Accordo sul trattamento dei dati

1. Definizioni

“Contratto”: l’accordo tra il Committente e Peopleware GmbH (il “Fornitore”) che fa riferimento al presente Accordo sul trattamento dei dati (“DPA”).

“Legge applicabile in materia di protezione dei dati”: la normativa che tutela il diritto alla riservatezza con riferimento al Trattamento dei Dati Personali (per esempio, il GDPR).

“Committente”: la parte che determina le finalità e i mezzi del Trattamento dei Dati Personali.

“GDPR”: il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

“Dato personale”/“Dati personali”: ha il significato attribuito a tale espressione nell’articolo 4, comma 1 del GDPR e, ai fini del presente DPA, include esclusivamente i Dati personali del Committente trattati dal Fornitore in qualità di Responsabile del trattamento.

“Violazione dei dati personali”: una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati personali trattati ai sensi del presente DPA.

“Responsabile del trattamento”: la persona fisica o giuridica, che tratta Dati personali per conto del Committente.

“Trattamento”: ha il significato attributo a tale termine nell’articolo 4, comma 2 del GDPR.

“Servizi”: i servizi forniti ai sensi dell’Accordo che prevedono il Trattamento di Dati personali da parte del Fornitore che agisce in qualità di Responsabile del trattamento per conto del Committente. I servizi sono ulteriormente descritti nell’Allegato 1.

“Sub-responsabile del trattamento”: ogni altro Responsabile del trattamento incaricato dal Fornitore nell’esecuzione dei Servizi previsti dal presente DPA. Per Sub-responsabile del trattamento si intende esclusivamente un subfornitore che ha accesso ai Dati personali.

2. Scopo e ambito di applicazione

2.1 Il presente DPA costituisce un accordo scritto sul trattamento dei dati tra il Committente e il Fornitore e si applica ai Servizi forniti nell’ambito dell’Accordo che comportano il Trattamento di Dati personali da parte del Fornitore in qualità di Responsabile del trattamento.

2.2 Esso definisce i diritti e gli obblighi delle parti in materia di protezione dei dati con riferimento ai Servizi disciplinati dal presente DPA. Tutti gli altri diritti e obblighi sono regolati esclusivamente dalle altre disposizioni del Contratto.

2.3 Il Fornitore tratterà i Dati personali esclusivamente secondo i termini previsti dal Contratto (inclusi i termini del presente DPA).

2.4 Nell’esecuzione dei Servizi, il Fornitore è tenuto a osservare tutte le leggi e i regolamenti in materia di protezione dei dati applicabili ai soggetti che agiscono in qualità di Responsabile del trattamento. Il Committente è responsabile del rispetto di tutte le normative a lui applicabili.

2.5 In caso di conflitti tra le disposizioni del presente DPA e le altre disposizioni del Contratto principale, prevalgono le disposizioni del presente DPA per quanto riguarda gli obblighi delle parti in materia di protezione dei dati. In caso di dubbi sul fatto che una disposizione riguardi o meno gli obblighi delle parti in materia di protezione dei dati, prevale il presente DPA.

3. Dettagli delle operazioni di trattamento

3.1 I dettagli delle operazioni di Trattamento svolte dal Fornitore – in particolare le tipologie di Dati personali trattati e le categorie di interessati – sono specificati nell’Allegato 1 al presente DPA.

3.2 Il Trattamento dei Dati personali avviene esclusivamente all’interno dell’UE o in un altro Stato parte dell’Accordo sullo Spazio Economico Europeo oppure in Svizzera, coperta da una decisione di adeguatezza della Commissione Europea (cfr. art. 45, par. 9 GDPR). Qualsiasi trasferimento verso un Paese terzo (art. 44 GDPR) richiede il previo consenso del Committente e può avvenire solo nel rispetto degli articoli 44 e seguenti del GDPR.

4. Istruzioni

4.1 Il Fornitore, in qualità di Responsabile del trattamento, agirà solo su istruzione del Committente. Le parti concordano che il Contratto e il presente DPA rappresentano l’insieme completo e definitivo delle istruzioni del Committente in merito al Trattamento dei Dati personali.

4.2 Il Fornitore si impegna, nei limiti del possibile, a seguire eventuali ulteriori istruzioni del Committente, purché esse siano tecnicamente realizzabili e non implichino modifiche sostanziali ai Servizi forniti (o al software sottostante). Le ulteriori istruzioni dovranno essere concordate per iscritto e potranno comportare dei costi aggiuntivi. Il Fornitore informerà tempestivamente il Committente qualora ritenga che un’istruzione violi la Legge applicabile in materia di protezione dei dati.

