Accordo con il responsabile del trattamento
Questa versione è una traduzione della versione inglese a solo scopo informativo. In caso di discrepanze, prevale la versione inglese.
Il titolare del trattamento: Cliente con sede all’interno dell’UE (qui di seguito, il “Titolare del trattamento”) e
Azienda:
N. immatricolazione
Città:
Paese di immatricolazione:
Il responsabile del trattamento:
One.com Group AB
559205-2400
Malmö
Svezia
(qui di seguito il “Titolare del trattamento“)
(singolarmente definita la “Parte” e collettivamente le “Parti“)
hanno concluso quanto segue:
Accordo con il responsabile del trattamento
(qui di seguito l'”accordo“)
sul trattamento dei dati sensibili da parte del responsabile del trattamento a nome e per conto del titolare.
1. Il trattamento dei dati sensibili
1.1 Il presente contratto (il “Contratto“) è stato stipulato in relazione all’utilizzo da parte del Titolare del trattamento dei dati dei servizi del Responsabile del trattamento dei dati come parte dell’abbonamento e dei servizi aggiuntivi descritti nei termini generali di One.com (il ” Contratto principale “).
1.2 Il Responsabile del trattamento dei dati elabora le tipologie di dati personali per conto del Titolare del trattamento dei dati in relazione ai soggetti interessati pertinenti come specificato nell’Allegato 1. I dati personali si riferiscono ai soggetti interessati elencati nell’Allegato 1.
1.3 Il Responsabile del trattamento dei dati può avviare il trattamento dei dati personali per conto del Titolare del trattamento dei dati dopo l’entrata in vigore del Contratto Principale. Alla risoluzione del Contratto Principale, il trattamento cesserà e i dati personali saranno cancellati in conformità con le istruzioni contenute nell’Allegato 1 del Contratto.
1.4 L’accordo e l’accordo principale sono interdipendenti e non sono soggetti a risoluzione disgiunta. Tuttavia l’accordo è sostituibile con un altro accordo valido del responsabile del trattamento, senza forzatamente risolvere l’accordo principale.
2. Finalità
2.1 Il responsabile del trattamento è tenuto a processare i dati sensibili per i soli scopi necessari al soddisfacimento dei suoi obblighi, al fine di fornire i servizi di cui all’accordo principale.
3. Obblighi del titolare del trattamento
3.1 Il titolare garantisce che i dati sensibili siano trattati per scopi legittimi e oggettivi e che il responsabile non ne processi più del dovuto per ottemperare a detti scopi.
3.2 Il titolare deve garantire l’esistenza di una solida base legale in sede di trasferimento dei dati sensibili al responsabile. Su richiesta del responsabile del trattamento, il titolare si impegna, per iscritto, a rendere conto e/o a fornire la documentazione per le basi giuridiche del trattamento.
3.3 Inoltre, il titolare garantisce che agli interessati cui si riferiscono i dati personali siano state fornite sufficienti informazioni sul trattamento dei loro dati sensibili.
4. Obblighi del responsabile del trattamento
4.1 Tutti i trattamenti da parte del responsabile dei dati personali forniti dal titolare devono avvenire secondo le istruzioni predisposte da quest’ultimo e il responsabile del trattamento è altresì obbligato a rispettare qualsivoglia normativa vigente di volta in volta in materia di protezione dei dati. Se il diritto dell’Unione o di uno Stato membro dell’UE cui è soggetto il responsabile del trattamento prevede che quest’ultimo sia tenuto a trattare i dati personali elencati nell’Allegato 1, il responsabile deve informare il titolare di tale obbligo di legge prima del trattamento. Tuttavia, quanto sopra non si applica se la presente legislazione vieta tali informazioni per importanti ragioni di interesse pubblico. Il responsabile del trattamento deve informare tempestivamente il titolare se, a giudizio del responsabile, un’istruzione viola il Regolamento generale sulla protezione dei dati (UE 2016/679) o le disposizioni in materia di protezione dei dati di uno Stato membro dell’UE.
