ACCORDO PER IL TRATTAMENTO DEI DATI
ACCORDO PER IL TRATTAMENTO DEI DATI
Il presente Accordo sulla Protezione dei Dati ("Accordo"), la cui data è la data di registrazione al sito web xxxxxxxxxx.xx ed è valido a partire dal 25/05/2018 ("Data di Validità dell’Accordo"), costituisce parte del CONTRATTO DI PRESTAZIONE DEI SERVIZI ("Accordo Principale") tra:
l’Utente registrato (da qui in avanti denominato "Controllore") che agisce per proprio conto; e la
Lime Time Software, SL – Calle Xxxxxxx Xxxxxxxx, 1 – 35214, Telde (Las Palmas) – España
(da qui in avanti denominato “Processore") che agisce per proprio conto.
I termini utilizzati nel presente Accordo avranno i significati indicati nel presente Addendum. I termini non altrimenti definiti nel presente documento avranno il significato loro attribuito nell'Accordo Principale. Salvo quanto modificato di seguito, i termini dell’Accordo Principale rimarranno in vigore a tutti gli effetti.
Le parti concordano che i termini e le condizioni di seguito indicati saranno aggiunti come Addendum all’Accordo Principale.
1. Definizioni
Nel presente Accordo, i seguenti termini avranno i significati indicati e Ii termini affini devono essere interpretati di conseguenza:
" Subincaricato autorizzato " indica (a) i Subincaricati di cui all'Allegato 3 (Trasferimenti autorizzati di Dati personali del controllore); e (b) eventuali Subincaricarto aggiuntivi consentiti per iscritto dal Controllore in conformità con la sezione Sub-trattamento.
"Subincaricato" indica qualsiasi Processore di Dati (incluso qualsiasi terzo) nominato dal Processore per elaborare i Dati personali del Controllore per conto del Controllore.
Accordo per il trattamento dei dati Ultima modifica: 22/05/2018 Pagina 1 di 11
"Trattare / Trattamento / Trattato", "Controllore di dati", "Processore di dati", "Interessato", "Dati personali", "Categorie particolari di dati personali" e qualsiasi altra definizione non inclusa nel presente Accordo o nell’Accordo Principale devono avere lo stesso significato di cui al Regolamento Generale sulla Protezione dei Dati dell'UE 2016/679 del Parlamento Europeo e del Consiglio Europeo ("GDPR").
"Leggi sulla protezione dei dati" indicano il Regolamento Generale sulla Protezione dei Dati dell'UE 2016/679 del Parlamento Europeo e del Consiglio Europeo ("GDPR"), nonché le leggi locali sulla protezione dei dati.
“Cancellazione" indica la rimozione o la distruzione dei Dati Personali in modo che questi non possano essere recuperati o ricostruiti.
"SEE" indica lo Spazio Economico Europeo.
"Paese terzo" indica qualsiasi paese al di fuori dell'UE / SEE, tranne nei casi in cui tale paese sia oggetto di una valida decisione di adeguatezza da parte della Commissione Europea sulla Protezione dei Dati Personali nei Paesi Terzi.
"Dati personali del Controllore" indica i dati descritti nell'Allegato 1 e qualsiasi altro Dato Personale trattato dal Processore per conto del Controllore in conformità o in connessione con l’Accordo principale.
"Violazione dei dati personali" la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali del Controllore trasmessi, conservati o comunque trattati.
"Servizi" indica i servizi che devono essere forniti dal Processore al Controllore in conformità all’Accordo Principale.
"Prodotti" indica i prodotti che devono essere forniti dal Processore al Controllore in conformità all’Accordo Principale.
"Clausole contrattuali tipo": le clausole contrattuali tipo per il trasferimento di dati personali ai Processori stabiliti in paesi terzi, quali approvate dalla decisione della Commissione Europea 2010/87
/ UE, o qualsiasi serie di clausole approvate dalla Commissione Europea che le modifica, sostituisce o annulla.
2. Termini relativi al Trattamento dei Dati
2.1 Nel corso della fornitura dei Servizi e / o dei Prodotti al Controllore in conformità all’Accordo principale, il Processore può trattare i dati personali del Controllore per conto del Controllore secondo i termini del presente Addendum. Il Processore si impegna a rispettare le seguenti disposizioni in relazione ai dati personali del Controllore.
2.2 Nella misura richiesta dalle Leggi sulla Protezione dei Dati applicabili, il Processore dovrà ottenere e mantenere tutte le licenze, autorizzazioni e permessi necessari per il trattamento dei dati personali, compresi i dati personali di cui all'Addendum 1.
