Condizioni standard applicabili a tutti i Clienti del servizio IngreX (registro elettronico degli accessi), che disciplinano il trattamento dei dati personali effettuato dal Fornitore per conto del Cliente.
Il presente accordo disciplina il trattamento dei dati personali effettuato dal Fornitore per conto del Cliente nell'ambito dell'erogazione del Servizio. Ha efficacia per tutta la durata del contratto di servizio e cessa con esso. In caso di conflitto tra il presente DPA e il contratto di servizio relativamente al trattamento dei dati personali, prevale il presente DPA.
| Elemento | Descrizione |
|---|---|
| Natura | Raccolta, registrazione, conservazione, consultazione, anonimizzazione e cancellazione, mediante strumenti informatici |
| Finalità | Hosting e gestione tecnica del registro elettronico degli accessi, per le sole finalità del Cliente |
| Categorie di interessati | Visitatori e ospiti esterni del Cliente |
| Categorie di dati | Nome, cognome, azienda di appartenenza, referente interno, data/ora di entrata e uscita, codice badge. Nessun dato particolare (art. 9 GDPR) |
Il Fornitore si impegna a:
Le misure tecniche e organizzative adottate sono descritte nella Scheda infrastruttura e sicurezza pubblicata dal Fornitore, che costituisce parte integrante del presente accordo e comprende, tra l'altro: cifratura delle comunicazioni (TLS), isolamento delle istanze per Cliente, controllo degli accessi mediante chiave crittografica, esposizione delle sole porte necessarie, backup su due livelli e cancellazione automatica dei dati. Le copie di backup che lasciano il server sono cifrate per impostazione predefinita. Il Fornitore può aggiornare le misure nel tempo, purché il livello di sicurezza non sia ridotto.
Il Cliente autorizza in via generale il Fornitore ad avvalersi dei sub-responsabili elencati di seguito per l'erogazione del Servizio:
| Sub-responsabile | Attività | Ubicazione |
|---|---|---|
| Hetzner Online GmbH | Hosting dell'infrastruttura e dei backup | Unione Europea (Germania / Finlandia) |
Il Fornitore impone ai sub-responsabili, mediante contratto, obblighi di protezione dei dati equivalenti a quelli del presente accordo. In caso di aggiunta o sostituzione di un sub-responsabile, il Fornitore aggiorna l'elenco pubblicato e ne dà comunicazione con preavviso di almeno 30 giorni; entro tale termine il Cliente può opporsi per motivi legittimi e, in difetto di accordo, sospendere il trattamento interessato o recedere dal contratto di servizio. Il Fornitore conserva nei confronti del Cliente l'intera responsabilità dell'adempimento degli obblighi del sub-responsabile (art. 28, co. 4 GDPR).
Tutti i dati sono trattati e conservati esclusivamente all'interno dell'Unione Europea. Non sono previsti trasferimenti verso paesi terzi o organizzazioni internazionali. Qualora ciò dovesse rendersi necessario, il Fornitore adotterà le garanzie di cui agli artt. 44-49 GDPR e ne informerà il Cliente.
Il Fornitore informa il Cliente senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali, fornendo le informazioni necessarie a consentire al Cliente l'eventuale notifica all'autorità di controllo e la comunicazione agli interessati. La comunicazione include almeno: la natura della violazione, le categorie e il numero approssimativo di interessati e di record coinvolti, le probabili conseguenze e le misure adottate o proposte per porvi rimedio.
Al termine del Servizio, su scelta del Cliente comunicata entro 30 giorni, il Fornitore provvede a restituire o cancellare tutti i dati personali e le copie esistenti, salvo che la conservazione sia richiesta dal diritto dell'Unione o nazionale. Decorso tale termine senza indicazioni, il Fornitore procede alla cancellazione. Il Fornitore esegue l'operazione entro 30 giorni e rilascia al Cliente attestazione di avvenuta cancellazione.
Il Fornitore mette a disposizione del Cliente le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal Cliente o da altro soggetto da questi incaricato. Le verifiche si svolgono previo preavviso scritto di almeno 15 giorni, in orario lavorativo, con modalità tali da non pregiudicare l'operatività del Servizio e nel rispetto degli obblighi di riservatezza. Il Fornitore può assolvere agli obblighi del presente articolo anche mediante la messa a disposizione di certificazioni o report di audit indipendenti (ad esempio ISO 27001) relativi alla propria infrastruttura e a quella dei sub-responsabili.
Il Fornitore può aggiornare il presente DPA per adeguarlo a evoluzioni normative o del Servizio. Le modifiche sostanziali sono comunicate al Cliente con ragionevole preavviso e la versione vigente, con relativo numero e data, è sempre pubblicata su ingrex.it/dpa.
Il presente accordo è regolato dalla legge italiana. Per ogni controversia è competente il foro di Pordenone, salvo norme inderogabili a tutela del Cliente consumatore.