Disposizioni integrative per
l'elaborazione degli ordini Le presenti disposizioni relative all'elaborazione degli ordini integrano le Condizioni generali di contratto di Jungherz GmbH in qualità di gestore del marchio AppConfector (di seguito denominato "Contractor"). In quanto parte integrante delle stesse, il cliente (di seguito denominato "Committente") accetta automaticamente le presenti disposizioni integrative nell'ambito del rapporto commerciale. In caso di contraddizione tra le presenti disposizioni e le condizioni generali di contratto, le presenti disposizioni prevalgono per l'elaborazione degli ordini.
Il Contraente e il Cliente sono di seguito denominati con il termine comune "Le Parti".
Le Parti concordano che, con l'entrata in vigore del presente Accordo sul trattamento per conto terzi, l'attuale Accordo sul trattamento dei dati per conto terzi tra le Parti ai sensi dell'articolo 11 della Legge federale tedesca sulla protezione dei dati e qualsiasi altro accordo sul trattamento dei dati per conto terzi saranno risolti di comune accordo e sostituiti dal presente nuovo Accordo sul trattamento per conto terzi.
1. Disposizioni generali
(1) Il responsabile del trattamento tratta i dati personali per conto del Committente ai sensi dell'articolo 4, n. 8, e dell'articolo 28 del Regolamento (UE) 2016/679 - Regolamento generale sulla protezione dei dati (GDPR). Il presente contratto disciplina i diritti e gli obblighi delle parti in relazione al trattamento dei dati personali.
(2) Nella misura in cui nel presente contratto si utilizza il termine "trattamento dei dati" o "trattamento" (dei dati), si applica la definizione di "trattamento" ai sensi dell'art. 4 n. 2 del GDPR.
(3) Tutti i riferimenti al GDPR (Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)) contenuti nel presente contratto si riferiscono al GDPR nella sua versione attuale.
2. Oggetto dell'incarico
L'oggetto del trattamento, la natura e la finalità del trattamento, la natura dei dati personali e le categorie di interessati sono definiti nell'Allegato 1 al presente contratto.
3. Diritti e doveri del committente
(1) Il committente è il titolare del trattamento ai sensi dell'art. 4 n. 7 del GDPR per il trattamento dei dati per conto dei responsabili del trattamento. Ai sensi dell'art. 4 (5) del presente contratto, questi ultimi hanno il diritto di informare il committente qualora l'incarico e/o un'istruzione abbiano per oggetto un trattamento di dati che a loro avviso è giuridicamente inammissibile.
(2) Il committente è responsabile della tutela dei diritti degli interessati. Il
responsabile del
trattamento informa senza indugio il committente qualora gli interessati facciano valere i propri diritti nei confronti del responsabile del trattamento.
(3) Il committente ha il diritto di impartire in qualsiasi momento ulteriori istruzioni al responsabile del trattamento in merito al tipo, all’ambito e alla procedura del trattamento dei dati. Le istruzioni possono essere impartite in forma scritta (ad es. tramite e-mail).
(4) Restano impregiudicate le disposizioni relative a un eventuale compenso per le spese aggiuntive sostenute dal responsabile del trattamento a seguito di istruzioni supplementari impartite dal cliente.
5. Il committente deve informare senza indugio il responsabile del trattamento qualora rilevi errori o irregolarità in relazione al trattamento dei dati personali da parte del responsabile del trattamento.
(6) Qualora sussista l’obbligo di informare terzi ai sensi degli articoli 33 e 34 del GDPR o qualsiasi altro obbligo di notifica a carico del cliente, quest’ultimo è responsabile dell’adempimento di tale obbligo.
