Informazioni legali

GTC

Informativa sulla privacy

Elaborazione dei dati dell'ordine

Impronta

Inserimento dell'account

Elaborazione dell'ordine ai sensi dell'art. 28 GDPR

Il seguente contratto viene stipulato tra il cliente Commitly (responsabile del trattamento o cliente) e Commitly GmbH (responsabile del trattamento o appaltatore).

PREMESSA

Tra il responsabile del trattamento e l'incaricato del trattamento esiste un contratto per l'utilizzo del software Commitly dell'incaricato del trattamento (di seguito denominato contratto di licenza) descritto nella sezione 1 dal responsabile del trattamento. L'incaricato del trattamento supporta il responsabile del trattamento nella realizzazione dei propri scopi commerciali in relazione al contratto di servizio - non è espressamente previsto un trasferimento di "funzioni".

1. OGGETTO DELL'ACCORDO

  1. L'utente ha la possibilità di collegare a Commitly i conti bancari esistenti presso istituti finanziari europei e di preparare le proprie finanze in linea con le proprie esigenze aziendali e di utilizzarle come base per la pianificazione dei flussi di cassa futuri. Il collegamento avviene tramite un'interfaccia tra la banca titolare del conto e Commitly attraverso un fornitore di servizi esterno.
  2. Nell'ambito delle funzioni opzionali "conto COMMITLY" o "carta COMMITLY", Commitly fornisce al cliente anche servizi tecnici di pagamento tramite un fornitore esterno di servizi di pagamento. Per l'apertura di un "conto COMMITLY" con funzione di pagamento è necessaria una verifica dell'identità da parte del fornitore di servizi. A tal fine, Commitly trasmette i dati necessari al fornitore di servizi. L'elaborazione avviene in conformità al GDPR. Il fornitore di servizi può rifiutare le domande o richiedere documenti aggiuntivi.
  3. Nell'ambito della connessione, la lista del fatturato del conto collegato viene letta tramite un'interfaccia automatica con accesso in sola lettura. Vengono trasferite principalmente le seguenti informazioni: data della transazione (data di valuta), partner commerciale della transazione (mittente o destinatario), descrizione della transazione (scopo o riferimento), valuta, importo. Tecnicamente, la banca può trasmettere ulteriori dati.
  4. Oltre alla raccolta, all'elaborazione e all'utilizzo dei dati per conto di Commitly come scopo principale, i dati personali vengono raccolti, elaborati o utilizzati anche nell'ambito dell'amministrazione dei clienti, dei fornitori e del personale e per altri scopi (ad es. assistenza ai partner commerciali e ai potenziali clienti, aiuto e supporto, analisi e miglioramento dell'offerta di servizi di Commitly, analisi di mercato e misure di marketing).
  5. L'oggetto del presente ordine è anche definito nel contratto di licenza esistente a cui si fa riferimento in questa sede (di seguito "Contratto di licenza"). Si tratta del trattamento di dati personali (di seguito "dati") da parte dell'incaricato del trattamento per conto del responsabile del trattamento in relazione all'utilizzo del software di Commitly.

2. DURATA DELL'ACCORDO

La durata del presente contratto corrisponde alla durata del contratto di licenza.

