Accordo sul Trattamento dei Dati Personali

Il presente DPA costituisce un contratto che regola il rapporto tra l'Utente (l'Utente), in qualità di titolare del trattamento, e Noi (il Fornitore del Servizio), in qualità di responsabile del trattamento definito nel Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679) (Utente).

Fatta eccezione per le modifiche apportate dal presente DPA, i TERMINI e CONDIZIONI e l'Informativa sulla privacy rimangono invariati e in vigore a tutti gli effetti. In caso di conflitto tra il presente DPA e i TERMINI e CONDIZIONI o l'Informativa sulla privacy, il presente accordo sul trattamento dei dati prevarrà nella misura in cui tale conflitto si verifichi.

Fatta eccezione per le modifiche apportate dal presente DPA, i TERMINI e CONDIZIONI e l'Informativa sulla privacy rimangono invariati e in vigore a tutti gli effetti. In caso di conflitto tra il presente DPA e i TERMINI e CONDIZIONI o l'Informativa sulla privacy, il presente accordo sul trattamento dei dati prevarrà nella misura in cui tale conflitto si verifichi.

I dati personali dell'Utente e le informazioni della sua azienda sono riportati automaticamente nel presente DPA dall'account dell'Utente, previa accettazione dell'Informativa sulla privacy, dei TERMINI e CONDIZIONI con il presente DPA ad essi allegato. Le sue informazioni saranno sempre visualizzate come da Lei inviate e trattate da Noi come "attuali", a meno che Lei non ci fornisca i dati modificati.

Questo DPA è concluso da e tra:

{{companyData}} (l'Utente o il Titolare del trattamento), e

PNL Fintech BV (operante con il nome commerciale "FINOM"), Jachthavenweg 109H, 1081 KM Amsterdam, Paesi Bassi (il Fornitore del Servizio o Responsabile del trattamento),

ognuna viene definita "la parte" e collettivamente "le parti".

Le parti concordano come SEGUE:

Oggetto

Le parti cercano di attuare il presente DPA per conformarsi ai requisiti del quadro giuridico vigente in materia di trattamento dei dati personali e di GDPR.

Le parti, pertanto, ACCETTANO i termini del presente "DPA" per regolare i loro rapporti in qualità di titolare del trattamento e di responsabile del trattamento dei dati personali in conformità al GDPR.

Natura e finalità del trattamento

Il Fornitore del Servizio fornisce i Servizi definiti nei TERMINI e CONDIZIONI come concordato dall'Utente. Quando l'Utente agisce in qualità di azienda, imprenditore, datore di lavoro o consulente, può trattare i dati personali degli interessati che sono clienti, dipendenti, collaboratori, rappresentanti, consulenti dell'Utente (le "relazioni dell'Utente") caricandoli, modificandoli, condividendoli, cancellandoli dalla Piattaforma del Fornitore del Servizio. La fornitura dei Servizi può richiedere al Fornitore del Servizio di trattare i dati personali delle relazioni dell'Utente. Pertanto, l'Utente agirà in qualità di titolare del trattamento dei dati in un significato definito nel GDPR. Il Fornitore del Servizio opererà quindi in qualità di responsabile del trattamento, elaborando i dati per conto dell'Utente.

Il trattamento dei dati personali ha la finalità di fornire e ricevere i Servizi in conformità ai TERMINI e CONDIZIONI.

Il Titolare del trattamento, pertanto, incarica il Responsabile del trattamento di elaborare tutti i dati personali come indicato nel presente DPA, in conformità con il GDPR e la legislazione applicabile.

Durata del trattamento

Fino alla risoluzione del presente DPA in conformità con i suoi termini, a meno che non sia richiesto un periodo più lungo per l'adempimento degli obblighi delle parti in conformità con il GDPR e la legislazione applicabile in materia.

Tipo di dati personali e categorie di soggetti interessati

"Dati personali" (indicati nel presente DPA come "dati" o "dati personali") e "trattamento" (indicato nel presente DPA come "trattamento") si intendono come definiti nel GDPR. Non si considerano trattati i "dati personali sensibili", così come definiti nel GDPR.

