Carrello
Prodotti aggiunti nel carrello
Prodotti correlati
Accordo di Trattamento dei Dati
Il presente Accordo di trattamento dei dati ("DPA” dall’ingl. Data Processing Agreement) è incorporato ed è soggetto ai termini e alle condizioni dell'accordo/degli accordi ("Accordo"), concluso/i in merito all'uso del software-as-a-service (software come servizio) TimeMoto Servizi Cloud ("SaaS"), inclusi i termini e le condizioni generali di TimeMoto, tra TimeMoto B.V., con sede legale e commerciale in Heliumstraat 14, 2718 SL Zoetermeer, Paesi Bassi, (di seguito "Responsabile del trattamento"), e l'entità del cliente che è una parte dell’Accordo (di seguito "Titolare del trattamento"); (di seguito "Parte" e insieme "le Parti").
CONSIDERATO CHE:
A. il Titolare del trattamento ha il diritto di utilizzare il SaaS per la durata dell’Accordo, in base al quale il Responsabile del trattamento tratta i Dati personali in nome e per conto del Titolare;
B. il Titolare e il Responsabile del trattamento hanno confermato le loro modalità in merito al trattamento dei Dati personali da parte del Responsabile, come indicato dal Titolare del trattamento, nel presente DPA;
LE PARTI CONVENGONO QUANTO SEGUE:
Articolo 1 Definizioni
1.1 Per “Dati personali” si intende qualsiasi informazione direttamente o indirettamente relativa a una persona fisica identificata o identificabile, come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più fattori specifici dell'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica.
1.2 Per "Interessato" si intende qualsiasi persona fisica i cui Dati personali vengono trattati.
1.3 Per “Titolare del trattamento” si intende l’entità naturale o giuridica che determina lo scopo e i mezzi del trattamento dei Dati personali. Nel contesto del presente DPA, si tratta dell'entità del cliente che è una Parte dell’Accordo.
1.4 Per "Responsabile del trattamento" si intende la persona fisica o giuridica che tratta dati per conto del Titolare del trattamento. Nel contesto di questo DPA, si tratta di TimeMoto B.V.
1.5 Per "Sub-responsabile del trattamento" si intende qualsiasi terza parte incaricata dal Responsabile del trattamento di fornire assistenza nell'adempimento degli obblighi del Responsabile ai sensi dell’Accordo o del presente DPA. Sono esclusi dalla figura dei Sub-responsabili del trattamento i dipendenti, gli appaltatori o i consulenti del Responsabile del trattamento.
1.6 Per “Categorie particolari di dati personali” si intendono Dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale e il trattamento di dati genetici, dati biometrici allo scopo di identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale di un Interessato.
1.7 Per "Incidente a carico della sicurezza" si intende qualsiasi violazione non autorizzata o illecita della sicurezza che porta alla distruzione, perdita o alterazione accidentale o illecita, o alla divulgazione o all’accesso, in modo non autorizzato o illegale, a Dati personali del Titolare del trattamento.
1.8 Per “Legislazione in materia di protezione dei dati” si intendono le leggi applicabili che regolano la protezione dei Dati personali e la riservatezza dei dati. Ciò include principalmente la legislazione applicabile al trattamento dei dati personali nell'UE e nel Regno Unito, come il Regolamento generale sulla protezione dei dati, la Direttiva e-privacy, il Data Protection Act 2018, il Regolamento generale sulla protezione dei dati del Regno Unito, il Regolamento generale sulla vita privata e le comunicazioni elettroniche del 2003, nonché eventuali leggi nazionali attuate in relazione alla suddetta normativa.
Articolo 2 Oggetto del DPA
2.1 Il presente DPA si applica ai servizi SaaS e alle attività svolti dal Responsabile del trattamento per conto del Titolare del trattamento ai sensi dell’Accordo, che include i dettagli specifici della licenza SaaS, i termini e le condizioni generali e i termini di utilizzo.
2.2 Il presente DPA sostituisce tutte le intese precedenti tra le Parti in merito al trattamento dei Dati personali. Laddove qualsiasi disposizione del presente DPA contraddica o modifichi accordi precedenti sul trattamento dei Dati personali, le disposizioni del presente DPA prevalgono, salvo diversamente previsto espressamente nel presente DPA.
2.3 A seguito del presente DPA, il Responsabile del trattamento tratta i Dati personali per conto e sotto la responsabilità del Titolare del trattamento.
