Plattform im Aufbau: Registrierung funktioniert, Tarif-Abschluss & einige Funktionen sind noch nicht aktiv. — Fragen? info@ppwr-qrcode.de

PPWR QR-Code
← Pagina iniziale

GDPR art. 28

Contratto di responsabile del trattamento

Testo modello ai sensi dell'art. 28 del GDPR. Stampabile / scaricabile in formato PDF. Adattabile individualmente in caso di necessità — prima della firma, si raccomanda una verifica legale.

Richiedi PDF pronto per la firma

Contratto di responsabile del trattamento ai sensi dell'art. 28 del GDPR

tra

…………………………………………………………………
(Nome, indirizzo del cliente)
Titolare del trattamento

e

Erik Eggerth
Schluttenbacher Digitalagentur
Lange Str. 22
76275 Ettlingen OT Schluttenbach
Deutschland
info@ppwr-qrcode.de
USt-IdNr.: DE308523905
Responsabile del trattamento

§ 1 Oggetto e durata

(1) Oggetto del contratto è il trattamento di dati personali da parte del responsabile del trattamento nell'ambito della piattaforma PPWR-QR-Code (<a href="https://ppwr-qrcode.de">ppwr-qrcode.de</a>) ai fini dell'adempimento della conformità alla PPWR del titolare del trattamento.

(2) La durata del contratto corrisponde alla durata del contratto principale (abbonamento tariffario). Alla cessazione del contratto principale, anche il presente DPA termina automaticamente.

§ 2 Natura e finalità del trattamento dei dati

(1) In particolare, vengono trattate le seguenti categorie di dati:

  • Dati anagrafici del cliente (azienda, indirizzo, partita IVA)
  • Dati dell'account (e-mail, hash della password, configurazione 2FA)
  • Dati di contenuto dei QR-Code (informazioni sul prodotto, indicazioni sull'imballaggio)
  • Statistiche di scansione in forma pseudonimizzata (hash dell'IP, categoria di dispositivo, paese)
  • Metadati di pagamento (ID cliente Stripe, stato dell'abbonamento)

(2) Finalità: messa a disposizione della piattaforma PPWR-QR-Code, documentazione di conformità, fatturazione, assistenza, statistica.

§ 3 Interessati

  • Dipendenti del cliente con accesso alla piattaforma
  • Clienti finali che scansionano un QR-Code (solo dati di scansione pseudonimi)
  • Segnalatori / segnalati nel programma di affiliazione (se attivato)

§ 4 Obblighi del responsabile del trattamento

Il responsabile del trattamento garantisce in particolare:

  1. Trattamento esclusivamente in base alle istruzioni documentate del titolare del trattamento — ubicazione dei server nell'UE (Francoforte sul Meno, Vercel + regione UE di Supabase).
  2. Impegno alla riservatezza delle persone incaricate del trattamento (art. 28, par. 3, lett. b).
  3. Misure tecniche e organizzative ai sensi dell'art. 32 del GDPR (vedere allegato 1).
  4. Notifica immediata delle violazioni dei dati personali (art. 33 del GDPR) entro 24 ore dalla presa di conoscenza.
  5. Assistenza in caso di richieste degli interessati (artt. 15-22 del GDPR) nonché nelle valutazioni d'impatto sulla protezione dei dati (art. 35 del GDPR).
  6. Al termine del contratto: restituzione o cancellazione di tutti i dati personali a scelta del titolare del trattamento (art. 28, par. 3, lett. g) — eccezione: obblighi di conservazione ai fini della conformità ai sensi del § 257 dell'HGB / § 147 dell'AO.

§ 5 Sub-responsabili del trattamento

Il titolare del trattamento autorizza i seguenti sub-responsabili del trattamento:

FornitoreServizioSede
Supabase Inc.Database, autenticazione, archiviazioneUE (Francoforte)
Vercel Inc.Hosting, edge functionsUE (Francoforte fra1) + DE
1&1 IONOS SEInvio di e-mail (SMTP)DE (Karlsruhe)
Stripe Payments Europe Ltd.Elaborazione dei pagamentiIE (Dublino)
fal.ai Inc.Generazione di immagini tramite IA (solo materiali di marketing, nessun dato dei clienti)US, DPA in essere

Le modifiche vengono comunicate con 30 giorni di anticipo. Se il titolare del trattamento si oppone, può recedere dal contratto principale senza preavviso.

§ 6 Diritti del titolare del trattamento

Il titolare del trattamento ha il diritto di effettuare audit — sia mediante relazioni di audit (ISO 27001, SOC2 dei subappaltatori), sia mediante un controllo in loco con 14 giorni di preavviso.

§ 7 Responsabilità

Si applicano le disposizioni dell'art. 82 del GDPR. Un'eventuale limitazione di responsabilità nel contratto principale rimane impregiudicata per il trattamento dei dati.

Allegato 1: Misure tecniche e organizzative (TOM)

  • <strong>Controllo dell'accesso fisico:</strong> data center cloud (Supabase, Vercel) con certificazione ISO 27001, accesso biometrico.
  • <strong>Controllo dell'accesso ai sistemi:</strong> 2FA obbligatoria per tutti gli account amministratore, password con hash BCrypt (fattore di costo ≥ 12), chiavi API con hash.
  • <strong>Controllo dell'accesso ai dati:</strong> Row-Level-Security (RLS) su tutte le tabelle del database, autenticazione dell'API basata sui ruoli.
  • <strong>Controllo della trasmissione:</strong> TLS 1.3 per tutti i flussi di dati, HSTS preload, sandbox PDF su un sottodominio isolato.
  • <strong>Controllo dell'inserimento:</strong> audit trail di tutte le modifiche al contenuto dei QR-Code tramite versionamento (qr_content_versions).
  • <strong>Controllo degli incarichi:</strong> istruzioni scritte esclusivamente da parte del titolare del trattamento, documentate nell'account.
  • <strong>Controllo della disponibilità:</strong> backup giornalieri, ripristino a un punto temporale (point-in-time recovery), monitoraggio dello stato tramite avvisi Telegram.
  • <strong>Controllo della separazione:</strong> separazione dei clienti tramite RLS su user_id, bucket di archiviazione separati.

Luogo, data: ……………………………………

Titolare del trattamento: ……………………………………

Responsabile del trattamento: Erik Eggerth / Schluttenbacher Digitalagentur, 2026