Il Processore manterrà tutte le misure tecniche e organizzative per soddisfare i requisiti stabiliti nell'addendum e nei suoi allegati.
3. Trattamento dei Dati personali del Controllore
3.1 ll Processore tratta i Dati personali del Controllore solo ai fini dell'Accordo Principale. Il Processore non deve trattare, trasferire, modificare, correggere o alterare i Dati personali del Controllore o divulgare o consentire la divulgazione dei dati personali del Controllore a terzi se non in conformità alle istruzioni documentate del Controllore, a meno che il trattamento non sia richiesto dall'UE o dalle leggi dello Stato Membro a cui è soggetto il Processore. Il Processore dovrà, nella misura consentita da tali leggi, informare il Controllore di tale requisiti legali prima di trattare i Dati Personali e attenersi alle istruzioni del Controllore per ridurre al minimo, per quanto possibile, l'ambito della divulgazione.
3.2 Ai fini illustrati nella sezione precedente, il Controllore con la presente incarica il Processore di trasferire i Dati personali del Controllore ai destinatari nei Paesi Terzi elencati nell'Allegato 3 (Trasferimenti autorizzati dei Dati personali del Controllore), sempre a condizione che il Processore soddisfi la sezione Sub-Trattamento.
4. Affidabilità e Non–Divulgazione
4.1 Il Processore adotterà misure ragionevoli per garantire l'affidabilità di qualsiasi dipendente, agente o collaboratore che possa avere accesso ai dati personali del Controllore, assicurando in ogni caso che l'accesso sia strettamente limitato alle persone che richiedono l'accesso ai Dati personali del Titolare.
4.2 Il Processore deve garantire che tutte le persone che hanno il compito di trattare i dati personali del controllore:
4.2.1 Xxxxx informate della natura confidenziale dei Dati personali del Controllore e sono a conoscenza degli obblighi del Processore ai sensi del presente Addendum e dell'Accordo Principale in relazione ai Dati personali del Controllore;
4.2.2 Xxxxx in possesso di formazione / certificazioni appropriate in relazione alle Leggi sulla Protezione dei Dati o qualsiasi altra formazione / certificazione richiesta dal Controllore;
4.2.3 Siano soggetti a impegni di riservatezza o obblighi professionali o normativi di riservatezza; e
4.2.4 Siano soggetti all'autenticazione dell'utente e alle procedure di accesso quando accedono ai Dati personali del Controllore in conformità al presente Accordo, all’Accordo Principale e alle Leggi sulla Protezione dei Dati applicabili.
5. Sicurezza dei Data Personali
5.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Processore mette in atto misure tecniche e
organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
5.1.1. la pseudonimizzazione e la cifratura dei dati personali;
5.1.2. La capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
5.1.3. la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali del Controllore in caso di incidente fisico o tecnico; e
5.1.4. una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
5.2. Nel valutare l'adeguato livello di sicurezza, il Processore tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Il Processore nomina come responsabile della protezione dati: Sr. Xxxx Xxxxxxxx Xxxxxxxx – xxxxxxx@xxxxx.xx
6. Destinatari delle direttive dalla parte del Processore
6.1. L’autorizzato a ricevere le direttive è: Xxxxxxx Xxxxxxx, Co-Founder & CEO, xxxxxxx@xxxxxxxxxx.xx
6.2. Canali di comunicazione del Processore: Lime Time Software S.L., Xxxxx Xxxxxxx Xxxxxxxx 0, 00000 Xxxxx – Las Palmas (España), xxxxxxx@xxxxxxxxxx.xx.
7. Sub-Trattamento
7.1. A partire dalla Data di Validità dell’Addendum, il Controllore autorizza il Processore a coinvolgere i Subincaricati di cui all'Allegato 4 (Subincaricati autorizzati). Il Processore non impegna i Subincaricati di Dati a trattare i Dati Personali del Controllore se non dietro consenso scritto del Controllore, che il Controllore può rifiutare a sua assoluta discrezione.
7.2. Per quanto riguarda ciascun Subincaricato, il Processore dovrà:
7.2.1. Fornire al controllore i dettagli completi sul trattamento dei dati da parte di ciascun Subincaricato.
7.2.2. Effettuare un'adeguata due diligence su ciascun Subincaricato per garantire che possa fornire il livello di protezione dei Dati personali del Controllore, incluse, ma non limitatamente a, sufficienti garanzie per mettere in atto misure tecniche e organizzative appropriate in modo tale che il Trattamento soddisfi i requisiti del GDPR , il presente Accordo, l'Accordo principale e le Leggi sulla Protezione dei Dati applicabili
7.2.3. Includere i termini nell’accordo tra il Processore e ciascun Subincaricato che siano gli stessi indicati nel presente Addendum. Su richiesta, il Processore dovrà fornire al Controllore una copia dei suoi accordi con i Subincaricati, per la sua revisione.