2.4 Tutti gli appendici sono allegati al presente DPA e ne costituiscono parte integrante.
2.5 Tutti i termini in maiuscolo non definiti nel presente DPA avranno i significati stabiliti nell’Accordo.
Articolo 3 Obblighi delle Parti
3.1 Il Responsabile del trattamento tratta i Dati personali esclusivamente per le finalità descritte nell’Accordo e come dettagliato nell’Appendice A.
3.2 Il Responsabile del trattamento tratterà i Dati personali solo in accordo con il Titolare del trattamento e secondo le rigorose istruzioni di quest’ultimo. Il Responsabile del trattamento non ha un controllo indipendente sui Dati personali che tratta. Il Responsabile del trattamento non può trattare i Dati personali per il proprio beneficio, a beneficio di terzi o per altri scopi, se non con il previo consenso scritto del Titolare del trattamento o ove richiesto dalla legge. A scanso di equivoci, questo DPA non si applica ai casi in cui TimeMoto B.V. è indipendentemente il Titolare del trattamento dei dati.
3.3 Il Titolare del trattamento può fornire tali istruzioni previste nel presente DPA e nell’Accordo, nonché ulteriori istruzioni. Qualsiasi istruzione verrà fornita per iscritto, a meno che l'urgenza o altre circostanze specifiche non richiedano un'altra forma (ad esempio orale o elettronica). Eventuali indicazioni e/o ulteriori istruzioni impartite in forma diversa da quella scritta dovranno essere confermate tempestivamente per iscritto dal Titolare del trattamento.
3.4 Il Titolare del trattamento non fornirà (né farà sì che venga fornita) alcuna Categoria particolare di Dati personali al Responsabile del trattamento ai sensi del DPA. Il Responsabile del trattamento non avrà alcuna responsabilità per tali Dati personali, sia in relazione a un Incidente a carico della sicurezza o altro.
3.5 Il Titolare del trattamento ha il compito di valutare se il trattamento dei dati è legittimo e fondato su validi motivi giuridici, nonché di garantire i diritti degli interessati.
Articolo 4 Riservatezza
4.1 Il Responsabile del trattamento manterrà riservati i Dati personali e non divulgherà i Dati personali in alcun modo ai propri dipendenti e/o a terzi, tranne nei casi in cui, (i) sia necessario che i dipendenti e/o terzi debbano essere a conoscenza dei Dati personali per lo scopo di esecuzione dell’Accordo, o (ii) sia richiesto dalla legge.
4.2 Il Responsabile del trattamento fornirà ai propri dipendenti e/o a terzi l'accesso ai Dati personali solo nella misura necessaria per eseguire il trattamento necessario per l'esecuzione dell’Accordo. Il Responsabile del trattamento garantisce che tutte le persone autorizzate al trattamento dei Dati personali siano soggette a un adeguato obbligo legale o contrattuale di riservatezza.
Articolo 5 Sub-responsabili del trattamento
5.1 Il Titolare del trattamento dà l'autorizzazione generale al Responsabile del trattamento per l'aggiunta o la sostituzione di Sub-responsabili del trattamento esistenti alle condizioni stabilite nel presente DPA. Il Responsabile del trattamento informa il Titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di Sub-responsabili del trattamento che tratteranno i Dati personali soggetti al presente Accordo. Il Titolare del trattamento può opporsi a tali modifiche, tuttavia l'opposizione non può essere irragionevole.
5.2 Il Responsabile del trattamento sceglierà ogni Sub-responsabile del trattamento con diligenza, prestando particolare attenzione alla sua buona reputazione, nonché all’esperienza nella fornitura dei servizi subappaltati e all'idoneità delle sue misure tecniche e organizzative. Il Responsabile del trattamento rimane responsabile per qualsiasi atto o omissione dei suoi Sub-responsabili del trattamento nella stessa misura in cui lo è per i propri atti e le proprie omissioni di cui al presente Accordo. Il Responsabile del trattamento stipulerà un accordo scritto sul trattamento dei dati con tutti i Sub-responsabili del trattamento autorizzati. Il Responsabile del trattamento deve garantire che tutti i Sub-responsabili del trattamento siano contrattualmente vincolati agli stessi obblighi o ad obblighi superiori rispetto al trattamento in base al quale il Responsabile del trattamento è vincolato dal presente DPA.
