Fiducia · DPA

Addendum sul trattamento dei dati.

Il contratto che regola le modalità con cui CodeCourier tratta i dati personali per tuo conto - Articolo 28 GDPR, con le Clausole Contrattuali Standard 2021 incorporate mediante riferimento. Prefirmato e controeseguito entro un giorno lavorativo.

documentoDPA · v2.1
RiferimentoGDPRArt. 28
ProcessoreCodeCourier
Controllore________________________
Efficace__ / __ / ____
Processore
Controllore
Sfondo

Cosa fa effettivamente questo documento.

Ai sensi dell'articolo 28 GDPR, ogni volta che un fornitore di servizi tratta dati personali per conto di un cliente - anche di routine, anche tramite un'interfaccia SaaS - è obbligatorio un contratto scritto. Il DPA è quel contratto.

Assegna i ruoli: il cliente è il titolare del trattamento (sei tu a decidere perché e come i dati vengono elaborati) e CodeCourier è il responsabile del trattamento (eseguiamo le tue istruzioni documentate). Quindi blocca esattamente ciò che possiamo e non possiamo fare con quei dati.

Si chiama addendum perché convive con il nostro Master Services Agreement (MSA) o Termini di servizio: il contratto commerciale definisce il servizio; il DPA stabilisce le barriere di protezione dei dati a livello superiore.

Hai bisogno di un DPA?
  • Tratti i dati personali dei residenti nell'UE, nel SEE, nel Regno Unito o in Svizzera tramite CodeCourier.
  • Carichi codice, registri o richieste che potrebbero contenere dati personali (nomi, e-mail, identificatori).
  • Operi in base alla residenza contrattuale dei dati o agli obblighi di due diligence del fornitore.
Le clausole in sintesi

12 commi, tutti gli artt. 28 allineati.

È coperto ogni elemento obbligatorio dell'articolo 28, paragrafo 3. Riepiloghi in inglese semplice di seguito: il testo legale effettivo si trova nel documento stesso.

Clausola 1

Oggetto e durata

Definisce l'ambito dell'elaborazione (il servizio CodeCourier) e la sua durata (per la durata dell'MSA, più una finestra residua definita).

Clausola 2

Natura e finalità del trattamento

Descrive cosa facciamo effettivamente con i dati personali: hosting, esecuzione del codice, orchestrazione degli agenti, registrazione, supporto e fatturazione - e nient'altro.

Clausola 3

Tipi di dati personali

Elenca le categorie di dati personali che possono essere trattati: identificatori di account, codice e prompt, configurazione, corrispondenza di supporto, telemetria.

Clausola 4

Categorie di interessati

Identifica i dati di cui vengono trattati: dipendenti, appaltatori, clienti del Titolare e tutti gli utenti finali i cui dati personali il Titolare invia tramite il servizio.

Clausola 5

Obblighi e istruzioni del responsabile

Elaboriamo solo su istruzioni documentate del Titolare. Tutto ciò che esula dall'ambito di applicazione richiede un ordine di modifica scritto o una base giuridica separata.

Clausola 6

Riservatezza

Tutto il personale con accesso è vincolato al segreto scritto. L'accesso prevede i privilegi minimi, viene registrato e rivisto trimestralmente sotto i nostri controlli SOC 2.

Clausola 7

Misure di sicurezza (art. 32)

Allega le misure tecniche e organizzative: crittografia, controllo degli accessi, pseudonimizzazione, resilienza, risposta agli incidenti, test periodici.

Clausola 8

Termini del sub-responsabile

Procura generale con preavviso di 30 giorni per i nuovi subresponsabili. I titolari del trattamento conservano il diritto di opposizione e, per giusta causa, di recedere.

Clausola 9

Assistenza sui diritti dell'interessato

Aiutiamo i Titolari del trattamento a rispondere alle richieste di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione entro la finestra di 30 giorni del GDPR.

Clausola 10

Notifica di violazione dei dati personali

Comunicheremo al Titolare senza indebito ritardo – e comunque mai oltre 24 ore dalla conoscenza – tutte le informazioni richieste dall'art. 33/34 segnalazioni.

Clausola 11

Diritti di revisione

Il rapporto annuale SOC 2 di Tipo II soddisfa gli audit di routine; sono disponibili controlli sul posto con un preavviso di 30 giorni e con ragionevoli garanzie di riservatezza.

Clausola 12

Restituzione o cancellazione dei dati

Al momento della risoluzione, i Titolari scelgono la restituzione o la cancellazione dei dati personali. La cancellazione si effettua entro 30 giorni, con attestazione scritta su richiesta.

Queste sono spiegazioni, non il contratto. Richiedi il documento per la formulazione precisa.

