Accordo sul trattamento dei dati

Questo accordo sul trattamento dei dati (“Accordo”) costituisce parte integrante dei termini e condizioni e si applica nella misura in cui Seviranta — un nome commerciale di 1Star BV, Zonnehorst 5, 7207 BT Zutphen, Paesi Bassi, Camera di Commercio (KvK) 65195876 (“Responsabile del trattamento”) — tratta dati personali per conto del Cliente (“Titolare del trattamento”) nell’ambito del servizio a pagamento. I termini hanno il significato definito nel Regolamento generale sulla protezione dei dati (“GDPR”).

1. Oggetto, natura e durata

Il Responsabile tratta i dati personali esclusivamente per fornire il servizio concordato: testare e monitorare in modo continuo l’accessibilità del/dei sito/i web del Cliente, conservare i relativi Report/Dossier e gestire l’account e la fatturazione. L’Accordo dura finché il Responsabile tratta dati personali per il Cliente.

2. Tipi di dati personali e interessati

• Dati: dati di account e di contatto (nome, indirizzo e-mail, ragione sociale), dati di fatturazione (indirizzo di fatturazione, partita IVA) e dati di utilizzo/abbonamento. Le pagine web scansionate sono pubbliche e vengono testate esclusivamente a livello tecnico per l’accessibilità.
• Interessati: le persone di contatto e gli utenti del Cliente.
• Non vengono trattate categorie particolari di dati personali.

3. Istruzioni

Il Responsabile tratta i dati personali esclusivamente sulla base delle istruzioni documentate del Cliente — incluso il presente Accordo e l’uso del servizio — salvo che un obbligo di legge disponga diversamente. Se il Responsabile ritiene che un’istruzione violi il GDPR, lo segnala.

4. Riservatezza

Il Responsabile garantisce che le persone che trattano i dati personali siano vincolate alla riservatezza.

5. Sicurezza

Il Responsabile adotta misure tecniche e organizzative adeguate (GDPR art. 32), tra cui la cifratura in transito (TLS), la conservazione cifrata delle password, l’accesso secondo necessità (least privilege), il controllo degli accessi a livello di riga nel database e un trattamento preferibilmente all’interno dell’UE.

6. Sub-responsabili

Il Cliente concede un’autorizzazione generale all’impiego di sub-responsabili. Il Responsabile impone a ciascun sub-responsabile almeno gli stessi obblighi previsti dal presente Accordo e seleziona in via primaria partner con archiviazione dei dati nell’UE. Dal punto di vista funzionale si tratta tra l’altro di: un partner per database/autenticazione/archiviazione, infrastruttura di scansione e monitoraggio, hosting del sito web, un provider di pagamenti, un provider per l’e-mail transazionale e un partner di infrastruttura/sicurezza.

Un elenco aggiornato dei sub-responsabili specifici (con nome, funzione e ubicazione) è disponibile per il Cliente su richiesta. In caso di modifica prevista dei sub-responsabili, il Responsabile informa il Cliente in anticipo, affinché questi possa opporsi.

7. Assistenza

Tenendo conto della natura del trattamento, il Responsabile fornisce al Cliente ragionevole assistenza nel rispondere alle richieste degli interessati (accesso, rettifica, cancellazione, ecc.) e nell’adempimento degli obblighi di cui agli artt. 32–36 del GDPR (sicurezza, violazioni dei dati, valutazione d’impatto sulla protezione dei dati).

8. Violazioni dei dati

Il Responsabile informa il Cliente senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione di dati personali, con le informazioni rilevanti disponibili, affinché il Cliente possa adempiere al proprio obbligo di notifica.

9. Restituzione e cancellazione

Alla cessazione, il Responsabile cancella i dati personali o li restituisce, a scelta del Cliente, fatta eccezione per i dati che il Responsabile è tenuto per legge a conservare (come le fatture soggette all’obbligo di conservazione fiscale). Il Cliente può esportare autonomamente il Dossier prima della cessazione.

10. Audit

Il Responsabile mette a disposizione del Cliente le informazioni necessarie a dimostrare il rispetto del presente Accordo e collabora ad audit ragionevoli, su appuntamento e nel rispetto della riservatezza e della continuità del servizio.

11. Trasferimenti al di fuori dello SEE

Se un sub-responsabile tratta dati al di fuori dello Spazio economico europeo, ciò avviene con garanzie adeguate come richiesto dal GDPR (ad esempio le clausole contrattuali tipo della Commissione europea).

12. Legge applicabile in materia di protezione dei dati (regimi internazionali)

Il presente Accordo è redatto assumendo il GDPR come standard più elevato. Nella misura in cui a un’attività di trattamento si applichi un’altra normativa in materia di protezione dei dati, le disposizioni del presente Accordo si applicano mutatis mutandis anche ai sensi di tale normativa — tra cui il UK GDPR (Regno Unito), la legge svizzera (nFADP) e le leggi statali statunitensi applicabili (come la CCPA/CPRA). Per i trasferimenti internazionali si applicano i corrispondenti meccanismi riconosciuti, nella misura in cui siano rilevanti: le clausole contrattuali tipo dell’UE (SCC), l’UK International Data Transfer Addendum (IDTA) e l’addendum svizzero. Il Responsabile predilige l’archiviazione dei dati nell’UE.

13. California (CCPA/CPRA)

Nella misura in cui il Responsabile tratta dati personali rientranti nel California Consumer Privacy Act (CCPA), come modificato dal CPRA, il Responsabile agisce come “service provider”. Il Responsabile: (a) non vende né condivide tali dati (nessuna “sale” o “share” ai sensi del CCPA); (b) li tratta esclusivamente per le finalità aziendali descritte nel presente Accordo e non per finalità commerciali proprie; (c) non li conserva, utilizza o divulga al di fuori del rapporto commerciale diretto con il Cliente; e (d) fornisce al Cliente ragionevole assistenza per le richieste degli interessati ai sensi del CCPA.

14. Disposizioni finali

In caso di conflitto tra il presente Accordo e i termini e condizioni, prevale il presente Accordo per quanto riguarda il trattamento dei dati personali. Il presente Accordo è regolato dal diritto neerlandese. Domande o vuoi una copia firmata? info@seviranta.com.