  1. Categorie di dati personali che possono essere trattati:
    1. nome;
    2. indirizzo;
    3. numero/i di telefono;
    4. indirizzo/i email;
    5. indirizzo/i;
    6. qualsiasi numero di conto e/o coordinate bancarie;
    7. altri dati personali strettamente necessari per l'erogazione dei Servizi ai sensi dei TERMINI e CONDIZIONI.
  2. Categorie di soggetti i cui dati personali possono essere trattati:
    1. i clienti, dipendenti, collaboratori, rappresentanti, consulenti del Titolare del trattamento;
    2. i Contatti del Titolare del trattamento (telefono, email, indirizzi, ecc.);
    3. gli Utenti del Titolare del trattamento;
    4. le Informazioni bancarie del Titolare del trattamento;
    5. i Dipendenti dei suoi Utenti;
    6. i Contatti dei suoi Utenti (telefono, email, indirizzi, ecc.);
    7. gli Utenti dei suoi Utenti;
    8. le Informazioni bancarie degli Utenti dei suoi Utenti.

Responsabilità

Il Responsabile del trattamento:

Il Titolare del trattamento:

Audit

Fermi restando i termini descritti nella presente sezione, il Responsabile del trattamento mette a disposizione del Titolare, su richiesta, tutte le informazioni necessarie a dimostrare il rispetto del presente DPA e consente e contribuisce agli audit, comprese le ispezioni, da parte del Titolare o di un auditor scelto come indicato nella presente sezione.

I diritti di informazione e di audit del Titolare del trattamento si applicano ai sensi della presente sezione solo nella misura in cui il DPA non fornisca in altro modo al Titolare informazioni e diritti di audit ai sensi dei requisiti pertinenti del GDPR.

Il Titolare del trattamento ha il diritto di avviare periodicamente una verifica in relazione al trattamento dei dati personali da parte del Responsabile del trattamento. Le parti concordano sul fatto che, nel corso di un regolare svolgimento dell'attività, dovrebbe essere sufficiente una verifica annuale da parte del Titolare del trattamento. Il Titolare del trattamento dovrà fornire un piano di audit dettagliato che specifichi la data di inizio, la portata e la durata almeno quattro settimane prima della data di inizio proposta. Le Parti decidono insieme se una terza parte debba condurre l'audit. Tuttavia, il Titolare del trattamento può consentire al Responsabile di sottoporsi al controllo di sicurezza da parte di un soggetto terzo neutrale di sua scelta, visto che si tratta di un ambito di elaborazione con molteplici titolari del trattamento.

Se l'ambito dell'audit proposto segue un rapporto di certificazione ISAE, ISO o simile condotto da un auditor terzo qualificato e il Responsabile del trattamento conferma che non vi sono state modifiche sostanziali delle disposizioni in esame nei dodici mesi precedenti a tale audit, ciò dovrebbe essere sufficiente.

Gli audit non devono interferire in modo ingiustificato con le normali attività del Responsabile del trattamento. Il Titolare del trattamento sarà responsabile di tutti i costi associati agli audit.

Uso di Subappaltatori
e
Trasferimenti di dati

Uso di Subappaltatori: Al fine di fornire i Servizi all'Utente/Titolare del trattamento, il Responsabile del trattamento può utilizzare i subappaltatori ("subappaltatori"). I subappaltatori incaricati dal Responsabile del trattamento si trovano all'interno e all'esterno dell'UE/SEE e sono elencati nelle sezioni pertinenti che descrivono ciascuna attività di trattamento nell'Informativa sulla privacy, che può essere modificata di volta in volta. I nomi dei privati, che agiscono in qualità di subappaltatori (collaboratori, dipendenti, freelancer del Responsabile del trattamento) non sono riportati nell'Informativa sulla privacy a tutela della loro privacy, ma possono essere forniti su legittima richiesta del Titolare del trattamento o delle autorità. Il Titolare del trattamento acconsente a che il Responsabile del trattamento possa impegnare tutti i suddetti subappaltatori a trattare i dati personali per conto del Responsabile e/o del Titolare alle condizioni stabilite dal presente DPA e in conformità con il GDPR.

Il Responsabile del trattamento dei dati: i) stipula accordi scritti con tutti i subappaltatori (attuali e nuovi) con cui stabilisce condizioni di protezione dei dati che impongono ai subappaltatori di proteggere i dati privati al livello richiesto dal GDPR; e ii) su base continuativa, monitora e controlla il rispetto del GDPR da parte dei suoi subappaltatori. La documentazione o le prove di tale monitoraggio e controllo possono essere fornite al Titolare del trattamento su sua richiesta scritta, salvo diversa disposizione di legge, e iii) rimane responsabile di eventuali atti od omissioni dei subappaltatori che inducano le parti a violare gli obblighi previsti dal presente DPA.

