Accordo di elaborazione dei dati del motore in uscita

1. Parti e ambito di applicazione

Il presente Accordo sul trattamento dei dati ("DPA") fa parte del quadro contrattuale tra:

1) Cliente ("Titolare del trattamento"):l'entità che determina le finalità e i mezzi del trattamento dei dati personali, e

2) Soufiane Boudarraja ("Responsabile del trattamento"):il fornitore di servizi che tratta i dati personali per conto del Cliente.

Il presente DPA si applica all'ecosistema di Soufiane Boudarraja (l'"Ecosistema") laddove, e solo laddove, Soufiane Boudarraja tratta i dati personali per conto del Cliente in qualità di Responsabile del trattamento in relazione ai "Servizi".

Se Soufiane Boudarraja agisce come Titolare del trattamento indipendente (ad esempio, visitatori del sito web, clienti diretti di prodotti digitali o acquirenti di POD), si applica l'Informativa sulla privacy al posto del presente DPA. Se le parti agiscono come titolari del trattamento separati (Titolare-Titolare), il presente DPA non si applica a meno che non sia concordato per iscritto.

2. Definizioni

"GDPR" indicail Regolamento (UE) 2016/679.

"Dati personali", "Trattamento", "Titolare del trattamento", "Responsabile del trattamento" e "Autorità di controllo"hanno il significato loro attribuito dal GDPR.

"Dati del cliente" indicai dati personali trattati dal Responsabile del trattamento per conto del Cliente ai sensi del presente Accordo sul trattamento dei dati.

"Sub-responsabile del trattamento" indicauna terza parte incaricata dal Responsabile del trattamento di trattare i Dati del cliente per conto del Cliente.

"Servizi" indicai servizi professionali, il software e i prodotti forniti ai sensi del contratto applicabile, della dichiarazione di lavoro, del modulo d'ordine o di un accordo simile (l'"Accordo principale").

3. Dettagli del trattamento

L'oggetto, la durata, la natura e lo scopo del trattamento, le tipologie di Dati Personali e le categorie di Interessati sono descritti nell'Allegato 1 (Dettagli del trattamento). Il trattamento sarà limitato a quanto necessario per fornire i Servizi.

4. Obblighi del Responsabile del trattamento

Il Responsabile del trattamento deve:

1. Trattare i Dati del Cliente solo su istruzioni documentate del Cliente, anche per quanto riguarda i trasferimenti di Dati Personali verso un paese terzo o un'organizzazione internazionale, a meno che non sia richiesto dal diritto dell'Unione o degli Stati membri; In tal caso, il Responsabile del trattamento informerà il Cliente di tale requisito legale prima del trattamento, a meno che tale legge non proibisca tali informazioni per importanti motivi di interesse pubblico.

2. Garantire che le persone autorizzate a trattare i Dati del Cliente si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.

3. Implementare adeguate misure tecniche e      misure organizzative (“TOM”) per garantire un livello di sicurezza      adeguato al rischio, come descritto nell'Allegato 2, tenendo conto dell'articolo 32 del GDPR.

4. Rispettare le condizioni per l'impiego di      subresponsabili del trattamento come stabilito nella Sezione 6.

5. Assistere il Cliente con misure tecniche e organizzative adeguate, per quanto possibile, per il      adempimento dell'obbligo del Cliente di rispondere alle richieste di      esercizio dei diritti dell'Interessato ai sensi del Capitolo III del GDPR.

6. Assistere il Cliente nel garantire la conformità      agli obblighi ai sensi degli articoli da 32 a 36 del GDPR (sicurezza, violazione     notifica, DPIA e consultazione preventiva), tenendo conto della     natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento.

7. A scelta del Cliente, eliminare o restituire tutti i Dati del Cliente dopo la fine della fornitura dei Servizi relativi al trattamento ed eliminare le copie esistenti a meno che la legge dell'Unione o dello Stato membro non richieda la conservazione.

8. Rendere disponibili al Cliente tutte le informazioni necessarie per dimostrare la conformità con il presente DPA e consentire e contribuire agli audit, comprese le ispezioni, condotti dal Cliente o da un revisore incaricato dal Cliente, soggetto alla Sezione 11.

5. Obblighi del cliente

Il cliente deve:

• Garantire di avere una base giuridica per il trattamento dei Dati del cliente e per incaricare il Responsabile del trattamento di elaborare i Dati del cliente.

• Fornire istruzioni documentate e garantire che tali istruzioni siano conformi alla legge applicabile.