4.3 Se ulteriori istruzioni risultano necessarie in base alla Legge applicabile in materia di protezione dei dati, e le parti non raggiungono un accordo come previsto dal punto 4.2, il Committente ha la facoltà di rescindere il Contratto.

5. Misure tecniche e organizzative

5.1 Il Fornitore si impegna a implementare le misure tecniche e organizzative descritte nell’Allegato 2. Il Committente conferma che il livello di sicurezza garantito da tali misure è adeguato al rischio associato al Trattamento effettuato dal Fornitore per conto del Committente.

5.2 Il Committente prende atto e accetta che le misure tecniche e organizzative siano soggette a evoluzione tecnica e sviluppo continuo. In tal senso, il Fornitore ha facoltà di adottare misure alternative adeguate, a condizione che il livello di sicurezza rimanga invariato o migliorato.

6. Obbligo di riservatezza

Il Fornitore è tenuto a obbligare tutto il personale coinvolto nell’erogazione dei Servizi a mantenere la riservatezza dei Dati personali.

7. Sub-responsabili del trattamento

7.1 Il Fornitore può coinvolgere Sub-responsabili del trattamento solo previo consenso del Committente, che non può essere immotivatamente negato. Il Committente approva sin d’ora l’elenco dei Sub-responsabili del trattamento indicati sul sito web del Fornitore (link: https://www.peopleware.com/subprocessors). Il Fornitore stipulerà con ciascun Sub-responsabile del trattamento un contratto contenente obblighi contrattuali appropriati, almeno equivalenti a quelli previsti dal presente DPA. Il Fornitore darà copia di tali contratti al Committente su richiesta scritta, salvo che contengano informazioni riservate o commercialmente sensibili, nel qual caso il Fornitore potrà oscurare tali parti.

7.2 Il Fornitore è autorizzato a rimuovere o aggiungere Sub-responsabili del trattamento. Il Committente approva eventuali nuovi Sub-responsabili del trattamento secondo la seguente procedura:

7.2.1 Il Fornitore informerà il Committente con almeno dieci (10) giorni di preavviso prima di autorizzare un nuovo Sub-responsabile del trattamento ad accedere ai Dati personali del Committente.

7.2.2 Se entro il termine di dieci (10) giorni il Committente non solleva per iscritto obiezioni motivate, il nuovo Sub-responsabile del trattamento si considererà approvato, a condizione che il Fornitore abbia informato il Committente di tale effetto nella comunicazione iniziale.

7.2.3 Se il Committente solleva obiezioni presso il Fornitore, il Fornitore avrà la facoltà di rescindere il Contratto con un preavviso di dieci (10) giorni, salvo che decida, a sua discrezione, di:

(a) proseguire i Servizi senza coinvolgere il Sub-responsabile del trattamento contestato; oppure

(b) adottare misure adeguate per affrontare le obiezioni del Committente; oppure

(c) in accordo con il Committente, cessare l’erogazione degli specifici Servizi che comporterebbero il coinvolgimento del Sub-responsabile del trattamento in questione.

7.3 In caso di inadempimento degli obblighi da parte del Sub-responsabile del trattamento, il Fornitore resterà pienamente responsabile nei confronti del Committente per l’esecuzione degli obblighi affidati al Sub-responsabile del trattamento.

8. Referente per la protezione dei dati

8.1 Ciascuna parte è tenuta a comunicare il nominativo e i recapiti del proprio referente per la protezione dei dati, inserendo tali informazioni nell’Allegato 1.

8.2 Salvo diverso accordo esplicito, tutte le informazioni e le comunicazioni previste dal presente DPA dovranno essere inviate per iscritto dal Fornitore al referente indicato dal Committente (una comunicazione via email è sufficiente).

9. Rettifiche, cancellazioni e limitazioni al Trattamento dei dati

Il Fornitore provvederà alla rettifica, cancellazione o limitazione del Trattamento dei Dati personali conformemente alle indicazioni del Committente.

10. Obblighi di comunicazione e supporto del Fornitore

10.1 In caso di Violazione dei dati personali, il Fornitore è tenuto a informare il Committente tempestivamente, e comunque non oltre 48 ore dal momento in cui è venuto a conoscenza della violazione. Il Fornitore è tenuto a:

(i) cooperare ragionevolmente con il Committente nelle attività di indagine relative alla Violazione dei dati personali,(

(ii) fornire supporto adeguato per consentire al Committente di adempiere agli obblighi di comunicazione previsti dalla Legge applicabile in materia di protezione dei dati (se pertinenti), e

(iii) adottare tempestivamente adeguate misure correttive.

10.2 Il Fornitore è tenuto a comunicare tempestivamente al Committente:

(i) eventuali reclami o richieste da parte degli interessati i cui Dati personali sono trattati ai sensi del presente DPA (per esempio in merito a rettifiche, cancellazioni o limitazioni del Trattamento dei Dati personali), oppure
(ii) eventuali ordini o richieste da parte delle autorità di controllo o giudiziarie competenti.

