Elaborazione degli ordini per l'utilizzo del software autarc

Contratto di elaborazione degli ordini ai sensi dell'articolo 28, paragrafo 3, del Regolamento generale sulla protezione dei dati (GDPR)
(a partire da settembre 2025)

§ 1 Oggetto e durata del trattamento

(1) L'oggetto del contratto sono i diritti e gli obblighi delle parti nell'ambito della fornitura di servizi in conformità alla descrizione del servizio e ai termini e alle condizioni (di seguito contratto principale), nella misura in cui i dati personali vengono trattati da autarc GmbH (di seguito contraente) in qualità di responsabile del contratto per il cliente in qualità di responsabile (di seguito cliente) ai sensi dell'art. 28 GDPR. Ciò include tutte le attività che il contraente svolge per evadere l'ordine e che rappresentano l'elaborazione dell'ordine. A tale riguardo, le finalità del trattamento derivano dal contratto principale. Ciò vale anche a meno che l'ordine non si riferisca espressamente al presente accordo di elaborazione dell'ordine. Le categorie di dati personali raccolti ed elaborati sono descritte più dettagliatamente nell'Appendice 1 al presente Accordo.

(2) La durata del presente contratto (durata) corrisponde alla durata del contratto principale. Termina senza necessità di una risoluzione separata non appena il contratto principale viene risolto, scade o scade per qualsiasi altro motivo.

§ 2 Luogo di trattamento dei dati

Il trattamento dei dati concordato contrattualmente viene effettuato in uno stato membro dell'Unione Europea o dello Spazio Economico Europeo. Qualsiasi trasferimento verso un paese terzo richiede il consenso preventivo del cliente e può avvenire solo se sono soddisfatti i requisiti speciali di cui agli articoli 44 e seguenti del GDPR.

Il livello di protezione adeguato negli Stati Uniti
☑️ è stabilito da una decisione di adeguatezza della Commissione (articolo 45, paragrafo 3, del GDPR);
⬜ è prodotto da norme interne vincolanti sulla protezione dei dati (art. 46 par. 2 lit. b in combinato disposto con 47 GDPR);
☑️ è prodotto da clausole standard di protezione dei dati (art. 46 par. 2 lit. c e d GDPR);
⬜ è prodotto da codici di condotta approvati (art. 46 par. 2 lit. e in combinato disposto con 40 GDPR);
⬜ è prodotto da un meccanismo di certificazione approvato (art. 46 par. 2 lit. f in combinato disposto con 42 GDPR).
⬜ è prodotto mediante altre misure:... (Art. 46 par. 2 lit. a, par. 3 lit. a e b GDPR)

§ 3 Misure tecnico-organizzative

(1) Nella misura necessaria, il contraente ha implementato le misure tecniche e organizzative ai sensi dell'articolo 32 GDPR prima dell'aggiudicazione del contratto. La relativa prova verrà fornita al cliente su richiesta senza ritardi imputabili. Nella misura in cui l'audit/audit del cliente rivela la necessità di un adeguamento, questo deve essere attuato di comune accordo.

(2) Il contraente deve stabilire la sicurezza ai sensi dell'art. 28 par. 3 lit. c, 32 GDPR, in particolare in combinato disposto con l'art. 5 par. 1, par. 2 GDPR. Nel complesso, le misure da adottare sono misure di sicurezza dei dati e garantire un livello di protezione adeguato al rischio per quanto riguarda la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi. È necessario tenere conto dello stato dell'arte, dei costi di attuazione e del tipo, dell'ambito e delle finalità del trattamento, nonché della diversa probabilità di insorgenza e gravità del rischio per i diritti e le libertà delle persone fisiche ai sensi dell'articolo 32, paragrafo 1, del GDPR.

(3) Le misure tecniche e organizzative sono soggette al progresso e allo sviluppo tecnici. A tale riguardo, il contraente è autorizzato ad attuare misure alternative adeguate. Il livello di sicurezza delle misure definite non deve essere inferiore. Le modifiche significative devono essere documentate.

