nordpass logo

Accordo sul trattamento dei dati (Business)

Ultimo aggiornamento: 27/09/21

Numero di versione: 2.0

Versione precedente (1.0)

Mentre

Il Cliente (“Titolare del trattamento”) e NordPass (“Responsabile del trattamento”);

Titolare del trattamento e Responsabile del trattamento sono di seguito collettivamente denominati "Parti";

  1. Il Responsabile del trattamento fornisce Servizi al Titolare del trattamento ai sensi del Termini del servizio (Business) ("Termini") NordPass, disponibile sul sito Web del Responsabile del trattamento;
  2. Durante la fornitura dei Servizi il Responsabile del trattamento elabora i Dati personali per conto e su istruzioni del Titolare;
  3. Le Parti intendono stabilire i propri diritti e obblighi relativi al trattamento dei dati personali sopra descritto;

Concluso questo accordo sul trattamento dei dati (il "Accordo").

Definizioni

Se non diversamente specificato nel presente Accordo, le definizioni e (o) le parole in maiuscolo utilizzate nel presente Accordo avranno il significato definito nei Termini o come indicato di seguito:

Leggi applicabili sulla protezione dei dati indica tutte le leggi e i regolamenti applicabili in materia di privacy e protezione dei dati in qualsiasi parte del mondo, incluso, ove applicabile, il GDPR;

EEA indica lo Spazio economico europeo (tutti gli Stati membri dell'UE, il Regno Unito e l'Islanda, la Norvegia e il Liechtenstein);

RGDP indica il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);

Elaborazione indica qualsiasi operazione o insieme di operazioni, compiute utilizzando Dati personali o insiemi di Dati personali, indipendentemente dal fatto che siano eseguite con mezzi automatizzati, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione e accesso, il coordinamento, la limitazione, la cancellazione o la distruzione;

Persona indica una persona fisica i cui Dati Personali sono trattati;

Personal Data indica qualsiasi informazione relativa a una Persona identificabile;

Clausole contrattuali standard (SCC) indica clausole contrattuali standard per il trasferimento di dati personali verso paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (decisione di esecuzione 2021/914 della Commissione, del 4 giugno 2021), aggiornato o sostituito di volta in volta;

Sub-responsabile del trattamento indica un'entità incaricata dal Responsabile del trattamento che accetta di ricevere Dati personali dal Responsabile del trattamento esclusivamente destinati alle attività di elaborazione da svolgere nell'ambito dei Servizi.

Applicazione del presente accordo

  1. Il presente accordo si applica se il Trattamento dei Dati Personali è disciplinato dal GDPR. Se si applica l'Accordo, sarà legalmente vincolante tra le Parti e costituirà parte integrante dei Termini.
  2. Salvo quanto diversamente concordato nel presente accordo (incluso il CCC, se applicabile), i Termini sono applicati tra le Parti nella loro interezza.

