Accordo sul trattamento dei dati (DPA)

Tra

Il Titolare del trattamento dei dati:

Utente del software Atobi come specificato nell'accordo principale tra il Titolare e il Responsabile del trattamento dei dati

Ogni singolo cliente per il quale Atobi ApS tratta i dati e che non ha altrimenti stipulato un accordo valido con Atobi ApS e il Responsabile del trattamento dei dati

Atobi ApS

CVR 35239901

Klosterstræde 9, 1157 Copenhagen, Danimarca

1. INTRODUZIONE

Il presente Accordo per il trattamento dei dati ("DPA") specifica gli obblighi delle Parti in materia di protezione dei dati, che derivano dal trattamento dei dati personali da parte del Responsabile del trattamento per conto del Titolare del trattamento ai sensi del preventivo, dell'accordo di servizio o di altro accordo tra le Parti ("l'Accordo").

Il DPA è adottato come appendice del Contratto. Nel caso in cui una qualsiasi disposizione del presente DPA sia in contrasto con uno o più termini del Contratto, prevarrà il DPA.

2. SCOPO, AMBITO E RESPONSABILITÀ

2.1 Il Responsabile del trattamento tratterà i dati personali solo in conformità ai termini della presente DPA.

2.2 Il Responsabile del trattamento tratterà i dati personali al solo scopo di adempiere agli obblighi previsti dal Contratto. A tal fine, i dati potranno essere trattati da qualsiasi entità del Responsabile del trattamento.

2.3 Il trattamento dei dati da parte del Responsabile del trattamento comprende le azioni specificate nel Contratto.

2.4 La durata del presente DPA si protrarrà fino all'ultimo dei seguenti casi: la risoluzione del Contratto o la data in cui il Responsabile del trattamento cessa di trattare i dati personali per il Titolare del trattamento.

2.5 I dati personali oggetto di trattamento da parte del Fornitore riguardano le categorie di dati, le categorie di interessati e le finalità del trattamento indicate nell'Allegato 1.

2.6 Ad eccezione dei dati descritti nell'Allegato 1, in nessun caso i dati trattati dal Responsabile del trattamento comprenderanno (gli esempi non sono esaustivi):

i) dati personali di cui agli artt. 9 o 10 del Regolamento 2016/679 del 27 aprile 2016

ii) Dati finanziari,

iii) dati personali relativi a reati penali, o

iv) Dati relativi all'economia delle persone, alle tasse, ai debiti, alle relazioni familiari, alla situazione abitativa.

3. PIATTAFORMA ATOBI

3.1. Il Contratto consente al Titolare del trattamento di utilizzare la "piattaforma Atobi", uno strumento software sviluppato dal Responsabile del trattamento. La "piattaforma Atobi" consente ai dipendenti del Titolare del trattamento (con accesso di amministrazione) di caricare informazioni senza la partecipazione o la conoscenza del Responsabile del trattamento.

3.2. Il Responsabile del trattamento non si assume alcuna responsabilità per i dati caricati dal Titolare del trattamento nella "piattaforma Atobi".

3.3. Nella misura in cui tale caricamento di dati costituisce un trattamento di dati personali, il Titolare del trattamento garantisce che:

i) che il Titolare del trattamento disponga della base giuridica pertinente per avere e trattare i dati personali, compresi, se del caso, i relativi permessi dell'interessato; e

ii) che, se il trasferimento riguarda categorie di dati sensibili (cfr. sezione 3.3), l'interessato sia stato informato o sarà informato prima del trasferimento, o il più presto possibile dopo, che i suoi dati potrebbero essere trasmessi a un paese terzo che non fornisce una protezione adeguata ai sensi della legislazione sulla protezione dei dati.

4. OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO

Il Responsabile del trattamento dei dati garantisce che:

i) rispettare la legislazione sulla protezione dei dati di volta in volta applicabile agli obblighi del Responsabile del trattamento ai sensi del Contratto ("Legislazione sulla protezione dei dati"),

ii) trattare i dati personali trasferiti o raccolti dal Responsabile del trattamento solo in qualità di "incaricato del trattamento", come definito nella legislazione sulla protezione dei dati, per conto del Titolare del trattamento,

iii) implementare misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti della legislazione applicabile in materia di protezione dei dati e garantisca la protezione dei diritti degli interessati,

iv) garantire che i Subprocessori si impegnino a trattare i dati personali in conformità alla legislazione sulla protezione dei dati,

