Il Responsabile tratta dati personali per conto del Titolare al solo fine di erogare la piattaforma SaaS HACCP e i relativi servizi di supporto tecnico.
Durata del trattamento: per tutta la durata del rapporto contrattuale, salvo tempi ulteriori necessari per adempimenti di legge o istruzioni del Titolare.
Il Responsabile tratta i dati esclusivamente su istruzioni documentate del Titolare, anche ricevute tramite contratto, ticket o canali ufficiali concordati.
Il Responsabile: garantisce riservatezza del personale autorizzato; adotta misure tecniche e organizzative adeguate; assiste il Titolare per diritti interessati, DPIA e richieste dell'autorità; tiene a disposizione del Titolare le informazioni necessarie a dimostrare la conformità; informa il Titolare in caso di istruzioni ritenute in contrasto con GDPR.
Le misure minime includono: controllo accessi e principio del minimo privilegio; cifratura in transito e protezione credenziali; logging eventi sicurezza e monitoraggio; backup e procedure di ripristino; patching e vulnerability management. Dettagli: allegato TOM.
Il Titolare autorizza l'uso di sub-responsabili elencati in elenco sub-responsabili. Il Responsabile impone ai sub-responsabili obblighi equivalenti a quelli del presente DPA e notifica modifiche rilevanti con congruo preavviso.
In caso di violazione dati personali, il Responsabile notifica il Titolare senza ingiustificato ritardo, fornendo almeno: natura dell'incidente; categorie e volume dati coinvolti (se noti); impatti stimati; misure correttive adottate e piano di contenimento.
Eventuali trasferimenti extra SEE sono consentiti solo nel rispetto del Capo V GDPR, con idonee garanzie (es. SCC) e misure supplementari quando richieste.
Il Titolare può richiedere, con preavviso ragionevole, documentazione e evidenze di conformità proporzionate al rischio e senza compromettere sicurezza di altri clienti.
Alla cessazione del servizio, il Responsabile, su istruzione del Titolare: restituisce i dati o li rende disponibili per export; successivamente cancella/anonimizza i dati nei tempi previsti da data retention, salvo obblighi di legge.