4. Obblighi generali del responsabile del trattamento
(1) Il responsabile del trattamento tratta i dati personali esclusivamente nell'ambito degli accordi stipulati e/o in conformità con eventuali istruzioni supplementari impartite dal cliente. Fanno eccezione le disposizioni di legge che possono obbligare il responsabile del trattamento a trattare i dati in altro modo. In tal caso, il responsabile del trattamento deve informare il committente di tali requisiti di legge prima del trattamento, a meno che la legge in questione non vieti tale notifica per un importante interesse pubblico. Lo scopo, la natura e l’ambito del trattamento dei dati sono altrimenti regolati esclusivamente dal presente Accordo e/o dalle istruzioni del committente. Al
responsabile
del trattamento è vietato qualsiasi trattamento dei dati che si discosti da quanto sopra, a meno che il responsabile
del trattamento
non abbia dato il proprio consenso scritto.
(2) Il responsabile del trattamento si impegna a svolgere il trattamento dei dati per conto del cliente solo all’interno dello Spazio economico europeo, salvo diversamente richiesto per motivi tecnici.
(3) Nell'ambito del trattamento dei dati personali in conformità con l'incarico, il
responsabile del trattamento
garantisce l'esecuzione contrattuale di tutte le misure concordate
. (4) Il responsabile del trattamento è tenuto a strutturare la propria azienda e le proprie procedure operative in modo tale che i dati trattati dal responsabile del trattamento per conto del cliente siano protetti nella misura necessaria in ciascun caso e tutelati dall'accesso non autorizzato da parte di terzi. Quest'ultimo dovrà concordare preventivamente con il cliente le modifiche nell'organizzazione del trattamento dei dati per conto del cliente che siano rilevanti per la sicurezza dei dati.
(5) Il responsabile del trattamento dovrà informare senza indugio il cliente se, a suo parere, un'istruzione impartita dal cliente viola le disposizioni di legge. Il responsabile del trattamento ha il diritto di sospendere l'esecuzione dell'istruzione in questione fino a quando non venga confermata o modificata dal committente. Se il responsabile del trattamento è in grado di dimostrare che il trattamento in conformità con le istruzioni del cliente può comportare una responsabilità del responsabile del trattamento ai sensi dell'art. 82 del GDPR, il responsabile del trattamento ha il diritto di sospendere l'ulteriore trattamento a tale riguardo fino al chiarimento della responsabilità tra le parti.
(6) Il trattamento dei dati per
conto del
cliente al di fuori dei locali commerciali del responsabile del trattamento o del subappaltatore è consentito solo previo consenso del cliente in forma scritta o testuale. Il trattamento dei dati per il cliente in abitazioni private è consentito solo previo consenso del cliente in forma scritta o testuale in singoli casi.
(7) Il responsabile del trattamento tratterà i dati che tratta per conto del cliente separatamente dagli altri dati. Una separazione fisica non è obbligatoria.
5.
Responsabile della protezione
dei dati del
responsabile
del trattamento
(1) Il responsabile del trattamento conferma di aver nominato un responsabile della protezione dei dati ai sensi dell'art. 37 del GDPR. Il responsabile del trattamento deve garantire che il responsabile della protezione dei dati possieda le qualifiche e le competenze necessarie. Il responsabile del trattamento deve comunicare al cliente separatamente, in forma scritta, il nome e i dati di contatto del proprio responsabile della protezione dei dati.
(2) L'obbligo di nominare un responsabile della protezione dei dati ai sensi del paragrafo 1 può essere derogato a discrezione del committente se il responsabile del trattamento può dimostrare di non essere legalmente obbligato a nominare un responsabile della protezione dei dati e se il responsabile del trattamento può dimostrare l'esistenza di disposizioni operative che garantiscono che i dati personali siano trattati in conformità con le disposizioni di legge, le disposizioni del presente accordo e le eventuali ulteriori istruzioni del committente.
6. Obblighi di segnalazione del responsabile del trattamento
(1) Il responsabile del trattamento è tenuto a comunicare senza indugio al cliente qualsiasi violazione delle norme sulla protezione dei dati o degli accordi contrattuali stipulati e/o delle istruzioni impartite dal cliente, verificatasi nel corso del trattamento dei dati da parte sua o di altre persone coinvolte nel trattamento. Lo stesso vale per qualsiasi violazione della protezione dei dati personali trattati dal responsabile del trattamento per conto del cliente.
