Accordo sull'elaborazione dei dati (conforme al GDPR)


In vigore dal 1 maggio 2018

1. Ambito e oggetto dell'accordo

Questo trattamento dei dati ("DPA") riflette l'accordo delle parti in merito ai termini che regolano il trattamento dei dati personali ai sensi dei Termini di servizio di IBANCOM (il "TOS"). Questo DPA è un emendamento al TOS ed è efficace al momento della sua incorporazione nel TOS, che può essere specificato in un Ordine o in un emendamento eseguito al TOS. Dopo la sua incorporazione nel TOS, il DPA formerà una parte del TOS.

2. Definizioni

In questo accordo:

(a) «Servizi» si intendono i servizi forniti al Cliente ai sensi della TOS;
(b) «Dati personali»: qualsiasi informazione relativa a una persona fisica identificata o identificabile ('interessato');
(c) «Cliente», «Controllore» o «tu»: la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo che, da solo o congiuntamente con altri, determina le finalità e i mezzi del trattamento di dati personali;
(d) «Processore», «IBANCOM» o «noi»: una persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che tratta dati personali per conto del responsabile del trattamento;
(e) «Processo/elaborazione», qualsiasi operazione o insieme di operazioni eseguite su dati personali o su serie di dati personali, anche con strumenti automatizzati, quali raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica , recupero, consultazione, uso, divulgazione per trasmissione, diffusione o altrimenti messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione;
(f) «Sub-processore» o «Subappaltatore» indica un subappaltatore di terze parti assunto dal responsabile che, come parte del ruolo del subappaltatore nel fornire i Servizi, tratta i Dati Personali del Cliente;
(g) «misure di sicurezza tecniche e organizzative»: le misure volte a garantire un livello di sicurezza adeguato al rischio, tra cui tra l'altro la pseudonimizzazione e la crittografia dei dati personali, la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza del trattamento; sistemi e servizi, la capacità di ripristinare la disponibilità e l'accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico, un processo per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza delle l'elaborazione.
(h) «Leggi sulla protezione dei dati» tutte le leggi e i regolamenti, incluse le leggi e i regolamenti dell'Unione Europea, dello Spazio economico europeo e dei loro Stati membri, applicabili al trattamento dei dati personali ai sensi dell'accordo.

3. Applicazione di questo accordo

Il presente accordo si applica a:
a) tutti i dati inviati dalla data del presente accordo dal Cliente a IBANCOM per l'elaborazione;
b) tutti i Dati a cui l'IBANCOM ha avuto accesso dall'autorità del Cliente per l'elaborazione a partire dalla data del presente contratto; e
c) tutti i Dati altrimenti ricevuti da IBANCOM per l'elaborazione per conto del Cliente;
in relazione ai Servizi.

4. Categorie di dati personali e finalità del trattamento dei dati personali

Al fine di rendere esecutivo il Contratto e, in particolare, per eseguire i Servizi per conto del Cliente, il Cliente autorizza e richiede che IBANCOM elabori i seguenti Dati Personali: Informazioni sul Cliente: informazioni che possiamo raccogliere dall'utilizzo dei siti Web IBANCOM e delle tue interazioni con noi offline come:

• Informazioni di contatto: nome, indirizzo di casa, numero di telefono o cellulare, indirizzo e-mail e password.
• Informazioni finanziarie: numero di carta di credito e dati di fatturazione (codice fiscale, numero di partita IVA, indirizzo di fatturazione, indirizzo di fatturazione, dove vengono inviate le fatture); Il numero della carta di credito è gestito da Avangate (il nostro gateway di pagamento), da Paypal o altri tipi di pagamento; IBANCOM addebita solo la carta di credito per i pagamenti.
• Informazioni di contatto per l'impiego, tra cui: nome del datore di lavoro, titolo di lavoro e funzione, dettagli di contatto commerciale; IBANCOM gestisce le informazioni sui clienti in base ai termini della nostra politica sulla privacy generale.

Dati dei servizi: dati che risiedono su IBANCOM, sistemi di clienti o di terze parti a cui IBANCOM ha fornito l'accesso per eseguire servizi.