4.2 Il responsabile del trattamento deve adottare tutte le misure di sicurezza tecniche e organizzative necessarie, ivi comprese le eventuali misure aggiuntive, volte a garantire che i dati sensibili non siano distrutti, persi o alterati accidentalmente o illegalmente, o portati a conoscenza di terzi non autorizzati, abusati, o comunque trattati in modo contrario alla normativa vigente in materia di protezione dei dati in qualsivoglia momento. Le misure sono descritte in dettaglio all’Allegato 2.
4.3 Il responsabile deve garantire che i dipendenti autorizzati al trattamento dei dati sensibili si siano impegnati alla riservatezza o siano soggetti all’opportuno obbligo legale di riservatezza.
4.4 Ove richiesto dal titolare, il responsabile del trattamento deve dichiarare e/o documentare il proprio rispetto dei requisiti della normativa applicabile in materia di protezione dei dati, inclusa la documentazione relativa ai flussi di dati, nonché le procedure/policy per il trattamento dei dati sensibili.
4.5 Tenuto conto della natura del trattamento, il Responsabile deve, nella misura del possibile, coadiuvare il titolare con azioni tecniche e organizzative adeguate, per l’adempimento dell’obbligo di quest’ultimo di rispondere alle richieste di esercizio dei diritti dell’interessato, come da articolo 3 del Regolamento generale sulla protezione dei dati (GDPR).
4.6 Il Responsabile del trattamento, o un eventuale altro responsabile del trattamento incaricato dall’azienda, è tenuto a inviare richieste e obiezioni degli interessati al titolare, per l’ulteriore trattamento da parte di quest’ultimo, fatti salvi i casi in cui il responsabile non sia legittimato a gestire tale richiesta. Se richiesto dal titolare, il responsabile del trattamento deve assisterlo nel gestire dette richieste e/o obiezioni.
4.7 Se il responsabile del trattamento tratta dati personali in un altro Stato membro dell’UE, è tenuto a rispettare la normativa in materia di misure di sicurezza in detto Stato membro.
4.8 Il Responsabile del trattamento dei dati è tenuto a informare il Titolare del trattamento in caso di interruzione dell’attività, sospetta violazione delle norme in materia di protezione dei dati o di altre irregolarità relative al trattamento dei dati personali. Il termine per la notifica al Titolare del trattamento di una violazione della sicurezza è di 48 ore dal momento in cui il Responsabile del trattamento ne viene a conoscenza. Se richiesto dal Titolare del trattamento dei dati, il Responsabile del trattamento dei dati è tenuto ad assistere quest’ultimo nel chiarire la portata della violazione della sicurezza, inclusa la preparazione di eventuali notifiche all’Autorità per la protezione dei dati competente e/o agli interessati.
4.9 Il Responsabile del trattamento deve mettere a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare la conformità all’articolo 28 del Regolamento generale sulla protezione dei dati e all’Accordo. A tale riguardo, il Responsabile del trattamento consente e contribuisce alle verifiche, incluse le ispezioni, condotte dal Titolare del trattamento o da altro revisore da questi incaricato. Il Titolare del trattamento sostiene i costi di qualsiasi verifica o ispezione.
4.10 In aggiunta a quanto sopra, il responsabile del trattamento è tenuto ad assistere il titolare nel garantire il rispetto dei suoi obblighi ai sensi degli articoli 32-36 del Regolamento generale sulla protezione dei dati. L’assistenza tiene conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento.
5. Trasferimento di dati a terzi o a responsabili del trattamento incaricati dall’azienda
5.1 Il responsabile del trattamento deve rispettare le condizioni previste dall’articolo 28, commi 2 e 4 del Regolamento generale sulla protezione dei dati per avvalersi di un altro responsabile del trattamento (altro responsabile del trattamento incaricato dall’azienda). Ciò implica che il responsabile del trattamento non impegna un altro responsabile (altro responsabile del trattamento incaricato dall’azienda) nell’esecuzione dell’accordo senza il previo consenso scritto, specifico o generale, del titolare.