(2) Inoltre, il responsabile del trattamento deve informare senza indugio il cliente qualora un'autorità di controllo ai sensi dell'art. 58 del GDPR intervenga nei confronti del responsabile del trattamento e ciò possa riguardare anche un controllo del trattamento che il responsabile del trattamento effettua per conto del cliente.
(3) Il Responsabile del trattamento è consapevole del fatto che il Cliente può essere soggetto a un obbligo di notifica ai sensi degli articoli 33 e 34 del GDPR, che prevedono una notifica all’autorità di controllo entro 72 ore dalla sua scoperta. Il responsabile del trattamento deve assistere il cliente nell’adempimento degli obblighi di notifica. In particolare, il responsabile del trattamento deve notificare al cliente senza indugio, e comunque entro 48 ore dal momento in cui ne viene a conoscenza, qualsiasi accesso non autorizzato ai dati personali trattati per conto del cliente. La notifica del responsabile del trattamento al cliente deve contenere in particolare le seguenti informazioni:
- una descrizione della natura della violazione della protezione dei dati personali, se possibile con l'indicazione delle categorie e del numero approssimativo di persone interessate, delle categorie interessate e del numero approssimativo di registrazioni di dati personali interessate;
- una descrizione delle misure adottate o proposte dal responsabile del trattamento per porre rimedio alla violazione della protezione dei dati personali e, se del caso, delle misure volte a mitigarne i possibili effetti negativi.
7. Obblighi di collaborazione del responsabile del trattamento
(1) Il responsabile del trattamento incaricato deve assistere il cliente nell’adempimento del suo obbligo di rispondere alle richieste di esercizio dei diritti degli interessati ai sensi degli articoli 12-23 del GDPR. Si applicano le disposizioni dell’articolo 11 del presente contratto.
(2) Il responsabile del trattamento deve partecipare alla redazione degli elenchi delle attività di trattamento da parte del committente. Il responsabile del trattamento fornisce al cliente le informazioni necessarie in modo adeguato.
(3) Tenendo conto del tipo di trattamento e delle informazioni a sua disposizione, il responsabile del trattamento assiste il cliente nell’adempimento degli obblighi di cui agli articoli 32-36 del GDPR.
(4) Il responsabile del trattamento ha il diritto di richiedere al cliente un compenso adeguato alle spese sostenute per tali servizi.
8. Poteri di controllo
(1) Il cliente ha il diritto di verificare in qualsiasi momento, nella misura necessaria, che il responsabile del trattamento rispetti le disposizioni di legge in materia di protezione dei dati e/o le disposizioni contrattuali concordate tra le parti e/o che il responsabile del trattamento rispetti le istruzioni del cliente.
La prova dell'adempimento degli obblighi incombenti a un responsabile del trattamento ai sensi del GDPR deve essere fornita principalmente da rapporti di prova e certificazioni indipendenti.
Se il cliente, sulla base di prove concrete, nutre ragionevoli dubbi circa l'insufficienza o l'inesattezza dei rapporti di prova o delle certificazioni, oppure se particolari incidenti ai sensi dell'art. 33, par. 1 del GDPR in relazione all'esecuzione dell'incarico di trattamento del cliente lo giustificano, il cliente può effettuare ispezioni ai sensi del paragrafo 8. (2).
(2) Al fine di consentire al Cliente di effettuare un'ispezione dell'incarico e, in particolare, di verificare le misure tecniche e organizzative adottate dal responsabile del trattamento incaricato prima dell'inizio e regolarmente durante il trattamento dei dati, il responsabile del trattamento incaricato deve consentire l'ispezione da parte di un terzo neutrale (revisore giurato) incaricato dal Cliente. Il responsabile del trattamento incaricato ha il diritto di fissare le date per un'ispezione in base alle possibilità operative. L'esame deve essere reso possibile entro un termine ragionevole dalla richiesta. In alternativa, il
responsabile del trattamento
può anche soddisfare il diritto di ispezione del cliente fornendo un rapporto di ispezione redatto da un revisore giurato indipendente per conto del responsabile del trattamento. L'esercizio del diritto di ispezione non deve turbare indebitamente le operazioni commerciali del responsabile del trattamento né essere abusivo.
