Il presente Accordo sul trattamento dei dati costituisce parte integrante dell'Accordo. L'utente è nel contratto responsabile ("il Titolare") per i dati personali. EasySIGN BV è il responsabile del contratto ("il Responsabile") dei dati personali. Successivamente, entrambe le parti saranno citate come Titolare o Responsabile del trattamento.
MENTRE
Le parti hanno convenuto che il Titolare utilizzi il Responsabile come fornitore di software per il software di produzione grafica EasySIGN. Il Responsabile tratta i dati personali del Titolare nell'ambito dell'esecuzione del contratto.
Al fine di consentire alle Parti di svolgere il loro rapporto in modo conforme alla legge, le Parti hanno stipulato il presente Accordo sul trattamento dei dati ("DPA"), come segue:
1. Definizioni
Ai fini del presente DPA:
"Legge applicabile sulla protezione dei dati"
: la normativa che tutela i diritti e le libertà fondamentali delle persone fisiche ed in particolare il loro diritto alla riservatezza con riguardo al Trattamento dei Dati Personali, normativa che si applica al Titolare e Responsabile del Trattamento; il termine Legge applicabile in materia di protezione dei dati include anche il GDPR;
“Controller”
: Il suddetto cliente di EasySIGN che, in qualità di persona fisica o giuridica, da solo o insieme ad altri, determina le finalità e i mezzi del Trattamento dei Dati Personali;
"PIL è"
: regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati, entrato in vigore il 25 maggio 2018;
"Organizzazione internazionale"
: un'organizzazione e i suoi organi subordinati di diritto internazionale pubblico, o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più paesi;
"Stato membro"
: un paese appartenente all'Unione Europea;
"Dati personali"
: qualunque informazione relativa a una persona fisica identificata o identificabile (Interessato);
"Interessato"
: una persona identificabile che può essere identificata, direttamente o indirettamente, in particolare mediante un identificatore come un nome, un numero di identificazione, dati relativi all'ubicazione, un identificatore online o a uno o più elementi caratteristici del suo aspetto fisico, fisiologico, genetico, identità mentale, economica, culturale o sociale di quella persona fisica;
"Violazione dei dati personali"
: una violazione della sicurezza che comporti la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, archiviati o altrimenti elaborati, in modo accidentale o illegale;
“Elaborazione/Elaborazione”
: qualsiasi operazione o insieme di operazioni eseguite su Dati Personali o su insiemi di Dati Personali, anche con mezzi automatizzati, come raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o alterazione, recupero, consultazione, uso, divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione;
"Processore"
: EasySIGN BV, che tratta i Dati Personali per conto del Titolare;
“Accordo tra il cliente e EasySIGN all'ingresso Sottoscrizione"
: il contratto principale concluso tra il Titolare e il Responsabile del trattamento che stabilisce le condizioni per l'erogazione dei Servizi;
"Servizi"
: i servizi forniti dal Responsabile al Titolare e descritti nella sezione 'Oggetto del trattamento' nell'Appendice 1 al presente DPA;
"Categorie speciali di dati personali"
: dati personali idonei a rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale; il trattamento di dati genetici e dati biometrici al fine di identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica;
"Subprocessore"
: un responsabile del trattamento incaricato dal Responsabile che dichiara la propria disponibilità a ricevere dal Responsabile i Dati Personali destinati esclusivamente alle Attività di Trattamento che devono essere svolte per conto del Titolare secondo le sue istruzioni, le condizioni del presente DPA, e le condizioni di un sub scritto - contratto di elaborazione;
“Autorità di vigilanza”
: un'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51 del GDPR;
“Tecnico e Organizzativo Misure di sicurezza"
: le misure volte a proteggere i Dati Personali dalla distruzione accidentale o dalla perdita accidentale, dall'alterazione, dalla divulgazione o dall'accesso non autorizzati, in particolare laddove il Trattamento comporti la trasmissione di dati in rete, e da ogni altra forma illecita di Trattamento;
"Paese terzo”
: un Paese rispetto al quale la Commissione Europea non ha deciso che tale Paese, o un'area o uno o più settori specificati all'interno di quel Paese, garantisca un livello adeguato di protezione dei dati.