Accedi in 3 passaggi

Prefirmato e pronto.

Il nostro DPA è prefirmato dal lato del Processore. Controfirmalo e lo rispedisci: la maggior parte degli accordi viene completamente eseguita entro un giorno lavorativo.

Passaggio 01

Richiesta

Invia un'e-mail all'ufficio legale con il nome della tua azienda e l'indirizzo e-mail che desideri inserire nel contratto. Inviamo il PDF prefirmato, le SCC e l'allegato di sicurezza.

→ Richiesta via e-mail
Passaggio 02

Revisione e controfirma

Prenditi tutto il tempo che ti serve. La maggior parte delle squadre lo risolve in 1-3 giorni. Siamo lieti di apportare modifiche minori laddove legalmente fattibile: il DPA è costruito per essere art. 28-stretto.

Finestra di revisione
Passaggio 03

Contro-esecuzione

Rispedisci la copia firmata. Controfirmiamo al ricevimento e restituiamo il PDF completamente redatto con un numero di riferimento univoco per i tuoi archivi.

Turnazione 24 ore su 24
Gestione dei sub-responsabili

Divulgato, revisionato, controllabile.

Facciamo affidamento su un elenco breve e volutamente ridotto di subresponsabili del trattamento per fornire il servizio. Ciascuno è contrattualmente vincolato al medesimo art. 28 obblighi che ti dobbiamo.

I subresponsabili del trattamento sono le terze parti che utilizziamo per eseguire il servizio: infrastruttura cloud, runtime sandbox, e-mail transazionale, osservabilità e analisi. Nessuno di loro si frappone tra te e i tuoi dati senza un proprio accordo di elaborazione firmato.

Prima di aggiungere o sostituire un subresponsabile, ogni titolare del trattamento della DPA riceve un preavviso scritto di almeno 30 giorni. L'avviso riguarda chi è il nuovo fornitore, cosa elabora, dove e su quale base legale.

Se ti opponi per ragionevoli motivi di protezione dei dati e non possiamo offrire un'alternativa, puoi interrompere la parte interessata del servizio senza penalità. Il silenzio dopo la finestra di 30 giorni conta come approvazione.

Categorie in ambito
  • Infrastruttura cloud
  • Tempo di esecuzione della sandbox
  • E-mail transazionale
  • Osservabilità
  • Analisi del prodotto
Richiedi l'elenco più recente dei subresponsabili
Diritto alla revisione

Verifica, non limitarti a fidarti.

La DPA conferisce ai controllori un diritto di audit a più livelli: relazioni annuali di terze parti per i casi di routine e audit in loco quando sorge una preoccupazione reale.

ISO 27001 (sulla tabella di marcia)

La certificazione ISO 27001 rientra nella nostra tabella di marcia per la sicurezza. Nel frattempo, condividiamo prove di controllo equivalenti e analisi delle lacune su richiesta ai controllori aziendali.

Controlli sulla causa

Laddove le prove SOC 2 siano insufficienti, ad esempio dopo una violazione o un'indagine da parte dell'autorità di vigilanza, i controllori possono richiedere un audit in loco con un preavviso scritto di 30 giorni.

Gli audit rispettano la riservatezza e la continuità operativa: verificano i controlli, non estraggono dati.

Transfrontaliero

Trasferimenti gestiti dalle SCC.

Laddove i dati personali fluiscono dall'UE/SEE, dal Regno Unito o dalla Svizzera verso un paese terzo, il DPA incorpora le clausole contrattuali tipo 2021 della Commissione Europea - Modulo Due (da titolare a responsabile) e Modulo Tre (da responsabile a sub-responsabile) - per riferimento, con l'Addendum del Regno Unito e le variazioni dell'IFPDT svizzero applicate automaticamente.

La Svizzera beneficia del quadro di adeguatezza Svizzera-UE; I trasferimenti nel Regno Unito vengono eseguiti ai sensi dell'IDTA/Addendum del Regno Unito. Completiamo una valutazione dell'impatto del trasferimento per ciascuna sede del sub-responsabile e forniamo una copia su richiesta.

Dettagli completi del trasferimento sulla pagina GDPR.
Allegato di sicurezza

Arte. 32 misure, nel documento.

Il DPA allega le misure tecniche e organizzative (TOM) che adottiamo per proteggere i dati personali: un riepilogo contrattualmente vincolante di ciò che vive in dettaglio nella nostra pagina Sicurezza.

