Legale
Accordo sul trattamento dei dati
Ultimo aggiornamento: 5 giugno 2026
Questo Accordo sul trattamento dei dati ("DPA") regola il trattamento dei dati personali effettuato da Rekka per tuo conto nell'ambito della fornitura del Servizio. Attua l'articolo 28 del GDPR e costituisce parte integrante dei nostri Termini di servizio.
1. Parti
- Responsabile del trattamento: Happy Cloud Studio Sp. z o.o., Ul. Grzybowska 87, 00-844 Varsavia, Polonia, NIP 5272786566 ("noi" o "Rekka").
- Titolare del trattamento: il cliente che ha accettato i Termini di servizio di Rekka ("tu" o "Titolare").
2. Definizioni
I termini in maiuscolo hanno il significato attribuito loro dal GDPR (Regolamento (UE) 2016/679). "Dati personali", "Trattamento", "Titolare", "Responsabile", "Sub-responsabile", "Interessato" e "Violazione di dati personali" sono usati come ivi definiti. "Servizio" ha il significato attribuito nei Termini di servizio.
3. Oggetto e durata
Questo DPA copre il Trattamento che Rekka effettua per tuo conto al solo fine di fornire il Servizio. Il Trattamento prosegue per tutto il tempo in cui hai un workspace attivo e termina con la chiusura del workspace, fatti salvi gli obblighi di cancellazione e restituzione previsti dalla sezione 12.
4. Natura, finalità e tipi di dati
I dettagli sono indicati nell'Allegato 1 (Descrizione del Trattamento).
5. Le tue istruzioni
Trattiamo i Dati personali solo sulla base delle tue istruzioni documentate. L'uso del Servizio nella sua configurazione standard costituisce un'istruzione documentata. I Termini di servizio, questo DPA e qualsiasi funzione che attivi all'interno del Servizio descrivono insieme la portata di tali istruzioni. Puoi impartire ulteriori istruzioni per iscritto; ti diremo se riteniamo che un'istruzione violi la legge applicabile in materia di protezione dei dati prima di agire su di essa.
6. Riservatezza
Assicuriamo che il personale autorizzato a trattare Dati personali sia soggetto a obblighi scritti di riservatezza o ad appropriati doveri di riservatezza previsti dalla legge, e che l'accesso sia limitato al personale che ne ha bisogno per svolgere il proprio ruolo.
7. Sicurezza del trattamento
Implementiamo misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, tenuto conto dello stato dell'arte e della natura dei dati che trattiamo. Una descrizione delle misure attuali è riportata nell'Allegato 3 (Misure tecniche e organizzative).
8. Sub-responsabili
Ci dai un'autorizzazione generale a coinvolgere Sub-responsabili per fornire il Servizio. Ogni Sub-responsabile è vincolato da un accordo scritto che impone obblighi di protezione dei dati non meno protettivi di quelli previsti in questo DPA.
L'elenco attuale dei Sub-responsabili è riportato nell'Allegato 2. Ti daremo un preavviso di almeno 30 giorni prima di aggiungere o sostituire un Sub-responsabile, via email al Titolare del workspace o tramite avviso nel Servizio. Se ti opponi alla modifica per ragionevoli motivi di protezione dei dati, puoi recedere dall'abbonamento relativamente al Servizio interessato prima che il nuovo Sub-responsabile inizi il trattamento. La cessazione per questo motivo durante un piano a pagamento ti dà diritto a un rimborso proporzionale degli importi prepagati.
Rimaniamo responsabili degli atti e delle omissioni dei nostri Sub-responsabili nella stessa misura in cui siamo responsabili ai sensi di questo DPA.
9. Trasferimenti internazionali
I Dati personali sono trattati principalmente all'interno dello Spazio Economico Europeo. Quando i Dati personali sono trasferiti verso un Paese al di fuori del SEE non riconosciuto dalla Commissione europea come fornitore di un livello di protezione adeguato, il trasferimento è regolato dalle Clausole contrattuali standard della Commissione europea (Modulo 3 per i trasferimenti da Responsabile a Responsabile, Modulo 2 per i trasferimenti da Titolare a Responsabile, ove rilevante), con misure tecniche e organizzative supplementari ove opportuno. Ci autorizzi a stipulare Clausole contrattuali standard con i Sub-responsabili per tuo conto a tal fine.
10. Assistenza per i diritti degli interessati
Il Servizio include funzioni che ti consentono, in qualità di Titolare, di evadere direttamente le richieste degli Interessati (accesso, rettifica, cancellazione, limitazione ed esportazione dei dati dalle impostazioni del workspace). Quando riceviamo una richiesta da un Interessato relativa al tuo workspace, senza indebito ritardo la inoltreremo a te e non risponderemo direttamente, salvo per confermarne la ricezione e indirizzare l'Interessato a te. Ti assisteremo, a tue spese ove l'assistenza sia sostanziale, nella risposta a tali richieste tramite misure tecniche e organizzative appropriate.