2. Dettagli del Trattamento
I dettagli delle Attività di trattamento che il Responsabile svolge per conto del Titolare in qualità di responsabile del trattamento che ha ricevuto istruzioni in tal senso (quali l'oggetto, la natura e la finalità del trattamento, il tipo di dati personali e le categorie degli interessati) sono riportati nell'Appendice 1 al presente DPA.
3. Diritti e doveri del Titolare
Il Titolare ha incaricato il Responsabile del trattamento, e continuerà a istruire il Responsabile per la durata del trattamento dei dati per il quale è stata impartita l'istruzione, di trattare i Dati Personali esclusivamente per il Titolare e in conformità con la Legge applicabile sulla protezione dei dati, l'Accordo tra il cliente ed EasySIGN alla sottoscrizione di un Abbonamento, il presente DPA e le istruzioni del Titolare. Il Titolare ha il diritto e l'obbligo di impartire al Responsabile istruzioni per il Trattamento dei Dati Personali, sia in generale che nei singoli casi. Le istruzioni possono riguardare anche la rettifica, la cancellazione e il blocco dei Dati Personali. Le istruzioni sono generalmente fornite per iscritto, a meno che l'urgenza o altre circostanze specifiche non richiedano una forma diversa (ad esempio orale o elettronica). Il Titolare confermerà immediatamente per iscritto le istruzioni non scritte. Nella misura in cui l'esecuzione di un'istruzione comporti dei costi per il Responsabile, il Responsabile dovrà preventivamente notificare tali costi al Titolare. Il Responsabile esegue un'istruzione solo dopo che il Titolare ha confermato di essere responsabile dei costi di esecuzione di tale istruzione.
4. Obblighi del Responsabile
Il processore:
trattare i Dati Personali esclusivamente secondo le istruzioni del Titolare e per conto del Titolare; tali istruzioni sono fornite nell'accordo tra il cliente e EasySIGN al momento della sottoscrizione di un abbonamento, il presente DPA e comunque in forma documentata di cui al precedente articolo 3. Tale obbligo di seguire le istruzioni del Titolare si applica anche al trasferimento dei Dati Personali verso un Paese Terzo o un'Organizzazione Internazionale;
informare immediatamente il Titolare se il Responsabile del trattamento non è in grado di ottemperare a un'istruzione del Titolare per qualsiasi motivo;
garantire che le persone autorizzate dal Responsabile al Trattamento dei Dati Personali per conto del Titolare si impegnino a rispettare la riservatezza o che tali persone siano soggette a un adeguato obbligo di riservatezza e che le persone che hanno accesso ai Dati Personali tratteranno tali Dati Personali Dati secondo le istruzioni del Titolare;
attuare le Misure di sicurezza tecniche e organizzative che soddisfino i requisiti della Legge applicabile in materia di protezione dei dati come ulteriormente specificato nell'Appendice 2, prima del Trattamento dei Dati Personali e assicurando che fornisca al Titolare garanzie sufficienti in merito a tali Misure di sicurezza tecniche e organizzative;
assistere il Titolare mediante misure tecniche e organizzative idonee, per quanto possibile, all'adempimento dell'obbligo del titolare di rispondere alle richieste di esercizio dei diritti degli Interessati in materia di informazione, accesso, rettifica e cancellazione, limitazione del trattamento , notifica, portabilità dei dati, opposizione e processo decisionale automatizzato; nella misura in cui tali misure tecniche e organizzative fattibili richiedono modifiche o alterazioni delle misure tecniche e organizzative di cui all'allegato 2, il Responsabile informerà il Titolare dei costi di attuazione di tali misure tecniche e organizzative aggiuntive o modificate. Non appena il Titolare avrà confermato che tali costi sono a suo carico, il Responsabile attuerà le misure tecniche e organizzative aggiuntive o modificate per assistere il Titolare nel garantire il rispetto delle richieste degli interessati;
mettere a disposizione del Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi previsti dal presente DPA e dall'articolo 28 GDPR, e consentire e contribuire a verifiche ispettive, comprese le ispezioni condotte dal Titolare o da altro revisore incaricato dal Titolare. Il Titolare è consapevole del fatto che gli audit di persona e sul posto possono interrompere in modo significativo le operazioni commerciali del Responsabile del trattamento, costare molto denaro e richiedere molto tempo. Di conseguenza, il Titolare può condurre una verifica di persona e sul posto solo se rimborsa i costi sostenuti dal Responsabile a causa dell'interruzione delle sue attività commerciali;
informare il Titolare senza inutili ritardi:
i.