7.2.4. Se e quando tale contratto comporti il trasferimento dei Dati Personali del Controllore al di fuori del SEE, incorporare le Clausole Contrattuali Tipo o qualsiasi altro meccanismo indicato dal Controllore nel contratto tra il Processore e ciascun Subincaricato per garantire l'adeguata protezione dei Dati personali del Controllore trasferiti.
7.2.5. Rimanere pienamente responsabile nei confronti del Controllore per qualsiasi mancanza da parte di ciascun Subincaricato nell’adempiere ai propri obblighi in relazione al trattamento dei Dati personali del Controllore.
7.3. A partire dalla Data di validità dell'addendum, il Controllore autorizza il Processore a coinvolgere i Subincaricati di cui all'Allegato 3 (Trasferimenti Autorizzati dei Dati Personali del Controllore).
8. I Diritti degli Interessati
8.1. Tenuto conto della natura del Trattamento , il Processore assisterà il Controllore implementando le misure tecniche e organizzative appropriate, se e quando possibile, per l'adempimento dell'obbligo del Controllore di rispondere alle richieste degli interessati di esercitare i propri diritti come stabilito nel GDPR dell'UE.
8.2. Il Processore dovrà informare tempestivamente il Controllore se riceve una richiesta da un interessato, dall'Autorità di controllo e / o altra autorità competente ai sensi delle leggi sulla protezione dei dati applicabili in relazione ai Dati Personali del Controllore.
8.3. Il Processore dovrà cooperare come richiesto dal Controllore per consentire al Controllore di conformarsi a qualsiasi esercizio di diritti da parte di un Interessato ai sensi delle Leggi sulla Protezione dei Dati in relazione ai dati personali del Controllore e conformarsi a qualsiasi valutazione, richiesta, avviso o indagine in base a qualsiasi Legge sulla Protezione dei dati in merito ai Dati Personali del Controllore o al presente Accordo, che devono includere:
7.3.1 La fornitura di tutti i dati richiesti dal Titolare entro un ragionevole periodo di tempo specificato dal Titolare in ciascun caso, comprese le informazioni complete e le copie del reclamo, della comunicazione o della richiesta e qualsiasi Dato Personali che il Controllore conserva relativo a un Interessato.
7.3.2 Ove applicabile, fornire l'assistenza richiesta dal Controllore per consentire al Contollore di soddisfare la relativa richiesta entro i termini prescritti dalla Legge sulla Protezione dei Dati.
7.3.3 Implementare eventuali misure tecniche e organizzative aggiuntive che possano essere ragionevolmente richieste dal Controllore per consentire al Controllore di rispondere in modo efficace a reclami, comunicazioni o richieste pertinenti.
9. Violazione dei Dati Personali
9.1. Il Processore dovrà inviare una notifica al Controllore senza indebito ritardo e, in ogni caso, entro ventiquattro (24) ore dall’essere venuto a conoscenza o aver ragionevolmente sospettato di una violazione dei dati personali. Il Processore fornirà al Controllore informazioni sufficienti per consentire al Controllore di adempiere a qualsiasi obbligo di segnalare una violazione dei Dati Personali ai sensi delle Leggi sulla Protezione dei Dati. Tale notifica deve come minimo:
9.1.1. Descrivere la natura della violazione dei dati personali, le categorie e il numero dei soggetti interessati, nonché le categorie e il numero di registrazioni di dati personali colpite dalla violazione;
9.1.2. Comunicare il nome e le informazioni di contatto del Responsabile della protezione dei dati del Procuratore, del Responsabile della privacy o di altri contatti rilevanti dai quali possono essere ottenute ulteriori informazioni;
9.1.3. Descrivere il rischio stimato e le probabili conseguenze della Violazione dei Dati Personali; e
9.1.4. Descrivere le misure adottate o proposte per gestire la Violazione dei Dati Personali.
9.2. Il Processore dovrà cooperare con il Controllore e intraprendere le misure commerciali ragionevoli come indicate dal Controllore per assistere nelle indagini, nella mitigazione e risoluzione di ogni Violazione dei Dati Personali.
9.3. In caso di violazione dei dati personali, il Processore non deve informare terzi senza prima ottenere il consenso scritto del Controllore, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il Processore. In tal caso, il Processore dovrà informare il Controllore circa tale obbligo giuridico, fornire una copia della notifica proposta e considerare eventuali commenti formulati dal Controllore prima di notificare la Violazione dei dati personali.
