Data Processing Agreement (DPA) — Stockroom (BOZZA)
BOZZA operativa. Richiede revisione legale prima della pubblicazione. Struttura conforme all'art. 28 GDPR; da allegare o incorporare per riferimento nei Termini di Servizio.
1. Parti e ruoli
- Titolare: l'organizzazione cliente (il negozio) che utilizza Stockroom
- Responsabile: Tomodachi OÜ, Estonia, VAT EE102981328
Il presente DPA si applica ai dati personali trattati da Tomodachi OÜ per conto del Titolare nell'erogazione del servizio.
2. Oggetto e durata
Trattamento dei dati personali necessari all'erogazione di Stockroom, per la durata del contratto di servizio. Alla cessazione: cancellazione o restituzione dei dati (a scelta del Titolare) entro [90] giorni, salvo obblighi di legge.
3. Natura e finalità del trattamento
Hosting, memorizzazione, elaborazione e visualizzazione di dati inseriti dal Titolare per la gestione dell'inventario, inclusi account degli utenti membri e immagini di scansione (transitorie, eliminate entro [7] giorni).
4. Categorie di dati e interessati
- Interessati: utenti membri dell'organizzazione (staff del negozio); eventuali terzi i cui dati compaiano incidentalmente nei contenuti caricati
- Categorie di dati: dati identificativi e di contatto (nome, email), credenziali, log di attività. Nessuna categoria particolare (art. 9)
5. Obblighi del Responsabile
- Trattare i dati solo su istruzione documentata del Titolare (l'uso del servizio costituisce istruzione)
- Garantire riservatezza del personale autorizzato
- Adottare misure tecniche e organizzative adeguate (art. 32): cifratura in transito e a riposo, isolamento per organizzazione, minimo privilegio, backup, logging
- Assistere il Titolare per richieste degli interessati e per gli obblighi degli artt. 32-36
- Notificare al Titolare ogni violazione dei dati personali senza ingiustificato ritardo e comunque entro [48] ore dalla scoperta
- Mettere a disposizione le informazioni necessarie a dimostrare la conformità, consentendo audit documentali con preavviso ragionevole [DA VERIFICARE: perimetro audit accettabile]
6. Sub-responsabili
Il Titolare autorizza in via generale i sub-responsabili elencati nella Privacy Policy (elenco mantenuto aggiornato). Il Responsabile notifica le modifiche all'elenco con [15] giorni di preavviso; il Titolare può opporsi per motivi ragionevoli, con facoltà di recesso se l'obiezione non è risolvibile.
7. Trasferimenti extra-UE
Ove un sub-responsabile tratti dati fuori dallo Spazio Economico Europeo, il trasferimento è assistito da Clausole Contrattuali Standard o da decisione di adeguatezza (incluso EU-US Data Privacy Framework, ove applicabile).
8. Responsabilità
La responsabilità delle parti per violazioni del presente DPA segue i limiti stabiliti nei Termini di Servizio, fatti salvi i diritti degli interessati ai sensi dell'art. 82 GDPR.
9. Legge applicabile
Come da Termini di Servizio. In caso di conflitto tra DPA e Termini sul trattamento di dati personali, prevale il DPA.