Disposizioni generali e obblighi

  1. Il Responsabile del trattamento si impegna a trattare i Dati Personali solo in conformità alle istruzioni documentate comunicate di volta in volta dal Titolare. Le istruzioni iniziali del Titolare al Responsabile del trattamento in merito all'oggetto e alla durata del Trattamento, alla natura e alla finalità del Trattamento, al tipo di Dati Personali e alle categorie di Persone, sono stabilite nel presente Accordo.
  2. Durante il trattamento dei Dati personali ai sensi del presente Accordo, il Titolare del trattamento deve rispettare tutte le leggi applicabili in materia di protezione dei dati e le raccomandazioni delle autorità di controllo competenti.
  3. Il Titolare del trattamento dei dati non intraprenderà alcuna azione che potrebbe causare la violazione delle leggi applicabili sulla protezione dei dati da parte del Responsabile del trattamento.
  4. Con la sottoscrizione dell'Accordo il Titolare conferma che:
    • Tutti i Dati Personali Trattati ai sensi del presente Accordo sono raccolti lecitamente;
    • Sono soddisfatte tutte le condizioni che consentono il trasferimento dei Dati Personali al di fuori del SEE;
    • Tutte le Persone sono state adeguatamente informate sull'utilizzo dei Servizi del Responsabile del trattamento e tutte le informazioni richieste ai sensi delle leggi applicabili sulla protezione dei dati sono state presentate alle Persone dal Titolare del trattamento.
  5. Tutte le istruzioni come stabilito nel presente Accordo sono complete e riflettono la volontà del Titolare del trattamento. Eventuali istruzioni aggiuntive o alternative da parte del Titolare saranno concordate separatamente tra le Parti per iscritto.
  6. Il Responsabile del trattamento:
    • Non valuterà alcuna istruzione del Titolare del trattamento che sarà ritenuta responsabile per le istruzioni fornite per essere pienamente lecite e conformi alle leggi applicabili sulla protezione dei dati. Se, a ragionevole parere del Responsabile del trattamento, un'istruzione viola senza dubbio le leggi applicabili in materia di protezione dei dati, il Responsabile del trattamento ne informa il Titolare del trattamento;
    • Tenuto conto della natura del Trattamento, il Responsabile del trattamento assisterà il Titolare, a spese di quest'ultimo, per garantire il rispetto da parte del Titolare degli obblighi previsti dalla normativa applicabile in materia di protezione dei dati fornendo le informazioni richieste dal Titolare;
    • Con riferimento all'improbabile violazione della sicurezza, il Responsabile del trattamento informerà il Titolare senza indebito ritardo dopo essere venuto a conoscenza di eventuali violazioni della sicurezza relative ai Dati personali trattati ai sensi del presente Accordo.

Istruzioni per l'elaborazione

  1. I Dati Personali ai sensi del presente Accordo saranno Trattati al fine di fornire Servizi al Titolare del trattamento secondo i Termini previsti. La natura, lo scopo, l'oggetto e altri dettagli delle attività di trattamento eseguite nell'ambito dei Servizi sono indicati nell'Allegato I del presente Accordo.

Divulgazione dei dati personali

  1. Il Responsabile del trattamento si impegna a non divulgare alcun Dato personale elaborato a terzi, se non attraverso l'uso di Sub-responsabili del trattamento come specificato nel presente Accordo, a meno che i Dati personali non siano divulgati su richiesta di terzi in conformità con gli atti giuridici applicabili o su richieste legittime delle forze dell'ordine o di altre autorità competenti.
  2. Il Titolare autorizza il Responsabile del trattamento ad avvalersi di Sub-responsabili del trattamento per adempiere ai propri obblighi come previsto dal presente Contratto (prevede l'autorizzazione generale) a condizione che il Responsabile del trattamento mantenga un elenco di Sub-responsabili e, ricevuta una richiesta scritta da parte del Titolare, fornisca al Titolare tale elenco. In caso di nuovo Sub-responsabile, il Responsabile del trattamento ne informerà il Titolare del trattamento. Il Responsabile del trattamento consente al Titolare di opporsi, fornendo al Responsabile del trattamento un'obiezione motivata, specifica e scritta, a modifiche riguardanti l'aggiunta o la sostituzione di Sub-responsabili del trattamento all'elenco sopra indicato.
  3. Il Responsabile del trattamento dei dati garantisce che i Sub-responsabili del trattamento assumano obblighi scritti simili a quelli concordati nel presente Accordo. Il Responsabile del trattamento dei dati rimane pienamente responsabile nei confronti del Titolare del trattamento per l'esecuzione degli obblighi di protezione dei dati dei suoi Sub-responsabili del trattamento laddove i Sub-responsabili del trattamento non adempiano a tali obblighi.

