Data Processing Agreement (DPA) — Stockroom (BOZZA)

BOZZA operativa. Richiede revisione legale prima della pubblicazione. Struttura conforme all'art. 28 GDPR; da allegare o incorporare per riferimento nei Termini di Servizio.

1. Parti e ruoli

  • Titolare: l'organizzazione cliente (il negozio) che utilizza Stockroom
  • Responsabile: Tomodachi OÜ, Estonia, VAT EE102981328

Il presente DPA si applica ai dati personali trattati da Tomodachi OÜ per conto del Titolare nell'erogazione del servizio.

2. Oggetto e durata

Trattamento dei dati personali necessari all'erogazione di Stockroom, per la durata del contratto di servizio. Alla cessazione: cancellazione o restituzione dei dati (a scelta del Titolare) entro [90] giorni, salvo obblighi di legge.

3. Natura e finalità del trattamento

Hosting, memorizzazione, elaborazione e visualizzazione di dati inseriti dal Titolare per la gestione dell'inventario, inclusi account degli utenti membri e immagini di scansione (transitorie, eliminate entro [7] giorni).

4. Categorie di dati e interessati

  • Interessati: utenti membri dell'organizzazione (staff del negozio); eventuali terzi i cui dati compaiano incidentalmente nei contenuti caricati
  • Categorie di dati: dati identificativi e di contatto (nome, email), credenziali, log di attività. Nessuna categoria particolare (art. 9)

5. Obblighi del Responsabile

  • Trattare i dati solo su istruzione documentata del Titolare (l'uso del servizio costituisce istruzione)
  • Garantire riservatezza del personale autorizzato
  • Adottare misure tecniche e organizzative adeguate (art. 32): cifratura in transito e a riposo, isolamento per organizzazione, minimo privilegio, backup, logging
  • Assistere il Titolare per richieste degli interessati e per gli obblighi degli artt. 32-36
  • Notificare al Titolare ogni violazione dei dati personali senza ingiustificato ritardo e comunque entro [48] ore dalla scoperta
  • Mettere a disposizione le informazioni necessarie a dimostrare la conformità, consentendo audit documentali con preavviso ragionevole [DA VERIFICARE: perimetro audit accettabile]

6. Sub-responsabili

Il Titolare autorizza in via generale i sub-responsabili elencati nella Privacy Policy (elenco mantenuto aggiornato). Il Responsabile notifica le modifiche all'elenco con [15] giorni di preavviso; il Titolare può opporsi per motivi ragionevoli, con facoltà di recesso se l'obiezione non è risolvibile.

7. Trasferimenti extra-UE

Ove un sub-responsabile tratti dati fuori dallo Spazio Economico Europeo, il trasferimento è assistito da Clausole Contrattuali Standard o da decisione di adeguatezza (incluso EU-US Data Privacy Framework, ove applicabile).

8. Responsabilità

La responsabilità delle parti per violazioni del presente DPA segue i limiti stabiliti nei Termini di Servizio, fatti salvi i diritti degli interessati ai sensi dell'art. 82 GDPR.

9. Legge applicabile

Come da Termini di Servizio. In caso di conflitto tra DPA e Termini sul trattamento di dati personali, prevale il DPA.