5.2 Il titolare conferisce al responsabile del trattamento una procura generale per concludere accordi con altri responsabili incaricati dall’azienda. Il responsabile del trattamento è tenuto a comunicare al titolare eventuali modifiche riguardanti l’integrazione o la sostituzione di altri responsabili incaricati non oltre 30 giorni prima che un nuovo responsabile inizi il trattamento dei dati sensibili. Il titolare del trattamento può opporre obiezioni ragionevoli e pertinenti a tali modifiche entro 14 giorni dalla ricezione della notifica. Qualora il responsabile del trattamento continui ad avvalersi di un altro responsabile incaricato al quale il titolare si sia opposto, le parti hanno la facoltà di procedere alla risoluzione contrattuale, come da clausola 7.
5.3 Una volta che il titolare ha approvato la possibilità per il responsabile di avvalersi di un altro responsabile incaricato, il responsabile è tenuto a imporre al sub-responsabile gli stessi obblighi previsti dall’accordo. L’esecuzione effettiva avviene per il tramite dell’accordo o di altra pattuizione giuridica ai sensi della legislazione dell’UE o del diritto di uno Stato membro. Deve essere assicurato, ad esempio, che il sub-responsabile del trattamento fornisca garanzie sufficienti per attuare misure tecniche e organizzative adeguate, affinché il trattamento soddisfi i requisiti del Regolamento generale sulla protezione dei dati (termini “back-to-back”).
5.4 Qualora il responsabile incaricato del trattamento non adempia ai propri obblighi in materia di protezione dei dati, il responsabile permane pienamente responsabile nei confronti del titolare per l’adempimento degli obblighi da parte dei suoi sub-responsabili.
5.5 La comunicazione, il trasferimento e l’utilizzo interno dei dati sensibili del titolare verso paesi terzi o organizzazioni internazionali possono avvenire solo in conformità con le istruzioni documentate del titolare – salvo quanto previsto dalla normativa dell’UE o dalla legislazione di uno Stato membro a cui il responsabile del trattamento è soggetto. In tal caso, il responsabile del trattamento deve notificare al titolare tale obbligo di legge prima del trattamento, a meno che la legge non vieti la notifica per importanti ragioni di interesse pubblico.
If so, the Data Processor must notify the Data Controller of this legal requirement before processing, unless the law prohibits such notification for important grounds of public interests.
5.6 Qualora i dati sensibili di cui all’Allegato 1 siano trasferiti ad altri responsabili incaricati dall’azienda al di fuori dell’UE/SEE, il suddetto accordo deve specificare che ai sub-responsabili si applica la normativa sulla protezione dei dati vigente nel Paese del titolare. Inoltre, se il subresponsabile dei dati ricevente è scelto in ambito UE/SEE, nel suddetto accordo per il trattamento dei dati deve essere esatto il rispetto dei requisiti legali specifici del paese dell’UE ricevente per i responsabili del trattamento, ad esempio riguardo alle richieste di notifica alle autorità nazionali.
5.7 Il Responsabile del trattamento dei dati è tenuto a stipulare accordi scritti per il trattamento dei dati con i sub-responsabili del trattamento dei dati all’interno dell’UE/SEE. Per quanto riguarda i sub-responsabili del trattamento dei dati al di fuori dell’UE/SEE, il Responsabile del trattamento dei dati deve garantire garanzie adeguate, ad esempio la versione più recente delle Clausole contrattuali standard della Commissione europea, e stipulare un accordo per il trattamento dei dati.
5.8 Al momento della firma del presente accordo, il responsabile del trattamento si avvale dei responsabili incaricati dall’azienda elencati nell’Allegato 3.
6. Responsabilità
6.1 La responsabilità delle parti è disciplinata dall’accordo principale.
6.2 La responsabilità delle parti per eventuali danni ai sensi del presente accordo è disciplinata dall’accordo principale.
7. Data di entrata in vigore e risoluzione contrattuale
7.1 L’accordo entra in vigore contestualmente all’accordo principale. In caso di risoluzione dell’accordo principale, si risolve anche il presente accordo. Tuttavia il responsabile del trattamento continua a essere vincolato alle disposizioni di cui al presente accordo, fintanto che processa i dati sensibili per conto del titolare.
7.2 Alla cessazione dei servizi di trattamento il responsabile è obbligato, su richiesta del titolare, a cancellare o restituire tutti i dati sensibili a quest’ultimo, nonché a cancellarne le copie esistenti, salvo i casi in cui la conservazione dei dati sia prescritta dall’UE o da una legge nazionale.