• Dati memorizzati ed elaborati dagli utenti, quali: dati inviati per l'elaborazione, cronologia delle operazioni eseguite dagli utenti.
• Informazioni file di registro: tre tipi di registri vengono salvati dal sistema IBANCOM: registri di connessione che sono essenzialmente registri da ciascuna richiesta a ciascuna applicazione. Questi registri di connessione possono includere informazioni quali la richiesta web, indirizzo dell'Internet Protocol ("IP"), il tipo di browser, le pagine di riferimento / uscita e gli URL, il numero di clic, i nomi di dominio, le pagine di destinazione, le pagine visualizzate e altre informazioni. Il secondo tipo di log sono i registri delle applicazioni, che vengono prodotti dal nostro software durante l'elaborazione dei dati. I log dei registri delle applicazioni sono una registrazione di tutti i dati di input inviati per l'elaborazione sui nostri server che possono aiutare IBANCOM a identificare e diagnosticare l'origine dei problemi attuali del sistema e aiutare a prevedere i problemi futuri.
IBANCOM elabora le informazioni del cliente in base ai termini della sua politica sulla privacy e tratta i dati dei servizi come riservati in conformità con i termini del tuo ordine per i servizi

Categorie di Soggetti dei Dati: le persone interessate includono rappresentanti del cliente e utenti finali, quali dipendenti, candidati al lavoro, appaltatori, collaboratori, partner e clienti del cliente. Le persone interessate possono anche includere individui che tentano di comunicare o trasferire Dati personali agli utenti dei Servizi.

5. Responsabilità di IBANCOM

IBANCOM elaborerà i Dati personali esclusivamente per la fornitura dei Servizi e si impegna a:

• (a) Elaborare e utilizzare i Dati personali per gli scopi stabiliti nel presente Accordo o solo su istruzioni documentate del Cliente e per nessun altro scopo se non con l'esplicito consenso scritto del Cliente, o
• (b) Non divulgare i Dati a terzi, ad eccezione di quelli dei propri dipendenti, agenti e subappaltatori che sono impegnati nel Trattamento dei Dati e sono soggetti agli obblighi vincolanti o ad eccezione di quanto richiesto da qualsiasi legge o regolamento;
• (c) Implementare misure tecniche e organizzative adeguate per salvaguardare i Dati da lavorazioni non autorizzate o illegali o perdite accidentali, distruzione o danni e che, tenuto conto dello stato di sviluppo tecnologico e dei costi di attuazione di qualsiasi misura, tali misure assicurano un livello di sicurezza appropriato per il danno che potrebbe derivare da un trattamento non autorizzato o illecito o da perdita accidentale, distruzione o danno e dalla natura dei Dati da proteggere;
• (d) Informare il Cliente il prima possibile in caso di esercizio da parte dei Soggetti dei dati di uno qualsiasi dei loro diritti ai sensi delle leggi sulla protezione dei dati in relazione ai Dati, e, se necessario, assiste il Cliente nel rispettare l'obbligo di rispondere a tali richieste in considerazione degli impegni di cui all'articolo 7;
• (e) Non elaborare o trasferire i Dati al di fuori dell'Unione Europea eccetto che con l'esplicita autorizzazione scritta del Cliente e assicurare che tali trasferimenti siano effettuati in conformità con gli opportuni.

6. Responsabilità del cliente

Il Cliente del servizio, in qualità di responsabile del trattamento dei dati, deve assumersi la responsabilità di attenersi alla legislazione sulla protezione dei dati applicabile. In particolare, il Cliente ha l'obbligo di valutare la liceità del trattamento dei dati personali memorizzati sulla Piattaforma.

Il Cliente accetta di garantire in ogni momento la conformità alla legge sulla protezione dei dati applicabile e, in particolare, il Cliente garantisce che qualsiasi divulgazione dei Dati personali da essa effettuata a IBANCOM avvenga con il consenso dell'interessato o sia altrimenti lecita. Il controllo dei Dati personali rimane con il Cliente, e tra il Cliente e IBANCOM, il Cliente rimarrà in qualsiasi momento il Titolare del trattamento ai fini dei Servizi, dei Termini di servizio e del presente Accordo sul trattamento dei dati. Il Cliente è responsabile del rispetto dei suoi obblighi in qualità di Titolare del trattamento ai sensi della legge sulla protezione dei dati, in particolare per giustificare qualsiasi trasmissione di Dati personali a IBANCOM (compresa la comunicazione di eventuali comunicazioni richieste e l'ottenimento di eventuali consensi richiesti) e per le sue decisioni relative al Elaborazione e utilizzo dei dati.