5.3 Quando un nuovo Sub-responsabile del trattamento viene incaricato durante il periodo di durata del presente DPA, il Responsabile del trattamento dovrà, entro un periodo di tempo ragionevole, prima che il nuovo Sub-responsabile del trattamento tratti i Dati personali del Titolare del trattamento, informare il Titolare del trattamento dell'incarico (includendo il nome e l'ubicazione del relativo Sub-responsabile del trattamento e le attività che svolgerà) contattando il/i proprietario/i dell'account del Titolare del trattamento, come elencato nell'account impostato dal Titolare del trattamento al momento della registrazione del prodotto TimeMoto.
5.4 Il Titolare del trattamento può opporsi per iscritto alla nomina di un nuovo Sub-responsabile del trattamento da parte del Responsabile del trattamento entro cinque (5) giorni di calendario dal ricevimento della notifica, a condizione che tale obiezione sia basata su ragionevoli motivi relativi alla protezione dei dati. In tal caso, le parti discuteranno tali preoccupazioni in buona fede al fine di raggiungere una risoluzione commercialmente ragionevole. Se non è possibile raggiungere una risoluzione, il Responsabile del trattamento, a sua esclusiva discrezione, o non nominerà il Sub-responsabile del trattamento, o consentirà al Titolare del trattamento di sospendere o cessare il servizio interessato in conformità con le disposizioni di risoluzione dell’Accordo, senza responsabilità verso nessuna delle parti (ma fatti salvi eventuali oneri sostenuti dal Titolare del trattamento prima della sospensione o risoluzione)
5.5 I Sub-responsabili del trattamento incaricati dal Responsabile del trattamento sono descritti in dettaglio nell’Appendice B del presente DPA.
Articolo 6 Incidente a carico della sicurezza
6.1 Il Responsabile del trattamento ha implementato misure di sicurezza tecniche e organizzative come dettagliato nell’Appendice C, comprese le procedure dirette a rilevare gli Incidenti a carico della sicurezza e agire ragionevolmente su di essi, per garantire un livello adeguato di protezione per il trattamento dei Dati personali nell'ambito dell'Accordo.
6.2 Dopo essere venuto a conoscenza di un (potenziale) Incidente a carico della sicurezza dei Dati personali del Titolare del trattamento, il Responsabile del trattamento avviserà il Titolare del trattamento tempestivamente e senza indebito ritardo tramite il/i proprietario/i dell'account del Titolare del trattamento.
6.3. La comunicazione di cui al precedente paragrafo 6.2 contiene, per quanto disponibili, le seguenti informazioni:
1. il giorno e l'ora in cui il Responsabile del trattamento è venuto a conoscenza dell'Incidente a carico della sicurezza;
2. la natura dell'Incidente a carico della sicurezza;
3. il momento, o il momento o il periodo più probabile, in cui si è verificato l'Incidente a carico della sicurezza e quanto è durato;
4. la tipologia di Dati personali del Titolare del trattamento (probabilmente) coinvolti nell'Incidente a carico della sicurezza;
5. le possibili conseguenze/rischi dell'Incidente a carico della sicurezza per la vita privata degli Interessati, ovvero dei soggetti coinvolti;
6. il/i punto/i di contatto da cui è possibile ottenere maggiori informazioni sull'Incidente a carico della sicurezza;
7. le misure raccomandate per ridurre le conseguenze negative dell'Incidente a carico della sicurezza;
8. le misure che il Responsabile del trattamento ha adottato o propone di adottare per porre rimedio all'Incidente a carico della sicurezza.
9. ogni altra informazione rilevante per valutare l'Incidente a carico della sicurezza.
6.4 In relazione a ciascun Incidente a carico della sicurezza di cui al precedente paragrafo 6.2, il Responsabile del trattamento fornirà al Titolare del trattamento ogni tipo di assistenza che ci si può ragionevolmente aspettare dal Responsabile del trattamento, inclusa la fornitura di informazioni e supporto adeguati per quanto riguarda la fornitura di informazioni di cui al precedente paragrafo 6.3, richieste da parte di autorità, limitando l'impatto di un Incidente a carico della sicurezza sulla vita privata degli Interessati e/o limitando il danno per il Titolare del trattamento a seguito dell'Incidente a carico della sicurezza.
6.5 Il Titolare del trattamento è l'unico responsabile del rispetto delle leggi sugli Incidenti a carico della sicurezza o di altre leggi sulla notifica degli incidenti applicabili al Titolare del trattamento e dell'adempimento di eventuali obblighi di notifica di terzi relativi a qualsiasi Incidente a carico della sicurezza.