§ 4 Correzione, limitazione e cancellazione dei dati

(1) Il contraente non può correggere, cancellare o limitare il trattamento dei dati trattati per conto del cliente di propria iniziativa, ma solo in conformità con le istruzioni documentate del cliente. Nella misura in cui l'interessato contatta direttamente il contraente a tale riguardo, quest'ultimo inoltrerà immediatamente tale richiesta al cliente.

(2) Nella misura in cui rientrano nell'ambito dei servizi, il concetto di cancellazione, il diritto all'oblio, la correzione, la portabilità dei dati e l'informazione devono essere garantiti direttamente dal contraente secondo le istruzioni documentate del cliente.

§ 5 Garanzia della qualità e altri obblighi del contraente

Oltre al rispetto delle disposizioni del presente ordine, il contraente ha obblighi legali ai sensi degli articoli da 28 a 33 del GDPR; a tale riguardo, garantisce il rispetto dei seguenti requisiti in particolare:

a) Mantenimento della riservatezza ai sensi dell'articolo 28, paragrafo 3, paragrafo 2, lettera b), 29, 32, paragrafo 4, del GDPR. Nell'esecuzione dei lavori, l'appaltatore si avvale solo di dipendenti che si sono impegnati alla riservatezza e che sono stati precedentemente a conoscenza delle normative sulla protezione dei dati che li riguardano. L'appaltatore e qualsiasi persona subordinata al contraente che abbia accesso ai dati personali possono trattare tali dati solo in conformità alle istruzioni del cliente, compresi i poteri concessi nel presente contratto, a meno che non siano legalmente obbligati a trattarli.

b) L'implementazione e il rispetto di tutte le misure tecniche e organizzative richieste per questo mandato ai sensi dell'art. 28 par. 3 p. 2 lit. c, 32 GDPR, come descritto nell'allegato 2.

c) Il cliente e il contraente (nonché il suo rappresentante) devono, su richiesta, collaborare con l'autorità di vigilanza nell'esercizio delle loro funzioni.

d) Informare immediatamente il cliente sugli atti di controllo e sulle misure adottate dall'autorità di vigilanza, nella misura in cui si riferiscono a questo ordine. Ciò vale anche nella misura in cui un'autorità competente indaga, nell'ambito di un reato amministrativo o di un procedimento penale, in merito al trattamento dei dati personali durante l'elaborazione degli ordini da parte del contraente.

e) Nella misura in cui il cliente è a sua volta esposto al controllo dell'autorità di vigilanza, a reati amministrativi o procedimenti penali, alla rivendicazione di responsabilità di una persona interessata o di terzi o a qualsiasi altra pretesa in relazione all'elaborazione degli ordini da parte del contraente, il contraente deve sostenerlo al meglio delle sue capacità.

f) Il contraente controlla regolarmente i processi interni e le misure tecniche e organizzative per garantire che il trattamento nella sua area di responsabilità sia effettuato in conformità con i requisiti della legge applicabile sulla protezione dei dati e che i diritti dell'interessato siano protetti.

g) Verificabilità delle misure tecniche e organizzative adottate nei confronti del cliente nell'ambito dei suoi poteri di vigilanza ai sensi della sezione 7 del presente contratto.

§ 6 Subappalto

(1) I rapporti di subappalto ai sensi della presente disposizione sono servizi che si riferiscono direttamente alla fornitura del servizio principale. Sono esclusi i servizi accessori che il contraente utilizza, ad esempio, come servizi di telecomunicazione, servizi postali/di trasporto, servizi di manutenzione e assistenza agli utenti o smaltimento di supporti dati e altre misure per garantire la riservatezza, la disponibilità, l'integrità e la resilienza dell'hardware e del software dei sistemi di elaborazione dati. Tuttavia, il contraente è obbligato ad adottare accordi contrattuali e misure di controllo adeguati e conformi alla legge per garantire la protezione e la sicurezza dei dati del cliente, anche nel caso di servizi accessori esternalizzati.