v) tenendo conto della natura del trattamento, assistere il Titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per l'adempimento dell'obbligo del Titolare del trattamento di rispondere alle richieste di esercizio dei diritti dell'interessato ai sensi della legislazione sulla protezione dei dati,

vi) assistere in misura rilevante il Titolare del trattamento nel garantire il rispetto dei requisiti di sicurezza dei dati personali,

vii) mettere a disposizione del Titolare del trattamento tutte le informazioni necessarie a dimostrare il rispetto degli obblighi previsti dal presente DPA e consentire e contribuire alle verifiche, comprese le ispezioni presso le strutture sotto il controllo del Responsabile del trattamento, condotte dal Titolare del trattamento o da un revisore incaricato dal Titolare del trattamento.

5. MISURE DI SICUREZZA TECNICHE E ORGANIZZATIVE

5.1. Il Responsabile del trattamento dei dati implementerà e manterrà per tutta la durata del DPA e farà in modo che i suoi Subprocessori implementino e mantengano per tutta la durata del DPA, le misure di sicurezza tecniche e organizzative appropriate per proteggere i dati personali da distruzione, perdita, danno o alterazione accidentali o illegali e da divulgazione non autorizzata, abuso o altro trattamento in violazione dei requisiti della legislazione sulla protezione dei dati.

5.2. Il Responsabile del trattamento dei dati garantirà che esso stesso e i suoi Subprocessori coinvolti nel trattamento dei dati personali rispettino in ogni momento i requisiti minimi di sicurezza dei dati indicati nell'Allegato 2.

6. PERSONALE

6.1. Il Responsabile del trattamento dei dati si assicurerà che il personale del Responsabile del trattamento dei dati che deve accedere ai dati personali si sia impegnato a rispettare l'obbligo di riservatezza stabilito nel Contratto o sia soggetto all'obbligo di riservatezza previsto dalla legge.

6.2. Il Responsabile del trattamento si assicurerà che tutto il personale del Responsabile del trattamento che deve accedere ai dati personali sia informato della natura riservata dei dati personali e delle procedure di sicurezza applicabili al trattamento o all'accesso ai dati personali.

6.3. L'impegno del personale del Responsabile del trattamento dei dati a rispettare tali requisiti di riservatezza continuerà anche dopo la scadenza del presente DPA.

7. ASSISTENZA AL TITOLARE DEL TRATTAMENTO

7.1 Il Responsabile del trattamento fornirà al Titolare del trattamento un'assistenza ragionevole e tempestiva per consentire al Titolare del trattamento di rispondere a:

(i) qualsiasi richiesta da parte di un interessato di esercitare uno qualsiasi dei suoi diritti ai sensi della legge applicabile sulla protezione dei dati (compresi i diritti di accesso, correzione, opposizione, cancellazione e portabilità dei dati, a seconda dei casi); e

(ii) qualsiasi altra corrispondenza, richiesta o reclamo ricevuto da un soggetto interessato, da un'autorità di regolamentazione o da altri terzi in relazione al trattamento dei Dati. Nel caso in cui tali richieste, corrispondenza, indagini o reclami siano rivolti direttamente al Responsabile del trattamento, quest'ultimo dovrà informare tempestivamente il Titolare del trattamento fornendo tutti i dettagli in merito. 

7.2 Il Responsabile del trattamento dei dati fornirà al Titolare del trattamento dei dati una ragionevole cooperazione per consentire al Titolare del trattamento dei dati di condurre qualsiasi valutazione d'impatto sulla protezione dei dati che è tenuto a svolgere ai sensi della legge applicabile sulla protezione dei dati.

8. SOTTOPROCESSORI

8.1. Il Responsabile del trattamento dei dati deve soddisfare i requisiti di cui all'articolo 28, paragrafi 2 e 4, del GDPR per poter incaricare un altro incaricato del trattamento (un subincaricato).

8.2. Con il presente DPA, il Responsabile del trattamento dispone dell'autorizzazione generale del Titolare del trattamento per l'assunzione di Subprocessori ai fini dell'esecuzione degli obblighi previsti dal Contratto. I Subprocessori, approvati dal Titolare del trattamento con la sottoscrizione del presente DPA, sono elencati nell'Allegato 3. Il Responsabile del trattamento dovrà;

i) mantenere un elenco aggiornato dei propri Subprocessori sul sito web del Responsabile del trattamento all'indirizzo https://www.atobi.io/ (o su qualsiasi altro sito web futuro utilizzato dal Responsabile del trattamento);

ii) aggiornare con i dettagli di qualsiasi cambiamento dei Subprocessori almeno 30 giorni prima di tale cambiamento (tranne nel caso in cui un preavviso di 30 giorni non sia possibile a causa di un'emergenza) e notificare al Titolare del trattamento tale cambiamento tramite il consueto processo di notifica via e-mail del Responsabile del trattamento; 

iii) fornire, su richiesta, al Titolare del trattamento una copia dell'accordo o degli accordi di trattamento dei dati tra il Responsabile del trattamento e i Subprocessori in qualsiasi momento. 