Trasferimento verso paesi terzi

  1. Il Responsabile del trattamento dei dati è autorizzato a trasferire i Dati personali in un paese al di fuori del SEE se ragionevolmente necessario per fornire i Servizi, a condizione che il Responsabile del trattamento garantisca un livello adeguato di protezione e rispetti altri obblighi a cui è soggetto ai sensi del presente Accordo.
  2. Laddove le Parti siano tenute a redigere le SCC (in italiano "clausole contrattuali tipo") ai sensi delle leggi applicabili in materia di protezione dei dati, le SCC saranno incorporate con il presente riferimento al presente Accordo come accordo giuridicamente vincolante e debitamente eseguito tra le Parti e:
    • Il Titolare del trattamento è considerato "esportatore di dati", mentre il Responsabile del trattamento è considerato "importatore di dati";
    • Le parti selezionano "MODULO DUE: Trasferimento del Titolare al responsabile" come modulo applicabile per regolare il rapporto ai sensi dei Termini e del Contratto;
    • Le parti includono la clausola di docking opzionale nelle SCC. Le parti che trasferiscono Dati personali a, o ricevono Dati personali dalla nuova parte, si assumono gli obblighi di importatore o esportatore di dati, a seconda dei casi, in relazione alla nuova parte;
    • Le parti selezionano l'OPZIONE 2: AUTORIZZAZIONE SCRITTA GENERALE per l'uso dei Sub-responsabili del trattamento nella clausola 9 delle SCC e la formulano come segue: "L'importatore di dati ha l'autorizzazione generale dell'esportatore di dati per l'assunzione di sub-responsabili del trattamento da un elenco concordato. L'importatore di dati informa specificamente per iscritto l'esportatore di dati di qualsiasi modifica prevista a tale elenco mediante l'aggiunta o la sostituzione di sub-responsabili del trattamento con almeno 20 giorni di anticipo, dando in tal modo all'esportatore di dati il tempo sufficiente per poter opporsi a tali modifiche prima dell'incarico del sub-responsabile o dei sub-responsabili del trattamento. L'importatore di dati fornisce all'esportatore di dati le informazioni necessarie per consentire all'esportatore di dati di esercitare il suo diritto di opposizione";
    • le parti convengono che l'autorità olandese per la protezione dei dati ( Dutch Data Protection Authority) sarà l'autorità di controllo competente per le questioni relative ai trasferimenti di dati personali verso paesi terzi in conformità con il presente accordo. In tutti i casi in cui le SCC richiedano di specificare un paese o uno Stato membro (in particolare nelle clausole 17 e 18) le parti convengono di utilizzare i Paesi Bassi come scelta principale;
    • L'allegato I dell'accordo è considerato come allegato I e II delle SCC.

Principi di sicurezza dei dati personali

  1. Al fine di assistere il Titolare nell'adempimento degli obblighi di legge, tra cui, a titolo esemplificativo ma non esaustivo, l'attuazione di adeguate misure di sicurezza dei Dati Personali, il Responsabile del trattamento adotterà misure tecniche e organizzative adeguate per proteggere i Dati Personali. Le misure garantiscono un livello adeguato di sicurezza, tenendo conto:
    • dei rischi particolari connessi al Trattamento dei Dati Personali;
    • dei costi delle misure;
    • delle capacità tecniche esistenti.
  2. Il responsabile del trattamento dei dati deve implementare mezzi tecnici e organizzativi sufficienti per garantire il livello di sicurezza coerente con i rischi, tra cui, se del caso:
    • la capacità di garantire la continua integrità, disponibilità e resilienza dei sistemi e dei servizi di Trattamento dei Dati Personali;
    • la possibilità di ripristinare le condizioni e l'accesso ai Dati Personali in modo tempestivo in caso di incidente fisico o tecnico;
    • la valutazione periodica dell'efficienza delle misure tecniche e organizzative per garantire la sicurezza, la verifica, la valutazione e l'esecuzione del Trattamento dei Dati Personali.
  3. Il Responsabile del trattamento garantisce che i Sub-responsabili autorizzati a trattare i Dati personali si siano impegnati alla riservatezza o siano soggetti a un adeguato obbligo legale di riservatezza.