(2) L'appaltatore incarica i subappaltatori di fornire parte dei servizi da fornire in conformità al contratto. Tali rapporti di elaborazione in subappalto si basavano, nella misura richiesta dalla legge, su un accordo ai sensi dell'articolo 28, paragrafo 2-4, del GDPR. Il cliente accetta espressamente i subappaltatori attualmente impiegati dal contraente, elencati nell'Appendice 3.
L'esternalizzazione ad altri subappaltatori o la modifica di subappaltatori esistenti è consentito nella misura in cui il contraente comunica al cliente tale esternalizzazione ai subappaltatori con un ragionevole anticipo per iscritto o in forma di testo, il cliente non si oppone all'esternalizzazione pianificata per iscritto o in forma di testo al contraente fino al momento del trasferimento dei dati e si basa su un accordo contrattuale ai sensi dell'articolo 28, paragrafi 2-4) del GDPR.

(3) Il trasferimento dei dati personali dal cliente al subappaltatore e la sua azione iniziale sono consentiti solo se sono soddisfatte tutte le condizioni per il subappalto.

(4) Se il subappaltatore fornisce il servizio concordato al di fuori dell'UE/SEE, garantisce l'ammissibilità ai sensi della legge sulla protezione dei dati adottando le misure appropriate. Lo stesso vale se si devono utilizzare fornitori di servizi ai sensi del paragrafo 1, frase 2.

(5) L'ulteriore esternalizzazione da parte del subappaltatore richiede il consenso del contraente principale (almeno per iscritto); tutte le disposizioni contrattuali della catena contrattuale devono essere imposte anche all'altro subappaltatore.

§ 7 Diritti di controllo del cliente

(1) Il cliente ha il diritto, in consultazione con il contraente, di effettuare controlli o di farli eseguire da ispettori nominati in singoli casi. Ha il diritto di verificare che il contraente rispetti il presente accordo nelle sue operazioni commerciali mediante controlli a campione, che di solito devono essere segnalati adeguatamente in anticipo. In tal modo, il cliente deve garantire che le normali operazioni commerciali del contraente siano influenzate il meno possibile e solo nella misura assolutamente necessaria.

(2) Il contraente deve assicurarsi che il cliente sia soddisfatto che il contraente abbia adempiuto ai propri obblighi ai sensi dell'articolo 28 del GDPR. Il contraente si impegna a fornire al cliente le informazioni necessarie su richiesta e, in particolare, a dimostrare l'attuazione delle misure tecniche e organizzative.

(3) La prova di tali misure, che si riferiscono non solo al mandato specifico, può essere fornita in alternativa anche dal rispetto dei codici di condotta approvati ai sensi dell'articolo 40 del GDPR, dalla certificazione secondo un processo di certificazione approvato ai sensi dell'articolo 42 del GDPR, dai certificati correnti, dai rapporti o dagli estratti di rapporti di organismi indipendenti (ad esempio revisori, revisori, responsabile della protezione dei dati, dipartimento di sicurezza IT, revisori dei dati, revisori dei dati, revisori dei dati, revisori dei dati, revisori dei dati, revisori dei dati, revisori dei dati, revisori dei dati, revisori dei dati, revisori dei dati, revisori dei dati) o una certificazione appropriata tramite una sicurezza IT o audit sulla protezione dei dati (per esempio, secondo la protezione di base BSI).

(4) Il contraente può far valere una richiesta di risarcimento per facilitare i controlli da parte del cliente.

§ 8 Notifica delle violazioni da parte del contraente

(1) Il contraente aiuta il cliente a rispettare gli obblighi di cui agli articoli da 32 a 36 del GDPR in materia di sicurezza dei dati personali, obblighi di segnalazione in caso di violazioni dei dati, valutazioni d'impatto sulla protezione dei dati e consultazioni preventive. Ciò include

a) garantire un livello adeguato di protezione attraverso misure tecniche e organizzative che tengano conto delle circostanze e delle finalità del trattamento, nonché della probabilità e della gravità previste di una potenziale violazione dovuta a violazioni della sicurezza e consentano di identificare immediatamente gli eventi di violazione pertinenti

b) l'obbligo di segnalare immediatamente le violazioni dei dati personali al cliente

c) l'obbligo di assistere il cliente come parte del suo obbligo di fornire informazioni alla persona interessata e di fornirgli tutte le informazioni pertinenti in questo contesto senza indugio

d) assistenza al cliente nella valutazione dell'impatto sulla protezione dei dati

e) assistenza al cliente nel contesto delle consultazioni preliminari con l'autorità di vigilanza

(2) Il contraente può richiedere un risarcimento per i servizi di supporto che non sono inclusi nella descrizione del servizio o non sono attribuibili a una cattiva condotta da parte del contraente.

