Addendum al trattamento dei dati • Pro

ai Termini di servizio di Quandoo for Restaurants ("Termini di servizio") da e tra il Partner come indicato nei Termini di servizio - di seguito il "Titolare del trattamento" o più semplicemente “Titolare” - e Quandoo Italy S.r.l. (P.IVA 08420030960), Via Valbrona n. 4, 20125, Milano (MI), Italia - di seguito il "Responsabile del trattamento" o più semplicemente “Responsabile” - singolarmente "Parte", congiuntamente le "Parti".

1. Ambito di applicazione

Il Responsabile del trattamento dei dati è fornitore di un servizio di prenotazione di ristoranti e di altri servizi correlati, tra cui la comunicazione al cliente relativa alla prenotazione e l'accesso ad un database per la gestione delle prenotazioni di ristoranti e dei dati relativi a tali prenotazioni (il "Database") (collettivamente i "Servizi").

Il Titolare del trattamento dei dati è il titolare di un ristorante e ha sottoscritto un accordo per usufruire dei Servizi del Responsabile del trattamento dei dati in conformità ai Termini di servizio stipulati e di cui il presente Addendum al trattamento dei dati fa parte. In relazione alla fornitura dei Servizi, il Responsabile del trattamento tratta i dati personali inseriti dal Titolare del trattamento nel Database per conto del medesimo Titolare.

Il presente Addendum sul trattamento dei dati ("Addendum") contiene gli obblighi delle Parti in materia di protezione dei dati, che sorgono in relazione al trattamento dei dati da parte del Responsabile per conto del Titolare. Nel presente Addendum, i termini "dati" e "dati personali" hanno il significato attribuito ai "dati personali" ai sensi delle disposizioni di legge vigenti (in particolare, il d. lgs. n. 196/2003 ed il regolamento UE n. 679/2016 denominato Regolamento Generale sulla Protezione dei Dati di seguito “GDPR”) comprese le eventuali modifiche, integrazioni, sostituzioni o emendamenti (collettivamente "leggi sulla protezione dei dati personali") e laddove tali dati o dati personali, come così definiti, siano forniti dal Titolare all'Incaricato del trattamento per l'elaborazione ai sensi dei Termini del servizio e/o del presente Addendum.

2. Descrizione del trattamento

Il Responsabile del trattamento tratta i dati personali ricevuti dal Titolare del trattamento come segue:

2.1 Oggetto, finalità e tipo di trattamento

L'oggetto e lo scopo del trattamento da parte del Responsabile e la fornitura del Database da parte del Titolare al Responsabile, è quello di consentire al Titolare del trattamento di gestire le richieste di prenotazione e memorizzare i dati relativi ai commensali all'interno del Database, nonché la fornitura dei Servizi da parte del Responsabile al Titolare. Il Responsabile del trattamento dei dati può di volta in volta inviare alcune comunicazioni per conto del Titolare del trattamento via e-mail o SMS ai commensali in merito allo stato delle rispettive prenotazioni presso il ristorante del Titolare.

2.2 Durata del trattamento dei dati

La durata del presente Addendum coincide con quella dei Termini di servizio.

2.3 Tipo di dati 

I seguenti tipi/categorie di dati sono inclusi nei dati trattati:

• Nome e cognome
• Indirizzo e-mail 

• Numero di telefono 

• Dettagli della prenotazione 

• Osservazioni o richieste particolari inserite dal Titolare del trattamento
• Nome e indirizzo e-mail dei dipendenti del Titolare del trattamento se aggiunti per consentire l'accesso al Database.