Articolo 7 Esportazione dei Dati personali
7.1 Il Responsabile del trattamento o qualsiasi Sub-responsabile del trattamento incaricato dal Responsabile del trattamento trasferirà i Dati personali in Paesi al di fuori dello Spazio Economico Europeo (SEE) e del Regno Unito, inclusa la fornitura di Dati personali, esclusivamente in conformità con gli standard di protezione dei dati stabiliti dalla Legislazione in materia di protezione dei dati.
Articolo 8 Diritto alla verifica
8.1 Il Responsabile del trattamento dovrà mettere a disposizione del Titolare del trattamento tutte le informazioni ragionevolmente necessarie per dimostrare la conformità con il presente DPA e consentire le verifiche e contribuire a queste ultime, comprese le ispezioni da parte del Titolare del trattamento al fine di valutare la conformità con il presente DPA.
8.2 Il Titolare del trattamento deve assicurarsi che i suoi rappresentanti che conducono la verifica utilizzino ogni sforzo ragionevole per ridurre al minimo qualsiasi interruzione dell'attività del Responsabile del trattamento in relazione al supporto del Responsabile del trattamento alla verifica.
8.3 Il supporto alle verifiche può essere richiesto non più di una volta all'anno o come richiesto dalla Legislazione in materia di protezione dei dati o da un'autorità di controllo competente.
8.4 Il Titolare del trattamento sarà responsabile di eventuali costi derivanti dalla verifica o in connessione con quest’ultima, a meno che tale verifica non identifichi il mancato rispetto da parte del Responsabile del trattamento dei suoi obblighi di sicurezza delle informazioni ai sensi della Legislazione in materia di protezione dei dati o del presente DPA, nel qual caso il Responsabile del trattamento può condividere costi ragionevoli previa consultazione con il Titolare del trattamento. Il Titolare del trattamento può creare un rapporto di verifica che riassume i risultati e le osservazioni, trattandolo come informazioni riservate da non divulgare a terzi, tranne quando strettamente necessario, ad esempio al consulente legale del Titolare del trattamento, ai consulenti, al Responsabile della protezione dei dati, ai dipendenti, agli affiliati o come richiesto dalla legge o da un'autorità di controllo competente, o con il consenso alla divulgazione da parte del Responsabile del trattamento.
8.5 Il Responsabile del trattamento non è tenuto a divulgare o dare accesso al Titolare del trattamento o a un soggetto nominato:
1. qualsiasi dato (personale) che riguarda un altro cliente del Responsabile del trattamento;
2. informazioni interne, aziendali sensibili o finanziarie del Responsabile del trattamento; oppure
3. qualsiasi informazione che, secondo il ragionevole giudizio del Responsabile del trattamento, potrebbe compromettere la sicurezza del Responsabile del trattamento o dei locali di quest’ultimo o causare la violazione degli obblighi legali o contrattuali da parte del Responsabile del trattamento.
Articolo 9 Ispezioni o verifiche da parte delle autorità pubbliche
9.1 Il Responsabile del trattamento dovrà sottoporre i propri sistemi di trattamento, le strutture e la documentazione di supporto a un'ispezione o a una verifica relativa al Trattamento da parte di un'autorità pubblica competente, se ciò è necessario per conformarsi a un obbligo legale. In caso di ispezione o verifica, ciascuna Parte fornisce tutta l'assistenza ragionevole all'altra Parte in risposta a tale ispezione o verifica. Se un'autorità pubblica competente ritiene illegittimo il Trattamento in relazione al DPA, le Parti dovranno adottare misure immediate per garantire il futuro rispetto delle leggi applicabili sulla protezione dei dati.
Articolo 10 Richieste di cooperazione e diritti dell'Interessato
10.1 Il Titolare del trattamento è il principale responsabile della gestione e della risposta alle richieste avanzate dagli Interessati. Il Titolare del trattamento è tenuto a determinare se un Interessato ha o meno il diritto di esercitare i diritti dell'Interessato come stabilito nella Legislazione in materia di protezione dei dati e a fornire al Responsabile del trattamento specifiche sulla misura in cui è necessaria l'assistenza specificata nel paragrafo 10.3 del presente Articolo.