8. Legislazione applicabile e foro competente
8.1 Qualsivoglia reclamo o controversia derivante o comunque riconducibile al presente accordo è di competenza esclusiva del foro adito in primo grado nell’ambito della medesima legislazione e con la stessa scelta di legge indicate nell’accordo principale.
9. Firme
Per conto del titolare del trattamento:
__________________________
[Nome] [Funzione]
Per conto del responsabile del trattamento:
__________________________
Ronni Engelhardt CEO
Allegato 1
Categorie di interessati al trattamento dei dati sensibili, tipologie di dati sensibili e istruzioni
1. Categorie di interessati al trattamento dei dati sensibili:
- Il Responsabile del trattamento dei dati elaborerà le informazioni di contatto dei visitatori del sito web del Titolare del trattamento dei dati e dei clienti e/o membri, dipendenti, fornitori, partner commerciali e di collaborazione e affiliati effettivi, potenziali o precedenti.
- Il Responsabile del trattamento mette il proprio sistema a disposizione del Titolare del trattamento come servizio in hosting e non è possibile per il Responsabile del trattamento determinare tutte le categorie di interessati. Qualora il Titolare del trattamento ospiti dati relativi ad ulteriori categorie di interessati presso il Responsabile del trattamento, è tenuto a registrare tali informazioni.
2. Tipologie di dati sensibili:
In generale, tutti i dati personali trattati tramite lo spazio web del Titolare del trattamento sono trattati dal Responsabile del trattamento. L’elenco non esaustivo riportato di seguito include le tipologie più comuni di dati personali trattati tramite gli spazi web. Il Titolare del trattamento decide quali dati personali trattare tramite l’infrastruttura del Responsabile del trattamento. Ciò può includere le categorie particolari di dati personali elencate nell’Articolo 9 del GDPR.
- Informazioni di contatto e di identificazione, tra cui l’e-mail
- Indirizzi IP
- Nomi di domini
- Username
- Informazioni sull’associazione
- Dati analitici e di utilizzo
- Storico degli ordini e informazioni sull’ordine
- Accordi
- Comunicazioni
- Assistenza
- Immagini
- Stato del consenso al marketing
- Dati personali inclusi nelle e-mail
- Possono essere presenti ulteriori tipologie di dati personali
3. Istruzioni
Servizio
Il Responsabile del trattamento dei dati può trattare i dati personali degli interessati allo scopo di fornire, sviluppare, gestire, amministrare e amministrare i servizi del Contratto principale, anche garantendo la stabilità e il tempo di attività dei nostri server e soddisfacendo i requisiti legali.
Periodo di conservazione
I dati personali archiviati/ospitati nei nostri sistemi vengono cancellati o resi anonimi entro un periodo di tempo ragionevole dopo la completa risoluzione del Contratto principale da parte del Titolare del trattamento.
Luogo del trattamento
Il trattamento dei dati personali oggetto del Contratto non può essere effettuato senza il previo consenso scritto del Titolare del trattamento dei dati in sedi diverse dal centro dati del Responsabile del trattamento dei dati a Copenaghen e dalla sede dei sub-responsabili del trattamento dei dati elencati nell’Allegato 3.