Trasferimenti di dati:

Nel corso del normale svolgimento dell'attività, il Responsabile del trattamento non trasferirà i dati, che sono stati trasferiti dal Titolare del trattamento al Responsabile a fini di elaborazione, in paesi al di fuori dello Spazio Economico Europeo ("SEE") o quelli approvati per le finalità della Legge Applicabile dalla Commissione Europea ("Territori Approvati dalla Commissione").

In alcuni casi, i dati personali saranno salvati su soluzioni di archiviazione che dispongono di server al di fuori dello Spazio economico europeo (SEE) o di Territori Approvati dalla Commissione (ad esempio, Dropbox o Google). Il Responsabile utilizzerà solo le soluzioni di archiviazione che forniscono servizi sicuri con adeguate salvaguardie di sicurezza.

Qualora il Responsabile del trattamento sia tenuto a trasferire i dati personali ricevuti dal Titolare del trattamento al di fuori del SEE o dei Territori Approvati dalla Commissione, ne informerà il Titolare per dargli la possibilità di opporsi a tale trasferimento. Se tale trasferimento non è contestabile per il Titolare del trattamento, il Responsabile del trattamento deve assicurarsi di disporre di adeguati Contratti di trasferimento di dati da Paesi terzi con tali subappaltatori. Tale accordo deve essere reso disponibile per la revisione da parte del Titolare del trattamento, se richiesto.

Alla data di sottoscrizione del DPA, il Titolare del trattamento dichiara di essere stato informato che le seguenti attività di trattamento dei dati, svolte da subappaltatori del Responsabile del trattamento, si svolgeranno al di fuori del SEE. Tali attività di trattamento, che sono qui espressamente autorizzate dal Titolare del trattamento, avverranno nei Paesi di seguito elencati e nel rigoroso rispetto delle basi legali per il trasferimento dei dati di cui al GDPR a ciascuna attività di trattamento.

Paese Attività di trattamento dei dati Base legale per il trasferimento
Stati Uniti d'America: limitatamente al Privacy Shield (Scudo UE-USA per la privacy), i subappaltatori sono elencati nell'Informativa sulla privacy Come definito nel presente DPA e quando strettamente necessario per l'erogazione dei Servizi ai sensi dei TERMINI e CONDIZIONI Articolo 45 del GDPR "Trasferimenti sulla base di una decisione di adeguatezza"
Federazione Russa: le aziende di subappaltatori sono elencate nell'Informativa sulla privacy. I nomi dei privati, che agiscono in qualità di subappaltatori (collaboratori, dipendenti, freelancer del Responsabile del trattamento) non sono riportati nell'Informativa sulla privacy a tutela della loro privacy, ma possono essere forniti su legittima richiesta del Titolare del trattamento o delle autorità. Come definito nel presente DPA e quando strettamente necessario per l'erogazione dei Servizi ai sensi dei TERMINI e CONDIZIONI Articolo 46 "Trasferimenti soggetto a garanzie adeguate" Par. 2, punti c o d Clausole contrattuali tipo (Modello di clausole 2010/87/UE)

A scanso di equivoci, si sottolinea che il Titolare del trattamento conferisce al Responsabile del trattamento un chiaro mandato per l'inserimento, in nome e per conto del Titolare, delle Clausole contrattuali tipo (Modello di clausole 2010/87/UE, disponibile sul sito: https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087) in cui il Responsabile sarà l'esportatore dei dati e ogni subappaltatore sarà l'importatore dei dati. Il Titolare del trattamento ha esaminato e accetta il contenuto delle Appendici 1 e 2 delle Clausole contrattuali tipo (Modello di clausole 2010/87/UE) qui allegate.

Il Responsabile del trattamento potrà modificare di volta in volta l'elenco dei sottoprocessi nelle relative sezioni dell'Informativa sulla privacy che saranno debitamente comunicati al Titolare del trattamento. I nomi dei privati, che agiscono in qualità di subappaltatori (collaboratori, dipendenti, freelancer del Responsabile del trattamento) verranno omessi nell'Informativa sulla privacy a tutela della loro privacy, ma possono essere forniti su legittima richiesta del Titolare del trattamento o delle autorità.