10.2 Come parte del servizio fornito ai sensi dell’Accordo, il Responsabile del trattamento fornisce al Titolare del trattamento una serie di funzionalità self-service, che il Titolare del trattamento può utilizzare per recuperare, correggere, eliminare o limitare l'uso dei Dati personali dell'utente finale, che il Titolare del trattamento può utilizzare come supporto in relazione ai propri obblighi relativi alla risposta alle richieste dell'Interessato tramite l'account del cliente del Titolare del trattamento, senza costi aggiuntivi. Inoltre, il Responsabile del trattamento adotta misure tecniche e organizzative ragionevoli per assistere il Titolare del trattamento nell'adempimento dell'obbligo di rispondere alle richieste di esercizio dei diritti dell'Interessato come descritto nella Legislazione in materia di protezione dei dati, nella misura in cui ciò sia possibile.
10.3 Il Responsabile del trattamento fornirà la sua pronta e piena collaborazione, per quanto possibile, in definitiva entro dieci (10) giorni lavorativi, per le richieste del Titolare del trattamento relative al Trattamento ai sensi del DPA, inclusi, ma non limitatamente, eventuali reclami, richieste o domande ricevute dagli Interessati. Il Responsabile del trattamento non risponderà direttamente agli Interessati, salvo ove specificamente indicato dal Titolare del trattamento.
10.4 Nel caso in cui il Titolare del trattamento richieda misure tecniche e organizzative aggiuntive o modificate per rispondere ai diritti dell'Interessato, che vanno oltre l'assistenza fornita dal Responsabile del trattamento ai sensi dei precedenti paragrafi 10.2 e 10.3, il Responsabile del trattamento informerà il Titolare del trattamento dei costi per implementare tali misure tecniche aggiuntive o modificate e misure organizzative. Una volta che il Titolare del trattamento ha confermato di sostenere tali costi, il Responsabile del trattamento implementerà le misure tecniche e organizzative aggiuntive o modificate per assistere il Titolare del trattamento per rispondere alle richieste degli Interessati.
Articolo 11 Valutazioni d’impatto sulla protezione dei dati
11.1 Il Responsabile del trattamento assisterà il Titolare del trattamento nell'adempimento del suo obbligo di effettuare una valutazione d'impatto sulla protezione dei dati e la consultazione preventiva con le autorità di controllo in relazione ai servizi forniti dal Responsabile del trattamento al Titolare del trattamento ai sensi del presente DPA, fornendo al Titolare del trattamento le informazioni necessarie e disponibili. Se, a tale scopo, il Responsabile del trattamento deve sostenere costi aggiuntivi, le parti discuteranno le questioni in buona fede e raggiungeranno un accordo al riguardo.
Articolo 12 Richieste di agenzie governative
12.1 Il Responsabile del trattamento agirà solo su richiesta di un’agenzia governativa di fornire (accesso ai) Dati personali, se richiesto dalla legge e la richiesta soddisfa i requisiti legali, inclusi i principi di proporzionalità e sussidiarietà.
12.2 Il Responsabile del trattamento informa il Titolare del trattamento di una richiesta di un’agenzia governativa di trattare i Dati personali, a meno che la richiesta dell'agenzia governativa non vieti espressamente tale notifica.
Articolo 13 Responsabilità e manleva
13.1 Ciascuna Parte è responsabile dei propri obblighi stabiliti nel presente DPA e nella Legislazione in materia di protezione dei dati. Qualsiasi responsabilità derivante da o in connessione con una violazione degli obblighi del presente DPA o ai sensi della Legislazione in materia di protezione dei dati, seguirà, e sarà regolata da, le disposizioni sulla responsabilità stabilite nell’Accordo o altrimenti applicabili a quest’ultimo, salvo diversamente previsto all'interno del presente DPA. Se la responsabilità è regolata dalle disposizioni sulla responsabilità stabilite nell’Accordo o altrimenti applicabili all’Accordo, allo scopo di calcolare i limiti di responsabilità e/o determinare l'applicazione di altre limitazioni di responsabilità, la responsabilità che si verifica ai sensi del presente DPA sarà considerata pari al verificarsi ai sensi del relativo Accordo.
13.2 Il Titolare del trattamento difenderà, manleverà e manterrà indenne il Responsabile del trattamento da qualsiasi pretesa, danno, responsabilità, valutazione, perdita, costo, sanzione amministrativa e altra spesa (incluse, senza limitazione, ragionevoli spese di avvocato e spese legali) derivanti o risultanti da qualsiasi reclamo, accusa, richiesta, causa, azione, ordine o qualsiasi altro procedimento da parte di terzi (comprese le autorità di controllo) che derivi da o sia correlato alla violazione degli obblighi del Titolare del trattamento ai sensi del presente DPA o della Legislazione in materia di protezione dei dati.