• Garantire che le informative sulla trasparenza siano fornite agli interessati ove richiesto, incluso l'uso di responsabili del trattamento e     trasferimenti internazionali.

• Essere responsabile dell'accuratezza, della qualità,     e della legalità dei Dati del Cliente forniti al Responsabile del trattamento.

• Configurare e utilizzare qualsiasi strumento di terze parti selezionato o controllato in modo conforme, comprese le autorizzazioni utente e le impostazioni di conservazione.

6. Sub-responsabili del trattamento

Il Cliente concede al Responsabile del trattamento l'autorizzazione generale ad avvalersi di Sub-responsabili del trattamento per elaborare i Dati del Cliente ai fini della fornitura dei Servizi, nel rispetto dei requisiti di seguito indicati.

6.1 Condizioni dei Sub-responsabili del trattamento

• Il Responsabile del trattamento impone a ciascun Sub-responsabile del trattamento obblighi di protezione dei dati sostanzialmente simili a quelli stabiliti nel presente Accordo sul trattamento dei dati, comprese misure di sicurezza appropriate.

• Il Responsabile del trattamento rimane responsabile dell'adempimento degli obblighi del Sub-responsabile del trattamento.

6.2 Elenco e aggiornamenti dei sub-responsabili del trattamento

Un elenco aggiornato delle categorie di sub-responsabili del trattamento e dei tipi di strumenti utilizzati per l'Ecosistema è mantenuto nell'Allegato Strumenti di terze parti e fornitori di dati (Politica 14). Per gli incarichi specifici del cliente, i sub-responsabili del trattamento applicabili possono dipendere dai Servizi e dagli strumenti scelti dal Cliente.

Qualora una modifica introduca un nuovo sub-responsabile del trattamento che elaborerà i Dati del Cliente per un incarico in corso, il Responsabile del trattamento fornirà un preavviso ove ragionevolmente possibile. Il Cliente può opporsi per motivi ragionevoli relativi alla protezione dei dati. Se le parti non riescono a risolvere l'obiezione, ciascuna delle parti può risolvere la parte interessata dei Servizi, senza penali oltre alle commissioni dovute per il lavoro svolto fino alla risoluzione, a meno che l'Accordo principale non preveda diversamente.

7. Trasferimenti internazionali

I dati del cliente devono essere elaborati all'interno dello Spazio economico europeo ("SEE") di default, laddove i Servizi e gli strumenti scelti lo consentano. Qualora i Dati del Cliente vengano trasferiti al di fuori dello Spazio Economico Europeo, il trasferimento sarà soggetto a una garanzia adeguata ai sensi del Capitolo V del GDPR.

7.1 Meccanismi di trasferimento

• Decisione di adeguatezza (articolo 45 del GDPR), ove applicabile.

• Clausole contrattuali standard ("SCC") adottate dalla Commissione europea (articolo 46 del GDPR), ove applicabile.

• Altri meccanismi legali riconosciuti ai sensi     Capitolo V del GDPR, ove applicabile.

Laddove siano richieste le SCC, le parti concordano di utilizzare le SCC adottate dalla Decisione di esecuzione (UE) 2021/914 della Commissione, con il/i modulo/i appropriato/i al rapporto (tipicamente Titolare-Responsabile del trattamento). Le SCC sono incorporate per riferimento e si applicano nella misura necessaria per il trasferimento.

8. Sicurezza (Articolo 32 GDPR)

Il Responsabile del trattamento deve implementare e mantenere TOM appropriati come descritto nell'Allegato 2. Il Responsabile del trattamento può aggiornare i TOM nel tempo per riflettere i rischi e la tecnologia in evoluzione, a condizione che il livello di sicurezza complessivo non sia materialmente degradato.

9. Notifica di violazione dei dati personali

Il Responsabile del trattamento notificherà al Cliente senza indebito ritardo, non appena venga a conoscenza di una violazione dei dati personali che interessa i Dati del Cliente. La notifica includerà, per quanto possibile, la natura della violazione, le categorie e il numero approssimativo di interessati e di record interessati, le probabili conseguenze e le misure adottate o proposte per affrontare la violazione. Il Responsabile del trattamento collaborerà con le ragionevoli richieste del Cliente di ulteriori informazioni.