3. OBBLIGHI DEL CONTRAENTE

  1. Il Contraente si impegna a trattare i dati e i risultati del trattamento esclusivamente nell'ambito degli ordini scritti e documentati della Committente. Se il Contraente riceve un ordine ufficiale di divulgazione dei dati della Committente, deve - se legalmente consentito - informare immediatamente la Committente e rivolgersi a quest'ultima. Allo stesso modo, qualsiasi elaborazione dei dati per scopi propri dell'Appaltatore richiede un ordine scritto.
  2. L'Appaltatore dichiara in modo giuridicamente vincolante di aver obbligato tutte le persone incaricate del trattamento dei dati a mantenere la riservatezza prima di iniziare le loro attività o di essere soggette a un adeguato obbligo di riservatezza previsto dalla legge. In particolare, l'obbligo di riservatezza delle persone incaricate del trattamento dei dati resterà in vigore anche dopo la cessazione della loro attività e l'uscita dal Contraente.
  3. Il Contraente dichiara in modo giuridicamente vincolante di aver adottato tutte le misure necessarie per garantire la sicurezza del trattamento ai sensi dell'art. 32 del GDPR (i dettagli sono riportati nell'Allegato 1 ).
  4. L'appaltatore adotta le misure tecniche e organizzative per garantire che il cliente possa soddisfare i diritti dell'interessato in conformità al capitolo III del GDPR (informazioni, accesso, rettifica e cancellazione, portabilità dei dati, obiezione e processo decisionale automatizzato in singoli casi) in qualsiasi momento entro i termini previsti dalla legge e fornisce al cliente tutte le informazioni necessarie a tal fine. Se una richiesta corrispondente viene inviata all'appaltatore e l'appaltatore si rende conto che il richiedente crede erroneamente di essere il cliente del trattamento dei dati che sta eseguendo, l'appaltatore deve inoltrare la richiesta al cliente senza indugio e informare il richiedente.
  5. L'Appaltatore supporterà il Cliente nell'adempimento degli obblighi di cui agli artt. 32-36 del GDPR (misure di sicurezza dei dati, notifica delle violazioni dei dati personali all'autorità di controllo, notifica alla persona interessata da una violazione dei dati personali, valutazione dell'impatto sulla protezione dei dati, consultazione preventiva).
  6. L'Appaltatore è informato di dover redigere un registro di trattamento ai sensi dell'art. 30 GDPR per il presente trattamento dell'ordine.
  7. La Committente avrà il diritto di ispezionare e controllare in qualsiasi momento le strutture di elaborazione dei dati, anche da parte di terzi autorizzati dalla Committente, in relazione all'elaborazione dei dati forniti dalla Committente. L'Appaltatore si impegna a fornire alla Committente le informazioni necessarie a monitorare il rispetto degli obblighi previsti dal presente contratto.
  8. Dopo la risoluzione del presente accordo, l'Appaltatore è tenuto a distruggere tutti i risultati dell'elaborazione e i documenti contenenti dati per conto del Cliente. Se l'Appaltatore elabora i dati in un formato tecnico speciale, è obbligato a restituire i dati dopo la risoluzione del presente accordo in questo formato o, su richiesta del Cliente, nel formato in cui ha ricevuto i dati dal Cliente o in un altro formato comune.
  9. L'Appaltatore deve informare immediatamente il Cliente se ritiene che un'istruzione del Cliente violi le norme sulla protezione dei dati dell'Unione o degli Stati membri.

4. misure tecniche e organizzative

  1. Il Contraente obbliga i centri dati esterni e gli altri subprocessori a progettare la loro organizzazione interna in modo da soddisfare i requisiti speciali della protezione dei dati. In particolare, il trattamento dei dati deve avvenire su sistemi di elaborazione dati per i quali il centro dati o altro subprocessore ha adottato tutte le misure tecniche e organizzative per proteggere i dati personali.
  2. L'appaltatore deve garantire la sicurezza ai sensi dell'art. 28 par. 3 lett. c, 32 GDPR, in particolare in relazione all'art. 5 par. 1, par. 2 GDPR. In generale, le misure da adottare sono misure di sicurezza dei dati e misure volte a garantire un livello di protezione adeguato al rischio per quanto riguarda la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi. Occorre tenere conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito e delle finalità del trattamento, nonché della diversa probabilità e gravità del rischio per i diritti e le libertà delle persone fisiche ai sensi dell'art. 32 par. 1 GDPR (dettagli nell'Allegato 1).
  3. Le misure tecniche e organizzative sono soggette al progresso tecnico e all'ulteriore sviluppo. A questo proposito, il contraente è autorizzato a implementare misure alternative adeguate. In questo modo, il livello di sicurezza delle misure specificate non deve essere compromesso. Le modifiche significative devono essere documentate.