Articolo 14 Restituzione e distruzione dei Dati personali
14.1 Alla risoluzione dell’Accordo, il Titolare del trattamento potrà, a sua scelta, scaricare i Dati personali, comprese eventuali copie degli stessi. Il Titolare del trattamento può richiedere al Responsabile del trattamento di distruggere in modo sicuro i Dati personali, salvo nella misura in cui l’Accordo o la Legislazione in materia di protezione dei dati prevedano diversamente. In tal caso, il Responsabile del trattamento non tratterà più i Dati personali, salvo nella misura in cui sia richiesto dall’Accordo o dalla Legislazione in materia di protezione dei dati. Il Responsabile del trattamento fornisce al Titolare del trattamento una serie di funzionalità self-service, che il Titolare del trattamento può utilizzare per estrarre i propri Dati personali in modo indipendente.
14.2 Nel caso in cui il Titolare del trattamento richieda misure tecniche e organizzative aggiuntive o modificate per ricevere Dati personali, che vanno oltre l'assistenza ragionevole fornita dal Responsabile del trattamento ai sensi del precedente paragrafo 14.1, il Responsabile del trattamento informerà il Titolare del trattamento dei costi per implementare tali misure tecniche e organizzative aggiuntive o modificate. Una volta che il Titolare del trattamento ha confermato di sostenere tali costi, il Responsabile del trattamento implementerà le misure tecniche e organizzative aggiuntive o modificate per assistere il Titolare del trattamento per ricevere una copia dei propri Dati personali.
14.3 Se, entro trenta (30) giorni dalla risoluzione del DPA, il Titolare del trattamento non richiede al Responsabile del trattamento la restituzione o la distruzione dei Dati personali, il Responsabile del trattamento potrà distruggere i Dati personali. In tal caso, il Responsabile del trattamento distruggerà i Dati Personali al più tardi entro novanta (90) giorni dalla risoluzione del DPA.
Articolo 15 Durata e risoluzione
15.1 Il presente DPA entra in vigore non appena il Responsabile del trattamento inizia il trattamento dei Dati personali per conto del Titolare del trattamento in seguito all'accettazione del DPA.
15.2 Il presente DPA è efficace per l’intera durata dell’Accordo. Alla risoluzione dell’Accordo, il presente DPA termina per effetto di legge.
15.3 Eventuali obblighi ai sensi del presente DPA, che per loro natura sono destinati a perdurare oltre la risoluzione dell’Accordo, continueranno ad applicarsi dopo la risoluzione.
Articolo 16 Modifiche e rinegoziazioni
16.1 Il Responsabile del trattamento può apportare periodicamente delle modifiche ai presenti termini. Se vengono apportate modifiche, al Titolare del trattamento verrà fornita una notifica di tali modifiche tramite il proprietario o i proprietari dell'account del Titolare del trattamento o una notifica all'interno del prodotto o altro canale di comunicazione pratico. Salvo diversa indicazione da parte del Responsabile del trattamento nella notifica, i termini modificati entreranno in vigore al momento del rinnovo dell’Accordo del Titolare del trattamento. Il rinnovo dell’Accordo conferma l'accettazione delle modifiche da parte del Titolare del trattamento. Se il Titolare del trattamento non accetta i termini modificati, deve interrompere l'utilizzo dei servizi del Responsabile del trattamento, risolvendo l’Accordo in conformità con i diritti di risoluzione.
16.2 Le Parti concordano preventivamente le modifiche del DPA a seguito di modifiche del quadro giuridico per la protezione dei Dati personali che sono strettamente necessarie per il rispetto delle leggi e dei regolamenti pertinenti o della loro interpretazione o delle politiche delle autorità.
Articolo 17 Persone di contatto
17.1 Per qualsiasi domanda o reclamo relativamente al presente DPA, i servizi cliente del Responsabile del trattamento possono essere contattati tramite i dettagli di contatto come segue:
Ruolo: Assistenza clienti
Pagina Contattaci: https://www.timemoto.com/it-it/contact-sales
Articolo 18 Varie
18.1 Il presente DPA è regolato dalla legge olandese.
18.2 Le controversie derivanti dal presente DPA sono sottoposte in via esclusiva all'agenzia competente, la quale ascolterà e deciderà sulle controversie derivanti dall’Accordo. In caso di mancata risoluzione da parte di tale agenzia, avrà giurisdizione esclusiva il tribunale competente concordato nell’Accordo.
