Allegato - Responsabile del trattamento dei dati personali

Il presente Allegato ha lo scopo di definire le condizioni in base alle quali FYGR, in qualità di subappaltatore e nell'ambito dei servizi definiti nel documento, si impegna ad effettuare operazioni di trattamento di dati personali per conto dei propri utenti nel rispetto delle disposizioni applicabili in materia di protezione dei dati personali, in particolare della Legge modificata del 6 gennaio 1978 sul trattamento dei dati, degli archivi e delle libertà individuali e del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 applicabile dal 25 maggio 2018 (di seguito "RGPD").

Ai fini del presente documento, FYGR agisce pertanto in qualità di "incaricato del trattamento" nei seguenti casi: qualora il cliente memorizzi o fornisca l'accesso a dati personali relativi a terzi attraverso l'utilizzo del servizio Budgea API, Bridge o Fintecture.

Si presume invece che l'utente agisca in qualità di "responsabile del trattamento" ai sensi delle definizioni fornite dal RGPD.

Nell'ambito del loro rapporto contrattuale, le parti si impegnano pertanto, ciascuna per quanto di propria competenza, a rispettare la normativa vigente applicabile al trattamento dei dati personali.‍

Ai fini del presente documento, i seguenti termini avranno lo stesso significato attribuito loro nel RGPD:

Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile (di seguito denominata "interessato"); per "persona fisica identificabile" si intende una persona fisica che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo, come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online, o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Dati sensibili o categorie particolari di dati: dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale della persona fisica. (Articolo 9 del GDPR)

Trattamento: qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

Titolare del trattamento: la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento; Subincaricato: la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo che tratta i dati personali per conto del titolare del trattamento.

Destinatario: la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo che riceve i dati personali, sia esso un terzo o meno. Tuttavia, le autorità pubbliche che possono ricevere dati personali nel contesto di un'indagine specifica in conformità con la legislazione dell'UE o di uno Stato utente non sono considerate destinatari; il trattamento di tali dati da parte delle autorità pubbliche in questione è conforme alle norme di protezione dei dati applicabili in base alle finalità del trattamento.

FYGR è autorizzata, in qualità di Subappaltatore che agisce sotto le istruzioni dell'utente, a trattare i Dati Personali del Titolare nella misura necessaria alla fornitura dei servizi.

La natura delle operazioni effettuate da FYGR in relazione ai Dati Personali può essere l'archiviazione di informazioni e/o qualsiasi altro servizio come descritto nelle CDU. Il tipo di Dati Personali e le categorie di persone interessate sono determinati e controllati dall'utente a sua esclusiva discrezione. Le attività di trattamento sono svolte da FYGR per il periodo di tempo stabilito nelle CGU.

La société FYGR  s’engage en qualité de sous-traitant à :

1. Traiter les Données à caractère personnel uniquement aux fins de réalisation des services ;
‍
2. Ne pas accéder ou utiliser les Données à caractère personnel à d’autres fins que celles nécessaires à l’exécution des services ;
‍
3. Traiter les Données à caractère personnel conformément aux instructions documentées de l’utilisateur ;
‍
4. Informer l’utilisateur si à son avis et compte tenu des informations dont elle dispose, une des instructions constitue une violation au RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats Utilisateurs relative à la protection des données.
‍
5. Garantir la confidentialité des Données à caractère personnel traitées dans le cadre de l’exercice de ses missions ;
‍
6. Le cas échéant, veiller à ce que les utilisateurs de son personnel autorisés à traiter les Données à caractère personnel :
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

7. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

8. Sous-traitants ultérieurs :
FYGR peut engager un autre sous-traitant pour traiter les Données personnelles dans le cadre de l’exécution des services (« Sous-traitant ultérieur »). L’utilisateur autorise expressément FYGR à engager ces sociétés en tant que Sous-traitants ultérieurs.

En tout état de cause, le Sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions de FYGR. Il appartient à FYGR de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, FYGR  demeurerait pleinement responsable devant l’utilisateur de l’exécution par l’autre sous-traitant de ses obligations.

9. Droit d’information des personnes concernées :
L’utilisateur en tant que Responsable du traitement est pleinement responsable de l’information des personnes concernées concernant leurs droits et du respect de ces droits, y compris les droits d’accès, de rectification, d’effacement, de limitation ou de portabilité.

10. Exercice des droits des personnes :
FYGR fournit la coopération et l’assistance, dans la mesure où cela est raisonnablement nécessaire, pour répondre aux demandes des personnes concernées. Cette coopération et cette assistance raisonnable peuvent consister à (a) communiquer à l’utilisateur toute demande reçue directement de la personne concernée et (b) permettre au Responsable du traitement de concevoir et de déployer les mesures techniques et organisationnelles nécessaires pour répondre aux demandes des personnes concernées.