7. Diritti dell'interessato

IBANCOM concederà al Cliente l'accesso elettronico all'ambiente della piattaforma che detiene i Dati personali per consentire al Cliente di cancellare, rilasciare, correggere o bloccare l'accesso a Dati personali specifici o, se ciò non è possibile e nella misura consentita dalla legge applicabile, seguire le istruzioni dettagliate del Cliente istruzioni per eliminare, rilasciare, correggere o bloccare l'accesso ai dati personali.

IBANCOM trasmetterà al Cliente qualsiasi richiesta di un singolo dato in oggetto di cancellare, rilasciare, correggere o bloccare i Dati Personali trattati ai sensi del Contratto.

8. Trasferimento Transfrontaliero dei Dati e Successivi

IBANCOM tratta tutti i dati personali in modo coerente con i requisiti della legge sulla protezione dei dati applicabile e questo accordo sull'elaborazione dei dati in tutte le sedi a livello globale.

I dati vengono memorizzati da IBANCOM in data center situati in Germania gestiti dal proprio subappaltatore Hetzner Online GmbH

Industriestr. 25
91710 Gunzenhausen
Deutschland
Tel.: +49 (0)9831 505-0*
Fax: +49 (0)9831 505-3

I data center si trovano in
Hetzner Online AG
Am Datacenterpark 1
08223 Falkenstein


Per quanto riguarda i dati personali archiviati da IBANCOM nei data center nel SEE, si garantisce che i suoi subprocessori rispettino i requisiti della legge sulla protezione dei dati applicabile come segue:
• (i) IBANCOM ha stipulato contratti con Subprocessor che prevedono che il Subprocessore si impegna a garantire la protezione dei dati e gli obblighi di riservatezza coerenti con le leggi applicabili in materia di protezione dei dati;
• (ii) inoltre, laddove un Subprocessore elabori Dati Personali in o da un Paese che non ha ricevuto una "adeguatezza", IBANCOM richiederà al Subprocessore l'esecuzione di Clausole Modello che incorporino requisiti di sicurezza coerenti con quelli di questo DPA.

9. Subcontratti

IBANCOM non dovrà subappaltare alcuna delle sue operazioni di elaborazione eseguite per conto del Cliente in base al Contratto e ai TOS senza il previo consenso scritto del Cliente.

Laddove IBANCOM subappalti i suoi obblighi ai sensi del Contratto, con il consenso del Cliente, lo farà solo per mezzo di un accordo scritto con un delegato di terze parti che impone gli stessi obblighi al delegato di terze parti come imposti su IBANCOM ai sensi dell'Accordo. Laddove il delegato di terze parti non adempia i propri obblighi di protezione dei dati in base a tale accordo scritto, IBANCOM rimane pienamente responsabile nei confronti del Cliente per l'adempimento degli obblighi del delegato di terze parti ai sensi di tale accordo.

Il Cliente come Titolare del trattamento dei dati può richiedere che IBANCOM controlli il delegato di terze parti o fornisca conferma che tale verifica sia avvenuta (o, ove disponibile, ottenga o assista il Titolare del trattamento nell'ottenere un rapporto di audit di terzi riguardante le operazioni del delegato di terze parti) per assicurare il rispetto di tali obblighi. . Il Titolare avrà inoltre diritto, su richiesta scritta, a ricevere copie dei termini pertinenti del contratto di IBANCOM con i delegati di terze parti che possono trattare Dati Personali, a meno che l'accordo contenga informazioni riservate, nel qual caso l'IBANCOM può fornire una versione redatta dell'accordo.

Le disposizioni relative agli aspetti relativi alla protezione dei dati ai fini della sottoprocedura del contratto di cui al paragrafo 1 sono disciplinate dalla legge dello Stato membro in cui è stabilito il cliente.