5. RAPPORTI DI SUBAPPALTO

  1. I rapporti di subappalto ai sensi del presente contratto sono quei servizi che sono direttamente collegati alla fornitura del servizio principale. Non sono compresi i servizi accessori di cui si avvale l'incaricato del trattamento, ad esempio i servizi di telecomunicazione, i servizi postali e di trasporto, i servizi di manutenzione e di assistenza agli utenti o lo smaltimento dei supporti di memorizzazione dei dati e altre misure volte a garantire la riservatezza, la disponibilità, l'integrità e la resilienza dell'hardware e del software dei sistemi di elaborazione dei dati. Tuttavia, l'incaricato del trattamento è tenuto ad adottare accordi contrattuali e misure di controllo adeguate e conformi alla legge per garantire la protezione e la sicurezza dei dati del responsabile del trattamento, anche nel caso di servizi accessori esternalizzati.
  2. L'esternalizzazione a subincaricati o la modifica dei subincaricati autorizzati esistenti è consentita se l'incaricato del trattamento comunica al responsabile del trattamento, per iscritto o in forma di testo, il previsto incarico a un subincaricato entro un periodo di tempo ragionevole, ma con almeno due settimane di anticipo, e se il responsabile del trattamento non si oppone all'esternalizzazione prevista, per iscritto o in forma di testo, all'incaricato del trattamento entro il momento della consegna dei dati e se viene utilizzato come base un accordo contrattuale ai sensi dell'art. 28 par. 4 GDPR. In caso di obiezione da parte del responsabile del trattamento, l'incaricato del trattamento avrà un diritto di recesso straordinario sia per il presente accordo che per l'accordo di servizio.
  3. Il titolare del trattamento acconsente all'incarico dei subappaltatori notificati nell'allegato 2 prima dell'inizio del trattamento, a condizione di un accordo contrattuale ai sensi dell'art. 28 par. 4 GDPR.
  4. Se il subappaltatore fornisce il servizio concordato al di fuori dell'UE/SEE e non esiste una decisione ai sensi dell'art. 45 (3) GDPR, l'incaricato del trattamento deve garantire l'ammissibilità ai sensi della legge sulla protezione dei dati fornendo garanzie sufficienti ai sensi dell'art. 46 GDPR, e il trasferimento dei dati personali del responsabile del trattamento al subappaltatore e le attività iniziali del subappaltatore sono consentite solo una volta soddisfatti tutti i requisiti per il subappalto.
 

ALLEGATO 1 - MISURE TECNICHE E ORGANIZZATIVE

1. RISERVATEZZA (ART. 32 PAR. 1 LETT. B GDPR)

A. Controllo degli accessi - sale del centro dati:

  • I dati dei clienti Commitly vengono elaborati e conservati nei centri dati di AWS Frankfurt. Sono state adottate tutte le misure necessarie ai sensi dell'art. 32 del GDPR.

B. Controllo degli accessi:

  • L'accesso degli utenti e degli amministratori al sistema Commitly si basa su un modello di autorizzazione all'accesso basato sui ruoli. Ogni utente riceve un ID unico per garantire che tutti i componenti del sistema possano essere utilizzati solo da utenti e amministratori autorizzati.
  • Esistono politiche tecniche per la complessità e la rotazione delle password.
  • Commitly applica il principio dell'autorizzazione minima. Ogni utente riceve solo i diritti di accesso necessari per svolgere le proprie attività contrattuali. Agli account utente viene sempre assegnato inizialmente il minor numero di diritti di accesso. Per concedere diritti di accesso superiori all'autorizzazione minima, deve essere disponibile un'autorizzazione corrispondente.
  • Utilizzo di sistemi firewall, scanner antivirus e sistemi di rilevamento delle intrusioni sui sistemi server impegnati.
  • Sulle apparecchiature informatiche di Commitly (ad esempio i notebook) sono installati scanner antivirus che includono il rilevamento di malware e un filtro per le e-mail.
  • L'accesso ai sistemi server di Commitly è criptato SSH ("chiave pubblica") da un host bastione che limita l'accesso ai dispositivi di rete e ad altri componenti del cloud.
  • Tutti i sistemi server Commitly memorizzano i dati esclusivamente su supporti crittografati.