(3) Il responsabile del trattamento ha il diritto di richiedere al cliente un compenso ragionevole per le ispezioni ai sensi del punto 8. (2).
9. Percentuali di subappalto
(1) Il ricorso a subappaltatori da parte del responsabile del trattamento è consentito solo previo consenso scritto del cliente. Il responsabile del trattamento dovrà specificare tutti i rapporti di subappalto già esistenti al momento della conclusione del contratto nell’Allegato 2 al presente contratto.
(2) Il responsabile del trattamento deve selezionare con cura il subappaltatore e verificare, prima dell’assegnazione dell’incarico, che il subappaltatore sia in grado di rispettare gli accordi stipulati tra il cliente e il responsabile del trattamento. In particolare, il responsabile del trattamento deve verificare preventivamente e regolarmente durante la durata del contratto che il subappaltatore abbia adottato le misure tecniche e organizzative richieste ai sensi dell’art. 32 del GDPR per la protezione dei dati personali. Il risultato della verifica deve essere documentato dal subappaltatore e messo a disposizione del cliente su richiesta.
(3) Il responsabile del trattamento è tenuto a ottenere dal subappaltatore la conferma che quest'ultimo abbia nominato un responsabile della protezione dei dati aziendale ai sensi dell'art. 37 del GDPR. Nel caso in cui il subappaltatore non abbia nominato alcun responsabile della protezione dei dati, il responsabile del trattamento ne informerà il cliente e fornirà informazioni al riguardo che dimostrino che il subappaltatore non è legalmente obbligato a nominare un responsabile della protezione dei dati.
(4) Il
responsabile del trattamento
deve garantire che le disposizioni concordate nel presente contratto ed eventuali istruzioni supplementari del cliente, se presenti, si applichino anche al subappaltatore.
(5) Il responsabile del trattamento deve stipulare con il subappaltatore un contratto conforme ai requisiti dell’art. 28 del GDPR. Inoltre, il responsabile del trattamento deve imporre al subappaltatore gli stessi obblighi in materia di protezione dei dati personali stabiliti tra il committente e il responsabile del trattamento.
(6) In particolare, il responsabile del trattamento è tenuto a garantire, mediante disposizioni contrattuali, che i poteri di controllo (clausola 8 del presente contratto) del committente e delle autorità di controllo si applichino anche al subappaltatore e che i corrispondenti diritti di controllo siano concordati dal committente e dalle autorità di controllo. Inoltre, deve essere concordato contrattualmente che il subappaltatore tolleri tali misure di controllo ed eventuali ispezioni in loco.
(7) I rapporti di subappalto ai sensi dei paragrafi da 1 a 6 non sono da considerarsi servizi che il responsabile del trattamento ottiene da terzi come servizio puramente accessorio per lo svolgimento dell’attività commerciale. Tali servizi includono, ad esempio, servizi di pulizia, servizi di telecomunicazione puri senza alcun riferimento specifico ai servizi che il responsabile del trattamento fornisce per conto del committente, servizi postali e di corriere, servizi di trasporto, servizi di sicurezza. Il responsabile del trattamento è comunque tenuto a garantire, anche nel caso di servizi accessori forniti da terzi, che siano state adottate le precauzioni e le misure tecniche e organizzative adeguate per garantire la protezione dei dati personali. La manutenzione e l’assistenza dei sistemi o delle applicazioni informatiche costituiscono un rapporto di subappalto e un trattamento su incarico ai sensi dell’art. 28 del GDPR, che richiede l’approvazione qualora la manutenzione e il collaudo riguardino sistemi informatici utilizzati anche in relazione alla prestazione di servizi per il committente e qualora durante la manutenzione sia possibile accedere ai dati personali trattati
per conto
del committente.
10. Obbligo di riservatezza
(1) Nel trattamento dei dati per conto del committente, il responsabile del trattamento è tenuto a mantenere la riservatezza dei dati che riceve o di cui viene a conoscenza in relazione all’incarico.