18.3 Eventuali termini e condizioni standard del Titolare del trattamento non sono applicabili al presente DPA e sono esplicitamente rigettati dal Responsabile del trattamento. In caso di conflitto tra il presente DPA e l'Accordo, prevale il DPA.
APPENDICE A – INFORMAZIONI SUL TRATTAMENTO
A.1. Il Responsabile del trattamento ha definito, progettato e sviluppato una soluzione di monitoraggio del tempo chiamata TimeMoto utilizzando rilevatori di presenza intelligenti. Questa soluzione facilita il rilevamento delle presenze in modo semplice e sicuro, grazie all’aggiunta di TimeMoto Cloud, che consente alle organizzazioni di gestire i dati in tempo reale, inclusi gli orari di lavoro, gli straordinari e le assenze. Lo scopo ovvero gli scopi del trattamento dei Dati personali da parte del Responsabile del trattamento per conto del Titolare del trattamento sono:
- Creazione e configurazione dell'account utente finale.
- Registrazione e programmazione degli orari.
- Registrazione assenze e straordinari.
- Generazione di report.
A.2. Il trattamento comprende le seguenti tipologie di Dati personali:
· Relativi ai rilevatori di presenza TimeMoto
Impronta digitale e ID facciale, pin, ID badge.
TimeMoto B.V. non tratta tali dati in qualità di Responsabile del trattamento, pertanto non rientra nell'ambito di applicazione del presente DPA. TimeMoto non ha accesso a tali dati.
· Relativi a TimeMoto Cloud
Nome e cognome, registrazioni degli orari Indirizzo e-mail, password dell'account, ID utente finale del rilevatore di presenza, fuso orario, lingua, numero del dipendente / secondo numero del dipendente, numero del badge (numero del badge che l'utente finale potrebbe utilizzare per l'identificazione al/ai rilevatore/i di presenza), stato dell'utente finale, date delle attività, modello di pagamento (contenente tutte le informazioni sulla retribuzione del dipendente e sulle regole sugli straordinari), orario di lavoro, tariffa oraria, profilo vacanze/ferie, altri motivi di congedo (ad esempio malattia), senza rivelare specifiche informazioni sanitarie o su malattie, Flexibank, indicante le ferie accumulate, membro della squadra di emergenza (i membri della squadra di emergenza hanno l'autorità di attivare gli appelli antincendio per allertare il personale del Titolare del trattamento sul posto in caso di emergenza), dipartimento, luoghi in cui i dipendenti possono utilizzare i rilevatori di presenza per registrare il proprio orario di lavoro, privilegi dell'utente finale, luogo di rilevamento di ingresso/uscita.
A.3. Il trattamento comprende le seguenti categorie di Interessati:
- Dipendenti del Titolare del trattamento',
- Consulenti, professionisti interinali, stagisti o qualsiasi altro soggetto a cui possa essere concesso l'accesso da parte del Titolare del trattamento.
APPENDICE b – SUB-RESPONSABILI DEL TRATTAMENTO
Nome: Microsoft Azure
Ruolo: Sub-responsabile del trattamento
Attività: Servizio di hosting per i clienti dell'UE e del Regno Unito è nell'UE (Paesi Bassi).
Nome: Utilus
Ruolo: Sub-responsabile del trattamento
Attività: Sviluppo del prodotto e manutenzione del software e dell'infrastruttura.
Nome: Sendgrid
Ruolo: Sub-responsabile del trattamento
Attività: Invio di e-mail transazionali (accesso ai dati e-mail), come attivazione, reimpostazione della password, reportistica dalle notifiche.
Nome: Hibernating Rhinos
Ruolo: Sub-responsabile del trattamento
Attività: Servizi di banche dati.