2.4 Categorie di persone interessate

Le persone interessate dal trattamento dei dati sono le seguenti:

• Commensali 

• Dipendenti del Titolare del trattamento

3. Diritti e obblighi del Titolare del trattamento

3.1 Il Titolare del trattamento è responsabile dell'osservanza e si atterrà alle disposizioni contenute nel GDPR in relazione ai dati da trattare. In particolare, per quanto riguarda il Titolare del trattamento, egli concorda, si impegna, garantisce e rappresenta al Responsabile del trattamento che:

3.1.1 ha il controllo esclusivo e l’onere di determinare quali dati personali il Responsabile del trattamento può ricevere ed elaborare in relazione ai Termini del servizio e al presente Addendum, e di fornire chiare istruzioni scritte al Responsabile sui requisiti e sulla gestione di tale ricezione ed elaborazione;

3.1.2. è tenuto a garantire che a tutti i soggetti interessati di cui i dati personali sono ricevuti, utilizzati, elaborati e/o altrimenti trattati nell'ambito dell'esecuzione dei Servizi ("soggetti interessati") siano state fornite informazioni sufficienti, in conformità a tutte le leggi applicabili in materia di protezione dei dati, in merito alla ricezione, all'utilizzo, all'elaborazione e al trattamento dei loro dati personali; e

3.1.3 è tenuto a garantire l'esistenza di una base giuridica consentita per la ricezione, l'uso, l'elaborazione e il trattamento dei dati personali degli interessati, come richiesto o previsto in relazione ai Servizi, compreso l'ottenimento di tutti i consensi necessari, se richiesti, in conformità con il GDPR ed il d. lgs. n. 196/2003 ss. mm..

3.2 Il Titolare informerà tempestivamente il Responsabile qualora dovesse riscontrare errori e/o irregolarità derivanti dalle vigenti leggi sulla privacy applicabili durante il periodo effettivo del trattamento dei dati ai sensi del presente Addendum o comunque in relazione alla fornitura dei Servizi.

4. Obblighi del Responsabile del trattamento

4.1 Il Responsabile del trattamento tratterà i dati del Titolare del trattamento solo nell'ambito delle istruzioni del Titolare, come concordato contrattualmente, come segue:

4.1.1 Il trattamento dei dati da parte del Responsabile deve essere completato secondo le istruzioni del Titolare. Il presente Addendum e i Termini di servizio contengono in generale le istruzioni del Titolare del trattamento. Tuttavia, il Titolare si riserva il diritto di impartire per iscritto ulteriori istruzioni ragionevoli sulla natura, la portata e il metodo di trattamento dei dati. Qualora il Responsabile non sia in grado o non intenda conformarsi a tali istruzioni aggiuntive, il medesimo ha il diritto di recedere dal presente Addendum e dai Termini di servizio con effetto immediato, dandone comunicazione scritta al Titolare del trattamento.

4.1.2 Il trattamento dei dati personali da parte del Responsabile del trattamento e dei Subprocessori avrà luogo:

(i) nel territorio dell'Unione Europea o del SEE (Spazio Economico Europeo); o

(ii) all'interno dei territori di paesi terzi che offrono un livello di protezione dei dati sufficientemente comparabile al diritto dell'UE; oppure

(iii) in territori diversi da quelli di cui alla sezione 4.1.2(i) o alla sezione 4.1.2(ii) di cui sopra, a condizione che i dati personali siano trasferiti dal Responsabile ad un destinatario per tale trattamento in uno di tali territori, che sia

(a) vincolato da un contratto che fornisca uno standard di protezione di tali dati personali che si basa su garanzie contrattuali come le clausole contrattuali standard dell'UE o regole aziendali vincolanti; oppure

(b) un intermediario di dati come definito dal Data Governance Act nei Considerando 22 e 23 e Data Act nei considerando 35 e 87); oppure

(iv) in qualsiasi altro territorio o paese diverso da quelli indicati nei precedenti paragrafi 4.1.2(i), 4.1.2(ii) o 4.1.2(iii), solo previo consenso e in conformità alle istruzioni del Titolare del trattamento, nonché in conformità a qualsiasi requisito legale applicabile per il trasferimento dei dati a tale territorio o paese terzo. Qualora il Responsabile del trattamento sia obbligato per legge a trasferire i dati in tale territorio o paese terzo, il Responsabile dovrà informare il Titolare di tali requisiti legali prima dell'inizio del trattamento (a condizione che la legge pertinente non vieti tale comunicazione). Qualora si debba ricorrere a un subincaricato, tali requisiti si applicano in aggiunta alle disposizioni di cui alla sezione 8.

