1. Generalità
Il presente documento (in seguito per brevità “Condizioni GDPR”) è parte integrante del Contratto perfezionatosi tra Openwork e Cliente con le modalità previste all’art. 4 delle Condizioni generali di fornitura dei servizi Jamio openwork (in seguito per brevità Condizioni, pubblicate all’indirizzo http://www.jamio.com/condizioni-generali-fornitura-servizi).
2. Definizioni
Per tutte le altre definizioni si rimanda all’art. 2 delle Condizioni.
3. Oggetto e scopo del documento
Obiettivo delle Condizioni GDPR è dettagliare gli obblighi assunti dalle Parti per rendere effettivo quanto stabilito dal GDPR.
4. Ruoli
4.1. Dati Personali del Cliente. I Dati Personali trattati tramite l’utilizzo dei Servizi sono anch’essi Dati.
4.2 Nomina a Responsabile del Trattamento. Le Parti accettano che il Cliente sia il Titolare del trattamento e che Openwork sia il Responsabile del trattamento eccetto nel caso in cui il Cliente stesso agisca in qualità di Responsabile del trattamento, ovvero non sia responsabile dello scopo e delle modalità del Trattamento; in questo caso le parti accettano che Openwork agisca come Altro responsabile del trattamento. In tutti i casi in cui si applica il GDPR e il Cliente è un Responsabile del trattamento, il Cliente garantisce a Openwork che le proprie istruzioni, inclusa la nomina di Openwork a Responsabile del trattamento o ad Altro responsabile del trattamento, sono state autorizzate dal Titolare del trattamento.
4.3 Altri Responsabili del trattamento. Il Cliente prende atto e acconsente che, per l’erogazione dei Servizi, Openwork si avvalga dei fornitori di seguito elencati:
- • Microsoft Ireland Operations Ltd, da cui acquisisce Servizi Azure infrastrutturali, di Intelligenza artificiale e Machine Learning (per le condizioni di fornitura e le norme specifiche relative al GDPR fare riferimento al documento Condizioni per l’utilizzo dei servizi online al link https://azure.microsoft.com/it-it/support/legal/);
- • Aruba SpA, da cui acquisisce servizi cloud infrastrutturali (per le condizioni di fornitura e le norme specifiche relative al GDPR fare riferimento al documento Condizioni generali di fornitura dei Servizi Aruba Cloud al link https://www.cloud.it/doc,uments/tc-files/1_condizionifornituraserviziarubacloud.aspx);
- • Openwork Lab s.r.l., società controllata al 100% da Openwork e da cui acquisisce servizi professionali per la manutenzione dell’infrastruttura di erogazione dei Servizi, servizi di installazione e set-up dei Servizi, servizi di manutenzione degli stessi.
Openwork ha nominato tali fornitori Altri responsabili del trattamento e il Cliente autorizza Openwork ad avvalersene. Openwork s’impegna a informare il Cliente di eventuali modifiche riguardanti l’aggiunta o la sostituzione di Altri Responsabili del trattamento, dando così al Cliente l’opportunità di opporsi a tali modifiche in presenza di una carenza oggettiva e documentabile di requisiti e/o garanzie sufficienti dell’Altro Responsabile del trattamento in materia di protezione e sicurezza dei dati personali (Articolo 28.2 del GDPR). Qualora il Cliente si opponga alle modifiche, i Servizi non potranno più essere erogati e il Cliente potrà recedere dal Contratto conformemente a quanto riportato nelle Condizioni.
5. Trattamento dei dati personali
5.1 Caratteristiche. Le parti danno atto e accettano quanto segue. a) L’oggetto del Trattamento è limitato ai Dati Personali strettamente necessari per l’esecuzione dei Servizi oggetto del Contratto. b) La durata del Trattamento coinciderà con quella del diritto del Cliente di utilizzare i Servizi, il Trattamento durerà inoltre fino a quando tutti i Dati Personali non saranno stati eliminati o restituiti in conformità alle istruzioni del Cliente o alle disposizioni contenute nelle Condizioni. c) La natura e lo scopo del Trattamento consisteranno nell’erogare i Servizi ai sensi del Contratto. d) Le categorie d’interessati sono gli Utenti finali.
5.2 Istruzioni. Il Cliente accetta che il Contratto insieme alle specifiche tecniche dei Servizi e unitamente alla configurazione e all’utilizzo da parte sua delle funzionalità dei Servizi costituiscono l’insieme completo e finale di istruzioni documentate fornite a Openwork per il Trattamento. Il Cliente ritiene tali istruzioni adeguate in relazione a quanto previsto ai sensi dell’art. 32 del GDPR. Il Cliente prende atto che la natura dei Servizi gli consente di configurare in autonomia gli stessi in modo da trattare Dati Personali la cui natura, scopo e durata non è conoscibile autonomamente da Openwork. Nel caso in cui il Cliente manifesti necessità particolari che richiedano un trattamento diverso rispetto a quanto descritto nella documentazione sopra richiamata, deve manifestare tali necessità ad Openwork e descrivere le misure che richiede vengano implementate, le quali verranno quotate con una specifica offerta commerciale.
5.3 Archiviazione dei Dati personali. I Dati personali, come tutti i Dati gestiti dai Servizi, sono archiviati presso il datacenter Aruba localizzato in Italia ad Arezzo e/o il datacenter Microsoft localizzato in Irlanda a Dublino.