8.3. Il Titolare del trattamento può opporsi a tale nuovo Subprocessore per motivi giustificati relativi alla protezione dei dati. In caso di obiezione giustificata, le Parti negozieranno in buona fede per trovare una soluzione alternativa. Se non è possibile trovare una soluzione alternativa e il Responsabile del trattamento decide di procedere con tale subincaricato, il Titolare del trattamento può recedere dall'Accordo con un preavviso di 30 giorni. Nessuna delle Parti sarà considerata inadempiente in caso di tale risoluzione.

9. TRASFERIMENTO DEI DATI A PAESI TERZI O A ORGANIZZAZIONI INTERNAZIONALI

9.1. Qualsiasi trasferimento di dati personali a paesi terzi o organizzazioni internazionali da parte del Responsabile del trattamento avverrà solo sulla base di istruzioni documentate del Titolare del trattamento e avverrà sempre in conformità al Capitolo V del GDPR.

9.2. Se i Dati del Titolare provengono da un paese (diverso da un paese SEE) con una o più leggi che impongono restrizioni o divieti di trasferimento dei dati e il Titolare ha informato il Responsabile del trattamento di tali restrizioni o divieti di trasferimento dei dati, il Titolare e il Responsabile del trattamento dovranno garantire un meccanismo di trasferimento appropriato (che soddisfi i requisiti di trasferimento dei dati del paese), come ragionevolmente richiesto dal Titolare e reciprocamente concordato da entrambe le Parti, prima di trasferire o accedere ai Dati del Titolare al di fuori di tale paese. A scanso di equivoci, questa restrizione al trasferimento non riguarda il Titolare del trattamento o gli Utenti autorizzati delle sue Affiliate che hanno accesso al Software e ai Dati del Titolare del trattamento, e il Responsabile del trattamento non sarà ritenuto responsabile delle azioni del Titolare del trattamento o degli Utenti autorizzati delle sue Affiliate. Né il Titolare del Trattamento né i suoi Utenti Autorizzati avranno il diritto di utilizzare il Software o i Servizi in abbonamento in qualsiasi paese con leggi sulla localizzazione dei dati che richiedano che l'ambiente del Titolare del Trattamento sia ospitato in tale paese.

10. OBBLIGHI DEL TITOLARE DEL TRATTAMENTO

10.1. Il Titolare e il Responsabile del trattamento dei dati saranno separatamente responsabili della conformità alla legislazione in materia di protezione dei dati personali ad essi applicabile.

10.2. Il Titolare del trattamento è responsabile, tra l'altro, di garantire che il trattamento dei dati personali, che il Responsabile del trattamento è incaricato di eseguire, abbia una base giuridica.

10.3. Il Titolare del trattamento dei dati informerà per iscritto il Responsabile del trattamento dei dati senza ingiustificato ritardo in seguito alla scoperta da parte del Titolare del trattamento dei dati di un'inosservanza della legislazione in materia di protezione dei dati per quanto riguarda il trattamento dei dati personali in conformità con il presente DPA. 

10.4. Il Titolare del trattamento dei dati è tenuto a fornire dati di contatto accurati e pertinenti dopo la stipula del Contratto e successivamente per assistere gli obblighi di notifica del Responsabile del trattamento dei dati. 

11. NOTIFICA DELLA VIOLAZIONE DEI DATI

11.1. Il Responsabile del trattamento dei dati dovrà notificare per iscritto, senza indebito ritardo e non oltre 36 ore, al Titolare del trattamento dei dati qualsiasi violazione identificata o potenziale dei dati personali trattati ai sensi della LPD.

