DPA e sub-responsabili

Per i dati dei clienti, l'operatore di Splnit.eu, come lavoratore autonomo nella Repubblica Ceca, di norma agisce come responsabile del trattamento e il cliente come titolare. Per comunicazioni commerciali e metriche operative agiamo come titolari. Nome finale dell'operatore, identificativo d'impresa, link ARES e indirizzo devono essere completati prima del lancio in produzione.

Il cliente determina finalità e mezzi del trattamento dei dati cliente nell'app. Splnit.eu tratta questi dati per fornire il servizio, sicurezza, supporto, manutenzione, adempimenti legali e altre istruzioni documentate del cliente.

Il trattamento riguarda dati di compliance del cliente, account utente, log audit, evidenze, documenti, registri fornitori e incidenti, configurazione delle integrazioni e risultati dei test automatici.

Le categorie di interessati possono includere utenti del cliente, amministratori, dipendenti, fornitori, referenti, persone oggetto di audit e altre persone i cui dati sono inseriti dal cliente nel servizio.

La durata del trattamento segue la durata del contratto e il periodo successivo necessario per restituire o cancellare i dati, salvo ulteriore conservazione richiesta dalla legge.

Trattiamo i dati personali solo sulla base di istruzioni documentate del cliente, incluse impostazioni dell'app, integrazioni collegate, richieste di supporto e accordi contrattuali.

Se riteniamo che un'istruzione violi il GDPR o altra normativa UE o nazionale, informeremo il cliente salvo divieto di legge.

Usiamo principalmente Vercel per hosting e Blob storage, Neon per il database, Clerk per autenticazione, Stripe per billing, Resend e Loops per email, Upstash per Redis, Sentry per osservabilità, Inngest per job in background e PostHog per product analytics quando attivo.

Il cliente concede autorizzazione generale all'uso dei sub-responsabili elencati in questa panoramica. Le modifiche sostanziali sono comunicate in modo ragionevole e il cliente può opporsi scrivendo a hello@splnit.eu.

Con i sub-responsabili applichiamo impegni adeguati di protezione dati e restiamo responsabili del loro trattamento nei limiti richiesti dal GDPR.

Separiamo i dati per organizzazione, usiamo trasporto cifrato, cifratura dei token di integrazione, log audit, principio del privilegio minimo, accesso limitato ai sistemi di produzione e controlli regolari delle configurazioni critiche.

L'accesso di personale e fornitori è limitato per ruolo e necessità. Le persone autorizzate a trattare dati personali sono vincolate da riservatezza o obbligo legale equivalente.

Gli incidenti di sicurezza sono valutati in base all'impatto. Se un incidente riguarda dati cliente trattati come responsabile, informiamo il cliente senza ingiustificato ritardo dopo averne avuto conoscenza.

Entro limiti ragionevoli aiutiamo il cliente a rispettare gli obblighi GDPR, in particolare richieste degli interessati, sicurezza del trattamento, valutazioni d'impatto, notifiche di violazione e dimostrazione della conformità.

Alla fine del servizio, i dati cliente saranno restituiti, resi disponibili per esportazione o cancellati secondo le istruzioni del cliente, salvo ulteriore conservazione richiesta dalla legge.

Forniamo le informazioni necessarie a dimostrare il rispetto degli obblighi del responsabile. Gli audit devono essere ragionevoli, annunciati in anticipo e non devono compromettere la sicurezza di altri clienti o esporre informazioni riservate di terzi.

Il contatto per DPA, sub-responsabili, opposizioni e domande di sicurezza è hello@splnit.eu.