10.3 Su richiesta del Committente, il Fornitore fornirà al Committente supporto ragionevole riguardo:

10.3.1 la gestione di reclami, richieste o ordini di cui al punto 10.2;

10.3.2 l’adempimento degli obblighi previsti dalla Legge applicabile in materia di protezione dei dati.

Tale supporto sarà a carico del Committente e verrà compensato sulla base del tempo impiegato e delle risorse utilizzate, salvo che l’inadempimento sia imputabile al Fornitore.

11. Verifiche

11.1 Il Committente ha il diritto di verificare, con modalità appropriate e conformemente a quanto previsto ai punti 11.2 e 11.3, il rispetto da parte del Fornitore e dei suoi Sub-responsabili del trattamento degli obblighi previsti dal presente Accordo sul trattamento dei dati (in particolare riguardo alle misure tecniche e organizzative), con cadenza annuale o al verificarsi di eventi che incidano sul trattamento dei dati personali. Tali verifiche sono limitate ai sistemi di trattamento dei dati rilevanti per l’erogazione dei Servizi.

11.2 Il Fornitore e i Sub-responsabili del trattamento possono servirsi di certificazioni o rapporti di verifica che documentano i Servizi di trattamento. Il Committente acconsente all’utilizzo di tali certificazioni e rapporti per esercitare il proprio diritto di verifica ai sensi del presente DPA. Su richiesta del Committente, il Fornitore è tenuto a fornire:

(i) estratti rilevanti dei rapporti di verifica;

(iii) informazioni e documentazione relative alle certificazioni disponibili per i Servizi in oggetto.

I rapporti di verifica, le informazioni e la documentazione fornite sono da considerarsi informazioni riservate del Fornitore.

11.3 Qualora le certificazioni e i rapporti di verifica forniti non siano sufficienti a soddisfare gli obblighi e i requisiti di verifica del Committente previsti dalla Legge applicabile sul trattamento dei dati, il Committente potrà, a proprie spese:

(i) richiedere ulteriori informazioni e documentazione, oppure

(ii) previo ragionevole preavviso, svolgere ulteriori verifiche sull’ambiente di controllo e sulle pratiche di sicurezza del Fornitore relative ai Dati personali trattati ai sensi del presente Accordo sul trattamento dei dati, senza interferire con le attività operative del Fornitore e nel rispetto delle sue politiche di sicurezza e della Legge applicabile in materia di protezione dei dati.

12. Durata e cessazione

Il presente DPA ha la stessa durata del Contratto. Alla cessazione del DPA, salvo diverso accordo tra le Parti, il Fornitore, entro il termine previsto dal Contratto, cancellerà tutti i Dati personali messi a sua disposizione oppure ottenuti o generati per conto del Committente in relazione ai Servizi forniti. La cancellazione sarà confermata per iscritto dal Fornitore su richiesta.

 

 

Committente

Nome:

Titolo:

Luogo, data:

Firma:

 

Peopleware GmbH

Nome:

Titolo:

Luogo, data:

Firma:

 

Allegato 1: Dettagli delle operazioni di trattamento e recapiti dei referenti per la protezione dei dati

1. Operazioni di trattamento

Interessati:

Dipendenti e collaboratori esterni del Committente

Dati personali:

Dati utilizzati nel processo di pianificazione dei turni, quali: nome del dipendente, qualifiche, recapiti, (per esempio, numero di telefono, indirizzo email), stato della formazione e informazioni analoghe.

Categorie particolari di Dati personali:

-/-

Finalità del Trattamento:

Come definito più in dettaglio nel Contratto. Sono inclusi i servizi online per la gestione della forza lavoro (workforce management) e/o la formazione online.

Durata:

Coincidente con il Contratto.

2. Recapiti dei referenti per la protezione dei dati

Contatto del Fornitore:

Frank Trautmann, Responsabile della protezione dei dati

Indirizzo email: privacy@peopleware.com

Contatto del Committente:

Nome, Titolo:

Indirizzo email:

 

Allegato 2: Misure tecniche e organizzative ai sensi dell’art. 32 del GDPR

Il presente documento descrive le misure tecniche e organizzative minime adottate dal Fornitore (le “Misure”) per la protezione dei Dati personali nel contesto del Trattamento svolto, tenendo conto dello stato dell'arte della tecnica e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del Trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

Qualora il Contratto preveda misure diverse o specifiche, queste ultime si applicano in aggiunta o in sostituzione delle presenti.