6. Obbligazioni specifiche del GDPR
6.1. Obblighi del Titolare del trattamento
Il Cliente garantisce, con riferimento ai dati di terzi da egli stesso trattati in fase di richiesta attivazione e/o di utilizzo dei Servizi, di aver preventivamente fornito loro le informazioni di cui al GDPR e di aver acquisito dai medesimi il consenso al trattamento e manleva Openwork da ogni contestazione, pretesa o altro che dovesse provenire da soggetti terzi in riferimento a tale trattamento.
6.2. Obblighi del Responsabile del trattamento
Openwork s’impegna a) trattare i Dati Personali soltanto per l’erogazione dei Servizi oggetto del Contratto e su istruzione documentata del Cliente; b) garantire che le persone autorizzate al trattamento dei Dati Personali si siano impegnate alla riservatezza o abbiano un’adeguata obbligazione legale di riservatezza; (c) adottare tutte le misure richieste ai sensi dell’Articolo 32 del GDPR; (d) rispettare le condizioni di cui all’art. 28 del GDPR; (e) tenendo conto della natura del Trattamento, assistere il Cliente con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligazione del Cliente di dare seguito alle richieste per l’esercizio dei diritti dell’Interessato di cui al Capo III del GDPR; (f) assistere il Cliente nel garantire il rispetto delle obbligazioni di cui agli artt. da 32 a 36 del GDPR, tenendo conto della natura del Trattamento e delle informazioni a disposizione di Openwork; (g) su scelta del Titolare del trattamento, eliminare o restituire tutti i Dati Personali dopo che è terminata l’erogazione dei servizi relativi al Trattamento ed eliminare le copie esistenti, salvo diverse disposizioni di legge; (h) mettere a disposizione del Cliente tutte le informazioni necessarie per dimostrare il rispetto delle obbligazioni stabilite all’art. 28 del GDPR e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate del Cliente. I costi di tali verifiche saranno a carico del Cliente i) Openwork dovrà informare immediatamente il Cliente qualora, a suo parere, un’istruzione violi il GDPR o altre disposizioni legislative relative alla protezione dei dati personali. (art. 28.3 del GDPR).
6.3. Obblighi di Altri responsabili del trattamento
Quando Openwork ricorre a un Altro responsabile del trattamento per l’esecuzione di specifiche attività di Trattamento per conto del Cliente, su tale Altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati Membri, le stesse obbligazioni in materia di protezione dei dati personali contenuti nelle presenti Condizioni GDPR, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR. Qualora l’Altro responsabile del trattamento ometta di adempiere alle proprie obbligazioni in materia di protezione dei dati personali, Openwork conserverà nei confronti del Cliente l’intera responsabilità dell’adempimento delle obbligazioni dell’Altro responsabile del trattamento (art. 28.4 del GDPR).
6.4. Incaricati del trattamento
Il Cliente e Openwork fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a Dati Personali non tratti tali dati se non è istruito in tal senso dal Cliente, salvo che lo richiedano le disposizioni legislative vigenti (art. 32.4 del GDPR). In particolare nel caso in cui Openwork si avvalga della collaborazione di Incaricati del trattamento, Openwork provvede alla loro assegnazione specifica al Trattamento dando loro le istruzioni necessarie e rendendoli edotti delle modalità̀ convenute e di quelle prescritte dal GDPR.
6.5. Informazioni
Openwork informerà il Cliente senza ingiustificato ritardo dopo essere venuta a conoscenza della violazione dei Dati personali (art. 33.2 del GDPR). Tale comunicazione includerà le informazioni che il Responsabile del trattamento dovrà fornire al Titolare del trattamento ai sensi dell’Articolo 33.3 del GDPR nella misura in cui tali informazioni siano ragionevolmente disponibili a Openwork.
6.6. Assistenza alle Richieste degli Interessati
Openwork metterà a disposizione del Cliente, conformemente alla funzionalità dei Servizi e al suo ruolo di Responsabile del trattamento, i Dati Personali dei suoi Interessati e la capacità di soddisfare le loro richieste in merito all’esercizio dei loro diritti ai sensi del GDPR. Openwork si conformerà alle richieste di assistenza ragionevoli del Cliente per soddisfare tale esigenza degli Interessati. Qualora Openwork riceva direttamente una richiesta dall’Interessato del Cliente di esercitare uno o più dei suoi diritti ai sensi del GDPR in relazione ai Servizi del quale è un Responsabile del trattamento o un Altro responsabile del trattamento, Openwork suggerirà all’Interessato di presentare la richiesta direttamente al Cliente. Il Cliente sarà tenuto a rispondere a tali richieste, laddove necessario, utilizzando la funzionalità del Servizi. Openwork si conformerà alle richieste di assistenza ragionevoli del Cliente per soddisfare tale esigenza degli Interessati.
6.7. Registri delle attività di Trattamento
Openwork in conformità all’art. 30.2 del GDPR tiene uno o più registri sulle attività di Trattamento svolte sotto la propria responsabilità e nella misura applicabile al Trattamento dei Dati Personali per conto del Cliente dovrà renderli disponibili su richiesta allo stesso.
Rev 1.7 del 23/05/2023
jamio.com