Trattamento delle richieste delle Persone

  1. Il Titolare del trattamento elaborerà e risponderà alla richiesta di ogni Persona per l'esercizio dei propri diritti ai sensi delle leggi applicabili sulla protezione dei dati, incluso, a titolo esemplificativo ma non esaustivo, l'accesso alle informazioni detenute sulla Persona e le richieste di eliminare o correggere i Dati personali o limitare il Trattamento relativo alla Persona.
  2. La richiesta di esercizio dei propri diritti da parte di ogni Persona indirizzata direttamente al Responsabile del trattamento, sarà inoltrata dal Responsabile del trattamento al Titolare del trattamento.
  3. Quando il Titolare non è in grado di esercitare i diritti della Persona, può chiedere al Responsabile del trattamento assistenza nel fornire le informazioni relative al Trattamento dei Dati Personali ai sensi del presente Accordo.

Diritto di effettuare una verifica (audit)

  1. Quando ragionevolmente necessario, il Titolare del trattamento ha il diritto di adottare le misure per verificare il rispetto da parte del Responsabile del trattamento dei termini del presente Accordo. Il Titolare del trattamento ha il diritto di richiedere un audit eseguito dalla società di revisione terza, indipendente, accreditata e rispettabile concordata da entrambe le Parti.
  2. Tale verifica avrà luogo solo laddove vi sia un sospetto specifico e fondato di uso improprio dei Dati Personali, e solo dopo che il Titolare del trattamento ha richiesto e valutato simili rapporti esistenti da parte del Responsabile del trattamento e ha formulato argomenti ragionevoli per giustificare l'avvio di un audit da parte del Titolare del trattamento. Tale verifica è giustificata se i rapporti simili che il Responsabile del trattamento ha a disposizione forniscono risposte insufficienti o inconcludenti in merito al rispetto del presente Accordo da parte del Responsabile del trattamento.
  3. A scanso di equivoci, né il Titolare né il revisore nominato saranno concorrenti dell'attività del Responsabile del trattamento e, in nessun caso il Titolare, o il revisore selezionato, potranno avere accesso alle informazioni riservate del Responsabile del trattamento, alle informazioni degli altri clienti del Responsabile del trattamento, né alle informazioni di terzi a cui il Responsabile del trattamento deve un obbligo di riservatezza.
  4. Qualsiasi audit di questo tipo condotto dal Titolare del trattamento si svolge durante il normale orario di lavoro in modo da non disturbare l'attività del Responsabile del trattamento, con un ragionevole preavviso non inferiore a 2 mesi al Responsabile del trattamento e soggetto alla massima capacità di riservatezza come previsto di seguito. Il Titolare del trattamento è responsabile di tutti i costi e le commissioni relativi a tale audit, inclusi quelli per tutto il tempo trascorso dal Responsabile del trattamento dei dati per l'esecuzione di tali audit, oltre alle tariffe per i servizi di supporto eseguiti dal Responsabile del trattamento e alle eventuali spese sostenute dal Responsabile del trattamento dei dati. Prima dell'inizio di tale audit, le Parti concordano reciprocamente i tempi, la durata e la portata dell'audit, che non comporterà l'accesso fisico ai server da cui vengono forniti i Servizi di elaborazione dati. Il Titolare comunicherà tempestivamente al Responsabile del trattamento eventuali non conformità rilevate nel corso di un audit. Il Titolare non può controllare il Responsabile del trattamento più di una volta all'anno.
  5. Le informazioni scoperte nel corso di un audit saranno trattate come "Informazioni riservate" e saranno soggette alla Sezione "Riservatezza" dei Termini.

Termini

  1. Il presente Accordo si applica per l'intero periodo in cui il Responsabile del trattamento elabora i Dati personali per conto del Titolare del trattamento.
  2. A seguito della risoluzione dell'accordo, il Responsabile del trattamento eliminerà o restituirà al Titolare del trattamento i Dati personali come previsto nei Termini. I Dati personali saranno cancellati o altrimenti resi irrecuperabili e/o resi anonimi, come autorizzato ai sensi dei Termini o del presente Accordo, o richiesto per essere conservati in conformità con le leggi applicabili.

Rimborso

  1. Il Responsabile del trattamento ha diritto a eventuale rimborso di spese, costi e commissioni ragionevoli sostenuti a seguito di istruzioni inesatte, incomplete o illecite del Titolare o a seguito dell'assenza di istruzioni del Titolare.