10.Valutazione d'Impatto sulla Protezione dei Dati e Consultazione Preventiva
Il Processore fornirà al Controllore un'assistenza ragionevole con qualsiasi valutazione d'impatto sulla protezione dei dati richiesta dall'articolo 35 del GDPR e previa consultazione con qualsiasi autorità di controllo da parte del Controllore che sia richiesta ai sensi dell'articolo 36 del GDPR, in ogni caso unicamente in relazione al trattamento dei dati personali del Controllore da parte del Processore per conto del Controllore e considerate la natura del trattamento e delle informazioni disponibili al Processore.
11.Cancellazione o restituzione dei Dati Personali del Controllore
11.1. Il Processore dovrà prontamente e, in ogni caso, entro e non oltre 90 (novanta) giorni solari:
(i) cessare il Trattamento dei Dati Personali del Controllore da parte del Processore; o (ii)
risolvere l'Accordo Principale, a scelta del Controllore (tale scelta deve essere notificata al Processore per iscritto). Dovrà inoltre:
11.1.1. Restituire una copia completa di tutti i Dati personali del Controllore al Controllore stesso mediante trasferimento sicuro di file e cancellare in modo sicuro tutte le altre copie dei Dati personali del Controllore elaborati dal Processore o da qualsiasi Subincaricato Autorizzato; o
11.1.2. Cancellare in modo sicuro tutte le copie dei dati personali del Controllore trattati dal processore o da qualsiasi subincaricato autorizzato e, in ogni caso, fornire una certificazione scritta al controllore attestante che ha rispettato pienamente i requisiti della sezione Cancellazione o Restituzione dei Dati Personali del Controllore.
11.2. Il Processore può conservare i Dati personali del Controllore nella misura richiesta dalle leggi dell'Unione o dello Stato Membro, e solo nella misura e per il periodo richiesto dalla legge dell'Unione o dello Stato Membro, e sempre a condizione che il Processore garantisca la riservatezza di tutti i Dati personali del Controllore e garantisca che i Dati personali del Controllore siano trattati esclusivamente secondo le necessità per gli scopi specificati nelle leggi dell'Unione o degli Stati membri che richiedono la sua conservazione e per nessun’altra finalità.
12. Diritti di audit
Il Processore dovrà mettere a disposizione del Controllore, su richiesta, tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzate dal Controllore o da un altro soggetto da questi incaricato di qualsiasi sede in cui il Trattamento di Dati Personali del Controllore abbia luogo. Il Processore consentirà al Controllore o ad altro auditor incaricato dal Controllore di ispezionare, verificare e copiare tutte le registrazioni, processi e sistemi pertinenti in modo che il Controllore possa accertarsi che le disposizioni del presente Addendum siano rispettate. Il Processore dovrà fornire piena collaborazione al Controllore in relazione a tali audit e fornirà, su richiesta del Controllore, evidenza del rispetto degli obblighi previsti dal presente Addendum. Il Processore dovrà immediatamente informare il Titolare qualora, a suo parere, un'istruzione ai sensi della presente sezione (Diritti di Audit) violi il presente regolamento o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati.
13.Trasferimento dei Dati Personali del Controllore
13.1. Il Processore non tratterà i Dati Personali del Controllore né consentirà a nessun Sub- incaricato Autorizzato di trattare i Dati Personali del Contollore in un Paese terzo, se non nei confronti di quei destinatari in Paesi Terzi (se presenti) elencati all'Allegato 3 (Trasferimenti autorizzati dei Dati personali del Controllore), a meno che non sia stato preventivamente autorizzato per iscritto dal Controllore, mediante un emendamento al presente Addendum.
13.2. Quando richiesto dal Controllore, il Processore dovrà prontamente stipulare (o provvedere che qualsiasi pertinente Subincaricato del Processore stipuli) un accordo con il Controllore che
includa le Clausole Contrattuali Tipo e / o una variante come potrebbe essere richiesto dalla Legge sulla Protezione dei Dati, in relazione a qualsiasi trattamento di Dati Personali del Controllore in un Paese terzo, i quali termini avranno la precedenza su quelli del presente Addendum.
14.Codici di Condotta e Certificazione
Su richiesta del Controllore, il Processore dovrà rispettare qualsiasi Codice di condotta approvato ai sensi dell'articolo 40 del GDPR e ottenere qualsiasi certificazione approvata dall'articolo 42 del GDPR dell'UE, per quanto riguarda il trattamento dei Dati personali del Controllore.
