Accordo sull'elaborazione degli ordini (AVV]
ai sensi dell'art. 28 comma 3 del Regolamento generale sulla protezione dei dati (GDPR]
§ 1 Oggetto e durata dell'ordine
(1] Il presente accordo disciplina i diritti e gli obblighi delle parti in relazione al trattamento dei dati personali da parte del responsabile del trattamento (responsabile del trattamento] per conto del cliente (responsabile del trattamento]. Si applica a tutte le attività in cui i dipendenti del responsabile del trattamento o terzi da lui incaricati possono entrare in contatto con i dati personali del responsabile del trattamento.
(2] La durata del presente accordo è determinata dalla durata del contratto principale per l'utilizzo del software "BusWay". Termina automaticamente con la cessazione del contratto principale, a meno che non sussistano obblighi legali di conservazione.
§ 2 Natura e scopo del trattamento
(1] Il responsabile del trattamento mette a disposizione del titolare del trattamento una piattaforma Software-as-a-Service (SaaS]. Il trattamento comprende la raccolta, l'archiviazione, la valutazione e la fornitura di dati a supporto dei processi operativi.
(2] Lo scopo del trattamento è l'assegnazione digitale delle Route/Line, la navigazione del personale di guida, la gestione delle informazioni sulle route e la garanzia tecnica del funzionamento del software.
§ 3 Natura dei dati e categoria degli interessati
(1] Categorie di persone interessate: Dipendenti del cliente (conducenti, dispatcher, amministratori].
(2] Tipo di dati personali trattati:
- Dati identificativi (nome utente, indirizzo e-mail, nome e cognome].
- Dati di localizzazione e movimento (coordinate GPS durante l'uso attivo dell'app, cronologia delle route].
- Metadati del dispositivo (indirizzo IP, ID del dispositivo, versione del sistema operativo, versione dell'app].
- Dati di utilizzo (timestamp dei login, route create o percorse, log di sincronizzazione].
§ 4 Obblighi del responsabile del trattamento
(1] Il responsabile del trattamento elabora i dati personali esclusivamente nell'ambito degli accordi presi e secondo le istruzioni del titolare del trattamento, a meno che non sia obbligato a un altro trattamento da disposizioni di legge.
(2] Il responsabile del trattamento garantisce che tutte le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di segretezza.
(3] Il responsabile del trattamento adotta tutte le misure necessarie ai sensi dell'art. 32 GDPR (sicurezza del trattamento] per garantire un livello di protezione adeguato al rischio.
(4] Il responsabile del trattamento supporta il titolare del trattamento nel rispetto degli obblighi di cui agli artt. da 32 a 36 GDPR (ad es. notifica di violazioni della protezione dei dati personali] al meglio delle proprie capacità.
§ 5 Obblighi del titolare del trattamento
(1] Il titolare del trattamento è l'unico responsabile della valutazione della liceità del trattamento ai sensi dell'art. 6 comma 1 GDPR nonché della tutela dei diritti degli interessati (ad es. informazione dei dipendenti sul tracciamento GPS].
(2] Il titolare del trattamento impartisce le sue istruzioni di norma attraverso l'utilizzo delle funzioni del software (ad es. creazione o cancellazione di utenti]. Le istruzioni orali devono essere immediatamente confermate per iscritto o in forma testuale (e-mail].
§ 6 Misure tecniche e organizzative (TOM]
(1] Il responsabile del trattamento ha adottato adeguate misure tecniche e organizzative per proteggere i dati da accessi non autorizzati, perdita o alterazione.
- Riservatezza: Crittografia della trasmissione dei dati (SSL/TLS], protezione tramite password (hashing], controlli di accesso.
- Integrità: Controllo dell'input, registrazione degli accessi al sistema, separazione dei dati del cliente (separazione logica].
- Disponibilità: Backup regolari, infrastruttura server ridondante, piani di emergenza (Disaster Recovery].
- Resilienza: Utilizzo di infrastrutture cloud scalabili e verifica periodica della sicurezza del sistema.
§ 7 Rapporti di subappalto
(1] Il titolare del trattamento concede al responsabile del trattamento l'autorizzazione generale ad avvalersi di ulteriori responsabili del trattamento (subappaltatori] per l'adempimento degli obblighi contrattuali.
(2] Il responsabile del trattamento informa il titolare del trattamento di ogni modifica prevista in relazione all'aggiunta o alla sostituzione di ulteriori responsabili del trattamento. Il titolare del trattamento ha il diritto di opporsi.
(3] I subappaltatori attualmente impiegati sono elencati nell'allegato al presente contratto.
§ 8 Diritti di controllo
(1] Il titolare del trattamento ha il diritto di verificare in misura ragionevole il rispetto delle disposizioni di legge e delle disposizioni del presente contratto da parte del responsabile del trattamento. Trattandosi di una soluzione SaaS, la prova può essere fornita principalmente tramite certificati o attestati di terzi indipendenti.
§ 9 Cancellazione e restituzione dei dati
(1] Al termine della fornitura dei servizi di trattamento, il responsabile del trattamento cancella tutti i dati personali o li restituisce al titolare del trattamento, a meno che non sussista un obbligo legale di conservazione.
§ 10 Disposizioni finali
(1] Qualora singole parti del presente accordo dovessero essere inefficaci, ciò non pregiudica l'efficacia delle restanti disposizioni.
(2] Si applica il diritto della Repubblica Federale Tedesca. Foro competente è la sede del responsabile del trattamento.
Il responsabile del trattamento utilizza i seguenti fornitori di servizi per l'adempimento dei suoi servizi:
| Servizio | Fornitore di servizi | Posizione del server |
|---|---|---|
| Hosting, database e backend | Strato AG | Berlino / Karlsruhe, DE |
| Dati cartografici e geocodifica | Google Cloud EMEA | Dublino, IE (UE] |
| Rivenditore / Merchant of Record | Paddle.com Market Ltd | Londra, UK (Decisione di adeguatezza] |