10. Misure tecniche e organizzative

Quando Elaborano Dati Personali per conto del Cliente in connessione con i Servizi, IBANCOM deve assicurare che implementa e mantiene la conformità con appropriate misure di sicurezza tecniche e organizzative per l'elaborazione di tali dati. Di conseguenza, IBANCOM implementerà le seguenti misure:

• a) Per impedire a persone non autorizzate di accedere ai sistemi di elaborazione dei dati in cui i dati personali sono elaborati (controllo dell'accesso fisico), IBANCOM deve adottare misure per impedire l'accesso fisico, come personale di sicurezza e edifici protetti e locali di fabbrica.
• b) Per evitare che i sistemi di elaborazione dati vengano utilizzati senza autorizzazione (controllo dell'accesso al sistema), a seconda dei Servizi ordinati possono essere applicati, tra gli altri controlli, l'autenticazione tramite password e la registrazione dell'accesso su più livelli.
Per i servizi API ospitati presso IBANCOM: (i) l'accesso logico ai data center è limitato e protetto da firewall/VLAN; e (ii) vengono applicati i seguenti processi di sicurezza: registrazione e allarmi centralizzati e (iii) firewall.
• c) garantire che le persone autorizzate a utilizzare un sistema di trattamento dei dati abbiano accesso ai dati personali a cui hanno il privilegio di accedere e che i dati personali non possano essere letti, copiati, modificati o rimossi senza autorizzazione nel corso della procedura e / o dopo lo stoccaggio (controllo dell'accesso ai dati), i Dati personali sono accessibili e gestibili solo da personale adeguatamente autorizzato, l'accesso diretto alle query del database è limitato e i diritti di accesso alle applicazioni sono stabiliti e applicati.

Oltre alle regole di controllo degli accessi sopra indicate, IBANCOM implementa una politica di accesso in base alla quale il Titolare del Trattamento controlla l'accesso al proprio ambiente dei Servizi API e ai Dati personali e altri dati dal proprio personale autorizzato.

• d) Garantire che i Dati Personali non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante la trasmissione o il trasporto elettronico e che sia possibile verificare e stabilire a quali entità sia previsto il trasferimento di Dati Personali mediante le strutture di trasmissione dati (controllo della trasmissione), IBANCOM rispetterà i seguenti requisiti: Salvo quanto diversamente specificato per i Servizi API, i trasferimenti di dati al di fuori dell'ambiente del Servizio sono crittografati (HTTPS). Il contenuto delle comunicazioni (compresi gli indirizzi dei mittenti e dei destinatari) inviati tramite alcuni servizi di posta elettronica o di messaggistica potrebbe non essere criptato una volta ricevuto tramite tali servizi. Il Titolare del trattamento dei dati è l'unico responsabile dei risultati della sua decisione di utilizzare comunicazioni o trasmissioni non crittografate.
• e) Per garantire che sia possibile verificare e stabilire se e da chi i Dati personali sono stati inseriti nei sistemi di elaborazione dati, modificati o rimossi (controllo dell'input), IBANCOM rispetterà i seguenti requisiti: La fonte dei dati personali è sotto il controllo del Cliente, e l'integrazione dei Dati Personali nel sistema è gestita tramite trasferimento di file protetto (ad esempio, tramite servizi Web o inserito nell'applicazione) dal Cliente.
• f) Per garantire che i Dati personali siano protetti contro la distruzione o la perdita accidentale: i backup vengono effettuati su base regolare; i back-up sono criptati e protetti.
• g) Per garantire che i Dati personali raccolti per scopi diversi possano essere trattati separatamente, i dati provenienti da ambienti diversi dei Data Controller sono logicamente separati dai sistemi di IBANCOM.

11. Diritti di Audit

Il Cliente può verificare la conformità di IBANCOM con i termini del Contratto e del presente Accordo sul trattamento dei dati fino a una volta all'anno.

Il Cliente può effettuare verifiche più frequenti dei sistemi informatici di Servizio che elaborano Dati Personali nella misura richiesta dalle leggi applicabili al Cliente. Se una terza parte deve condurre la verifica, la parte terza deve essere reciprocamente concordata da entrambe le parti e deve eseguire un accordo scritto di riservatezza accettabile per IBANCOM prima di condurre la verifica.

