La presente Appendice ha lo scopo di definire le condizioni in base alle quali FYGR, in qualità di subappaltatore e nell'ambito dei servizi definiti nel documento, si impegna ad effettuare operazioni di trattamento dei dati personali per conto dei propri utenti nel rispetto delle disposizioni applicabili in materia di protezione dei dati personali, in particolare della Legge modificata del 6 gennaio 1978 sul trattamento dei dati, degli archivi e delle libertà individuali e del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 applicabile dal 25 maggio 2018 (di seguito "RGPD").
Ai fini del presente documento, FYGR agisce pertanto come "subappaltatore" nei seguenti casi: quando il cliente memorizza o fornisce l'accesso a informazioni personali relative a terzi attraverso l'uso del servizio Powens, Bridge API o Fintecture.
Si presume che l'utente agisca come "responsabile del trattamento dei dati" ai sensi delle definizioni fornite dal RGPD.
Nell'ambito dei loro rapporti contrattuali, le parti si impegnano quindi, ciascuna per quanto la riguarda, a rispettare la normativa vigente applicabile al trattamento dei dati personali.
Nell'ambito dei loro rapporti contrattuali, le parti si impegnano quindi, ciascuna per quanto la riguarda, a rispettare la normativa vigente applicabile al trattamento dei dati personali.
Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile (di seguito denominata "interessato"); si considera "persona fisica identificabile" quella che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo, come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online, o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Dati sensibili o categorie particolari di dati: dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica (articolo 9 del RGPD).
Trattamento: qualsiasi operazione o insieme di operazioni eseguite su dati personali o insiemi di dati, con o senza l'ausilio di mezzi automatici, quali la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la divulgazione mediante trasmissione, diffusione o altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
Titolare del trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, da solo o insieme ad altri, determina le finalità e i mezzi del trattamento; Subincaricato: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del titolare del trattamento.
Destinatario: la persona fisica o giuridica, l'autorità pubblica, il dipartimento o qualsiasi altro organismo che riceve i dati personali, sia esso un terzo o meno. Tuttavia, le autorità pubbliche che possono ricevere dati personali nel contesto di un'indagine specifica in conformità con la legislazione dell'UE o di uno Stato utente non sono considerate destinatari; il trattamento di tali dati da parte delle autorità pubbliche in questione è conforme alle norme applicabili in materia di protezione dei dati a seconda delle finalità del trattamento.
FYGR è autorizzata, in qualità di Subappaltatore che agisce su istruzioni dell'utente, a trattare i Dati Personali del Titolare nella misura necessaria all'erogazione dei servizi.
La natura delle operazioni effettuate da FYGR in relazione ai Dati Personali può essere l'archiviazione di informazioni e/o qualsiasi altro servizio come descritto nei TOS. La tipologia di Dati Personali e le categorie di persone interessate sono determinate e controllate dall'utente a sua esclusiva discrezione. Le attività di trattamento sono svolte da FYGR per il periodo di tempo stabilito nelle CGU.
In qualità di subappaltatore, FYGR si impegna a :
1. Trattare i Dati personali al solo scopo di fornire i Servizi;
2. Non accedere o utilizzare i dati personali per scopi diversi da quelli necessari per l'esecuzione dei servizi;
3. Elaborare i dati personali in conformità alle istruzioni documentate dell'utente;
4. Informare l'utente se, a suo giudizio e tenuto conto delle informazioni a sua disposizione, una qualsiasi delle istruzioni costituisce una violazione del GDPR o di qualsiasi altra disposizione del diritto dell'Unione o del diritto degli Stati dell'utente in materia di protezione dei dati;
5. Garantire la riservatezza dei dati personali trattati nell'esercizio delle proprie funzioni;
6. Ove applicabile, garantire che gli utenti del proprio personale autorizzati al trattamento dei Dati personali:
7. Tenere conto dei principi della data protection by design e della data protection by default nei propri strumenti, prodotti, applicazioni e servizi;
8.
Subappaltatori successivi: FYGR potrà incaricare un altro subappaltatore del trattamento dei Dati Personali per l'esecuzione dei servizi ("Subappaltatore successivo").
L'utente autorizza espressamente FYGR a incaricare tali società quali Subappaltatori successivi. In ogni caso, il Subappaltatore successivo è tenuto ad adempiere alle obbligazioni del presente contratto per conto e secondo le istruzioni di FYGR. È responsabilità di FYGR assicurarsi che il Subappaltatore successivo presenti le stesse garanzie sufficienti in merito all'implementazione di misure tecniche e organizzative adeguate affinché il trattamento soddisfi i requisiti del Regolamento Europeo sulla Protezione dei Dati. Qualora il Subappaltatore successivo non adempia ai propri obblighi in materia di protezione dei dati, FYGR rimarrà pienamente responsabile nei confronti dell'utente per l'adempimento degli obblighi da parte dell'altro subappaltatore.