4.1.3 Il Responsabile informerà il Titolare per iscritto (è sufficiente un'e-mail all'indirizzo di posta elettronica specificato durante l’iscrizione) qualora ritenga che l'esecuzione di un'istruzione impartita dal Titolare stesso costituisca una violazione ai sensi delle disposizioni del GDPR e/o del d. lgs. n. 196/2003 ss. mm.. Il Responsabile ha il diritto di sospendere l'esecuzione di tali istruzioni fino a quando il Titolare non le avrà confermate o modificate per iscritto al Responsabile in modo da evitare la suddetta violazione.

4.1.4 Il Responsabile tratta i dati esclusivamente per le finalità indicate nei Termini del servizio e nell'ambito delle istruzioni del Titolare del trattamento. Il Responsabile non può utilizzare i dati del Titolare per i propri scopi o trasmetterli a terzi, salvo che non sia richiesto da un obbligo di legge.

4.2 Il Responsabile del trattamento dovrà progettare i propri processi interni in modo da garantire la conformità ai requisiti specifici di protezione dei dati nell'ambito della propria area di responsabilità per la tutela dei diritti degli interessati, in conformità agli obblighi previsti dal presente Addendum. Il Responsabile dovrà implementare le misure tecniche e organizzative di cui alla Sezione 5 del presente documento per proteggere adeguatamente i dati da abusi e/o perdite.

4.3 Il Responsabile del trattamento dei dati nominerà un responsabile della privacy se richiesto dalla legge.

4.4 Il Responsabile affida il trattamento dei dati di cui al presente Addendum esclusivamente a dipendenti vincolati alla riservatezza e che abbiano precedentemente acquisito familiarità con le disposizioni contenute nel GDPR e nel d. lgs. n. 196/2003 ss. mm. rilevanti per il loro lavoro.

4.5 Il Responsabile del trattamento dei dati informerà tempestivamente il Titolare nel caso in cui sia a conoscenza o abbia motivo di ritenere che si siano verificate una o più violazioni delle leggi sulla privacy in relazione al trattamento dei dati personali ricevuti dal Titolare ai sensi del presente Addendum.

4.6 Il Responsabile ed il Titolare collaboreranno con le autorità competenti per le materie di cui al presente Addendum. Qualora il Titolare sia soggetto a un'ispezione da parte di un'autorità di vigilanza, a un reato amministrativo o sommario o a un procedimento penale, a un'azione di responsabilità da parte di un soggetto interessato o di un terzo o a qualsiasi altra rivendicazione in relazione al trattamento dei dati da parte del Responsabile, quest’ultimo fornirà al Titolare tutta la cooperazione ragionevole a spese dello stesso Titolare. 

4.7. Entro 30 giorni dalla cessazione o dalla scadenza del presente Addendum e/o su richiesta del Titolare del trattamento, il Responsabile cancellerà tutti i dati personali forniti dal Titolare ai sensi del presente Addendum, a meno che non sia altrimenti richiesto da qualsiasi legge applicabile.

4.8. Il Responsabile assiste il Titolare nell'adempimento degli obblighi relativi alla sicurezza del trattamento dei dati personali, agli obblighi di segnalazione delle violazioni dei dati all'autorità competente o agli interessati, alle valutazioni d'impatto sulla protezione dei dati e alle consultazioni preventive.

4.9. Il Responsabile ha diritto e può richiedere al Titolare un ragionevole compenso per i servizi di assistenza che non sono inclusi nella descrizione dei Servizi, in particolare per le valutazioni d'impatto sulla protezione dei dati e le consultazioni preliminari, e che non sono attribuibili a mancanze da parte del Responsabile del trattamento.