C. Controllo degli accessi:

  • L'autorizzazione all'accesso ai sistemi di produzione Commitly è limitata a un gruppo ristretto di dipendenti ("amministratori di sistema Commitly").
  • Tutti gli accessi ai sistemi di produzione Commitly da parte degli amministratori di sistema Commitly vengono registrati con ID utente, data e ora e motivo e conservati per 10 anni in conformità con la GoBD.
  • Gli amministratori di sistema di Commitly non hanno accesso ai log di accesso.
  • Esiste un sistema di controllo interno che garantisce che la legalità dell'accesso ai sistemi produttivi di Commitly sia regolarmente verificata su base casuale e che questi controlli casuali siano anche registrati.

D. Controllo della separazione:

  • I record di dati dei diversi clienti Commitly sono appositamente contrassegnati in un database standardizzato (TenantID, funzionalità multi-client basata su software).
  • I dati di prova e di produzione sono rigorosamente separati in sistemi indipendenti, e anche i sistemi di sviluppo sono indipendenti dai sistemi di prova e di produzione.
  • Certificati di dominio diversi per i sistemi di test e di produzione

2. INTEGRITÀ (ART. 32 PAR. 1 LETT. B GDPR)

A. Controllo del trasferimento:

  • Il trasferimento dei dati tra i sistemi server di Commitly avviene esclusivamente all'interno di sottosistemi delimitati e protetti da BastionHosts.
  • Se i dati vengono trasmessi a partner autorizzati, questi canali di trasmissione dati sono sempre criptati TLS.
  • Le connessioni VPN sono utilizzate quando è tecnicamente possibile.
  • Ove possibile, inoltre, i dati vengono trattati solo in forma anonima o pseudonimizzata.
  • (ad es. Google anonymiseIP)
  • Le attività di recupero e trasmissione dei dati vengono registrate

B. Controllo degli ingressi:

  • Le voci e i processi rilevanti in Commitly vengono registrati come funzione per il cliente.

3. DISPONIBILITÀ E RESILIENZA (ART. 32 PAR. 1 LETT. B GDPR)

A. Controllo della disponibilità:

  • Vengono create regolarmente copie e backup automatici di tutti i dati dei clienti Commitly.
  • Esiste un concetto di ricostruzione delle scorte di dati e anche un controllo regolare che i backup dei dati possano essere effettivamente ripristinati (integrità dei dati dei backup).
  • I sistemi produttivi sono progettati con ridondanze multiple.

B. Recuperabilità rapida (art. 32 par. 1 lett. c GDPR):

  • Progettazione multiridondante di sistemi server e database
  • I backup vengono controllati regolarmente per assicurarne il ripristino.

4. procedura per il riesame, la valutazione e l'analisi periodici (articolo 32, paragrafo 1, lettera d) del Gdpr; articolo 25, paragrafo 1 del Gdpr)

