commissione non è firmato da Factorial. Per concludere il contratto e riceverne copia firmata, il Cliente dovrà:
1. Completare le informazioni appropriate nel modulo a pagina 7.
2. Al ricevimento di una copia firmata del contratto all'e-mail specificata, firmare il contratto.
Quando Xxxxxxxxx riceverà il contratto di commissione validamente compilato e firmato dal Cliente, diventerà legalmente vincolante.
II. EFFICACIA
La presente nomina sarà applicata ai dati personali trattati in nome e per conto del Cliente, nel corso della fornitura della Piattaforma ("Dati personali del Cliente").
● La persona che firma la nomina per conto del Cliente dichiara a Factorial di avere l'autorità legale per impegnare il Cliente e di avere la capacità legale di stipulare contratti.
● La durata della presente nomina è identica alla durata del Contratto. Ciò significa che la presente nomina si risolve automaticamente con la cessazione del Contratto o con una cessazione anticipata in conformità alle disposizioni della presente nomina.
III. TERMINI DELLA NOMINA
1. Definizioni:
I termini che seguono hanno il seguente significato:
"Factorial", "noi", "ci", "nostro" si riferisce a EVERYDAY SOFTWARE, S.L. società spagnola con sede in xxxxx Xxxxx, 00, 0x-0x, 00000, Xxxxxxxxxx, autore, creatore e sviluppatore della Piattaforma.
"Piattaforma" indica il nostro software sviluppato ed eseguito su una piattaforma il cui obiettivo è la gestione delle risorse umane di un'organizzazione nel cloud. La Piattaforma è il prodotto fornito all'utente ai sensi del Contratto, e comprende qualsiasi prodotto che forniamo all'utente come parte della Piattaforma.
"Titolare del trattamento", "Responsabile del trattamento", "persona interessata", "dati personali", "trattamento" e "misure tecniche e organizzative adeguate" "Clausole contrattuali standard", così come utilizzate nel presente ordine di contratto, hanno il significato attribuito loro dalla legge europea sulla protezione dei dati.
"Cliente", "voi", "vostro": il soggetto che stipula il contratto con la Piattaforma Factorial.
Per "Utenti finali" si intende la persona o le persone a cui l'utente consente o invita a utilizzare la Piattaforma. A scanso di equivoci, per "Utenti finali" si intendono le persone dietro gli account gestiti da voi (in particolare, i vostri dipendenti).
"Legge europea sulla protezione dei dati" indica: (i) il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ("RGPD"); (ii) la Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche; (iii) qualsiasi attuazione nazionale applicabile.
1. Estensione della legge sulla protezione dei dati.
Le Parti riconoscono che la legge europea sulla protezione dei dati sarà applicata solo ai Dati personali del Cliente che rientrano nelle definizioni contenute in tali leggi.
2. Identificazione delle parti
Ai fini del presente Ordine di Contratto:
● Factorial sarà considerato come Responsabile del trattamento dei dati.
● Il Cliente sarà considerato Titolare del trattamento.
3. Descrizione del trattamento e degli standard di sicurezza
In allegato al presente Contratto d’ordinevi è un’Appendice 1, dove è possibile trovare una descrizione dettagliata del trattamento da eseguire. Un elenco degli standard di sicurezza applicabili si trova nell'Appendice 2. La lista dei sottoprocessori si trova nell'Appendice 3.
4. Responsabilità del Cliente.
Il Cliente, in qualità di Titolare del Trattamento dei Dati Personali del Cliente è responsabile di garantire che l’ utilizzo della Piattaforma sia conforme alla Legge Europea sulla Protezione dei Dati e di assicurare e supervisionare, per tutta la durata del trattamento da parte di Factorial, il rispetto della Legge Europea sulla Protezione dei Dati.
A questo proposito, e prima di contrattare la Piattaforma o richiedere l'attivazione di funzionalità aggiuntive, il Cliente si impegna a determinare a proprie spese la necessità di (i) effettuare una valutazione di impatto sulla protezione dei dati, (ii) effettuare le opportune consultazioni preventive; (iii) così come qualsiasi altra analisi o valutazione sulla protezione dei dati. Nella misura richiesta dalla legge europea sulla protezione dei dati, Factorial fornirà al Cliente tutta l'assistenza ragionevole in questo processo o in altri di natura e scopo simili.