Allegato 2
Misure di sicurezza
| Dominio | Prassi |
| Gestione della sicurezza delle informazioni | Titolarità della sicurezza. One.com ha nominato un responsabile della sicurezza per il coordinamento e il monitoraggio delle regole e delle procedure di sicurezza. Una governance composta da personale di categoria C assiste e guida il responsabile della sicurezza. Ruoli e responsabilità in materia di sicurezza. Il personale di One.com che ha accesso ai dati dei clienti è soggetto agli obblighi di riservatezza, sottolineati costantemente sul posto di lavoro e oggetto di continua sensibilizzazione. Gestione dei rischi. One.com procede continuamente alla valutazione dei rischi, parte del Risk Management, prima di processare i dati dei clienti o di attivare i servizi. L’iter di gestione dei rischi consente di concentrarsi sulle minacce rilevanti assegnando priorità, strutturando e mitigando i rischi oltre il limite accettato. Implementazione del backup. Il responsabile del trattamento conserva i suoi documenti sulla sicurezza in conformità con i requisiti di conservazione, una volta che non sono più in vigore. |
| Gestione delle risorse | Inventario delle risorse. Il responsabile del trattamento tiene un inventario di tutti i supporti su cui sono archiviati i dati dei clienti. L’accesso agli inventari di tali supporti è limitato al personale incaricato del trattamento dei dati, previa autorizzazione scritta alla loro consultazione. Gestione del patrimonio – One.com classifica i dati dei clienti per agevolare l’identificazione e per consentire un’adeguata limitazione all’accesso. – Il personale del responsabile del trattamento deve ottenere l’autorizzazione di quest’ultimo prima di archiviare i dati dei clienti su dispositivi portatili, accedere in remoto o processare i dati fuori dalle infrastrutture del responsabile. |
| Sicurezza delle risorse umane | Formazione sulla sicurezza. One.com informa il personale sulle procedure di sicurezza pertinenti e sui rispettivi ruoli e affronta, tra l’altro, le nuove possibili minacce in cui i dipendenti svolgono un ruolo fondamentale. |
| Sicurezza fisica e ambientale | Accesso fisico alle infrastrutture. One.com limita l’accesso alle infrastrutture in cui si trovano i sistemi informativi che processano i dati dei clienti alle persone autorizzate identificate. Accesso fisico ai componenti. One.com garantisce restrizioni sufficienti per i supporti di salvataggio dei dati dei clienti. Protezione dalle interruzioni. One.com utilizza una varietà di sistemi standard di settore per proteggersi dalla perdita di dati dovuta a interruzioni dell’alimentazione, allagamenti, incendi o interferenze di linea. Smaltimento dei componenti. One.com utilizza iter standard nel settore per cancellare i dati dei clienti qualora non più necessari. |
| Comunicazione e gestione delle operazioni | Policy operativa. One.com conserva e aggiorna i documenti di sicurezza che descrivono le misure di sicurezza e le relative procedure, nonché le responsabilità del personale autorizzato all’accesso ai dati dei clienti. Procedure di ripristino dei dati – One.com archivia le copie dei dati dei clienti e le procedure di ripristino in un luogo diverso da quello in cui si trova l’apparecchiatura informatica principale che processa dette informazioni. – One.com dispone di procedure specifiche che disciplinano l’accesso alle copie dei dati dei clienti. Software del tipo malware o dannosi. One.com dispone di controlli anti-malware per evitare che un software dannoso ottenga l’accesso non autorizzato ai dati dei clienti, compresi i software provenienti da reti pubbliche. È stato implementato anche l’antivirus. Registrazione eventi. One.com registra o consente al cliente di effettuare il log-in, di accedere e di utilizzare i sistemi informatici contenenti i suoi dati, previa registrazione dell’ID di accesso, dell’ora, dell’autorizzazione concessa o negata e dell’attività pertinente. Crittografia. Le comunicazioni online tra i sistemi che gestiscono i dati personali sono crittografate. |