5. Misure tecnico-organizzative

5.1 Il Responsabile del trattamento si attiene ai principi del corretto trattamento dei dati ed esegue tutte le misure concordate in relazione al trattamento contrattuale dei dati personali ricevuti dal Titolare. Il Responsabile separa tali dati dagli altri inventariati. Il Responsabile adotterà le misure tecnico-organizzative appropriate concordate contrattualmente e/o richieste dalla legge, assicurando così che il trattamento sia conforme ai suoi obblighi statutari in qualità di intermediario dei dati ai sensi del GDPR e del d. lgs. n. 196/2003 e ss. mm.. Le misure devono in particolare includere adeguati controlli sulla sicurezza dei dati per garantire un livello di protezione adeguato al rischio in relazione alla riservatezza, all'integrità, alla disponibilità e alla resilienza del sistema e devono considerare le migliori prassi, i costi di attuazione e la natura, l'ambito e le finalità del trattamento, nonché le diverse probabilità di accadimento e la gravità del rischio per i diritti e le libertà delle persone fisiche. Le misure tecnico-organizzative descritte nell'Appendice 1 fanno parte del presente Addendum e sono vincolanti.

5.2 Le misure tecnico-organizzative possono essere adeguate dal Responsabile nel corso del rapporto contrattuale con il Titolare, a seconda dello sviluppo tecnico e organizzativo. Il Responsabile può implementare misure alternative adeguate a questo scopo. A questo proposito, il livello di sicurezza delle misure alternative deve essere almeno pari a quello delle misure specificate.

6. Diritto di ispezione del Titolare del trattamento

6.1 Previo preavviso scritto non inferiore a 30 giorni lavorativi e non più di una volta per anno contrattuale, il Titolare del trattamento avrà il diritto di accertarsi dell'adeguatezza delle misure tecniche e organizzative adottate dal Responsabile del trattamento presso i locali del Titolare durante il normale orario di lavoro del Responsabile, senza interrompere le operazioni commerciali e previa conclusione ed esecuzione di un accordo di non divulgazione da parte del Titolare con il Responsabile. Il Titolare rimborserà al Responsabile il tempo impiegato per tali verifiche in loco. Prima dell'inizio di tali adempimenti, il Titolare e l'Incaricato del trattamento dovranno concordare di comune accordo l'ambito, i tempi e la durata di tali verifiche, oltre alla tariffa di rimborso di cui il Titolare del trattamento sarà onerato.

6.2 Il Titolare del trattamento accetta che, in alternativa alla sezione 6.1 di cui sopra, il Responsabile possa invece mettere a disposizione del Titolare copie di certificazioni o relazioni che dimostrino la conformità del Responsabile agli standard di sicurezza dei dati prevalenti applicabili al trattamento dei dati personali ricevuti dal Titolare.

7. Diritti degli interessati

7.1 Il Titolare del trattamento dei dati è l'unico ed esclusivo responsabile dell'adempimento e del rispetto di tutti i diritti statutari di tutti gli interessati e dei terzi applicabili ai sensi delle menzionate leggi sulla privacy, comprese, a titolo esemplificativo, le richieste di informazioni, di divulgazione, di cancellazione o di marcatura/blocco e di trasferimento dei loro dati personali. Il Responsabile del trattamento dei dati non può decidere o soddisfare le richieste di tali soggetti o altre persone, a meno che non sia richiesto o approvato dal Titolare del trattamento dei dati.

7.2 Se un soggetto interessato contatta direttamente il Responsabile del trattamento con una richiesta o una domanda relativa ai suoi dati personali, il Responsabile inoltrerà prontamente la richiesta o la domanda al Titolare. Se, in base alle disposizioni delle sopra citate leggi sulla privacy, il Titolare è tenuto a fornire a un individuo o a un soggetto interessato informazioni sulla raccolta, l'elaborazione o l'utilizzo dei dati personali il Responsabile assisterà il Titolare nella fornitura di tali informazioni, a condizione che quest’ultimo ne abbia fatto richiesta per iscritto, e rimborserà al Responsabile del trattamento i costi sostenuti.

8. Subresponsabili

8.1 Il Titolare del trattamento dei dati riconosce e accetta che il Responsabile del trattamento dei dati possa avvalersi di soggetti terzi in relazione alla fornitura dei Servizi.

8.2 Come condizione per l'autorizzazione dei subresponsabili, il Responsabile del trattamento stipulerà un accordo scritto con ciascuno di tali soggetti terzi contenente obblighi di protezione dei dati che garantiscano almeno lo stesso livello di protezione di quelli previsti dal presente Addendum.

