Accordo sul trattamento dei dati personali e ruoli privacy
(Estratto dalle condizioni generali)

1.1 Le Parti, ai fini di cui al presente Contratto, intendono disciplinare le condizioni e le modalità di trattamento dei dati personali da parte del Fornitore derivanti dal Contratto e dalla prestazione del Servizio e le relative responsabilità, ivi incluso l'impegno assunto dal Fornitore quale Responsabile del Trattamento.

1.2 Le Parti riconoscono e convengono che in merito al trattamento dei Dati Personali:

1.2.1 il Cliente agisce quale Titolare del Trattamento dei Dati Personali;

1.2.2 il Fornitore agisce quale Responsabile del Trattamento in relazione alle operazioni di trattamento dei Dati Personali di seguito descritte poste in essere ai soli fini dell'esecuzione del Contratto e nella prestazione dei Servizi.

Finalità Attività di trattamento connesse all'emissione e trasmissione delle fatture attive del Cliente e ricezione delle fatture passive, nonché attività di conservazione sostitutiva ai fini del rispetto degli obblighi normativi da parte del Cliente.
Categorie di Dati Personali
Ai fini della prestazione dei Servizi previsti dal Contratto, il Fornitore potrà trattare le seguenti categorie di Dati Personali forniti, archiviati, trasmessi, o creati dal Cliente nel contesto della fruizione dei Servizi:
• Dati anagrafici (es. nome e cognome, codice fisale, partita IVA)
• Dati di contatto (es. indirizzo di fatturazione, indirizzo di spedizione, indirizzo email)
• Dati relativi al conto di appoggio
• Dati relativi ai beni o servizi fatturati
Il Servizio può comportare il trattamento di categorie particolari di Dati Personali se riportati nella descrizione della prestazione
Non è previsto il trattamento di alcun Dato personale rientrante nella categoria di cui all'art. 10 del GDPR (dati relativi a condanne).
Categorie di Interessati
Nella prestazione dei Servizi il Fornitore potrà trattare Dati Personali - forniti, archiviati, trasmessi, o creati dal Cliente nel contesto della fruizione dei Servizi – relativi alle seguenti categorie di Interessati
• clienti persone fisiche del Cliente (o referenti interni ai clienti che siano società)
• fornitori persone fisiche del Cliente
• eventuali terzi i cui dati siano riportati nella descrizione della prestazione
• Nel caso di sottoscrizione Gold o Premium dati del personale relativi a costo orario e produttività
Durata Sino alla cessazione del Contratto
Paese in cui sono conservati i Dati Personali Paesi all’interno dello spazio economico europeo
Misure di sicurezza
- Credenziali di autenticazione assegnate individualmente con profili di autorizzazione differenti in base alle mansioni affidate al personale
- Autenticazione e due fattori
- Password cifrate secondo i più alti standard vigenti
- Sharding dei db degli utenti
- Separazione fisica tra amministratori del sistema e utenti
- Back up ogni 6 ore con retention di 30 giorni
- Tutto il personale di tessarin.net è stato istruito alla vigente normativa GDPR
Responsabili ulteriori e attività
- Hosting a cura di Microsoft Azure
- Trasmissione alla SDI e conservazione xml a cura di Sata s.r.l. Modena

1.3 Il Fornitore deve:

1.3.1 effettuare il trattamento dei Dati Personali esclusivamente in conformità alle istruzioni fornite dal Cliente per iscritto, avuto riguardo alla Disciplina in Materia di Protezione dei Dati ed esclusivamente nei limiti di quanto ragionevolmente necessario per il corretto adempimento del presente Contratto. Resta inteso che il Cliente fornirà istruzioni legittime e che, nelle ipotesi in cui tali istruzioni non fossero conformi alla normativa vigente, il Fornitore segnalerà tale circostanza al Cliente che provvederà a modificare le stesse in senso conforme alla normativa;

1.3.2 fornire al Cliente le informazioni utili, di propria competenza, ai fini della redazione e manutenzione del registro delle attività di trattamento, ove il Cliente sia tenuto alla sua redazione ai sensi dell'articolo 30 GDPR;

1.3.3 astenersi dal trasferire i Dati Personali al di fuori dello Spazio Economico Europeo, salvo che con il preventivo consenso scritto del Cliente;

1.3.4 astenersi dal condividere i Dati Personali con terzi, salvo previa autorizzazione scritta del Cliente;