di qualsiasi richiesta legalmente vincolante di divulgazione dei Dati Personali da parte di un'autorità di contrasto, a meno che tale avviso non sia altrimenti vietato, come un divieto ai sensi del diritto penale di preservare la riservatezza di un'indagine delle forze dell'ordine;
ii.
di reclami e richieste pervenuti direttamente dagli Interessati (ad esempio reclami e richieste relativi ad accesso, rettifica, cancellazione, limitazione del trattamento, notifica, portabilità dei dati, opposizione al trattamento dei dati e processo decisionale automatizzato) senza occuparsi ulteriormente di tale richiesta a meno che non sia altrimenti autorizzato a farlo;
iii.
se il Responsabile del trattamento è obbligato, sulla base della legislazione dell'UE o della legislazione di uno Stato membro ad esso applicabile, a trattare i Dati Personali al di fuori dell'ambito delle istruzioni del Titolare, prima di effettuare tale trattamento al di fuori di tale scopo, a meno che la normativa o la normativa dell'UE di tale Stato membro vieta tali informazioni per motivi impellenti di interesse pubblico; l'avviso deve specificare il requisito di legge previsto da tale normativa dell'UE o dalla legislazione dello Stato membro;
iv.
se, a giudizio del Responsabile, un'istruzione è contraria alla Legge applicabile in materia di protezione dei dati; se dà tale avviso, il Responsabile non è obbligato a seguire le istruzioni, a meno che e fino a quando il Titolare non le abbia confermate o modificate; e
v.
non appena il Responsabile viene a conoscenza di una Violazione dei Dati Personali, entro non più di 24 ore. Se si verifica una tale Violazione dei Dati Personali, il Responsabile assiste il Titolare, su richiesta scritta del Titolare, con l'obbligo ai sensi della Normativa applicabile in materia di protezione dei dati di segnalare la violazione agli Interessati o all'Autorità di controllo e di documentare la Violazione dei Dati Personali . I dettagli di contatto relativi alla segnalazione sono registrati nel sistema del servizio clienti. Le persone di contatto sono elencate in appendice al presente contratto;
assistere il Titolare in una Valutazione di Impatto sulla Protezione dei Dati come previsto dall'articolo 35 GDPR relativo ai Servizi forniti dal Responsabile al Titolare e ai Dati Personali che il Responsabile tratta per il Titolare;
affrontare tutte le questioni del Titolare relative al proprio Trattamento dei Dati Personali (ad esempio, per consentire al Titolare di rispondere tempestivamente a reclami o richieste degli Interessati) e per ottemperare ai pareri dell'Autorità di controllo sul Trattamento dei dati trasmessi dati;
nella misura in cui è obbligato e richiesto di rettificare, cancellare e/o bloccare i Dati Personali trattati ai sensi del presente DPA, farlo immediatamente. Se e nella misura in cui i Dati Personali non possono essere cancellati a causa di obblighi di conservazione dei dati di legge, il Responsabile, invece di cancellare i Dati Personali rilevanti, limiterà l'ulteriore Trattamento e/o utilizzo dei Dati Personali, o rimuoverà l'identità corrispondente dai Dati Personali ("blocco"). Se tale obbligo di blocco si applica al Responsabile, il Responsabile cancellerà i Dati Personali rilevanti entro e non oltre l'ultimo giorno dell'anno solare in cui termina il periodo di conservazione.