10. Assistenza per le richieste degli interessati

Tenendo conto della natura del trattamento, il Responsabile del trattamento assisterà il Cliente con misure tecniche e organizzative adeguate, per quanto possibile, per soddisfare le richieste degli interessati di esercitare i propri diritti ai sensi del Capitolo III del GDPR. Se il Responsabile del trattamento riceve una richiesta direttamente da un Interessato relativa ai Dati del Cliente, il Responsabile del trattamento, salvo divieto legale, inoltrerà tempestivamente la richiesta al Cliente e non risponderà se non in base alle istruzioni documentate del Cliente.

11. Audit e informazioni sulla conformità

Il Responsabile del trattamento renderà disponibili le informazioni necessarie per dimostrare la conformità al presente DPA.

• Le verifiche possono essere condotte dal Cliente o da un revisore indipendente incaricato dal Cliente, fatte salve le seguenti condizioni:

• Le richieste di verifica devono essere ragionevoli,      proporzionate e limitate alle attività di trattamento coperte dal presente DPA.

• Le verifiche devono essere programmate con un preavviso ragionevole e durante il normale orario di lavoro, a meno che una violazione o un requisito legale urgente giustifichi tempi accelerati.

• Le verifiche devono essere condotte in modo tale che      evita interruzioni non necessarie e protegge la riservatezza e la      sicurezza degli altri clienti e dei sistemi del Processore.

Il Cliente si fa carico dei propri costi di audit e     rimborsa il Processore per il tempo ragionevole impiegato a supporto dell'audit,     a meno che l'audit non riveli una violazione sostanziale del presente DPA da parte del Processore.

12. Cancellazione e restituzione dei dati

Alla cessazione o alla scadenza dei Servizi che comportano il trattamento ai sensi del presente Accordo sul trattamento dei dati, il Responsabile del trattamento, a scelta del Cliente, cancellerà o restituirà i Dati del Cliente ed eliminerà le copie esistenti, a meno che la conservazione non sia richiesta dalla legge dell'Unione o di uno Stato membro. Qualora venga scelta la cancellazione, il Responsabile del trattamento eliminerà i Dati del Cliente dai sistemi attivi entro un periodo commercialmente ragionevole e potrà conservare backup limitati per un periodo limitato in conformità con le pratiche di sicurezza e di ripristino d'emergenza.

13. Riservatezza

Il Responsabile del trattamento tratterà i Dati del Cliente come riservati e garantirà che le persone autorizzate a trattare i Dati del Cliente siano vincolate alla riservatezza. Tale obbligo si aggiunge a qualsiasi disposizione di riservatezza contenuta nell'Accordo principale.

14. Responsabilità

La responsabilità ai sensi del presente Accordo sul trattamento dei dati segue la ripartizione della responsabilità nell'Accordo principale, a meno che la legge imperativa non disponga diversamente. Nessuna disposizione del presente DPA limita la responsabilità di una delle parti laddove tale limitazione non sia consentita dalla legge applicabile.

15. Ordine di precedenza

In caso di conflitto tra il presente DPA e l'Accordo Principale, il presente DPA prevale per quanto riguarda gli obblighi in materia di protezione dei dati, a meno che le parti non concordino espressamente diversamente per iscritto. Gli allegati fanno parte del presente DPA.

16. Contatto

Soufiane Boudarraja

Contatto del responsabile del trattamento per questioni relative alla protezione dei dati:

Email: Soufiane.Boudarraja@soufbouda.com

Soufiane Boudarraja

Waldstr. 74, 65451 Kelsterbach, Assia, Germania

Email: Soufiane.Boudarraja@soufbouda.com

Telefono: +49 152 2717 9992

• Allegato 1: Dettagli sul trattamento (articolo 28(3) GDPR)

• Il presente allegato descrive i dettagli tipici del trattamento per i servizi dell'Ecosistema in cui Soufiane Boudarraja agisce come responsabile del trattamento. Per un incarico specifico, le parti possono perfezionare questi dettagli nella dichiarazione di lavoro o nel modulo d'ordine.

• A. Oggetto

Fornitura di servizi di consulenza, di advisory,     governance operativa, abilitazione, formazione e trasformazione.

Fornitura di software, automazione e      servizi di supporto correlati (inclusi Outbound Engine e Outbound      Assistant) in cui il Cliente fornisce dati personali per l'elaborazione.

Fornitura di ricerca, diagnostica, arricchimento dei dati, abilitazione alla divulgazione e risultati correlati in cui il      Il cliente fornisce dati personali o impartisce istruzioni per il trattamento dei dati personali.