  1. La gestione della protezione dei dati è parte integrante dei processi e delle attività di Commitly GmbH, con la relativa pianificazione delle misure per affrontare opportunità/rischi e la messa a disposizione di risorse, competenze, consapevolezza e comunicazione adeguate.
  2. Non è stata istituita una gestione dedicata alla risposta agli incidenti, ma è parte integrante della gestione della protezione dei dati.
  3. Impostazioni predefinite che rispettano la protezione dei dati (art. 25 par. 2 GDPR)
  4. Controllo degli ordini:
    • Nessun trattamento dei dati commissionato ai sensi dell'art. 28 GDPR senza le relative istruzioni del responsabile del trattamento.
    • Istruzioni chiare e non ambigue
    • Impedire l'accesso ai dati da parte di terzi non autorizzati.
    • Divieto di copiare i dati in modo non autorizzato
    • Accordi sul tipo di trasferimento dei dati e relativa documentazione
    • Diritti di controllo da parte del cliente
    • Selezione rigorosa dei fornitori di servizi
    • Controlli di follow-up

Commitly GmbH (al 22/07/2025)

ALLEGATO 2 - SUBPROCESSORI

Il titolare del trattamento acconsente all'incarico dei seguenti subprocessori a condizione di un accordo contrattuale ai sensi dell'art. 28 par. 24 GDPR:

No.AziendaindirizzoPrestazioni
1BANKSapi Technology GmbH (servizio di informazione sui conti)Maximilianstraße 13, 80539 MonacoInterfaccia standardizzata per il recupero delle informazioni bancarie online
2finAPI GmbH (servizio di informazione sui conti)Ainmillerstraße 11, 80801 Monaco di BavieraInterfaccia standardizzata per il recupero delle informazioni bancarie online
3Monite GmbH (gestione fatture e spese)Dircksenstraße 3,
10179 Berlino		Fatturazione, gestione delle spese e inserimento di documenti
4Swan SAS
(Istituto di finanza integrata/moneta elettronica)

95 Avenue du Président Wilson, 93100 Montreuil, Francia,

Numero di registrazione 86245

Fornitura tecnica di conti commerciali e biglietti da visita
5Chargebee Inc.
(gestione degli abbonamenti)		340 S Lemon Avenue, #1537, Walnut, California 91789, USASoftware di gestione degli abbonamenti
6

PayPal (Europe) S.à r.l. et Cie, S.C.A., Pagamenti Braintree

(elaborazione dei pagamenti)

22-24 Boulevard Royal L-2449, LussemburgoElaborazione dei pagamenti tra Commitly e i suoi utenti
7GoCardless Ltd (gestione degli addebiti diretti e dei pagamenti)65 Portland Place, Londra W1B 1NB, Regno UnitoElaborazione dei pagamenti tra Commitly e i suoi utenti
8Intercom Inc (Esperienza del cliente)55 2nd Street, 4° piano, San Francisco, California, 94105, USA Mezzo di comunicazione e area di assistenza all'interno dei nostri prodotti
9Amazon Web Services Inc. ("AWS Frankfurt")410 Terry Avenue North, Seattle WA 98109, USAAttività di hosting e operative
10Mailchimp (gestione newsletter)Rocket Science Group, Leon Ave NE, Suite 500, Atlanta, GA 30308, USAInvio della nostra newsletter alle parti interessate registrate e invio di email transazionali
11Pipedrive Ireland Limited
(Gestione CRM)		4° piano, 7-8 Wilton Terrace, Dublino 2, IrlandaComunicazione con il cliente
12Google Inc.Amphitheatre Parkway, Mountain View, CA 94043, USAComunicazione interna ed esterna via email e GSuite Office
13GetStream.io
(messaggistica in-app e feed di attività)		548 Market St PMB 62437, San Francisco, CA 94104, USAGestione dei messaggi in-app e dei feed di attività
14Flatfile Inc.
(importazione csv, xlsx)		1550 Wewatta St, Suite 200, Denver, CO, USAImportazione dei dati (xlsx, csv), mappatura, convalida, archiviazione temporanea dei file importati (elaborazione dei dati dell'ordine)

IMPEGNO Elaborazione ordini GDPR

20250907 Elaborazione dell'ordine Art 28 - DSVGO - Commitly

COMMITTENZA PER IL VENERDÌ NERO