5. Sottoelaborazione
Il Titolare autorizza l'utilizzo del/i Sub-responsabile/i incaricato/i dal Responsabile del trattamento per la fornitura dei Servizi. Il Titolare concede la propria approvazione al/ai Sub-responsabile/i per quanto riguarda:
WebBalene
Negozio online Woocommerce
HubSpot
CRM
Copernicia
CRM
Guida del gruppo
CRM
U-digitale
Fornitore di servizi di marketing
Hotjar
Strumento di registrazione del comportamento online
Mollie
Fornitore di servizi di pagamento
Esatto in linea
Contabilità basata su cloud
Automatizzazione del servizio Bilancia
Fornitore di servizi informatici
Microsoft Office 365
Email e fogli di calcolo basati su cloud
Wibu
Gestore delle licenze basato su cloud
Google
Google Analytics
I contratti di elaborazione da loro messi a disposizione sono stati conclusi con tali soggetti.
Nel caso in cui il Responsabile intenda assumere nuovi o più Sub-Responsabili, il Responsabile garantirà che la "Informativa sulla privacy" di EasySIGN (https://www.easysign.com/about-us/privacy-policy/) viene aggiornato. Il Titolare assicura la consultazione periodica della 'Privacy Policy' di EasySIGN. Se il Titolare ha fondati motivi per opporsi all'utilizzo di nuovi o più Sub-Responsabili, il Titolare deve informare immediatamente il Responsabile del trattamento per iscritto entro 14 giorni dal ricevimento della notifica del Sub-Responsabile. Nel caso in cui il Titolare si opponga a un Sub-responsabile nuovo o diverso e tale conservazione non sia irragionevole, il Responsabile farà ogni ragionevole sforzo per apportare modifiche ai Servizi disponibili al Titolare o consiglierà una modifica commercialmente ragionevole nella configurazione del Titolare o del utilizzo da parte del Titolare dei Servizi per impedire il Trattamento di Dati Personali da parte del nuovo o diverso Sub-Responsabile al quale siano state opposte, senza imporre un irragionevole onere al Titolare. Se il Responsabile del trattamento non è in grado di rendere disponibile tale modifica entro un ragionevole periodo di tempo, periodo non superiore a sessanta (60) giorni, il Titolare può risolvere la parte pertinente dei "Termini e condizioni" interessati (https://www.easysign.com/about-us/general-terms-and-conditions/), tuttavia, solo rispetto a quei Servizi che non possono essere forniti dal Responsabile senza l'utilizzo del nuovo o diverso Sub-Responsabile a cui sia stata contestata mediante comunicazione scritta al Responsabile.
Il Responsabile imporrà contrattualmente lo stesso obbligo di protezione dei dati previsto dal presente DPA a tutti i Sub-Responsabili del trattamento. L'accordo tra il Responsabile e il Sub-Responsabile deve in particolare fornire garanzie adeguate per l'attuazione delle Misure di Sicurezza Tecniche e Organizzative come specificato nell'Appendice 2, nella misura in cui tali Misure di Sicurezza Tecniche e Organizzative sono importanti per i servizi forniti dal Sub-Responsabile .
Il Responsabile sceglie il Sub-responsabile con la massima cura.
Se tale Sub-Responsabile del trattamento si trova in un Paese terzo, il Responsabile, su richiesta scritta del Titolare, stipulerà un contratto tipo UE (Titolare > Responsabile) per conto del Titolare (a nome del Titolare), ai sensi della Decisione della Commissione 2010/87/UE. In questo caso, il Titolare istruisce e autorizza il Responsabile del trattamento a impartire istruzioni ai Sub-Responsabili in nome del Titolare e a far valere tutti i diritti del Titolare nei confronti dei Sub-Responsabili ai sensi del contratto tipo UE.
Il Responsabile rimane responsabile nei confronti del Titolare per l'adempimento degli obblighi del Sub-Responsabile, se tale Sub-Responsabile non adempie ai propri obblighi. Tuttavia, il Responsabile non è responsabile per eventuali danni/perdite e pretese derivanti dalle istruzioni del Titolare ai Sub-Responsabili.
6. Limitazione di responsabilità
Tutta la responsabilità derivante da o in connessione con il presente DPA segue ed è regolata esclusivamente dalle disposizioni di responsabilità stabilite o altrimenti applicabili ai "Termini e condizioni". Pertanto, e ai fini del calcolo dei limiti di responsabilità e/o della determinazione dell'applicazione di altre limitazioni di responsabilità, qualsiasi responsabilità derivante dal presente DPA si considera sorta ai sensi dei relativi "Termini e condizioni".