Per richiedere un audit, il Cliente deve presentare un piano di audit dettagliato almeno 4 settimane prima della data dell'audit proposta, descrivendo l'ambito proposto, la durata e la data di inizio dell'audit. IBANCOM esaminerà il piano di audit e fornirà a Data Controller eventuali dubbi o domande (ad esempio, qualsiasi richiesta di informazioni che possa compromettere la sicurezza, la privacy o le politiche occupazionali di IBANCOM).

I rapporti di controllo sono informazioni riservate delle parti secondo i termini dell'accordo. Eventuali verifiche sono a carico del Responsabile del trattamento.

Qualsiasi richiesta di IBANCOM per fornire assistenza con un audit è considerata un servizio separato se tale assistenza di revisione richiede l'utilizzo di risorse diverse o aggiuntive. IBANCOM chiederà l'approvazione scritta e l'accordo del Responsabile del trattamento per pagare le relative commissioni prima di eseguire tale assistenza di revisione.

12. Gestione degli incidenti e notifica delle violazioni

IBANCOM valuta e risponde agli incidenti che creano sospetto di accesso non autorizzato o gestione dei Dati personali.

Il Cliente viene informato di tali incidenti e, in base alla natura dell'attività, definisce i percorsi di escalation e i team di risposta per affrontare tali incidenti. IBANCOM collaborerà con il Cliente, con i team tecnici competenti e, ove necessario, con le forze dell'ordine esterne per rispondere all'incidente. L'obiettivo della risposta all'incidente sarà quello di ripristinare la riservatezza, l'integrità e la disponibilità dell'ambiente dei servizi e di stabilire le cause principali e le fasi di risoluzione dei problemi.

Lo staff operativo IBANCOM è incaricato di rispondere agli incidenti in cui il trattamento dei dati personali potrebbe essere stato non autorizzato.

IBANCOM informerà il Cliente senza indebito ritardo dopo essere venuto a conoscenza di una violazione dei dati personali. IBANCOM deve tempestivamente indagare su eventuali violazioni della sicurezza e adottare misure ragionevoli per identificare le cause principali e prevenire una ricorrenza. Quando le informazioni vengono raccolte o diventano disponibili in altro modo, salvo se proibito dalla legge, IBANCOM fornirà al Titolare del Trattamento una descrizione della violazione della sicurezza, il tipo di dati oggetto della violazione e altre informazioni che il Titolare potrebbe ragionevolmente richiedere in merito persone. Le parti concordano di coordinare in buona fede lo sviluppo del contenuto di qualsiasi dichiarazione pubblica correlata o qualsiasi avviso richiesto per le persone interessate.

13. Informativa richiesta per legge

Salvo quanto diversamente richiesto dalla legge, IBANCOM informerà prontamente il Cliente di ogni mandato di comparizione, ordine giudiziario, amministrativo o arbitrale di un'agenzia esecutiva o amministrativa o altra autorità governativa ("richiesta") che riceve e che si riferisce ai Dati personali IBANCOM è Elaborazione per conto del Cliente. Su richiesta del Cliente, IBANCOM fornirà le informazioni ragionevoli in suo possesso che potrebbero essere rispondenti alla domanda e qualsiasi assistenza ragionevolmente richiesta affinché il Cliente risponda alla richiesta in modo tempestivo. Il Cliente riconosce che IBANCOM non ha alcuna responsabilità di interagire direttamente con l'entità che effettua la richiesta.

14. Obbligo dopo la cessazione dei servizi di trattamento dei dati personali

Le parti concordano che, al termine della fornitura dei servizi di elaborazione dati, IBANCOM renderà disponibile il recupero o altrimenti restituirà i Dati personali del Cliente memorizzati nell'ambiente della Piattaforma, a meno che la legislazione imposta alle parti non impedisca il ritorno o la distruzione di tutto o parte di i dati personali trasferiti. In tal caso, le parti garantiscono che garantirà la riservatezza dei dati personali trasferiti e non elaborerà più attivamente i dati personali trasferiti.

15. Legge governativa

Questo accordo sarà regolato dalla legge dello Stato membro in cui è stabilito il cliente.