11.2. La notifica di cui al punto 10.1. deve, per quanto possibile:

i) descrivere la natura della violazione dei dati personali, includendo, ove possibile (ad esempio, perdita, furto, copia), le categorie e il numero approssimativo di soggetti interessati e le categorie e il numero approssimativo di registrazioni di dati personali interessate, 

ii) comunicare il nome e i dati di contatto della persona con il Responsabile del trattamento dove è possibile ottenere maggiori informazioni, 

iii) descrivere le probabili conseguenze della violazione dei dati personali, e 

iv) descrivere le misure adottate o che si propone di adottare il Responsabile del trattamento per far fronte alla violazione dei dati personali, comprese, se del caso, le misure per attenuarne i possibili effetti negativi. 

12. INCARICHI AGGIUNTIVI

12.1. Il Responsabile del trattamento dei dati dovrà sostenere tutti i costi associati all'osservanza del presente DPA in qualità di Responsabile del trattamento dei dati. 

12.2. Il Titolare del trattamento dei dati si farà carico di tutti i costi associati all'osservanza del presente DPA in qualità di Titolare del trattamento dei dati. 

12.3. Per quanto riguarda i compiti del Responsabile del trattamento dei dati, che non costituiscono un obbligo ai sensi del presente DPA, cfr. le sezioni precedenti, il Responsabile del trattamento dei dati avrà il diritto di addebitare al Titolare del trattamento dei dati le risorse aggiuntive, il tempo e il materiale necessari per adempiere al/i compito/i richiesto/i, a meno che tali servizi non siano già inclusi nei servizi resi ai sensi del Contratto. 

12.4. Il Responsabile del trattamento notificherà in anticipo al Titolare del trattamento tali oneri aggiuntivi e, per quanto possibile, fornirà al Titolare del trattamento un preventivo dei costi previsti. 

12.5. Se il Titolare del trattamento non può accettare i costi, il Responsabile del trattamento avrà il diritto di non eseguire l'incarico aggiuntivo e di recedere dal Contratto con un preavviso di 30 giorni. In tal caso, il Responsabile del trattamento non sarà considerato inadempiente. 

13. CANCELLAZIONE E RESTITUZIONE DEI DATI PERSONALI

13.1. Dopo la scadenza o la risoluzione del Contratto, il Responsabile del trattamento conserverà i Dati del cliente che rimangono memorizzati nell'inquilino del Titolare del trattamento in un account a funzioni limitate per 90 giorni dopo la scadenza o la risoluzione dell'abbonamento del Titolare del trattamento. Al termine del periodo di conservazione di 90 giorni, il Responsabile del trattamento dei dati disabiliterà l'account del Titolare del trattamento e cancellerà i Dati personali, a meno che il Responsabile del trattamento dei dati non sia autorizzato o richiesto dalla legge applicabile, o autorizzato ai sensi del presente DPA, a conservare tali dati. In ogni momento della durata dell'abbonamento del Titolare del trattamento, quest'ultimo avrà la possibilità di accedere, estrarre e cancellare i Dati del cliente memorizzati nel proprio inquilino.

13.2. Su richiesta del Titolare del trattamento, il Responsabile del trattamento dovrà certificare per iscritto la distruzione dei dati personali.

14. RESPONSABILITÀ

14.1. La responsabilità di ciascuna parte per una o più violazioni del presente DPA sarà soggetta alle limitazioni ed esclusioni di responsabilità stabilite nell'Accordo. In nessun caso la responsabilità di una delle parti per una violazione del presente DPA potrà superare il limite di responsabilità stabilito nel Contratto. Nessuna delle parti limita o esclude le responsabilità che non possono essere limitate o escluse ai sensi della legge applicabile (ad esempio per frode). 

15. SEDE LEGALE E LEGGE APPLICABILE

15.1. Il presente DPA è disciplinato dalla legge danese. 

15.2. Qualsiasi reclamo o controversia derivante da o in relazione al Contratto di trattamento dei dati deve essere risolto in prima istanza dal Tribunale della città di Copenaghen. 

ALLEGATO 1: INFORMAZIONI SUL TRATTAMENTO

1. Lo scopo del trattamento dei dati personali da parte del Responsabile del trattamento per conto del Titolare del trattamento è: 

Il Responsabile del trattamento è una società di sviluppo software, incaricata dal Titolare del trattamento di mettere a disposizione del Titolare del trattamento un software come servizio di supporto alla creazione di documenti aziendali. Il contenuto della presente DPA riflette la quantità limitata di dati personali che il Responsabile del trattamento tratta per il Titolare. 

2. Il trattamento dei dati personali da parte del Responsabile del trattamento per conto del Titolare del trattamento riguarderà principalmente (la natura del trattamento): 

La fornitura dei Servizi da parte di Atobi al Cliente.