Qualora il Titolare del trattamento desideri opporsi all'utilizzo di un eventuale subappaltatore, dovrà darne immediata comunicazione scritta al Responsabile del trattamento. L'assenza di obiezioni da parte del Titolare del trattamento sarà considerata come un pieno consenso all'utilizzo di subappaltatori come indicato nel presente DPA. Nel caso in cui il Titolare si opponga all'utilizzo di un qualsiasi subappaltatore e il Responsabile del trattamento non possa accogliere l'obiezione del Titolare, il Fornitore del Servizio offrirà di interrompere la fornitura dei Servizi all'Utente.

Durata e Risoluzione

Il presente DPA rimane in vigore fintantoché il Responsabile del trattamento tratta i dati personali per gli scopi previsti dal presente DPA.

Al termine dei Servizi l'Utente/Titolare del trattamento può avviare una procedura di cancellazione dei dati personali memorizzati presso il Responsabile del trattamento o richiederne la restituzione se tecnicamente possibile/fattibile, e salvo quanto diversamente previsto dalle disposizioni di legge applicabili, in tal caso i dati personali saranno conservati in conformità con le garanzie tecniche e organizzative del Responsabile del trattamento/Fornitore del Servizio.

Il Titolare del trattamento è abilitato a recuperare tutti i suoi dati personali idonei presso la piattaforma/applicazione del Fornitore del Servizio. Inoltre, se il Titolare dovesse richiedere assistenza per il recupero dei dati, i costi associati saranno determinati in base alla complessità del trattamento e al tempo necessario per svolgerlo nel formato prestabilito.

Modifiche al DPA

Le Parti convengono che il Fornitore del Servizio ha il diritto in qualsiasi momento di modificare i termini del presente DPA con il dovuto rispetto dei legittimi interessi del Titolare del trattamento. Il Fornitore del Servizio informerà l'Utente delle modifiche a tempo debito, come indicato e concordato dall'Utente/Titolare del trattamento nei TERMINI e CONDIZIONI. In caso di disaccordo con le modifiche, l'Utente/Titolare del trattamento è libero di terminare i Servizi e questo DPA in qualsiasi momento tramite l'account dell'Utente o comunicandolo all'indirizzo email del Fornitore del Servizio hello@finom.co (o altro indirizzo email annunciato sul sito Web del Fornitore del Servizio).

Disposizioni finali

Le responsabilità per violazioni del presente DPA sono regolate dal GDPR, dai TERMINI e CONDIZIONI e dalla legge applicabile.

Il presente DPA è regolato e interpretato in conformità alle leggi dei Paesi Bassi, e i Tribunali dei Paesi Bassi hanno giurisdizione esclusiva per risolvere qualsiasi controversia riguardante questo DPA e/o i relativi contenuti.

L'eventuale nullità o inefficacia di qualsiasi disposizione del presente DPA non pregiudica la validità delle restanti disposizioni.

Appendici 1 e 2

Appendice 1
alle Clausole contrattuali tipo

La presente appendice costituisce parte integrante delle clausole contrattuali e deve essere compilata e sottoscritta dalle parti.

Gli Stati membri hanno facoltà di integrare o specificare ulteriormente, conformemente alle rispettive procedure nazionali, qualsiasi altra informazione che debba fare parte della presente appendice.

Esportatore dei dati

L'esportatore dei dati (specificare brevemente le attività pertinenti al trasferimento):

Importatore dei dati

L'importatore dei dati (specificare brevemente le attività pertinenti al trasferimento):

Soggetti interessati

I dati personali trasferiti interessano le seguenti categorie di persone (specificare):

Categorie di dati oggetto di trasferimento

I dati trasferiti interessano le seguenti categorie di dati (specificare):

Categorie particolari di dati (se del caso)

Il trasferimento interessa le seguenti categorie particolari di dati (specificare):

Trattamento

I dati personali trasferiti saranno sottoposti alle seguenti attività principali di trattamento (specificare):

Appendice 2
alle Clausole contrattuali tipo

La presente appendice costituisce parte integrante delle clausole contrattuali e deve essere compilata e sottoscritta dalle parti.