7. Durata e risoluzione
La durata del presente DPA è pari a quella dei relativi 'Termini e Condizioni'. Salvo diversa disposizione del presente Accordo, i diritti e gli obblighi nell'area della risoluzione sono gli stessi stabiliti nei "Termini e condizioni" pertinenti.
Il Responsabile, alla prima richiesta del Titolare, cancellerà o restituirà al Titolare tutti i Dati Personali dopo la fine della fornitura dei Servizi, ed eliminerà tutte le copie esistenti, a meno che il Responsabile non sia obbligato a conservare tali Dati Personali ai sensi dell'UE o Membro Legge dello Stato.
8. Varie
In caso di contrasto tra le disposizioni del presente DPA ed eventuali altri accordi tra le Parti, prevarranno le disposizioni del presente DPA rispetto agli obblighi di protezione dei dati delle Parti. In caso di dubbio sul fatto che le clausole di tali altri accordi riguardino gli obblighi di protezione dei dati delle Parti, prevale il presente DPA.
L'invalidità o l'inapplicabilità di qualsiasi disposizione del presente DPA non pregiudica la validità o l'applicabilità delle restanti disposizioni del presente DPA. La disposizione nulla o inapplicabile è (i) modificata in modo da garantirne la validità o l'esecutività preservando al tempo stesso le intenzioni delle Parti per quanto possibile o – se ciò non è possibile – (ii) come se il parte non valida o inapplicabile non vi era mai stata inclusa. Quanto sopra si applica anche se il presente DPA contiene un'omissione
Il presente DPA è disciplinato dalla stessa legge dell'accordo tra il Cliente e EasySIGN al momento della sottoscrizione di un Abbonamento, salvo nella misura in cui si applica la Legge sulla protezione dei dati applicabile obbligatoria.
Il presente contratto di elaborazione è soggetto alla legge olandese. Eventuali controversie in merito alla sua attuazione saranno sottoposte al tribunale competente di Eindhoven
Per conto del Responsabile:
Nome completo:
Paolo Schoofs
Posizione:
Consigliere Delegato
Indirizzo:
Kerkstraat 25, 5527 EE Hapert
Data:
21 marzo 2022
Firma:
Allegato 1 – Categorie di Interessati
I Dati Personali conferiti riguardano le seguenti categorie di Interessati:
Aziende
Clienti del cliente
I dipendenti
Fornitori
Oggetto del trattamento
Utilizzo di software per la progettazione e realizzazione di insegne e altre produzioni grafiche.
Natura e finalità del trattamento
Il Responsabile raccoglie, conserva, elabora e utilizza i Dati Personali degli Interessati per conto del Titolare al fine di dare esecuzione al contratto, tra cui:
Gestione di attività, riunioni e bandi;
Aggiunta di Dati Personali agli strumenti CRM allo scopo di dare seguito alle email, gestire contatti e aziende;
Follow-up di un processo di vendita;
fatturazione;
Registrazione del tempo;
Creazione e gestione dei ticket di supporto (incl. relativi statistiche)
Creazione e gestione degli obiettivi
Voce fuori campo
Tipologia di dati personali
I Dati Personali raccolti, trattati ed utilizzati dal Responsabile per conto del Titolare riguardano le seguenti categorie di Dati Personali: dati di utilizzo e recapiti, in particolare: Abonnementsgegevens:
l'abbonamento desiderato;
nome utente;
parola d'ordine;
I tuoi dati:
nome e cognome;
numero di telefono;
indirizzo email;
voorkeurtaal;
I dati della tua azienda:
Nome della ditta;
indirizzo di fatturazione;
codice postale e città;
nazione;
indirizzo email;
Partita IVA;
Dettagli del pagamento:
IBAN e iscrizione.
Persona di contatto in caso di violazione della sicurezza
Questa sarà la persona che è stata nominata come referente per l'accordo. Questo può essere trovato accedendo a www.EasySIGN.com sotto "I miei dati".