9.
Diritto di informazione degli interessati: l'utente, in qualità di Titolare del trattamento, è pienamente responsabile di informare gli interessati dei loro diritti e di garantire che tali diritti siano rispettati, compresi i diritti di accesso, rettifica, cancellazione, limitazione o portabilità.
10.
Esercizio dei diritti dell'interessato: FYGR fornirà la cooperazione e l'assistenza ragionevolmente necessarie per rispondere alle richieste degli interessati. Tale ragionevole cooperazione e assistenza può includere (a) la comunicazione all'utente di qualsiasi richiesta ricevuta direttamente dall'interessato e (b) la possibilità per il Titolare del trattamento di progettare e implementare le misure tecniche e organizzative necessarie per rispondere alle richieste degli interessati.
L'utente, in qualità di Titolare del trattamento, è l'unico responsabile delle risposte a tali richieste. L'utente riconosce e accetta che, nel caso in cui tale cooperazione e assistenza richieda risorse significative da parte di FYGR, queste potranno essere addebitate all'utente, a condizione che quest'ultimo ne sia preventivamente informato e acconsenta.
11.
Notifica di violazioni di dati personali: FYGR si impegna a notificare all'utente, con qualsiasi mezzo, qualsiasi violazione di dati personali entro un termine massimo di 72 (settantadue) ore dal momento in cui ne viene a conoscenza. Tale notifica sarà accompagnata da ogni documentazione utile a consentire all'utente, se necessario, di notificare tale violazione all'autorità di controllo competente (CNIL).
12.
Assistenza da parte di FYGR nell'ambito dell'adempimento degli obblighi dell'utente: FYGR si impegna, per quanto possibile e se necessario, ad assistere l'utente nell'esecuzione di analisi d'impatto relative alla protezione dei dati. FYGR si impegna altresì, se necessario, ad assistere l'utente nell'esecuzione della consultazione preventiva dell'autorità di controllo (CNIL).
13.
Misure di sicurezza: FYGR mette in atto misure tecniche e organizzative adeguate per garantire la sicurezza, la riservatezza e l'integrità del trattamento dei dati e per proteggere i dati dalla distruzione, dalla perdita, dall'alterazione, dalla divulgazione non autorizzata o dall'accesso ai dati personali trasmessi, conservati o altrimenti trattati.
14.
Destino dei dati: Al termine del servizio (ivi compresa la cessazione delle CGUS), FYGR si impegna a cancellare ogni contenuto (inclusi dati, file, ecc.
) riprodotto, memorizzato, ospitato o comunque utilizzato dall'utente nell'ambito dei servizi, salvo che una richiesta emessa da un'autorità legale o giudiziaria competente, o la legge applicabile dell'Unione Europea o di uno Stato Utente dell'Unione Europea, preveda diversamente. L'utente è l'unico responsabile di garantire che le operazioni necessarie (quali il backup, il trasferimento a una soluzione di terze parti, ecc.) per la conservazione dei Dati personali, in particolare prima della cessazione o della scadenza dei servizi e prima di effettuare qualsiasi operazione di cancellazione, aggiornamento o reinstallazione dei servizi.
A questo proposito, l'utente è informato che la cessazione e la scadenza del servizio per qualsiasi motivo, così come alcune operazioni di aggiornamento o reinstallazione dei servizi, possono comportare automaticamente la cancellazione irreversibile di qualsiasi contenuto riprodotto, memorizzato, ospitato o altrimenti utilizzato dall'utente nell'ambito dei servizi, compreso qualsiasi potenziale back-up.
15.
Registro delle categorie di attività di trattamento: FYGR dichiara di tenere un registro scritto di tutte le categorie di attività di trattamento svolte per conto dell'utente, tra cui:
16.
Documentazione: FYGR metterà a disposizione dei propri utenti la documentazione necessaria a dimostrare l'adempimento di tutti i propri obblighi e a consentire e assistere nelle verifiche, anche ispettive, che l'utente o un altro revisore da esso incaricato dovrà effettuare. Nell'ambito di tali verifiche, all'utente o al revisore da esso incaricato non sarà comunque consentito l'accesso ai segreti aziendali di FYGR, alle informazioni strategiche di FYGR o alle informazioni che FYGR si è impegnata a mantenere riservate in relazione agli altri clienti e/o partner. FYGR potrà opporsi a qualsiasi misura di controllo da parte dell'utente o del revisore incaricato da FYGR che possa consentire loro l'accesso a tali dati o informazioni. FYGR garantirà in ogni caso che il revisore e, più in generale, il personale che effettua la verifica siano soggetti ad adeguati obblighi di riservatezza.
L'utente si impegna a rispettare gli obblighi che gli competono in qualità di responsabile del trattamento dei dati ai sensi del RGPD. A questo proposito, è responsabilità dell'utente garantire che:
Inoltre, l'utente si impegna a :