Descrizione delle misure tecniche e organizzative di sicurezza attuate dall'importatore in conformità della clausola 4(d), e della clausola 5(c) (o del documento/atto legislativo allegato):

  1. Misure organizzative e di sicurezza

    L'importatore dei dati dichiara che:

    • L'importatore dei dati ha adottato politiche interne per l'elaborazione dei dati personali. Ogni dipendente dell'Importatore dei dati è obbligato a familiarizzare con le politiche prima di accedere ai dati personali.
    • Ogni dipendente dell'Importatore è tenuto a firmare un accordo di non divulgazione prima di iniziare il proprio lavoro presso l'Importatore dei dati.
    • Le politiche vengono riesaminate annualmente per mantenerle aggiornate in conformità con gli standard del settore. La revisione si basa sulla verifica, la determinazione e la valutazione dell'efficacia delle misure previste per garantire la sicurezza del trattamento dei dati personali.
    • A seconda del danno causato, la violazione delle politiche da parte di un dipendente può comportare sanzioni che vanno dalla notifica scritta al licenziamento.
    • Le violazioni della sicurezza vengono segnalate ai vertici dell'azienda.
    • Per ottenere la conformità con gli standard di sicurezza aggiornati, l'Importatore dei dati esegue controlli di sicurezza per le applicazioni business-critical.
    • L'Importatore dei dati mantiene una politica di trattamento dei dati personali e ne garantisce la ragionevole consapevolezza all'interno dell'azienda.
    • L'Importatore dei dati garantisce il rispetto delle norme vigenti in materia di protezione dei dati da parte dei subappaltatori e dei partner di elaborazione dati.
    • L'Importatore dei dati garantisce una ragionevole consapevolezza delle norme applicabili in materia di protezione dei dati all'interno dell'azienda.
  2. Accesso ai dati

    1. Accesso fisico all'ambiente di produzione

      • I fornitori di hosting impiegati utilizzano locali sicuri per l'archiviazione e canali di comunicazione fisici crittografati conformi ai recenti standard di sicurezza.
    2. Disponibilità

      • L'Importatore dei dati utilizza applicazioni scalabili per funzionalità business-critical per fornire la piena disponibilità dei suoi prodotti e servizi ai suoi utenti.
      • L'Importatore dei dati utilizza l'infrastruttura stabile di terzi fornitori di hosting per migliorare la disponibilità dei suoi prodotti e servizi.
      • I fornitori di servizi impiegati forniscono all'Importatore la funzionalità di ripristino da backup per i processi business-critical e di ripristino della disponibilità e dell'accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico.
    3. Accesso al sistema

      • L'accesso ai sistemi di produzione è limitato ai dipendenti autorizzati che richiedono l'accesso per svolgere le loro mansioni.
      • Gli account utilizzati per l'accesso ai sistemi di produzione vengono chiusi quando un dipendente lascia l'Importatore dei dati.
    4. Gestione delle autorizzazioni

      • L'accesso ai dati o ai sistemi viene fornito in base alla "necessità di sapere".
      • I dati personali sono pseudonimizzati laddove potrebbero migliorare sensibilmente la sicurezza dei dati.
      • I dipendenti coinvolti nello sviluppo non hanno accesso all'infrastruttura di produzione, a meno che non sia necessaria per il supporto o la fornitura di servizi.
    5. L'Importatore dei dati tiene traccia di (registri) di ogni importante attività di trattamento dei dati, come ad esempio la copia, la modifica, la cancellazione, ecc., al fine di consentire all'Importatore dei dati e al Cliente di dimostrare la dovuta protezione dei dati personali trattati e il rispetto della normativa sulla protezione dei dati in generale.
  3. Sicurezza dei dati

    • L'Importatore dei dati compie sforzi commercialmente ragionevoli per proteggere i dati personali trattati da accessi non autorizzati e per garantire la costante riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di elaborazione.
    • Gli archivi di dati sono criptati quando la criptazione migliora sensibilmente la sicurezza dei dati. Il trasferimento dei dati al di fuori dei locali dell'Importatore dei dati o dei locali che l'Importatore mantiene è assicurato con certificati delle versioni aggiornate di TLS, al fine di impedire a qualsiasi soggetto non autorizzato di acquisire e leggere i dati personali che sono oggetto del trasferimento.
  4. Gestione degli incidenti

    Per rispettare la privacy dei suoi utenti e proteggere l'azienda dai rischi imposti dagli incidenti di sicurezza, l'Importatore dei dati:

    • Mantiene le politiche di risposta e di notifica delle violazioni.
    • Mantiene un registro delle violazioni dei dati.
    • Applica sforzi commercialmente ragionevoli per:

      • Mantenere la consapevolezza delle normative vigenti all'interno dell'azienda.
      • Attività di audit relative ai dati personali.
    • Informerà il Titolare del trattamento (e, se questo lo desidera, l'autorità o gli interessati corrispondenti, questi ultimi soggetti a limitazioni ai sensi dell'art. 34 par. 3 del GDPR) di un incidente senza indebito ritardo e in conformità con il GDPR.