Contatto con Processore
Responsabile della conformità e della privacy: EasySIGN BV, Paul Schoofs support@easysign.com
Allegato 2 – Scheda Misure di Sicurezza
Descrizione delle misure di sicurezza tecniche e organizzative implementate dal responsabile del trattamento in conformità con la legge applicabile sulla protezione dei dati: questa appendice descrive le misure e le procedure di sicurezza tecniche e organizzative che il responsabile del trattamento deve mantenere almeno per proteggere la sicurezza dei dati personali creati, raccolti, ricevuti , o altrimenti ottenuti.
Generale
Le misure tecniche e organizzative possono essere considerate lo stato dell'arte al momento della conclusione del Contratto di Servizio. Il Responsabile valuterà le misure tecniche e organizzative nel tempo, tenendo conto dei costi di attuazione, della natura, dell'ambito, del contesto e degli obiettivi del trattamento, nonché del rischio di differenze nel grado di probabilità e gravità per i diritti e le libertà delle persone fisiche.
Misure tecniche dettagliate
Controllo logico degli accessi ai sistemi EasySIGN, tramite password:
Tutti i dipendenti EasySIGN sono informati e diffidano della “Social Engineering”;
EasySIGN monitora i propri sistemi 24 ore su 7, XNUMX giorni su XNUMX:
La disponibilità viene misurata ogni cinque minuti.
Il monitoraggio dei server (virtuali) di EasySIGN viene effettuato da un team qualificato di ingegneri operativi e sviluppatori, per cui è possibile misurare per macchina e per servizio se sono disponibili e se forniscono le prestazioni necessarie per soddisfare i livelli di servizio concordati. Gli avvisi avvengono tramite Whatsapp e via e-mail.
A seconda della configurazione del cliente, EasySIGN di solito funziona in parte nel cloud. Ciò significa che le licenze di accesso richiedono la disponibilità dei data center di Wibu Systems (subappaltatore Claranet GmbH) e Webwhales Woocommerce. Il funzionamento e la disponibilità dei sistemi di accesso con licenza del cliente non dipendono dai server locali nel nostro ufficio a Hapert. EasySIGN utilizza i protocolli di sicurezza SSL. È in atto un meccanismo adeguato e aggiornato per rilevare e gestire software dannoso, compresi i virus informatici. Solo il personale autorizzato può accedere ai Dati Personali. I dipendenti hanno un rigoroso obbligo di riservatezza, incluso nel contratto di lavoro. L'edificio è dotato di sistema di allarme ed è monitorato 24 ore su 7, XNUMX giorni su XNUMX, al di fuori degli orari d'ufficio. Durante l'orario d'ufficio la porta è chiusa e l'accesso è possibile solo su appuntamento e sotto la guida di un addetto EasySIGN.
Log files
Tutte le azioni dell'utente vengono registrate e archiviate a tempo indeterminato. I registri sono costituiti dai seguenti componenti:
Posta in arrivo: tutte le mail inviate a EasySIGN
Sito Web e software EasySIGN: tutte le azioni che l'utente esegue con EasySIGN e tutti gli errori che ne derivano;
Nei log sono presenti i seguenti dati personali:
Nome utente
nome del computer
User ID
Indirizzo IP
Indirizzo e-mail/e-mail completa
Con questi dati è possibile scoprire chi è questo utente e cosa ha fatto questa persona. EasySIGN memorizza lo "Stato del flusso di lavoro del documento" nei file di registro per un periodo di tempo indefinito e quindi lo memorizza anche a tempo indeterminato. In questo registro puoi sempre verificare quali azioni sono state intraprese sui documenti, azioni come concessione di una licenza, modifica di nome, apertura, eliminazione, divisione, raggruppamento, esportazione, stampa, messaggi di errore ecc. Questi dati di registro vengono archiviati sui server di produzione nei database di registro. Questo è un database diverso dal database del negozio web WooCommerce.
Domande?
Puoi sempre contattarci se hai domande sulla tua privacy o sui dati che abbiamo raccolto su di te. Entrare in contatto con il nostro team di supporto.