§ 9 Autorizzazione del cliente a emettere istruzioni, responsabilità

(1) Il contraente confermerà immediatamente le istruzioni orali (almeno in forma testuale).

(2) Il contraente deve informare immediatamente il cliente se ritiene che un'istruzione violi le norme sulla protezione dei dati. Il contraente ha il diritto di sospendere l'esecuzione delle istruzioni corrispondenti fino alla conferma o alla modifica da parte del cliente.

(3) Il cliente è l'unico responsabile nei confronti della persona interessata per il risarcimento dei danni subiti da un interessato a seguito dell'elaborazione o dell'uso dei dati nell'ambito dell'elaborazione dell'ordine che è inammissibile o errato ai sensi delle leggi sulla protezione dei dati nell'ambito dell'elaborazione degli ordini.

(4) Ciascuna parte si impegna a risarcire l'altra parte per tutti i danni e le spese derivanti da una violazione colposa di un obbligo ai sensi del presente Contratto (comprese le relative appendici) da parte della parte tenuta a risarcire, del suo rappresentante legale, dei subappaltatori, dei dipendenti o di altri agenti ausiliari.

§ 10 Cancellazione e restituzione dei dati personali (fase di test)

(1) Copie o duplicati dei dati non verranno effettuati all'insaputa del cliente. Ciò non include le copie di backup, nella misura in cui sono necessarie per garantire il corretto trattamento dei dati, nonché i dati necessari per rispettare gli obblighi legali di conservazione.

(2) Dopo il completamento del lavoro concordato contrattualmente o prima su richiesta del cliente, al più tardi alla risoluzione del contratto di servizio, il contraente deve consegnare al cliente tutti i documenti, i risultati di elaborazione e utilizzo creati e i dati relativi al rapporto contrattuale o distruggerli in conformità con la legge sulla protezione dei dati previo consenso. Lo stesso vale per i materiali di prova e di scarto.

(3) La documentazione che serve come prova dell'ordine e del corretto trattamento dei dati deve essere conservata dal contraente oltre la fine del contratto in conformità con i rispettivi periodi di conservazione. Per sollevarlo, può consegnarli al cliente alla fine del contratto.


Appendice 1 al Contratto di elaborazione degli ordini

Categorie di interessati e dati

dati utente
● Titolo
● Nome e cognome
● Indirizzo (codice postale, città, via e numero civico, indirizzo aggiuntivo, se applicabile)
● Indirizzo e-mail
● Numero di telefono e/o numero di cellulare
● Dati aziendali

Dati del cliente finale
● Titolo
● Nome e cognome
● Indirizzo (codice postale, città, via e numero civico, indirizzo aggiuntivo, se applicabile)
● Indirizzo e-mail
● Numero di telefono e/o numero di cellulare
● Informazioni sul pagamento
● Tipo di sistema di riscaldamento
● Valori di consumo
● Numero di residenti
● Anno di costruzione dell'edificio
● Spazi e dimensioni dell'architettura dell'edificio
● Dati dell'area di riscaldamento
● Foto e documenti dell'oggetto

Appendice 2 al Contratto di elaborazione degli ordini

Misure tecnico-organizzative

1. Riservatezza (articolo 32, paragrafo 1, lettera b) del GDPR)
● Controllo degli accessi
Nessun accesso non autorizzato ai sistemi di elaborazione dati, ad esempio carte magnetiche o intelligenti, chiavi, dispositivi elettrici
apriporta, sicurezza di fabbrica o portieri, sistemi di allarme, sistemi video;
● Controllo degli accessi
Nessun uso non autorizzato del sistema, ad esempio: password (sicure), meccanismi di blocco automatici, due fattori
autenticazione, crittografia del disco;
● Controllo degli accessi
Nessuna lettura, copia, modifica o rimozione non autorizzata all'interno del sistema, ad esempio: concetti di autorizzazione
e diritti di accesso basati sulle esigenze, registrazione degli accessi;