1.3.5 informare il Cliente senza indugio in caso di incidente riguardante la sicurezza dei dati ai sensi di quanto previsto dall'art. 33 GDPR che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. In caso di violazione, se richiesto dal Cliente, il Fornitore si impegna a cooperare con il Cliente per adottare i rimedi necessari in relazione al trattamento di cui è responsabile il Fornitore;

1.3.6 cooperare con il Cliente (a) nel fornire riscontro ad eventuali richieste di accesso o altre richieste provenienti dagli interessati relativamente al trattamento dei dati personali effettuato dal Fornitore quali, a titolo esemplificativo e non esaustivo, richieste relative al diritto dell’interessato alla portabilità dei dati, al diritto di accesso ai dati, al diritto di rettifica, al diritto all’oblio, al diritto alla limitazione di trattamento o di opposizione ad esso nonché al diritto a non essere sottoposto a profilazione automatizzata e (b) nel far fronte ad eventuali inchieste, indagini o accertamenti riguardanti il trattamento promosse dall'Autorità Garante della Privacy o da altra autorità di sorveglianza competente; e

1.3.7 comunicare al Cliente senza ritardo eventuali richieste da essa ricevute da parte delle autorità competenti (Garante per la protezione dei dati personali), purché ciò non sia vietato dalla normativa vigente.

1.4 Il Cliente garantisce che i Dati Personali trasferiti o comunque trattati dal Fornitore nell’ambito del Servizio sono trattati in modo lecito e secondo correttezza, nel rispetto di ogni ulteriore accorgimento previsto dal la normativa vigente.

1.5 Il Cliente ha il diritto di verificare, anche tramite ispezioni effettuate direttamente o con l'ausilio di terzi dalla stessa incaricati, il rispetto da parte del Fornitore degli obblighi di cui al presente Contratto nei modi che saranno concordati tra le parti.

1.6 Il Fornitore potrà sub-appaltare il Trattamento dei Dati Personali oggetto del presente Contratto a un altro soggetto, (di seguito, "Responsabile Ulteriore"), qualora ricorrano tutte le seguenti condizioni:

1.6.1 il Fornitore abbia informato il Cliente di tale affidamento e dell'identità del Responsabile Ulteriore;

1.6.2 prima di iniziare il trattamento dei Dati Personali, il Responsabile Ulteriore abbia sottoscritto un contratto con il Fornitore in cui si assume obblighi in materia di protezione che non siano meno tutelanti di quelli contenuti nel presente Contratto e nel rispetto di quanto previsto dalla Disciplina in materia di Protezione dei Dati.

1.7 I compiti assegnati al Fornitore sono esclusivamente quelli resi necessari alle attività di trattamento connesse all'esecuzione del Contratto e non comportano il diritto ad alcuna remunerazione integrativa rispetto al compenso pattuito nel Contratto.

1.8 Alla cessazione del Contratto, per qualunque causa intervenuta, il Fornitore cesserà ogni trattamento dei Dati Personali ed altresì provvederà alla cancellazione dei Dati Personali e alla distruzione di eventuali Dati Personali conservati in formato cartaceo in suo possesso tranne il caso in cui la conservazione dei dati da parte del Fornitore sia necessaria al fine di assolvere ad una disposizione di legge, consentendo al Cliente di estrarre i Dati Personali qualora il Fornitore non proceda alla restituzione entro 60 gg conformemente a quanto disciplinato all'Articolo 9.3 del presente Contratto.

1.9 In relazione ai Dati Personali per i quali il Cliente è stato nominato responsabile del trattamento da parte da un terzo (di seguito, "Terzo Beneficiario"), per cui il Fornitore riveste il ruolo di Responsabile Ulteriore e che sono affidati al Fornitore in virtù del Contratto, il Cliente riconosce e garantisce l’adempimento nei confronti degli interessati di tutti gli obblighi previsti dalla Disciplina in materia di protezione dei Dati, salvi i compiti affidati al Fornitore in virtù dell'Articolo 10 del Contratto. Pertanto, a titolo esemplificativo e non esaustivo il Cliente si obbliga ad assicurare (ed a far sì che il Terzo Beneficiario assicuri): a) che gli interessati abbiano ricevuto un’adeguata informativa; b) che siano adottate tutte le misure di sicurezza idonee alla tutela dei dati personali, fatte salve le misure delegate al Fornitore in qualità di Responsabile del trattamento dei dati personali sulla base della dell'accordo di cui all'Articolo 10 del Contratto.