APPENDICE c – MISURE DI SICUREZZA TECNICHE ED ORGANIZZATIVE
Il Responsabile del trattamento adotta misure tecniche e organizzative adeguate per proteggere i Dati personali dalla perdita o da qualsiasi forma di trattamento illecito. Tali misure, i costi di attuazione, nonché la natura, le dimensioni, il contesto e gli obiettivi del trattamento offrono un livello di sicurezza adeguato. Le misure mirano inoltre a prevenire la raccolta e l’ulteriore trattamento non necessari dei Dati personali. Le misure di sicurezza includono quanto segue:
A. Riservatezza dei dati:
1. Misure per l'accesso fisico all'hardware
Le applicazioni del Responsabile del trattamento sono ospitate in data center ad alta sicurezza situati nell'UE (Paesi Bassi). I data center sono dotati di severi controlli di accesso fisico, come:
- L'accesso fisico ai data center è consentito solo al personale dei clienti e dei data center incaricato e registrato;
- I visitatori devono essere annunciati in anticipo alla direzione del data center per l'autorizzazione all'accesso;
- I visitatori dei data center dovranno identificarsi muniti di un documento di identità legalmente valido e di un badge personale di accesso rilasciato nominativamente;
- Viene tenuto un registro di tutte le visite;
- I rack in cui sono montati i server sono bloccati; Sistema di gestione delle chiavi;
- Misure antintrusione e collegamento alla centrale d'allarme.
2. Misure per l'accesso fisico alla sede del partner informatico esterno del Responsabile del trattamento
- I visitatori devono essere annunciati in anticipo alla direzione del partner informatico;
- I visitatori dei locali del partner informatico devono essere sempre accompagnati da un membro del personale del partner informatico;
- Nessun dato di produzione viene conservato presso la sede del partner informatico;
- Misure antintrusione e collegamento alla centrale d'allarme.
3. Misure per il controllo degli accessi a livello di server
- L'accesso ai server tramite VPN (Virtual Private Network) richiede credenziali individuali e la VPN è accessibile solo sui sistemi client in una rete dedicata per la quale è richiesta un'autenticazione di rete basata su password. Solo il personale autorizzato dispone delle credenziali necessarie ed è predisposta una matrice di autorizzazione;
- La gestione della VPN avviene tramite un sistema di gestione della rete separato, accessibile solo al personale autorizzato. È presente una matrice di autorizzazione;
- L'accesso ai server è registrato e tracciabile.
4. Misure per il controllo degli accessi a livello dei dati
- L'accesso ai dati richiede chiavi di autorizzazione, le cui credenziali vengono gestite tramite una matrice di autorizzazione;
- Sono presenti un controllo della versione del software e protocolli DTAP (Design, Test, Accept & Production).
5. Misure per le modalità di copiatura e sicurezza
- Tutti i backup sono crittografati e conservati in un’ubicazione separata;
- Tutte le password e le credenziali sono crittografate in modo sicuro e archiviate con una struttura e gerarchia chiare e accessibili solo al personale autorizzato;
- Tutti i membri del personale interessati hanno firmato un accordo di non divulgazione e hanno acconsentito al codice di condotta relativo alla sicurezza e all'integrità dei dati;
- Tutti i server hanno certificati SSL validi;
- I tunnel VPN sicuri vengono sottoposti ad hashing con standard di crittografia come AES256 e/o 3DES e PFS (vedi A.3);
- Sono presenti firewall per proteggere i server da attacchi esterni;
- I dati biometrici vengono sempre crittografati in modo sicuro in stringhe di testo con hash, che non sono riconducibili ai singoli dati biometrici. Nessun dato biometrico principale viene conservato su nessun prodotto della suite TimeMoto;
- Solo alcuni ruoli hanno i diritti all'interno del sistema per eliminare i profili;
- Un registro delle attività di chi ha avviato l'eliminazione di un profilo; in situazioni in cui un backup viene eliminato intenzionalmente e possibilmente in modo dannoso, il sistema fornirebbe un registro di chi ha eseguito l'eliminazione.
B. Integrità dei dati:
- Le interfacce tra terminali e server sono protette con connessioni HTTPS;
- Vengono trattati solo i dati personali che richiedono la corretta esecuzione dello scopo del contratto (nomi e cognomi, indirizzi e-mail e dati di registrazione del tempo (presenze, assenze, tempi di progetto, giorni liberi, ferie, assenteismo));
- Tunnel VPN per accedere ai server (vedi A.3);
- Registri tracciabili per la comunicazione terminale-server, accesso al server, accesso al database.
C. Disponibilità dei dati:
- I server hanno un tempo di attività del 99,95%;
- Vengono eseguiti periodicamente ripristini dei backup di prova;
- Sono presenti hardware e connessioni ridondanti;
- II data center sono dotati di vari UPS (gruppi di continuità) e generatori a diesel per garantire la ridondanza dell’alimentazione.