2. Integrità (art. 32 par. 1 lit. b GDPR)
● Controllo del trasferimento
Nessuna lettura, copia, modifica o rimozione non autorizzata durante la trasmissione o il trasporto elettronico, ad esempio:
crittografia, reti private virtuali (VPN), firma elettronica;
● Controllo degli ingressi
Determinare se e da chi i dati personali sono stati inseriti nei sistemi di elaborazione dati, modificati
o sono stati rimossi, ad esempio: registrazione, gestione dei documenti;

3. Disponibilità e resilienza (articolo 32, paragrafo 1, lettera b) del GDPR)
● Controllo della disponibilità
Protezione contro la distruzione o la perdita accidentale o intenzionale, ad esempio: strategia di backup (online/offline; on-site/off-
sito), gruppo di continuità (UPS), protezione antivirus, firewall, canali di segnalazione e piani di emergenza;
● Recuperabilità rapida (art. 32 par. 1 lit. c GDPR);

4. Procedura di revisione, valutazione e valutazione periodiche (art. 32 par. 1 lit. d GDPR; Art. 25 par.
1 GDPR)
● gestione della protezione dei dati;
● gestione della risposta agli incidenti;
● Impostazioni predefinite favorevoli alla protezione dei dati (articolo 25, paragrafo 2, GDPR);
● Controllo degli ordini
Nessun trattamento dei dati degli ordini ai sensi dell'art. 28 GDPR senza adeguate istruzioni da parte del cliente,
ad esempio: redazione chiara del contratto, gestione formalizzata degli ordini, selezione rigorosa del fornitore di servizi,
Verifica preliminare, controlli di follow-up.

Allegato 3 Sottoprocessori approvati

Name des Unterauftragsverarbeiters Adresse Art der Verarbeitung Internationaler Transfer (falls zutreffend)
Supabase Pte. Ltd. 970 Toa Payoh North, #07-04, Singapur Hosting Singapur
Intercom, Inc. 55 2nd Street, 4th Floor, San Francisco, CA 94105, USA Kundenkommunikation USA
Functional Software, Inc. (handelnd unter dem Namen Sentry) 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA Fehlerbehebung USA
PostHog, Inc. Market Street #4008, San Francisco Analysezwecke USA
Google Ireland Limited Gordon House, Barrow Street, Dublin 4, Irland Standort und Ermöglichung der Nutzung von Python Code im Browser Irland
Mapbox GmbH Westendstraße 28, 60325 Frankfurt am Main, Deutschland Integration von Karten in Website Deutschland
Cloudflare Germany GmbH Rosental 7, c/o Mindspace, 80331 München, Deutschland Objektspeicher Deutschland
SendGrid, Inc. 375 Beale Street, Suite 300, San Francisco, CA 94105, USA Marketingzwecke USA
Fly.io, Inc. 2045 W. Grand Ave, Suite B, Chicago, IL 60612, USA Anwendungsserveroptimierung USA
Roboflow, Inc. 500 Locust Street, Des Moines, IA 50309, USA Computer-Vision-Modelle USA
Twilio, Inc. 101 Spear Street, Fifth Floor, San Francisco, CA 94105, USA Cloud Kommunikation per Telefon USA
ElevenLabs, Inc. 169 Madison Ave #2484, New York, NY 10016, USA Sprachagent für die Transkribierung speech to text / text to speech USA
OpenAI, Inc. 1455 3rd Street, San Francisco, CA 94158, USA Zusammenstellung von Informationen für Kundenkommunikation USA

Non hai trovato la risposta alla tua domanda?

Inviaci un'e-mail all'indirizzo hello@autarc.energy

Grazie mille! Ora fai parte della nostra newsletter e ricevi aggiornamenti regolari e consigli utili.
Ops! Qualcosa è andato storto durante l'invio del modulo.