8.3 L'elenco aggiornato dei subresponsabili è accessibile tramite la nostra pagina Subincaricati. Il Titolare del trattamento consente espressamente l'impiego dei subresponsabili indicati nella suddetta pagina iniziale, che il Responsabile può modificare o aggiornare di volta in volta. Il Titolare è tenuto a rivedere costantemente l'elenco. Il consenso all'assunzione di un nuovo subresponsabile si considera dato se il Titolare non si oppone all'assunzione di un nuovo subresponsabile tramite notifica via e-mail all'indirizzo dataprotection.it@quandoo.com al più tardi due settimane prima della data di avvio, come specificato nella suddetta pagina iniziale.

8.4 Il Titolare del trattamento ha il diritto di opporsi all'assunzione di un nuovo subresponsabile solo per motivi sostanziali e dovrà indicare tali motivi nella suddetta notifica al Responsabile del trattamento. In tal caso, il Responsabile del trattamento ha il diritto di risolvere il presente Addendum e i Termini del servizio.

8.5 Il Responsabile del trattamento dei dati sarà responsabile per gli atti e le omissioni dei suoi subresponsabili nella stessa misura in cui sarebbe responsabile se eseguisse direttamente i servizi di ciascuno di tali soggetti terzi secondo i termini del presente Addendum.

9. Responsabilità

9.1 Il Responsabile del trattamento dei dati è responsabile nei confronti del Titolare per tutti i danni causati dalla propria violazione colposa del presente Addendum o dalla violazione degli obblighi di legge ai sensi delle leggi in materia di protezione dei dati, causati dal Responsabile, dai suoi dipendenti o da terzi (es. subresponsabili) che agiscono per suo conto, durante la fornitura dei Servizi. Il Responsabile del trattamento dei dati non è responsabile se è in grado di dimostrare di aver trattato i dati forniti dal Titolare esclusivamente in conformità alle istruzioni ricevute dal medesimo ed agli obblighi in termini di leggi sulla privacy applicabili specificamente imposti al Responsabile del trattamento dei dati in qualità di intermediario dei dati.

9.2 Il Titolare del trattamento dei dati manterrà indenne il Responsabile da qualsiasi responsabilità, danno, sanzione, ammenda, perdita e/o spesa derivante da e/o procedimenti, azioni e/o richieste di risarcimento avanzate nei suoi confronti da terzi sulla base della violazione del presente Addendum da parte del Titolare e/o della violazione dei requisiti e/o degli obblighi applicabili ai sensi del GDPR e del d. lgs. n. 196/2003 e ss. mm..

9.3 La responsabilità del Titolare del trattamento nei confronti del Responsabile si estende alle sanzioni pecuniarie inflitte al Responsabile, nella misura in cui queste si basino sulla violazione degli obblighi di protezione dei dati da parte del Titolare. Se, a seguito di tale violazione degli obblighi da parte del Titolare, viene comminata una sanzione pecuniaria al Responsabile, il Titolare dovrà risarcire il Responsabile per la stessa e l'importo del risarcimento si basa sulla quota di responsabilità nel singolo caso. Il Titolare è onerato per l'importo pari alla sua quota di responsabilità per la violazione sanzionata. Spetta al Titolare del trattamento l'onere di dimostrare che la sanzione comminata non trae il proprio fondamento sull'inadempimento del Titolare e che quest’ultimo non è responsabile della violazione.

9.4 La suddetta responsabilità del Titolare del trattamento ai sensi del precedente paragrafo 9.3 è subordinata all'immediata notifica al Responsabile, per iscritto, di qualsiasi evento che faccia scattare la responsabilità, all'impossibilità/mancato riconoscimento della presunta violazione da parte del Responsabile ed al fatto che il Responsabile del trattamento conduca eventuali controversie, giudiziarie o extra-giudiziarie, solo di comune accordo con il Titolare del trattamento. In particolare, In particolare, il Titolare del trattamento può esigere che il Responsabile del trattamento interpelli i tribunali competenti al fine di controllare le notifiche di sanzioni emesse, per cui il Titolare è tenuto a rimborsare al Responsabile i costi e le spese sostenute per tale processo per un importo pari alle spese legali.