L’utilisateur, en tant que Responsable du traitement, est seul responsable des réponses à ces demandes.

L’utilisateur reconnaît et convient que, dans l’éventualité où une telle coopération et assistance nécessiterait des ressources importantes de la part de FYGR, cela pourra être facturé à l’utilisateur à condition de le lui notifier et d’obtenir son accord au préalable.

11. Notification des violations de données à caractère personnel :
FYGR s’engage à notifier par tous moyens à l’utilisateur toute violation de données à caractère personnel dans un délai maximum de 72 (soixante-douze) heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre à l’utilisateur, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente (CNIL).

12. Aide de FYGR dans le cadre du respect par l’utilisateur de ses obligations :
FYGR  s’engage dans la mesure du possible et si cela s’avérait nécessaire à aider l’utilisateur, pour la réalisation d’analyses d’impact relative à la protection des données.

FYGR s’engage également, si cela était nécessaire, à aider l’utilisateur pour la réalisation de la consultation préalable de l’autorité de contrôle (CNIL).

13. Mesures de sécurité :
FYGR met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la sécurité, la confidentialité, l’intégrité des traitements de données et protéger les données contre la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

14. Sort des données :
À la fin du service (notamment en cas de résiliation des CGU), FYGR s’engage à supprimer tout contenu (notamment les données, fichiers, etc.) reproduit, stocké, hébergé ou autrement utilisé par l’utilisateur dans le cadre des services, sauf si une demande émise par une autorité légale ou judiciaire compétente, ou la loi applicable de l’Union européenne ou d’un État Utilisateur de l’Union européenne, en exigent autrement.

L’utilisateur est seul responsable de faire en sorte que les opérations nécessaires (telles que la sauvegarde, le transfert vers une solution tierce, etc.) à la conservation des Données à caractère personnel soient effectuées, notamment avant la résiliation ou l’expiration des services, et avant de procéder à toute opération de suppression, de mise à jour ou de réinstallation des services.

À cet égard, l’utilisateur est informé que la résiliation et l’expiration du service pour quelque raison que ce soit, ainsi que certaines opérations de mise à jour ou de réinstallation des services, peuvent automatiquement entraîner la suppression irréversible de tout contenu reproduit, stocké, hébergé ou autrement utilisé par l’utilisateur dans le cadre des services, ce compris toute sauvegarde potentielle.

15. Registre des catégories d’activités de traitement :
FYGR  déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte de l’utilisateur comprenant :
le nom et les coordonnées de l’utilisateur pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
les catégories de traitements effectués pour le compte de l’utilisateur ;
le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l’existence de garanties appropriées ;
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

16. Documentation :
FYGR met à la disposition de ses utilisateurs la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par l’utilisateur ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Dans le cadre de tels audits, l’utilisateur ou l’auditeur mandaté par lui ne seront toutefois pas autorisés à accéder aux secrets des affaires de FYGR, aux informations stratégiques de cette dernière ou aux informations que FYGR s’est engagée à garder confidentielles à l’égard de ses autres clients et/ou partenaires. FYGR pourra s’opposer à toute mesure de contrôle de l’utilisateur ou de l’auditeur mandaté par lui qui serait susceptible de leur donner accès à de telles données ou informations. FYGR veillera par ailleurs en tout état de cause à ce que l’auditeur et, plus généralement, le personnel procédant à l’audit soient soumis à des obligations de confidentialité appropriées.

L'utente si impegna a rispettare gli obblighi che gli competono in qualità di titolare del trattamento dei dati ai sensi del RGPD. A questo proposito, è particolarmente responsabile di garantire che:
- il trattamento dei dati personali abbia una base giuridica adeguata (ad esempio, il consenso dell'interessato, l'interesse legittimo del titolare del trattamento o una disposizione di legge, ecc.);
- i registri del trattamento dei dati sono tenuti aggiornati;
- sono state espletate tutte le formalità e le procedure richieste (come la valutazione d'impatto, la notifica o la richiesta di autorizzazione all'autorità di controllo o a qualsiasi altro organismo), ove applicabili;
- gli interessati sono informati sul trattamento dei dati personali in modo conciso, trasparente, comprensibile e facilmente accessibile;
- gli interessati abbiano la possibilità di esercitare i propri diritti, come previsto dal RGPD;
- vengano implementate misure tecniche e organizzative all'interno dei propri sistemi e operazioni che non rientrano nell'ambito dei servizi, al fine di garantire la sicurezza del trattamento dei dati personali.

Inoltre, l'utente si impegna a:
- documentare per iscritto ogni istruzione relativa al trattamento dei dati;
- assicurarsi, preventivamente e per tutta la durata del trattamento, che FYGR rispetti gli obblighi previsti dal RGPD;
- vigilare sul trattamento, anche effettuando verifiche e ispezioni presso FYGR, alle condizioni sopra descritte.