Il responsabile del trattamento
si impegna a osservare le stesse norme di
tutela
del segreto a cui è tenuto il committente. Il committente è tenuto a informare il
responsabile del trattamento
di eventuali norme speciali di tutela del segreto.
(2) Il responsabile del trattamento garantisce di essere a conoscenza delle norme vigenti in materia di protezione dei dati e di averne familiarizzato l’applicazione. Il responsabile del trattamento garantisce inoltre di aver informato i propri dipendenti delle disposizioni in materia di protezione dei dati a loro applicabili e di averli obbligati a mantenere la riservatezza. Il contraente garantisce inoltre di aver in particolare obbligato i propri dipendenti coinvolti nell'esecuzione del lavoro a mantenere la riservatezza e di averli informati delle istruzioni del cliente.
(3) L'obbligo dei dipendenti di cui al paragrafo 2 deve essere dimostrato al cliente su richiesta.
11. Tutela dei diritti degli interessati
(1) Il committente è l'unico responsabile della tutela dei diritti degli interessati. Il responsabile del trattamento è tenuto a supportare il committente nell'adempimento del suo obbligo di trattare le richieste degli interessati ai sensi degli articoli 12-23 del GDPR. In particolare, il responsabile del trattamento deve garantire che le informazioni richieste a tal fine siano fornite al committente senza indugio, affinché quest'ultimo possa adempiere ai propri obblighi ai sensi dell'articolo 12, paragrafo 3, del GDPR.
(2) Nella misura in cui la collaborazione del responsabile del trattamento incaricato sia necessaria per la tutela dei diritti degli interessati – in particolare all’informazione, alla rettifica, al blocco o alla cancellazione – da parte del committente, il responsabile del trattamento incaricato adotterà le misure necessarie in conformità alle istruzioni del committente. Se possibile, il responsabile del trattamento sosterrà il committente con adeguate misure tecniche e organizzative al fine di adempiere al suo obbligo di rispondere alle richieste di esercizio dei diritti degli interessati. Il responsabile del trattamento ha il diritto di richiedere al committente un compenso ragionevole per tali servizi.
(3) Ciò non pregiudica eventuali disposizioni relative al possibile compenso per le spese aggiuntive sostenute dal responsabile del trattamento a seguito dei servizi di collaborazione in relazione all’esercizio dei diritti degli interessati nei confronti del committente.
12. Obblighi di riservatezza
(1) Entrambe le parti si impegnano a trattare tutte le informazioni ricevute in relazione all’esecuzione del presente contratto come riservate per un periodo di tempo illimitato e a utilizzarle esclusivamente per l’esecuzione del contratto. Nessuna delle parti ha il diritto di utilizzare tali informazioni, in tutto o in parte, per scopi diversi da quelli appena menzionati o di renderle accessibili a terzi.
(2) L'obbligo di cui sopra non si applica alle informazioni che una delle parti abbia dimostrabilmente ricevuto da terzi senza essere tenuta al segreto o che siano di dominio pubblico.
13. Trattamento
Il responsabile
del trattamento
non riceverà alcun compenso separato per il presente contratto.
14. Misure tecniche e organizzative per la sicurezza dei dati
(1) Il responsabile del trattamento si impegna nei confronti del cliente a rispettare le misure tecniche e organizzative necessarie per ottemperare alle normative vigenti in materia di protezione dei dati. Ciò include in particolare i requisiti di cui all’art. 32 del GDPR.
(2) Lo stato delle misure tecniche e organizzative esistenti al momento della conclusione del contratto è allegato al presente contratto come Allegato 3. Le parti concordano che modifiche alle misure tecniche e organizzative possono essere necessarie per adeguarsi alle condizioni tecniche e giuridiche. Modifiche significative che potrebbero influire sull’integrità, la riservatezza o la disponibilità dei dati personali saranno concordate in anticipo dal responsabile del trattamento con il cliente. Le misure che comportano solo modifiche tecniche o organizzative minori e non incidono negativamente sull'integrità, la riservatezza e la disponibilità dei dati personali possono essere attuate dal responsabile del trattamento senza consultare il cliente. Il cliente può richiedere in qualsiasi momento una versione aggiornata delle misure tecniche e organizzative
adottate
dal responsabile del trattamento.