11. Violazioni di dati personali
Ti notificheremo senza indebito ritardo e in ogni caso entro 72 ore dal momento in cui veniamo a conoscenza di una Violazione di dati personali che riguarda i tuoi Dati personali. La notifica includerà, nella misura nota: la natura della violazione, comprese le categorie e i numeri approssimativi di Interessati e record interessati; le probabili conseguenze; le misure adottate o proposte per affrontarla e mitigarne gli effetti; e il nome e i contatti del punto di contatto per maggiori informazioni.
12. Restituzione e cancellazione
Alla chiusura del tuo workspace, cancelliamo in modo soft i tuoi Dati personali immediatamente e li eliminiamo definitivamente dopo un periodo di grazia di 30 giorni, salvo ove la conservazione sia richiesta dalla legge (per esempio le fatture). I backup contenenti Dati personali sono ruotati entro 30 giorni. Su richiesta prima della cancellazione, renderemo disponibili i Dati del cliente per l'esportazione.
13. Audit
Metteremo a tua disposizione le informazioni necessarie a dimostrare la conformità all'articolo 28 GDPR e consentiremo e contribuiremo ad audit, comprese le ispezioni, condotti da te o da un revisore da te incaricato. Per ridurre al minimo i disagi, possiamo soddisfare le richieste di audit fornendo la nostra documentazione esistente e i report dei Sub-responsabili, ove questi rispondano ragionevolmente all'ambito del tuo audit.
14. Responsabilità
La responsabilità di ciascuna parte ai sensi di questo DPA è soggetta alle limitazioni di responsabilità indicate nei Termini di servizio.
15. Ordine di prevalenza
In caso di conflitto tra questo DPA e i Termini di servizio riguardo al Trattamento dei Dati personali, prevale questo DPA.
Allegato 1. Descrizione del Trattamento
- Oggetto: fornitura del Servizio di benessere sul lavoro Rekka.
- Durata: la durata dei Termini di servizio, per tutto il tempo in cui il workspace è attivo.
- Natura e finalità: ospitare, archiviare, trasmettere e altrimenti trattare Dati personali nella misura necessaria a fornire le funzioni di benessere del Servizio al team del Titolare.
- Categorie di Interessati: i Titolari del workspace e i dipendenti che essi invitano.
- Tipi di Dati personali: dati identificativi e di contatto (nome, email); dati di profilo (immagine del profilo, data di nascita, sesso, lingua); e contenuti di benessere registrati dalle singole persone (progetti personali, sessioni di time-tracking, riflessioni del diario, istantanee dell'umore facoltative, monitoraggio delle abitudini e cronologia degli esercizi). I contenuti di benessere possono includere categorie particolari di dati forniti volontariamente dalla persona, che è l'unica a poterli vedere all'interno del Servizio.
Allegato 2. Sub-responsabili
| Sub-responsabile | Finalità | Luogo |
|---|---|---|
| Supabase Inc. | Database, autenticazione, archiviazione file | Francoforte, Germania (UE) |
| Cloudflare, Inc. | Hosting web, CDN, runtime edge dell'applicazione, protezione DDoS | Rete edge globale, residenza dati UE ove supportato |
| Brevo (Sendinblue SAS) | Recapito di email transazionali | Francia (UE) |
Allegato 3. Misure tecniche e organizzative
- Cifratura: dati cifrati in transito (TLS) e a riposo.
- Controllo degli accessi: sicurezza a livello di riga, così ciascun utente può raggiungere solo i propri dati; il datore di lavoro non può vedere le voci di benessere private di un dipendente.
- Privilegio minimo: accesso amministrativo limitato al personale che ne ha bisogno, protetto da autenticazione forte.
- Credenziali: password conservate solo come hash con sale; file privati serviti tramite URL firmati a breve scadenza.
- Residenza dei dati: trattamento e archiviazione primari ospitati nell'UE (Francoforte).
- Resilienza: backup regolari con rotazione a 30 giorni.
- Monitoraggio: log server per sicurezza e prevenzione degli abusi, conservati fino a 90 giorni.
- Gestione dei fornitori: accordi scritti sul trattamento dei dati in essere con ogni Sub-responsabile.
Contatti
Happy Cloud Studio Sp. z o.o. Ul. Grzybowska 87, 00-844 Varsavia, Polonia Contatto privacy: Franco Toccu Email: privacy@happycloudstudio.com