10. Varie

10.1 Nel caso in cui i dati ricevuti dal Titolare del trattamento siano in pericolo a causa di un'esecuzione forzata o di una confisca, di una procedura d'insolvenza o di altri eventi simili, il Responsabile del trattamento dovrà informare tempestivamente il Titolare del trattamento.

10.2 Laddove il presente Addendum preveda che una delle Parti emetta un avviso o una richiesta all'altra Parte, tale avviso o richiesta (a seconda dei casi) sarà emesso per iscritto e in conformità alle disposizioni contenute nei Termini di servizio al momento dell'invio di un avviso o di una richiesta, a meno che non sia espressamente indicato diversamente nel presente Addendum in relazione a qualsiasi avviso o richiesta specifici.

10.3 Qualsiasi modifica o emendamento al presente Addendum deve essere effettuato per iscritto e firmato da entrambe le Parti quale presupposto della sua efficacia e validità.

10.4 Qualora una disposizione del presente Addendum sia o diventi invalida o inapplicabile, la validità delle restanti disposizioni rimarrà inalterata. La disposizione inefficace o inapplicabile sarà sostituita da una disposizione che si avvicini maggiormente al suo significato e scopo.

10.5 In caso di conflitto tra i Termini di servizio e il presente Addendum, in ossequio al principio di specialità, prevarrà quest’ultimo.

10.6  Il presente Addendum sarà regolato e interpretato in conformità con le leggi Italiane e i tribunali di Milano avranno giurisdizione esclusiva in merito a qualsiasi controversia o discrepanza originata da o in base al presente Addendum.

Appendice 1 dell'Addendum: Misure tecniche e organizzative

Descrizione delle misure di sicurezza tecniche e organizzative implementate dal Responsabile del trattamento:

1. Controllo dell'ingresso

Misure per impedire a persone non autorizzate di accedere ai sistemi di trattamento dei dati che elaborano o utilizzano dati personali.

2. Controllo dell'accesso

Misure per evitare che i sistemi di trattamento dei dati siano utilizzati senza autorizzazione

☒ Assegnazione di permessi utente
☒ Assegnazione della password
☒ Autenticazione con nome utente e password
☒ Serrature per l'alloggiamento
☒ Blocco delle interfacce esterne (USB ecc.)
☒ Regola della chiave (emissione della chiave, ecc.)
☐ Registrazione dei visitatori
☒ Attenta selezione del personale di guardia
☐ Uso di sistemi di rilevamento delle intrusioni
☒ Crittografia dei contenuti degli smartphone
☒ Uso di software anti-virus
☐ Uso di un firewall hardware

☒ Creazione di profili utente
☐ Autenticazione con procedure biometriche
☒ Assegnazione di profili utente ai sistemi informatici
☒ Uso della tecnologia VPN
☒ Serrature di sicurezza
☒ Controllo delle persone da parte del portiere/all'ingresso
☐ Attenta selezione del personale di pulizia
☐ Obbligo di indossare i permessi di autorizzazione
☒ Crittografia dei portatori di dati mobili
☐ Uso di un software di amministrazione centralizzata dello smartphone (ad esempio, per la cancellazione esterna dei dati)
☒ Crittografia dei supporti dati nei computer portatili/notebook
☒ Uso di un firewall software

3. Controllo dei permessi

Misure per garantire che le persone autorizzate a utilizzare un sistema di trattamento dei dati abbiano accesso solo ai dati a cui hanno diritto di accesso e che i dati personali non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante il trattamento o l'uso e dopo la conservazione

☒ Creare un concetto di autorizzazione
☒ Numero di amministratori ridotto al "minimo necessario"
☒ Registrazione dell'accesso alle applicazioni, in particolare durante l'inserimento, la modifica e la cancellazione dei dati
☒ Cancellazione fisica dei supporti dati prima del riutilizzo
☒ Uso di trituratori o fornitori di servizi (se possibile con etichetta di protezione dei dati)
☒ Crittografia dei supporti di dati