| Controllo degli accessi | Politica di accesso. One.com tiene un registro dei privilegi di amministratore delle persone che hanno accesso ai dati dei clienti. Autorizzazione all’accesso – One.com disattiva le credenziali di autenticazione che non sono state utilizzate per un periodo di tempo di almeno sei mesi. – One.com identifica il personale che può concedere, modificare o disattivare l’accesso autorizzato a dati e risorse. – One.com garantisce che ove più di una persona abbia accesso a sistemi contenenti i dati dei clienti, i singoli siano dotati di identificativi/login separati. Privilegio minimo – One.com limita l’accesso ai dati dei clienti solo a quanti lo richiedono per svolgere la propria mansione. Integrità e riservatezza – One.com istruisce il personale affinché disabiliti le sessioni amministrative quando abbandona i locali o quando i computer sono lasciati incustoditi. – One.com memorizza le password secondo una modalità che le rende intellegibili finché sono attive. Autenticazione – One.com utilizza pratiche standard di settore per identificare e autenticare gli utenti che tentano di accedere ai sistemi informatici. – Se i meccanismi di autenticazione si basano sul sistema a password, il responsabile del trattamento richiede che le password siano modificate regolarmente. – One.com garantisce che gli identificativi disattivati o scaduti non siano concessi ad altri utenti. – One.com monitora o consente al cliente di monitorare i ripetuti tentativi di accesso al sistema informatico tramite password non valida. – One.com si affida a procedure standard del settore per disattivare le password eventualmente danneggiate o divulgate inavvertitamente. – One.com utilizza le prassi standard del settore in materia di protezione delle password, comprese quelle ideate a garanzia della riservatezza e dell’integrità delle password quando queste sono assegnate, distribuite e in sede di archiviazione. Progettazione della rete. One.com predispone controlli per evitare che le persone non autorizzate assumano diritti di accesso per consultare i dati dei clienti. |
| Gestione degli incidenti riguardanti la sicurezza delle informazioni | Iter di riposta a eventuali incidenti – One.com conserva un registro delle violazioni della sicurezza con la descrizione della stessa, l’indicazione del lasso temporale, delle conseguenze della violazione, del nome del segnalante e della persona a cui è stata segnalata, nonché della procedura per il recupero dei dati. – Per ogni violazione della sicurezza suscettibile di costituire un incidente, la notifica da parte di One.com deve avvenire senza indebito ritardo e, in ogni caso, entro 72 ore. – One.com tiene traccia, o consente al cliente di fare altrettanto, delle divulgazioni dei dati, inclusi la tipologia di dati, il destinatario e l’ora. |
| Gestione della continuità aziendale | – One.com assicura piani di emergenza e di contingenza per le strutture in cui si trovano i sistemi informatici del responsabile che elaborano i dati dei clienti. – L’archiviazione ridondante di One.com e le relative procedure per il ripristino dei dati sono progettate per cercare di ricostruire i dati dei clienti nel loro stato originale o in quello dell’ultima replica dall’istante immediatamente antecedente un’eventuale perdita o distruzione. |
Allegato 3
Elenco dei responsabili del trattamento incaricati dall’azienda
Mass hosting product
| Fornitore | Posizione | Funzione |
| Global Connect A/S | DK | Datacenter |
| Digital Realty Trust Inc. | DK | Datacenter (backup) |
| One.com A/S* | DK | Monitoraggio dei sistemi |
| One.com India pvt. Ltd.* | IN | Monitoraggio dei sistemi |
Unmanaged VPS
| Fornitore | Posizione | Funzione |
| Envia TEL GmbH | DE | Datacenter |
| Dogado GmbH* | DE | Monitoraggio dei sistemi |
Managed VPS
| Fornitore | Posizione | Funzione |
| Global Connect A/S | DK | Datacenter |
| Digital Realty Trust Inc | DK | Datacenter (backup) |
| WebPros International GmbH (Plesk) | CH (Svizzera) | Fornitore del pannello di controllo |
| One.com A/S* | DK | Monitoraggio dei sistemi |
| One.com India pvt. Ltd.* | IN | Monitoraggio dei sistemi |
| Acronis International GmbH | CH (Svizzera) | Fornitore di backup |
Website Builder
| Fornitore | Posizione | Funzione |
| Global Connect A/S | DK | Datacenter |
| Digital Realty Trust Inc | DK | Datacenter (backup) |
| Amazon Web Services Inc. | US/DE | Funzioni di prova del Website Builder (cluster DE) |
| SiteWit corp. (Kliken) | US | Analisi del sito Web |
| Termly Inc.* | US | Gestione del consenso |
| Shore GmbH* | DE | Prenotazioni |
| Google Inc. | US | Captcha |
| One.com A/S* | DK | Monitoraggio dei sistemi |
| One.com India pvt. Ltd.* | IN | Monitoraggio dei sistemi |
Premium Care
| Fornitore | Posizione | Funzione |
| Liven Studio Ltd. (WP Umbrella) | US | Software di monitoraggio per WordPress |
WP.one
| Fornitore | Posizione | Funzione |
| Google Inc. | US/NL | Google Cloud (cluster NL) |
*Le entità contrassegnate con * fanno parte di Group.one