Responsabilità

  1. La responsabilità del Responsabile del trattamento dei dati, considerata nel suo insieme, derivante da o correlata al presente Accordo, sia essa contrattuale, extracontrattuale o in base a qualsiasi altra teoria di responsabilità, sarà soggetta alle limitazioni e alle esclusioni stabilite nei Termini. Per responsabilità del Responsabile del trattamento dei dati si intende la responsabilità aggregata del Responsabile del trattamento ai sensi dei Termini e del presente Accordo.

Altre disposizioni

  1. Tutti gli avvisi tra le Parti devono essere comunicati seguendo le disposizioni dei Termini.
  2. Il presente Accordo e qualsiasi controversia o reclamo derivante dal presente Accordo saranno disciplinati o risolti in base alle disposizioni dei Termini.
  3. In caso di discrepanze tra il presente Accordo, i Termini e qualsiasi altro contratto che regola le questioni relative alla protezione dei dati tra le Parti, prevarranno su qualsiasi altra disposizione contrattuale le disposizioni del presente Accordo.

ALLEGATO I

Descrizione e istruzioni per il trattamento

Finalità e natura del Trattamento
Per fornire Servizi al Titolare del trattamento come previsto nei Termini o come indicato dal Titolare del trattamento.
Categorie di soggetti interessati
Dipendenti, clienti e altre persone (persone fisiche) autorizzate dal Titolare.
Categorie di dati personali
Il Responsabile del trattamento elabora le informazioni relative all'utilizzo del Servizio, come le informazioni di contatto di base dell'organizzazione, la registrazione dell'account e le informazioni di accesso, le email dell'utente, le informazioni sui ruoli e lo stato dell'utente, gli inviti, le raccomandazioni, lo stato delle password, le informazioni su eventuali violazioni, le informazioni di base sul dispositivo (ad esempio, nome del dispositivo, ID dispositivo, indirizzo IP, sistema operativo, piattaforma), registri di attività ed email, tentativi di autenticazione, metadati relativi agli elementi del vault (ad esempio, data cancellazione, ultimo utilizzo, tipo, condivisioni in sospeso, diritti di accesso), diagnostica dell'applicazione, altre informazioni che possono essere richieste dal Titolare del trattamento.
Durata e frequenza del Trattamento
Il Trattamento è eseguito su base continuativa per il periodo di erogazione dei Servizi al Titolare.
Oggetto, natura e durata del trattamento da parte dei Sub-Responsabili del trattamento
I Sub-responsabili del trattamento sono parte integrante dei Servizi forniti al Titolare. I Sub-responsabili del trattamento sono utilizzati in tutte le fasi della fornitura del Servizio e i Dati Personali sono Trattati per tutto il tempo necessario a fornire il Servizio.
Descrizione delle misure tecniche e organizzative attuate dal Responsabile del trattamento

Controllo delle risorse nell'infrastruttura server

  • Le informazioni dell'azienda sono conservate in server crittografati sicuri e fisicamente inaccessibili.
  • L'azienda esegue la valutazione della sicurezza del data center prima di eseguire l'onboarding di un nuovo fornitore.
  • Tutta l'infrastruttura è protetta da firewall e altre misure di sicurezza.

Valutazione e correzione delle vulnerabilità

  • La sicurezza dei dati dei clienti è garantita dal team di sicurezza interno e da consulenti esterni che eseguono test di penetrazione periodici per i siti Web e le applicazioni della Società.
  • Vengono effettuate regolarmente valutazioni automatizzate delle vulnerabilità e vengono intraprese azioni correttive.

