Questo Accordo di Trattamento dei Dati (l'”Accordo di Trattamento”) disciplina il trattamento dei dati personali derivante dall’uso di Whistlebase da parte del Cliente, in conformità con l’Accordo, e costituisce quindi una parte integrante dell’Accordo. I Dati del Cliente inseriti in Whistlebase sono criptati e noi non abbiamo accesso alle informazioni, se non nel caso in cui conserviamo le informazioni sui nostri server e in casi eccezionali potremmo dover assistere il Cliente in questioni di supporto. Questa conservazione delle segnalazioni di illecito significa che, secondo il Regolamento Generale sulla Protezione dei Dati (2016/679) (“GDPR”), siamo considerati responsabili del trattamento dei dati personali per conto del Cliente e quindi costituiamo un responsabile del trattamento nei confronti del Cliente nella sua qualità di titolare del trattamento. I termini di questo Accordo di Trattamento dovranno essere interpretati in conformità con il GDPR, nonché con le normative locali applicabili in materia di protezione dei dati (collettivamente, le “Regole sulla Protezione dei Dati”). I termini dell’Accordo di Trattamento avranno il significato che appare principalmente nelle Regole sulla Protezione dei Dati e, in caso contrario, nell’Accordo, a meno che le circostanze non indichino chiaramente diversamente.
1. Responsabilità e istruzioni
1.1 Il tipo di dati e le categorie di soggetti dei dati trattati nell’ambito di questo Accordo di Trattamento dal Responsabile del Trattamento in connessione con la fornitura di Whistlebase e lo scopo, la natura, la durata e l’oggetto del trattamento sono descritti nella sezione 5. Il Cliente dovrà garantire che il Responsabile del Trattamento non tratti altre categorie di dati diverse da quelle specificate nella sezione 5.
1.2 Il Cliente è consapevole che Whistlebase è una piattaforma distribuita a un gran numero di clienti e che potremmo quindi non essere in grado di seguire istruzioni che non sono una diretta conseguenza della necessità del Cliente di seguire le Regole sulla Protezione dei Dati. Se il Cliente ci fornisce istruzioni che non siamo in grado di seguire, il Cliente si impegna a smettere di inserire ed esportare tutti quei Dati del Cliente che sono interessati dalle istruzioni attuali. Ciò non costituirà una violazione del contratto o la disponibilità di Whistlebase.
1.3 Il Cliente è il titolare del trattamento di tutti i dati personali che il Responsabile del Trattamento tratta per conto del Cliente nell’ambito del presente Accordo di Trattamento. Il Cliente è quindi responsabile del rispetto delle Regole sulla Protezione dei Dati applicabili e si impegna a seguire le linee guida per l’uso di Whistlebase che sono applicabili di volta in volta e la legislazione che si applica alla gestione delle segnalazioni di illecito.
1.4 Con l’adesione a questo Accordo, il Cliente accetta le misure di sicurezza stabilite nelle attuali misure organizzative e tecniche di Whistlebase come adeguate per l’uso previsto da parte del Cliente di Whistlebase.
2. Impegno del Responsabile del Trattamento
2.1 Il Responsabile del Trattamento si impegna a:
– avere adeguate misure di sicurezza tecniche e organizzative e adottare le misure di sicurezza stabilite nelle attuali misure organizzative e tecniche di Whistlebase e nell’Articolo 32 del GDPR per proteggere i dati trattati nell’ambito di questo Accordo, compreso un adeguato obbligo di riservatezza imposto alle persone che hanno l’autorità di trattare questi dati;
– assistere il Cliente nel rispetto dei requisiti di sicurezza stabiliti negli articoli 32-36 del GDPR (quali misure tecniche e organizzative, notifica e informazione al Cliente senza indebito ritardo in caso di violazione dei dati personali, valutazione d’impatto e consultazione preventiva) e rispettare gli obblighi del Cliente riguardanti i diritti individuali nella Sezione III del GDPR (quali il diritto all’informazione, all’accesso, alla correzione, alla cancellazione, alla limitazione del trattamento, alla portabilità dei dati, all’opposizione alla decisione automatizzata);
– concedere al Cliente il diritto di ricevere informazioni dal Responsabile del Trattamento al fine di verificare e verificare le misure adottate dal Responsabile del Trattamento in conformità con questo Accordo. Il Responsabile del Trattamento faciliterà e contribuirà alle indagini (compresi i controlli) effettuate dal Cliente o da un revisore incaricato dal Cliente di effettuare tali indagini per conto del Cliente. Il Responsabile del Trattamento dovrà inoltre informare immediatamente il Cliente di eventuali contatti con l’autorità di controllo che riguardano o possono essere di rilevanza per il trattamento dei dati personali;
– a seconda di quanto scelto dal Cliente, cancellare, anonimizzare o restituire tutti i dati personali al Cliente quando l’Accordo termina, indipendentemente dalla ragione di ciò, compresa l’eliminazione di tutte le copie che, ai sensi del Data Protection Act, non devono essere conservate;
– fornire al Cliente accesso a tutte le informazioni necessarie per consentire al Cliente di adempiere ai suoi obblighi di titolare del trattamento nei confronti dell’autorità di controllo e/o degli individui;
– non trasferire i dati a paesi terzi o a un’organizzazione internazionale a meno che ciò sia richiesto dal Data Protection Act, e in tal caso il Responsabile del Trattamento dovrà informare immediatamente il Cliente, a meno che ciò sia vietato.