(3) Il responsabile del trattamento verifica regolarmente e, se necessario, l'efficacia delle misure tecniche e organizzative da lui adottate. Qualora si rendano necessarie ottimizzazioni e/o modifiche, il responsabile del trattamento incaricato ne informerà il cliente.
15. Durata dell'incarico
(1) Il contratto ha inizio con l'assegnazione dell'incarico ed è concluso a tempo indeterminato.
(2) Il contratto cessa con la risoluzione del contratto principale (un pacchetto di app o qualsiasi servizio) senza necessità di una risoluzione separata.
Gli eventuali obblighi di cancellazione e restituzione dopo la cessazione del presente Contratto sono disciplinati dalla Sezione 16.
(3) Il committente può recedere dal contratto in qualsiasi momento senza preavviso in caso di grave violazione delle disposizioni in materia di protezione dei dati applicabili al responsabile del trattamento o degli obblighi previsti dal presente contratto, qualora il responsabile del trattamento non sia in grado o non sia disposto a eseguire un'istruzione impartita dal committente o qualora il responsabile del trattamento neghi l'accesso al committente o all'autorità di controllo competente in violazione del contratto.
16. Risoluzione
(1) Dopo la risoluzione del contratto, il responsabile del trattamento incaricato dovrà restituire al cliente o cancellare tutti i documenti, i dati e i risultati di trattamento o di utilizzo creati che sono entrati in suo possesso in relazione al rapporto contrattuale, a discrezione del cliente. La cancellazione dovrà essere documentata in modo adeguato. Eventuali obblighi di conservazione previsti dalla legge o altri obblighi di archiviazione dei dati rimangono invariati. Nel caso di supporti dati, questi devono essere distrutti in caso di cancellazione richiesta dal cliente, nel rispetto almeno del livello di sicurezza 3 della norma DIN 66399; il cliente deve fornire prova della distruzione con riferimento al livello di sicurezza secondo la norma DIN 66399.
(2) Il cliente ha il diritto di verificare la restituzione e la cancellazione complete e contrattuali dei dati presso il responsabile del trattamento incaricato. Ciò può avvenire anche mediante ispezione delle apparecchiature di trattamento dei dati presso la sede del responsabile del trattamento. L'ispezione in loco deve essere annunciata dal cliente con un preavviso ragionevole.
17. Diritto di ritenzione
Le parti concordano che è esclusa l'opposizione del diritto di ritenzione da parte del responsabile del trattamento ai sensi del § 273 del BGB (Codice civile tedesco) in relazione ai dati trattati e ai relativi supporti dati.
18. Disposizioni finali
(1) Qualora la proprietà del cliente sia messa a rischio presso la sede del responsabile del trattamento da misure di terzi (quali sequestro o confisca), da procedure di insolvenza o da altri eventi, il responsabile del trattamento ne informerà il cliente senza indugio. Il responsabile del trattamento informerà senza indugio i creditori del fatto che i dati sono oggetto di trattamento nell’ambito dell’incarico.
(2) Per gli accordi accessori è richiesta la forma scritta.
(3) Qualora singole parti del presente contratto fossero invalide, ciò non pregiudica la validità delle restanti disposizioni del contratto.
Allegato 1 - Oggetto dell'incarico
1. Oggetto e finalità del trattamento
L'incarico del cliente al responsabile del trattamento comprende i seguenti lavori e/o servizi: fornitura di applicazioni mobili (descritte più dettagliatamente nella rispettiva descrizione del servizio in vigore), nonché pagine web con contenuti simili. Ciò include la raccolta, il trattamento e l'inoltro dei dati registrati.