Gestione degli accessi

  • L'accesso ai dati personali è concesso solo alle persone che richiedono i dati per svolgere le loro funzioni (in base alle necessità).
  • Il software ACL è utilizzato per il rilevamento e la prevenzione delle frodi e la gestione dei rischi. Ciò contribuisce a garantire che solo le persone predisposte abbiano accesso alle informazioni sensibili.
  • L'azienda utilizza VPN e jumpbox sicuri per accedere all'infrastruttura di rete da postazioni remote.
  • I privilegi a livello di amministratore per l'infrastruttura aziendale sono limitati solo a un numero limitato di dipendenti.
  • L'azienda utilizza un software di gestione della configurazione che automatizza il provisioning del cloud, la gestione della configurazione, la distribuzione delle applicazioni, l'orchestrazione intra-servizio e altre esigenze IT. Il software ha un sistema di controllo degli accessi basato sui ruoli che consente all'azienda di impostare facilmente le politiche su chi può eseguire il tipo di automazione e in quale ambiente, garantendo che solo le persone predisposte abbiano la possibilità di accedere alle macchine e applicare la configurazione.
  • La Società monitora gli account dei propri dipendenti per rimuovere quelli irrilevanti o inattivi.

Capacità di recupero dati

  • In caso di guasti, è possibile ripristinare i dati personali e le informazioni sensibili da copie di backup. Le copie di backup sono crittografate e i dati vengono regolarmente salvati in file in diversi luoghi fisici al di fuori dei locali della Società.

Risposta e gestione degli incidenti

  • L'azienda ha definito processi e procedure in atto per rilevare incidenti, rispondere in modo accurato e mitigare gli incidenti per prevenire danni ai dati.
  • L'azienda dispone di un team dedicato per la gestione degli incidenti 24/7.

Controllo delle risorse software e hardware

  • L'azienda mantiene l'inventario dei dispositivi dei dipendenti ed è in grado di rilevare e bloccare qualsiasi dispositivo malevolo.
  • I computer forniti ai dipendenti dalla Società hanno installato sistemi di gestione dei dispositivi mobili che garantiscono la sicurezza delle apparecchiature, l'aggiornamento appropriato e tempestivo del software e la distruzione sicura dei dati in caso di perdita dell'apparecchiatura.
  • I dipendenti autorizzati sono responsabili della sicurezza dei dispositivi della Società: installazione e aggiornamento di antivirus, firewall e altre misure di sicurezza.
  • Il responsabile del trattamento dei dati richiede l'uso di ID utente univoci, password complesse, autenticazione a due fattori nella maggior parte delle applicazioni e elenchi di accesso attentamente monitorati per ridurre al minimo l'utilizzo non autorizzato dell'account. La maggior parte dei sistemi contenenti dati personali sono accessibili ai dipendenti solo tramite indirizzi IP whitelist.
  • I dipendenti accedono alla rete tramite tunnel crittografati (VPN). La società utilizza inoltre l'isolamento client che impedisce a un dispositivo connesso alla rete tramite una connessione wireless di accedere a risorse connesse alla rete tramite una connessione cablata.
  • Gli aggiornamenti software e firmware vengono regolarmente rilevati. Le vulnerabilità critiche identificate vengono risolte immediatamente.

Sicurezza fisica

  • I locali della Società sono accessibili solo da persone autorizzate dalla Società stessa. Ospiti, partner e clienti quando entrano nei locali principali della Società sono registrati e devono firmare accordi di non divulgazione. Tutti i locali della Società sono accessibili a terzi solo accompagnati da dipendenti della Società.
  • I dipendenti dell'azienda accedono ai locali solo con card che raccolgono informazioni sul loro utilizzo. Tutti i locali sono dotate di sistemi di allarme operativi monitorati da società di sicurezza.
  • Per garantire che i locali della Società siano accessibili solo da persone autorizzate, la Società effettua la videosorveglianza dei punti di ingresso e dei punti di passaggio.
  • I dipendenti dell'azienda devono salvare documenti e file di dati correttamente, in modo sicuro e astenersi dal fare copie non necessarie. I documenti cartacei sensibili sono conservati in armadietti o casseforti.
Le misure tecniche e organizzative che devono essere adottate dai Sub-responsabili del trattamento
Il Responsabile del trattamento attua misure organizzative per garantire che le pratiche di sicurezza sostenute dai suoi Sub-responsabili del trattamento non siano meno protettive di quelle previste nell'accordo, nel rispetto della protezione dei Dati personali (nella misura applicabile a seconda della natura dei servizi forniti da un Sub-responsabile).