Il Cliente si impegna ad astenersi dal richiedere a Factorial di contrattare o attivare qualsiasi funzionalità della Piattaforma per la quale la relativa valutazione di impatto sulla protezione dei dati abbia dato un risultato negativo. Il Cliente esonera Factorial da qualsiasi responsabilità derivante dal mancato rispetto di questa clausola da parte del Cliente.
IV. DISPOSIZIONI GENERALI SUL TRATTAMENTO DEI DATI PERSONALI
Nel trattamento dei dati personali del Cliente, Factorial si impegna a rispettare la legge europea sulla protezione dei dati.
Lo scopo del trattamento dei dati è esclusivamente quello di fornire il servizio della Piattaforma nei termini dettati dal Cliente. Il presente ordine di contratto stabilisce la natura e lo scopo del trattamento, le tipologie di Dati Personali del Cliente che Factorial tratterà e i soggetti interessati i cui Dati Personali del Cliente saranno trattati.
In questo senso, il trattamento sarà eseguito:
● rispettando i nostri obblighi ai sensi dell'articolo 28 del RGPD, ovvero:
a. trattando i Dati Personali del Cliente solo in conformità con le istruzioni documentate da voi (come indicato nel presente Ordine di Contratto o nell'Accordo, o come diretto da voi attraverso la Piattaforma) per l'esecuzione del servizio.
b. adottando le misure necessarie ai sensi dell'articolo 32 del RGPD, nei termini indicati nella clausola VII del presente Ordine di contratto e come indicato nell'Appendice 2.
c. notificandoti senza indugio se, a nostro avviso, un'istruzione di trattamento dei dati personali del cliente da voi impartita è in violazione del RGPD;
d. mettendo a vostra disposizione tutte le informazioni da voi ragionevolmente richieste allo scopo di dimostrare che i vostri obblighi relativi alla designazione dei subincaricati sono stati rispettati, fatta salva la clausola VI;
e. assistendovi nell'adempimento dei vostri obblighi ai sensi degli articoli 35 e 36 del RGPD.
x. assistendovi nell'adempimento dei vostri obblighi ai sensi degli articoli da 15 a 18 del RGPD fornendovi la documentazione o assistendovi nel recuperare, correggere, cancellare o bloccare i dati personali del cliente;
g. assicurando che il personale di Factorial che deve accedere ai Dati personali del cliente sia soggetto a un obbligo vincolante di riservatezza rispetto a tali Dati personali del cliente;
h. cancellando in modo sicuro i Dati Personali del Cliente in nostro possesso in seguito alla vostra richiesta scritta al momento della risoluzione o della cessazione anticipata del Contratto, a meno che i Dati Personali del Cliente non debbano essere conservati per legge dell'Unione o degli Stati membri.
● Inoltre, e a condizione che Xxx abbia precedentemente firmato un accordo di riservatezza e non divulgazione con Factorial:
a. Permetteremo a voi e ai vostri rappresentanti autorizzati di accedere e rivedere quei documenti che garantiscono la conformità con i termini di questo Ordine di Contratto.
b. Durante la durata dell'Accordo e per tutto il tempo richiesto dalla legge europea sulla protezione dei dati, permetteremo a voi e ai vostri rappresentanti autorizzati di effettuare controlli per garantire la conformità con i termini di questo Ordine di Contratto. Senza limitare quanto sopra, qualsiasi audit sarà condotto durante il nostro normale orario di lavoro, con un ragionevole preavviso a noi e soggetto a ragionevoli protocolli di riservatezza.
L’estensione di qualsiasi controllo non ci obbligherà a rivelare al Cliente o ai suoi rappresentanti autorizzati o a permettere al Cliente o ai suoi rappresentanti autorizzati di accedere a (i) dati o informazioni di qualsiasi altro cliente di Factorial; (ii) informazioni contabili o finanziarie interne di Factorial; (iii) segreti commerciali di Factorial; (iv) qualsiasi informazione che, secondo la nostra ragionevole opinione, potrebbe compromettere la sicurezza dei nostri sistemi o strutture; o farci violare i nostri obblighi ai sensi dell'European Data Protection Act o i nostri
obblighi di sicurezza, riservatezza o privacy nei confronti di qualsiasi altro cliente di Factorial o di terzi; o (v) qualsiasi informazione a cui voi o i vostri rappresentanti autorizzati cercate di accedere per qualsiasi motivo diverso dal rispetto in buona fede dei vostri obblighi ai sensi dell'European Data Protection Act e del nostro rispetto dei termini del presente Ordine.