☒ Gestione dei diritti da parte dell'amministratore di sistema
☒ Linee guida per la password, compresa la lunghezza della password e il cambio della stessa
☒ Archiviazione sicura dei supporti dati
☒ Distruzione corretta dei supporti dati (EN 15713 o DIN 32757)
☒ Registrazione della distruzione

4. Controllo della trasmissione

Misure per garantire che i dati personali non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante la trasmissione o il trasporto elettronico, e che sia possibile controllare e stabilire a quali enti è previsto il trasferimento di dati personali per mezzo di strutture di trasmissione dati

☒ Uso di linee affittate o tunnel VPN
☐ Crittografia delle e-mail
☐ Documentazione dei destinatari dei dati e dei periodi di tempo del trasferimento previsto e dei periodi di clearance concordati
☐ Con il trasporto fisico: selezione accurata del personale di trasporto e dei veicoli

☒ Trasferimento di dati in forma anonima o pseudonimizzati
☐ Creazione di una panoramica dei processi di sondaggio e trasferimento regolari
☐ Con il trasporto fisico: contenitori/imballaggi per il trasporto sicuro

5. Controllo dell'ingresso

Misure per garantire che sia possibile controllare e stabilire se e da chi i dati personali sono stati inseriti nei sistemi di trattamento dei dati, modificati o rimossi

☒ Registrazione dell'inserimento, della modifica e della cancellazione dei dati
☒ Comprensibilità di inserimento, modifica e cancellazione di dati da parte di singoli utenti (non gruppi di utenti)
☒ Assegnazione di diritti per inserire, modificare e cancellare dati sulla base di un concetto di autorizzazione

☐ Creare una panoramica con cui le applicazioni che i dati possono essere inseriti, modificati e cancellati
☐ Conservazione di moduli da cui i dati sono stati trasferiti al trattamento automatizzato

6. Controllo del lavoro (solo se i subappaltatori sono istruiti)

Misure per garantire che, in caso di trattamento commissionato di dati personali, i dati siano trattati rigorosamente secondo le istruzioni del committente o "Titolare"

☒ Selezione del subappaltatore ai sensi della due diligence (in particolare per quanto riguarda la sicurezza dei dati)
☒ Istruzioni scritte al subappaltatore (ad es. tramite un contratto sul trattamento dei dati per conto)
☒ Il subappaltatore ha nominato un responsabile della protezione dei dati
☒ Diritti di controllo effettivi contro il subappaltatore concordati
☐ Pena per le violazioni

☒ Esame preventivo e documentazione delle misure tecniche e organizzative adottate dal subappaltatore
☒ Obbligo di segretezza dei dipendenti del subappaltatore
☒ Assicurare la distruzione dei dati dopo il completamento dell'ordine
☐ Revisione continua del subappaltatore e delle sue attività

7. Controllo della disponibilità

Misure per assicurare che i dati personali siano protetti dalla distruzione o perdita accidentale

☒ Gruppo di continuità (UPS)
☒ Dispositivi per il monitoraggio della temperatura e dell'umidità nelle sale server
☒ Sistemi di allarme antincendio e antifumo
☐ Messaggio di allarme per accesso non autorizzato alle sale server
☐ Test di recupero dati
☒ Memorizzazione del backup dei dati in un luogo sicuro e remoto
☐ Nelle zone di inondazione: sale server sopra il livello dell'acqua

☒ Aria condizionata nelle sale server
☒ Prese di protezione nelle sale server
☒ Estintori nelle sale server
☒ Creare un concetto di backup e recupero
☐ Creare un piano di emergenza
☒ Sale server non sotto i servizi igienici

8. Requisito di separazione

Misure per assicurare che i dati raccolti per scopi diversi siano trattati separatamente

☒ Separare fisicamente lo storage su sistemi o volumi specifici
☒ Creazione di un concetto di autorizzazione
☐ Fornire i record di dati con attributi/campi di dati specifici
☒ Definizione dei permessi del database

☐ Separazione logica del client (relativo al software)
☐ Crittografia dei record trattati per lo stesso scopo
☒ Con dati pseudonimizzati: separazione del file di assegnazione e archiviazione su un sistema informatico separato e sicuro
☒ Separazione del sistema produttivo e di prova