2.2 Il Responsabile del Trattamento si impegna inoltre a trattare sempre i dati in conformità con le Regole sulla Protezione dei Dati. Ciò include, ma non si limita a, mantenere un registro di tutte le categorie di trattamenti effettuati, fornire un estratto del registro dei trattamenti completati su richiesta del Cliente e informare immediatamente il Cliente se il Responsabile del Trattamento sospetta che vi sia un rischio che le libertà e i diritti degli individui siano violati.
3. Sottoprocessori e trasferimenti a paesi terzi
3.1 Fornito che il Responsabile del Trattamento (i) informi il Titolare del Trattamento in tempo utile in anticipo, con il diritto per il Titolare del Trattamento di opporsi, il Responsabile del Trattamento ha un’autorizzazione generale per assumere sottoprocessori per il trattamento dei dati per conto del Cliente, per il quale il Responsabile del Trattamento sarà pienamente responsabile nei confronti del Cliente.
3.2 Fornito che il Responsabile del Trattamento (i) informi il Titolare del Trattamento dei suoi piani almeno 30 giorni in anticipo, con il diritto per il Titolare del Trattamento di opporsi, e (ii) applichi meccanismi di sicurezza adeguati e approvati in conformità alle Regole sulla Protezione dei Dati, il Responsabile del Trattamento può trasferire i dati personali al di fuori dell’UE/SEE.
3.3 Con l’adesione a questo Accordo, il Cliente approva i sottoprocessori indicati nella sezione 5. Al momento dell’adesione a questo Accordo, il Responsabile del Trattamento non trasferisce dati personali a nessun paese terzo.
4. Varie ed eventuali
4.1 Le disposizioni dell’Accordo si applicano anche a questo Accordo di Trattamento. In caso di conflitto tra l’Accordo e questo Accordo di Trattamento, prevarrà l’Accordo di Trattamento.
5. Istruzioni
5.1 La presente sezione 5 costituisce le istruzioni iniziali del Cliente al Responsabile del Trattamento e può, a condizione della sezione 1.2, essere integrata successivamente.
5.2 Categorie di soggetti dei dati. Chiunque possa essere menzionato in una segnalazione di illecito in Whistlebase, compresi gli Informatori, se l’Informatori desidera non rimanere anonimo, e una persona segnalata.
5.3 Scopo, natura e oggetto del trattamento e categorie di dati personali. Tenendo conto della funzione principale del Responsabile del Trattamento e dello scopo di fornire Whistlebase e di costituire quindi un responsabile del trattamento specificamente per la conservazione dei Dati del Cliente che possono contenere dati personali, le categorie di dati personali includono tutte le categorie di dati che possono verificarsi nell’ambito di una segnalazione di illecito, se effettuata in forma non anonima, compresi dati sensibili e presunte violazioni della legge.
5.4 Conservazione. Il Responsabile del Trattamento conserva i dati in caso di segnalazione di illecito per tutto il tempo necessario, ma per un massimo di due anni dopo la chiusura di una segnalazione di illecito o per un altro periodo che il titolare del trattamento imposta entro Whistlebase.
5.6 Trasferimenti verso paesi terzi. Alla data di conclusione del presente Accordo, il Responsabile del Trattamento non effettua trasferimenti al di fuori dell’UE/SEE, che possono tuttavia essere modificati in conformità con la Sezione 3:
Trasferimenti al di fuori dell’UE/SEE: nessuno.
Ultimo aggiornamento 15 Settembre 2023