Inoltre, gli audit saranno limitati a una volta all'anno, a meno che non abbiamo subito una violazione della sicurezza nei dodici (12) mesi precedenti che ha interessato i Dati personali del cliente; o un audit rivela una violazione sostanziale.
V. DIRITTI DEGLI INTERESSATI
Se Factorial, in qualità di responsabile del trattamento dei dati, riceve comunicazione di qualsiasi reclamo, lamentela, richiesta, direzione, inchiesta, indagine, procedimento o altra azione da parte di qualsiasi soggetto interessato, tribunale, autorità di regolamentazione o di controllo, o qualsiasi ente, organizzazione o associazione, che si riferisce in qualsiasi modo ai dati personali trattati da noi per conto del Cliente, Factorial si impegna a:
● notificare al Cliente tale circostanza per consentire al Cliente di soddisfare la richiesta nella misura in cui tale notifica sia legalmente ammissibile;
● fornire al Cliente una ragionevole cooperazione e assistenza; e
● non rispondere con i propri mezzi, a meno che il Cliente non sia legalmente obbligato a farlo in base a istruzioni scritte.
VI. SUBINCARICATI DEL TRATTAMENTO
Il Cliente autorizza l'uso da parte di Factorial dei subincaricati elencati nel sito web (e attualmente pubblicati in https://xxxxxxxxxxx.xx/[*]). Inoltre, il Cliente autorizza Factorial a coinvolgere ulteriori subincaricati esterni per il trattamento dei dati personali del Cliente.
Nel caso in cui il Cliente si opponga alla sostituzione o alla contrattazione di un nuovo subincaricati, le parti negozieranno in buona fede le soluzioni alternative che siano ragionevolmente commerciabili.
● Factorial richiederà ai nuovi subincaricati di proteggere i Dati Personali del Cliente con uno standard non meno rigoroso di quello richiesto da questo Ordine di Contratto e dall'European Data Protection Act.
Il Cliente comprende che, in virtù di eventuali restrizioni di riservatezza che possono essere applicate ai subincaricati, Factorial può essere limitata nella sua capacità di rivelare gli accordi di subincarico al Cliente. A questo proposito, Xxxxxxxxx accetta di utilizzare tutti gli sforzi ragionevoli per richiedere a qualsiasi subincaricato da essa designato di permetterle di rivelare l'accordo di subincarico al Cliente. Xxxxxxx, nonostante i suoi migliori sforzi, Factorial non sia in grado di rivelare al Cliente un accordo di sub-subincarico, le parti concordano che, su richiesta del Cliente, Factorial fornirà, su base confidenziale, le informazioni che ragionevolmente può fornire in relazione a tale accordo di subincarico al Cliente.
VII. SICUREZZA DEL TRATTAMENTO
Factorial deve implementare e mantenere adeguate misure tecniche e organizzative per proteggere i Dati Personali del Cliente contro il trattamento non autorizzato o illegale e contro la perdita accidentale, la distruzione, il danno, il furto, l'alterazione o la divulgazione, in conformità con l'Ordine del Contratto. Tali misure devono essere appropriate al danno che potrebbe derivare da qualsiasi trattamento non autorizzato o illegale, perdita accidentale, distruzione, danno o furto dei Dati Personali del Cliente e appropriate alla natura dei Dati Personali del Cliente da proteggere. A questo proposito, Factorial può aggiornare le misure tecniche e organizzative, a condizione che tali modifiche non diminuiscano il livello generale di sicurezza.
Se Factorial viene a conoscenza e conferma qualsiasi distruzione, perdita, alterazione, divulgazione o accesso accidentale, non autorizzato o illegale ai Dati Personali del Cliente ("Violazione della Sicurezza") che trattiamo nel corso della fornitura della Piattaforma, vi informeremo senza alcun indebito ritardo e in ogni caso entro un periodo non superiore a 48 ore.
VIII. TRASFERIMENTO DEI DATI
Fa parte della politica di Factorial dare la preferenza nell'assunzione di fornitori a quelle aziende situate nello Spazio Economico Europeo che soddisfano i più alti standard di privacy e protezione dei dati.
Fatto salvo quanto sopra, nel caso in cui Factorial tratti i dati personali del Cliente in un paese che non ha una legge che si adegua ai sensi dell'articolo 45 RGPD, adotterà un adeguato meccanismo di trasferimento in conformità con il RGPD.