Misure tecniche complete nella pagina Sicurezza
  • Crittografia: in transito (TLS 1.3) e a riposo (AES-256), con rotazione della chiave gestita.
  • Controllo degli accessi: SSO, MFA, RBAC con privilegi minimi, revisioni degli accessi trimestrali.
  • Pseudonimizzazione: applicata agli identificatori nei registri e nelle analisi, ove possibile.
  • Resilienza: infrastruttura multi-AZ, backup automatizzati, procedure di ripristino testate.
  • Risposta agli incidenti: reperibilità 24 ore su 24, 7 giorni su 7, runbook documentati, SLA per la notifica delle violazioni 24 ore su 24.
  • Test regolari: test annuali di penetrazione di terze parti e scansioni automatizzate continue.
Cooperazione

Ti aiutiamo a rispettare i tuoi obblighi.

I titolari del trattamento hanno la responsabilità primaria dei diritti degli interessati, delle DPIA e delle notifiche di violazione. Il DPA ci obbliga contrattualmente a fornire un'assistenza ragionevole con ciascuno di questi, senza costi aggiuntivi per le richieste di routine.

Concretamente: emergiamo i dati in nostro possesso per una richiesta di accesso o portabilità, eseguiamo la cancellazione dietro tua istruzione scritta, supportiamo le tue DPIA con informazioni sul trattamento e ti informiamo di una violazione dei dati personali entro 24 ore dalla presa di conoscenza - con tutti i dettagli necessari per il tuo Art. 33 archiviazione.

Richiesta

Pronti per l'esecuzione?

Inviaci un'e-mail e invieremo il pacchetto DPA completo: prefirmato, pronto per la controfirma e accompagnato da tutto ciò che l'appalto richiederà.

DPA prefirmato (PDF)

Allineamento all'articolo 28, pronti per la vostra controfirma.

Clausole contrattuali tipo

SCC del 2021, moduli 2 e 3, con aggiunta del Regno Unito e variazioni svizzere.

Elenco dei sub-responsabili del trattamento

Fornitori attuali, categorie, ubicazioni e meccanismi di trasferimento.

Allegato Misure di sicurezza

L'arte. 32 misure tecniche ed organizzative, in forma contrattuale.

Richiedi il pacchetto DPA

Restituito entro un giorno lavorativo. Rivisto da un avvocato; domande benvenute.

FAQ

Domande comuni della DPA.

Ho bisogno di un DPA se utilizzo solo il piano gratuito?
La necessità di un DPA dipende dal fatto che tratti i dati personali tramite CodeCourier, non dal piano che stai utilizzando. In tal caso, anche su uno spazio di lavoro gratuito, si applica comunque l'Articolo 28 e saremo lieti di eseguire un DPA senza costi aggiuntivi.
Posso negoziare modifiche al DPA?
Il nostro DPA è concepito per essere conforme all'art. 28 ed è ampiamente accettato così com'è dagli appalti aziendali e dai team legali. Siamo aperti a ragionevoli linee rosse - in genere relative a finestre di avviso, ambito e definizioni di audit - e risponderemo entro cinque giorni lavorativi. Le modifiche sostanziali vengono esaminate dal nostro consulente esterno.
La DPA è bilingue?
La versione autorevole è in inglese. Per i clienti nella regione DACH possiamo fornire una copia di lettura tedesca insieme all'originale inglese; in caso di conflitto prevale la versione inglese. Possiamo produrre altre lingue in base alla trattativa per i contratti aziendali.
Il DPA copre Swiss FADP?
Sì. La LPD è redatta in modo da essere valida sia ai sensi della GDPR che della revisione della Legge federale sulla protezione dei dati (LPD), mentre le CCS sono adattate al linguaggio raccomandato dall'IFPDT. Gli interessati residenti in Svizzera beneficiano degli stessi diritti e rimedi dei residenti nell’UE.
Cosa succede ai miei dati se annullo?
In caso di risoluzione si sceglie la restituzione o la cancellazione dei dati personali entro 30 giorni. Su richiesta forniamo un attestato scritto di cancellazione. Per i backup si applica una breve finestra residua (in genere fino a 35 giorni) e per i dati che siamo tenuti per legge a conservare (ad esempio i registri di fatturazione).
Posso aggiungere un addendum per i contitolari?
Se il tuo caso d'uso ci coinvolge come Contitolari del trattamento piuttosto che come Responsabile del trattamento - ad esempio specifici accordi di co-marketing - possiamo allegare un Art. 26 Addendum Contitolare che chiarisce la ripartizione delle responsabilità, l'informativa trasparente e il punto di contatto unico per gli interessati.
Legale presso CodeCourier

Hai una domanda sul contratto? Rispondiamo anche a quelli.

Gratuito per 14 giorni · nessuna carta di credito

Assumi il tuo primo ingegnere AI.
Spedizione entro l'ora di pranzo.

5 minuti per l'imbarco. Il primo PR entro un'ora. Annulla in qualsiasi momento.