I. Misure di base

Le Misure di base garantiscono la riservatezza e l’integrità dei sistemi utilizzati dal Fornitore per trattare i Dati personali, in particolare attraverso l’accesso remoto. Tali Misure si applicano a tutte le attività di trattamento svolte dal Fornitore, salvo diverso accordo contrattuale.

1. Organizzazione interna delle attività

Il Fornitore ha nominato un Responsabile della protezione dei dati. Tutti i dipendenti e i sub-fornitori del Fornitore che hanno accesso ai Dati personali sono vincolati a trattarli esclusivamente su istruzione e per l’esecuzione dei servizi contrattualmente previsti.

I dipendenti del Fornitore ricevono formazione specifica in materia di protezione dei dati e sicurezza informatica.

2. Protezione contro l’accesso non autorizzato

Il Fornitore non dispone di una sede fisica e tutti i dipendenti lavorano da remoto. Le misure seguenti si applicano alla sede della società madre Peopleware GmbH, Speditionstrasse 5, 40221 Düsseldorf, Germania.

La sede della Peopleware GmbH è protetta da un sistema elettronico di allarme anti-intrusione. L’accesso all’edificio e alle singole aree è consentito solo a chi è in possesso di un token di autorizzazione. Al di fuori dell’orario lavorativo, l’edificio è sorvegliato da un sistema antifurto e da una guardia giurata.

Le aree che richiedono una maggiore sicurezza, come per esempio l’infrastruttura informatica centrale, sono inoltre monitorate da sistemi di videosorveglianza e sono, di norma, chiuse a chiave.

Le autorizzazioni di accesso sono concesse in base alle responsabilità assegnate a ciascun dipendente. Vengono concesse in modo mirato e sono immediatamente modificate o revocate in caso di variazioni nelle relative responsabilità.

3. Protezione dei computer

Ogni dipendente del Fornitore dispone di un computer personale. L’accesso al computer avviene tramite autenticazione con nome utente e password. Per aumentare ulteriormente il livello di protezione dei computer dei dipendenti, i dischi rigidi dei computer sono cifrati per impostazione predefinita, in modo tale che, in caso di smarrimento o furto, nessuna persona non autorizzata possa accedere ai dati locali. La rete interna del Fornitore è protetta contro gli attacchi esterni mediante dei firewall. L’accesso alla WLAN interna è protetto da metodi di autenticazione all’avanguardia. La WLAN per gli ospiti è separata logicamente dalla WLAN interna.

4. Protezione dei dati durante la trasmissione, il trasporto e l’accesso remoto

Deve essere garantito che i Dati personali non possano essere letti, copiati, modificati o rimossi durante la trasmissione elettronica, il trasporto dei dati o la loro memorizzazione su dispositivi di archiviazione dati.

Si applicano le seguenti misure:

I canali di comunicazione elettronica sono protetti mediante l’utilizzo di reti chiuse e metodi di cifratura dei dati. In caso di trasporto fisico di dispositivi di archiviazione dati, vengono adottate procedure di trasporto verificabili per proteggere i dati da accessi non autorizzati o da perdite di dati. I dispositivi di archiviazione dati vengono smaltiti in modo adeguato alla necessaria protezione dei dati. Le connessioni per la manutenzione remota sono protette da adeguate procedure di cifratura.

II. Misure specifiche per i servizi in cui il Fornitore memorizza i dati del Committente su sistemi informatici

Queste misure specifiche garantiscono la protezione della riservatezza, integrità, disponibilità e resilienza dei sistemi informatici in cui il Fornitore memorizza Dati personali. Tali misure si applicano quando la memorizzazione dei dati rappresenta un elemento sostanziale dei servizi contrattuali forniti dal Fornitore e non è meramente temporanea.

1. Protezione contro il Trattamento non autorizzato

L’accesso ai Dati personali nei sistemi informatici è concesso secondo un modello di autorizzazione basato sulle funzioni svolte (principio del "need to know"). Inoltre, l’accesso non autorizzato ai Dati personali è impedito, se necessario, mediante cifratura dei dati.

2. Garanzia di tracciabilità

Gli accessi ai Dati personali vengono registrati in file di log che contengono l’identificatore del rispettivo utente e la marca temporale.

3. Garanzia di integrità, disponibilità e stabilità

Il Fornitore conserva i Dati personali utilizzando sistemi ridondanti, ulteriormente protetti contro la perdita di dati tramite adeguate misure di sicurezza che eseguite regolarmente. La disponibilità dei servizi informatici interni è garantita da un adeguato piano di backup. I processi di ripristino vengono eseguiti regolarmente per verificare la validità dei backup disponibili. Il Fornitore utilizza gruppi di continuità (UPS) per garantire l’alimentazione elettrica della propria infrastruttura informatica centrale.