Se Factorial effettuasse un qualsiasi trasferimento internazionale per il quale il meccanismo di trasferimento utilizzato non è più valido ai sensi del RGPD (ad esempio a seguito di una decisione giudiziaria non valida, ecc.), il Cliente concederà a Factorial un periodo di tempo ragionevole per porre rimedio alla violazione ("Periodo di regolarizzazione"), al fine di individuare quali ulteriori garanzie o altre misure possono essere adottate per garantire la sua conformità alla legge europea sulla protezione dei dati.
IX. ALTRO
● Il Cliente riconosce e accetta che, concedendo la fruizione della Piattaforma, Factorial si riconosce il
diritto di utilizzare i dati relativi o ottenuti in connessione con il funzionamento, il supporto o l'utilizzo della Piattaforma per i suoi legittimi scopi commerciali interni, come il supporto dei processi di fatturazione, l'amministrazione della Piattaforma, il miglioramento, il benchmarking e lo sviluppo dei nostri prodotti e servizi, il rispetto delle leggi applicabili (comprese le richieste di applicazione della legge), garantire la sicurezza della nostra Piattaforma, e prevenire le frodi o mitigare i rischi.
Per quanto riguarda i Dati Personali del Cliente, Factorial assicura che saranno utilizzati per i propri, a meno che non abbia aggiunto e reso anonimi i dati in modo da non identificare il Cliente o qualsiasi altra persona o entità, in particolare gli Utenti Finali.
● Il presente Ordine di Contratto è soggetto alla legge applicabile e ai termini di giurisdizione dell'Accordo.
● Nonostante quanto sopra, nella misura consentita dalla legge applicabile, tutte le responsabilità derivanti dal presente Ordine di Contratto saranno regolate dalle limitazioni di responsabilità (inclusi i limiti di responsabilità) dell'Accordo.
● Nel caso in cui una qualsiasi disposizione del presente Accordo di cessione sia ritenuta non valida, illegale o inapplicabile, la validità, legalità e applicabilità delle restanti disposizioni non sarà influenzata o compromessa e tale disposizione sarà inefficace solo nella misura di tale invalidità, illegalità o applicabilità.
DAL FACTORIAL DAL CLIENTE
TITOLO | EVERYDAY SOFTWARE, S.L. |
FIRMATARIO | |
nel titolo di | |
FIRMA |
TITOLO | |
FIRMATARIO | |
nel titolo di | |
FIRMA |
DATA |
Appendice 1 (Descrizione del trattamento)
Persone a cui si riferiscono i dati |
I dati personali si riferiscono agli Utenti Finali della Piattaforma, oltre alle persone fisiche i cui dati personali sono forniti dagli Utenti Finali della Piattaforma. |
Categorie dei dati |
I dati personali trattati possono comprendere le seguenti categorie di dati: ● Informazioni direttamente identificabili (ad esempio, nome, indirizzo e-mail, numero di telefono). ● Informazioni indirettamente identificabili (ad esempio posizione, sesso, data di nascita, ID utente). ● Informazioni sull'impiego (curriculum, contratto di lavoro, offerta di lavoro, ecc.) ● Informazioni finanziarie (conto corrente, banca, ecc., buste paga). ● Dati di identificazione del dispositivo e dati sul traffico (ad esempio indirizzi IP, indirizzi MAC, web log). ● Qualsiasi dato personale fornito dagli utenti della Piattaforma Cloud. ● Qualsiasi dato personale contenuto in un documento fornito dal Cliente. |
Categorie speciali di dati |
Nel caso in cui il Cliente richieda l'attivazione della funzionalità di riconoscimento facciale per la rilevazione dell'orario degli Utenti Finali: ● Immagine facciale degli Utenti Finali e template biometrico |
Scopo del trattamento |
I dati personali sono trattati al fine di fornire la Piattaforma in conformità al Contratto. |
Tipi di trattamento |
● Raccolta o registrazione dei dati personali. ● Archiviazione o conservazione dei dati personali. ● Comunicazione dei dati personali. ● Utilizzo dei dati personali. |
Appendice 2
(Standard di sicurezza applicabili)
Controllo di acceso ai local e alle installazioni |
Devono essere prese misure per prevenire l'accesso fisico non autorizzato agli edifici e alle installazioni che contengono dati personali. Le misure devono includere: ● Sistema di controllo degli accessi. ● Lettore di identificazione, carta magnetica, chip card. ● (Rilascio di) chiavi. ● Chiusura delle porte (apriporta elettronico, ecc.). ● Installazioni di sorveglianza. ● Sistema di allarme, monitor video/CCTV. ● Registrazione delle uscite/entrate nell'edificio. |