2. Tipi di dati personali
I seguenti tipi di dati vengono regolarmente trattati: Dati di traffico, dati di contenuto, dati di contatto, dati anagrafici personali e dati di comunicazione (nome, indirizzo, numero di telefono, numero di fax, indirizzo e-mail).
3. Cerchia delle persone interessate
Cerchia delle persone interessate dal trattamento dei dati: Utenti del proprio account, partecipanti chiamanti e chiamati o mittenti/destinatari di SMS/fax, dipendenti, clienti, partner commerciali, soggetti interessati e fornitori di servizi del cliente.
Se il cliente è un partner del responsabile del trattamento: Dati di contatto, dati anagrafici personali e dati di comunicazione (nome, indirizzo, numero di telefono, numero di fax, indirizzo e-mail) dei contraenti/delle aziende segnalate dal Partner che ha effettuato l'ordine.
Il cliente è tenuto a informare gli utenti dell'account e, se necessario, il comitato aziendale o rappresentanti analoghi in merito al trattamento dei dati di cui al punto 2.
4. Luogo del trattamento dei dati:
Tutti i dati vengono trattati su server situati all'interno dello Spazio economico europeo.
Allegato 2 - Subappaltatori
Per il trattamento dei dati per conto del Titolare, il Responsabile si avvale dei servizi di terzi che trattano i dati per suo conto ("subappaltatori").
Il Responsabile si avvale di vari subappaltatori per fornire i propri servizi.
Tali subappaltatori sono inizialmente le seguenti società del Responsabile e forniscono lavori preliminari per la realizzazione dei servizi del Responsabile. Tra le società sono in vigore gli accordi contrattuali necessari per il trattamento di questi dati.
Si tratta delle seguenti società:
Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001
Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlino,
netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe
OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 Francia
Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim
CopeCart GmbH, Ufnaustrasse 10, 10553 Berlino
Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublino, D02 H210, Irlanda
Allegato 3 - Misure tecniche e organizzative del responsabile del trattamento
Il responsabile del trattamento adotterà le seguenti misure tecniche e organizzative per la sicurezza dei dati ai sensi dell'art. 32 del GDPR.
1. Riservatezza
Controllo
degli
access
i Al fine di impedire l'accesso non autorizzato ai sistemi di trattamento dei dati con cui vengono trattati o utilizzati i dati, il responsabile del trattamento e i suoi subappaltatori, quali Netcup e la divisione Google Cloud, hanno implementato procedure formali di controllo degli accessi.
Le sedi utilizzate ospitano sale server e una sala dedicata alla tecnologia server. Per l’accesso, vengono rilasciate chiavi elettroniche a dipendenti selezionati del subappaltatore. Le chiavi autorizzano il rispettivo dipendente del subappaltatore solo ad aprire/chiudere singole porte che sono state approvate a tale scopo. Tutte le operazioni di apertura e chiusura di una chiave vengono registrate elettronicamente insieme all’ID univoco della chiave. Solo i dipendenti del subappaltatore direttamente autorizzati dalla direzione sono responsabili della gestione delle chiavi.
La sala server è sempre chiusa a chiave e può essere accessibile solo da dipendenti selezionati del subappaltatore.
All'interno dell'edificio della rispettiva sede, i diritti di accesso dei dipendenti del subappaltatore – anche di quelli in possesso di una chiave – sono limitati nella misura necessaria per lo svolgimento del compito specifico.
Durante l'orario di lavoro, presso la reception presidiata in modo permanente viene effettuato un controllo delle persone che entrano nell'edificio. Al di fuori dell'orario di lavoro, tutti gli ingressi dell'edificio sono chiusi a chiave e protetti da allarme. L'edificio è inoltre sorvegliato da un servizio di sicurezza. Tutti gli allarmi del sistema di allarme vengono segnalati direttamente a un servizio di sicurezza.
In tutti i data center vengono applicate misure di sicurezza standard. Queste corrispondono allo stato dell'arte e alle (best practice) del settore IT. Queste includono sistemi di controllo elettronico degli accessi con registrazione, grazie ai quali solo le persone autorizzate possono entrare nell'edificio, sistemi di allarme, videosorveglianza interna/esterna, personale di sicurezza 24 ore su 24, 7 giorni su 7, sistemi di allarme, protezione dell'edificio con filo spinato, protezione da parte di servizi di sicurezza esterni che vengono automaticamente informati tramite una linea di allarme dedicata in caso di allarme.