• B. Durata

• Per la durata del Contratto Principale e qualsiasi periodo di transizione applicabile necessario per restituire o eliminare i Dati del Cliente, fatto salvo quanto previsto dalla Sezione 12.

• C. Natura del trattamento

Raccolta, ricezione, registrazione,     organizzazione, strutturazione, archiviazione, adattamento, consultazione, utilizzo, divulgazione      mediante trasmissione (ove richiesto), allineamento, combinazione, limitazione,     cancellazione e distruzione dei Dati del Cliente.

• Gestione degli utenti e controllo degli accessi per      spazi di lavoro condivisi ove applicabile.

• Generazione di report, dashboard e     risultati operativi utilizzando i Dati del Cliente ove richiesto.

• D. Finalità del trattamento

Fornire i Servizi come richiesto dal Cliente.

• Gestire e proteggere l'ambiente del servizio, inclusi autenticazione, registrazione, monitoraggio e risposta agli incidenti.

• Fornire supporto, risoluzione dei problemi e miglioramento del servizio in relazione al rapporto con il Cliente.

• E. Categorie di interessati

Dipendenti, appaltatori e utenti autorizzati del Cliente.

• Clienti, potenziali clienti, lead, fornitori e contatti commerciali del Cliente, come forniti o indicati dal Cliente.

• Altri individui i cui dati il Cliente fornisce legalmente per il trattamento in relazione ai Servizi.

• F. Tipi di dati personali

• Dati di identità e di contatto (nome, ruolo,     e-mail aziendale, telefono aziendale, azienda, qualifica professionale, posizione).

• Dati di comunicazione e interazione      (e-mail, messaggi, note di riunione, riepiloghi delle chiamate, risposte) forniti      dal Cliente.

Dati di account e di accesso (ID utente, metadati di login, autorizzazioni) laddove siano presenti spazi di lavoro condivisi utilizzati.

Dati relativi alle relazioni commerciali (assegnazioni account, dati della pipeline, stato di contatto, metadati di pianificazione delle riunioni).

Dati tecnici necessari per il funzionamento dei Servizi (identificativi del dispositivo, log, indirizzi IP, timestamp) laddove applicabile.

Le categorie particolari di dati (articolo 9 GDPR) non sono destinate a essere trattate. Se il Cliente richiede il trattamento di categorie particolari di dati relativi a reati penali (articolo 10 GDPR), le parti devono concordare per iscritto ulteriori garanzie prima che tale trattamento abbia luogo.

• Allegato 2: Misure tecniche e organizzative (TOM)

• Le TOM di seguito descrivono una postura di sicurezza di base per i servizi dell'Ecosistema. Le misure effettive possono variare a seconda del Servizio e dello stack di strumenti. Il Responsabile del trattamento mantiene misure adeguate al rischio e può fornire dettagli TOM specifici per l'incarico su richiesta.

• A. Misure organizzative

• Impegni di riservatezza per tutte le persone autorizzate ad accedere ai Dati del Cliente.

• Controlli di accesso basati sui principi del minimo privilegio e della necessità di sapere.

Pratiche di minimizzazione dei dati per i risultati e i file condivisi, ove possibile.

• Processo di risposta agli incidenti per identificare, contenere, indagine e risoluzione degli eventi di sicurezza.

• Selezione del fornitore e dello strumento guidata dall'Allegato Strumenti di terze parti e fornitori di dati.

• B. Misure tecniche

• Sicurezza dell'account: pratiche di autenticazione forte, inclusa l'autenticazione a più fattori laddove supportata dalla piattaforma.

• Crittografia in transito tramite TLS per i servizi web laddove supportati; crittografia a riposo ove supportato da     provider.

• Configurazione sicura dei dispositivi utilizzati per     erogazione del servizio (aggiornamenti del sistema operativo, protezione da malware, crittografia del disco ove     disponibile).

Registrazione e monitoraggio appropriati al     contesto del servizio, con controlli di accesso per i log.

• Procedure di backup e ripristino appropriate     agli strumenti utilizzati, con accesso controllato e conservazione.

• Segregazione dei dati dei clienti utilizzando      spazi di lavoro separati, cartelle o misure di separazione logica laddove      supportate.

C. Disponibilità e resilienza

• Utilizzo di servizi di hosting e cloud affidabili, ove applicabile.

• Pianificazione ragionevole della continuità operativa in base alla portata dell'impegno.

D. Test e miglioramenti

Aggiornamenti regolari del software e delle dipendenze, ove applicabile.