Controllo di acceso alle installazioni |
Si dovrebbero prendere misure per prevenire l'accesso non autorizzato ai sistemi informatici. Queste dovrebbero includere le seguenti misure tecniche e organizzative per l'identificazione e l'autenticazione degli utenti: ● Protocolli di password (inclusi caratteri speciali, lunghezza minima, cambio forzato della password). ● Nessun accesso per utenti ospiti o account anonimi. ● Gestione centralizzata dell'accesso al sistema. ● L'accesso ai sistemi IT è soggetto all'approvazione della direzione del personale e degli amministratori di sistema IT. |
Controllo di acceso ai dati |
Dovrebbero essere prese misure per impedire agli utenti autorizzati di accedere ai dati al di là dei loro diritti di accesso autorizzati e per impedire l'ingresso non autorizzato, la lettura, la copia, la cancellazione, la modifica o la divulgazione dei dati. Queste misure dovrebbero includere: ● Diritti di accesso differenziati. ● Diritti di accesso definiti per ruolo. ● Registrazione automatica degli accessi degli utenti attraverso i sistemi informatici. ● Misure per prevenire l'uso di sistemi automatizzati di elaborazione dati da parte di persone non autorizzate che utilizzano apparecchiature di comunicazione dati. |
Controllo della divulgazione |
Devono essere adottate misure per impedire l'accesso non autorizzato, l'alterazione o la cancellazione dei dati durante il trasferimento e per garantire che tutti i trasferimenti siano sicuri e registrati. Queste misure includeranno: ● Uso obbligatorio di reti private criptate per tutti i trasferimenti di dati. |
● Crittografia tramite VPN per l'accesso remoto, il trasporto e la comunicazione dei dati. ● Creazione di un audit trail di tutti i trasferimenti di dati. |
5. Controllo di entrata |
Dovrebbero essere prese misure per assicurare che tutta la gestione e la manutenzione dei dati sia registrata, e dovrebbe essere mantenuta una traccia di controllo che indichi se i dati sono stati inseriti, modificati o cancellati (cancellati) e da chi. Le misure dovrebbero includere: ● registrazione delle attività degli utenti sui sistemi informatici. ● che sia possibile verificare e stabilire a quali enti siano stati o possano essere trasmessi o resi disponibili dati personali tramite apparecchiature di comunicazione dati. ● che sia possibile verificare e stabilire quali dati personali sono stati inseriti in sistemi automatizzati di elaborazione dati, quando e da chi. |
6. Controllo dell’ordine |
Dovrebbero essere adottate misure per garantire che il trattamento dei dati sia strettamente conforme alle istruzioni del responsabile del trattamento. Queste misure dovrebbero includere: ● Controllo dell'esecuzione del contratto. |
7. Controllo della disponibilità |
Devono essere prese misure per garantire la protezione dei dati contro la distruzione o la perdita accidentale. Queste misure dovrebbero includere: ● I sistemi installati possono, in caso di interruzione, essere ripristinati. ● I sistemi sono operativi e i guasti sono segnalati. ● I dati personali memorizzati non possono essere danneggiati da un malfunzionamento del sistema. ● Gruppo di continuità (UPS). ● Protocolli di continuità operativa. ● Archiviazione remota. ● Sistemi antivirus/firewall. |
● Controllo della separazione |
Dovrebbero essere prese misure per permettere il trattamento separato dei dati raccolti per scopi diversi. Queste misure dovrebbero includere: ● Limitazione dell'accesso ai dati memorizzati per scopi diversi a seconda delle funzioni del personale. ● Separazione dei sistemi IT dell'azienda. ● Separazione degli ambienti IT di test e di produzione. |
Appendice 3
(Elenco dei sottoprocessori)
Sub-chargé | Funzione | Paese |
Servizi Web Amazon (AWS) | Web Hosting | Francoforte (Germania) |
Servizi Web Amazon (AWS) | Funzione di riconoscimento facciale | Francoforte (Germania) |
Hubspot | Inbound marketing, vendite e servizio clienti. | Irlanda |
Sendgrid (Twilio) | Servizio di consegna della posta elettronica | Irlanda |
Get site control | Conversione del traffico web | Cipro |
Chargebee | Elaborazione dei pagamenti online | Irlanda |
Typeform | Strumento per migliorare l’interazione con l’utente attraverso i questionari. | Spagna |
Microsoft Clarity | Strumento di analisi dei dati online che fornisce informazioni sul comportamento degli utenti su un sito web. | stati Uniti |