3. Il trattamento comprende le seguenti tipologie di dati personali degli interessati: 

Nome, indirizzo e-mail aziendale, numero di telefono aziendale, titolo di lavoro, sede dell'ufficio; nonché documenti, immagini e altri contenuti o dati in forma elettronica memorizzati o trasmessi dagli Utenti finali tramite i Servizi.

4. Il trattamento comprende il seguente tipo di categorie particolari di dati sugli interessati: 

Nessuno.

5. Il trattamento comprende le seguenti categorie di soggetti: 

I dipendenti del Titolare del trattamento. O come determinato dal Cliente attraverso l'utilizzo della "Piattaforma Atobi".

6. Il trattamento dei dati personali da parte del Responsabile del trattamento avviene nei seguenti luoghi, compreso il nome del paese/dei paesi di trattamento: 

• Pilestraede 28, 1112 Copenhagen K, Danimarca
• Kareivių g. 11B, Vilnius 09109, Lituania

7. Il trattamento dei dati personali da parte del Responsabile del trattamento per conto del Titolare del trattamento può essere effettuato quando iniziano le Clausole. Il trattamento ha la seguente durata: 

I dati personali vengono conservati presso l'Incaricato del trattamento fino a quando il Titolare del trattamento non ne richiede la cancellazione o la restituzione, cfr. clausola 13.1 della presente LPD. 

ALLEGATO 2: DESCRIZIONE DELLA SICUREZZA MINIMA DEI DATI

Atobi ApS ha implementato e manterrà adeguate misure di sicurezza amministrative, tecniche e fisiche per proteggere i dati personali e, inoltre, quelle indicate di seguito. Contatto per la sicurezza: Le richieste relative alla sicurezza delle informazioni possono essere indirizzate al CEO di Atobi all'indirizzo jan@atobi.io. 

Misure tecniche e organizzative di base 

1. Controlli dell'accesso fisico 

Il Responsabile del trattamento adotterà misure ragionevoli per impedire l'accesso fisico, come ad esempio edifici protetti, per impedire a persone non autorizzate di accedere ai dati personali.

2. Controlli di accesso al sistema

Il Responsabile del trattamento adotterà misure ragionevoli per impedire che i dati personali vengano utilizzati senza autorizzazione. Tali controlli varieranno in base alla natura del trattamento effettuato e potranno includere, tra gli altri controlli, l'autenticazione tramite password e/o l'autenticazione a due fattori, processi di autorizzazione documentati, processi di gestione delle modifiche documentati e/o la registrazione degli accessi a più livelli. 

3. Controlli di accesso ai dati

Il Responsabile del trattamento dei dati dovrà adottare misure ragionevoli per garantire che i dati personali siano accessibili e gestibili solo da personale debitamente autorizzato, che l'accesso diretto alle interrogazioni del database sia limitato e che i diritti di accesso alle applicazioni siano stabiliti e applicati per garantire che le persone autorizzate a utilizzare un sistema di trattamento dei dati abbiano accesso solo ai dati personali a cui hanno il privilegio di accedere; e che i dati personali non possano essere letti, copiati, modificati o rimossi senza autorizzazione nel corso del trattamento. Il Responsabile del trattamento dei dati dovrà adottare misure ragionevoli per implementare una politica di accesso in base alla quale l'accesso al proprio ambiente di sistema, ai dati personali e ad altri dati sia consentito solo al personale autorizzato.

4. Controlli della trasmissione 

Il Responsabile del trattamento adotterà misure ragionevoli per garantire che sia possibile controllare e stabilire a quali soggetti è previsto il trasferimento dei dati personali tramite strutture di trasmissione dati, in modo che i dati personali non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante la trasmissione o il trasporto elettronico.

5. Controlli di ingresso

Il Responsabile del trattamento adotterà misure ragionevoli per garantire che sia possibile verificare e stabilire se e da chi i dati personali sono stati inseriti nei sistemi di elaborazione dati, modificati o rimossi. Il Responsabile del trattamento dei dati dovrà adottare misure ragionevoli per garantire che (i) la fonte dei dati personali sia sotto il controllo dell'esportatore dei dati; e (ii) i dati personali integrati nei sistemi del Responsabile del trattamento dei dati siano gestiti mediante un trasferimento di file protetto dal Responsabile del trattamento dei dati e dall'interessato.

ESEMPIO 3: SUBPROCESSORI AUTORIZZATI