Le chiavi delle singole stanze e delle gabbie nel data center devono sempre essere ritirate presso il personale di sicurezza.
Controllo degli accessi
Al fine di garantire che le persone autorizzate a utilizzare un sistema per il trattamento dei dati possano accedere ai dati solo in base alla loro autorizzazione di accesso e che i dati memorizzati o in fase di trattamento non possano essere letti, copiati, modificati o rimossi da persone non autorizzate, il responsabile del trattamento utilizza un sistema centrale per la gestione delle autorizzazioni di accesso. Tutti gli accessi vengono memorizzati localmente e nel server di log centrale. I diritti amministrativi possono essere esercitati solo tramite un programma di amministrazione centrale.
L'accesso a tutti i dati è limitato nella misura necessaria affinché tutte le persone autorizzate possano adempiere ai propri compiti specifici. Vengono rispettati i requisiti legali in materia di protezione dei dati, in particolare quelli del regolamento generale sulla protezione dei dati (GDPR) e della TKG.
Separazione
Il responsabile
del trattamento
elabora i dati su sistemi server separati logicamente tramite un sistema di controlli di accesso logici e fisici sulla rete.
2. Integrità
Controllo degli inserimenti
Per garantire che il responsabile del trattamento possa verificare e determinare a posteriori se e da chi i dati sono stati inseriti, modificati o cancellati nei sistemi di elaborazione dati, tutti gli accessi ai dati memorizzati del cliente vengono registrati localmente e nel server di log centrale.
Controllo dell'inoltro
Al fine di garantire che i dati non possano essere letti, copiati, modificati o rimossi da persone non autorizzate durante la trasmissione elettronica, il trasporto o l'archiviazione, e che sia possibile verificare dove i dati devono essere trasferiti dai sistemi di trasferimento dati, l'accesso a tutti i sistemi che trattano i dati dei clienti è soggetto a controlli di accesso efficaci. Questi meccanismi di controllo degli accessi sono già descritti in modo più dettagliato sopra al punto 3.
3. Disponibilità e resilienza
Il Responsabile del trattamento utilizza una combinazione di sistemi ridondanti e soluzioni di backup in tutti i sistemi al fine di proteggere i dati memorizzati e di poterli ripristinare se necessario. Questi sistemi sono gestiti esclusivamente in locali protetti e attrezzati secondo lo stato dell'arte, dotati dei necessari sistemi di climatizzazione, allarme antincendio e antifumo e per i quali esistono piani di emergenza dettagliati.
4. Procedure per la revisione, la valutazione e l'analisi periodiche
Tutti i nostri dipendenti e quelli del subappaltatore vengono regolarmente formati sulle questioni relative alla protezione dei dati. Questi corsi di formazione sono realizzati interamente in sede, in modo da consentire un adattamento preciso alle questioni rilevanti per il responsabile del trattamento. Durante queste sessioni di formazione vengono trattate in dettaglio anche questioni specifiche.
Tutti i dipendenti del responsabile del trattamento che entrano in contatto con il trattamento dei dati personali nel corso della loro attività sono tenuti a trattare i dati personali in modo confidenziale. Ciò avviene regolarmente al momento dell’assunzione di nuovi dipendenti mediante una dichiarazione d’impegno contrattuale che ogni dipendente deve sottoscrivere.
Il responsabile del trattamento ha nominato un responsabile della protezione dei dati. Insieme ai suoi vice, il responsabile della protezione dei dati garantisce che le richieste degli interessati ricevano una risposta tempestiva.
Il responsabile del trattamento tiene un registro delle attività di trattamento ai sensi dell'art. 30, commi 1 e 2, del GDPR. Questo elenco delle attività di trattamento non è pubblico.
(al 16 febbraio 2022)