15. Condizioni generali
15.1. In base a questa sezione, le parti concordano che il presente Accordo e le clausole contrattuali tipo terminano automaticamente in caso di risoluzione dell'Accordo principale o alla scadenza o alla risoluzione di tutti i contratti di servizio stipulati dal Processore con il Controllore, ai sensi dell'Accordo principale, qualunque venga dopo.
15.2. Qualsiasi obbligo imposto al Processore ai sensi del presente Xxxxxxxx in relazione al Trattamento dei Dati personali sopravviverà a qualsiasi risoluzione o scadenza di questo Addendum.
15.3. Il presente Addendum, ad esclusione delle clausole contrattuali tipo, è regolato dagli articoli di legge previsti nell'Accordo principale per tutto il tempo in cui tali articoli facciano parte della legislazione di uno Stato membro dell'Unione Europea.
15.4. Qualsiasi violazione di questo Addendum costituirà una violazione sostanziale dell'accordo principale.
15.5. Per quanto riguarda l'oggetto del presente Addendum, in caso di incongruenze tra le disposizioni del presente Addendum e qualsiasi altro accordo tra le parti, incluso ma non limitato all'Accordo Principale, le disposizioni del presente Addendum prevarranno per quanto riguarda gli obblighi delle parti di protezione dei dati personali di un interessato di uno Stato membro dell'Unione Europea.
15.6. Qualora una qualsiasi disposizione di questo Addendum fosse non valida o inapplicabile, il resto di questo Addendum rimarrà valido e in vigore. La clausola non valida o inapplicabile sarà
(i) emendata se necessario per garantirne la validità e l'applicabilità, preservando nel contempo il più strettamente possibile le intenzioni delle parti o, se ciò non fosse possibile, (ii) interpretata in modo tale che la parte non valida o inapplicabile non sia mai stata contenuta in esso.
ALLEGATO 1: INFORMAZIONI SUL TRATTAMENTO DEI DATI PERSONALI DEL CONTROLLORE
Il presente Allegato 1 include alcune informazioni sul trattamento dei dati personali del controllore ai sensi dell'articolo 28, paragrafo 3, del GDPR.
Oggetto e durata del Trattamento dei Dati Personali del Controllore
L'oggetto e la durata del Trattamento dei Dati Personali del Controllore sono stabiliti nell'Accordo principale e nel presente Addendum.
La natura e lo scopo del Trattamento dei Dati Personali del Controllore
Il Processore fornisce un software come servizio per la gestione degli studi dentistici. Tale software offre in generale funzioni per l’organizzazione e la gestione degli appuntamenti, dei piani di cura, preventivi e pagamenti, del diario clinico dei pazienti, funzioni per l'amministrazione dei dipendenti esterni, gestione di contatti e fornitori, contabilità, strumenti di marketing e di analisi.
Il trattamento è costituito dal rilevamento, ordinamento, organizzazione, utilizzo, rivelazione (visualizzazione), trasmissione, salvataggio, adeguamento (aggiornamento), modifica, selezione (lettura), interrogazione, confronto, collegamento, cancellazione o distruzione.
I tipi di Dati Personali del Controllore da Trattare
• dati personali di base
• dati di comunicazione (ad esempio numero di telefono, e-mail)
• dati di pazienti
• dati di report (di terzi, ad esempio agenzie di credito o derivanti da registri pubblici)
• dati contrattuali di base
• dati contabili relativi al contratto e dati di pagamento
• cronologia cliente
Le categorie di Interessati cui si riferiscono i Dati Personali del Controllore includono:
• medici
• pazienti
• lavoratori
• fornitori
• odontotecnici
• interlocutori
• consulenti fiscali
• interessati
• assistenti e collaboratori esterni (ad esempio: chirurghi o igienisti dentali)
ALLEGATO 2: MISURE TECNICHE E ORGANIZZATIVE
Disponibile su richiesta.
ALLEGATO 3: TRASFERIMENTI AUTORIZZATI DEI DATI PERSONALI DEL CONTROLLORE
N°. | Autorizza il subprocessore | Attività di trattameto | Sito web o Indirizzo della sede |
1. | DigitalOcean LLC | Infrastruttura cloud, centri server ad alta sicurezza | |
2. | Google Inc. | Piattaforma “G Suite” (include Google Analytics, Google Drive, ecc.) | xxxxx://xxxxxx.xxxxxx.xxx/ |
3. | Slack | Comunicazione interna per il team di Open Kanino | xxxxx://xxxxx.xxx/ |
4. | Xxxxxx Inc. | Gestione interna del lavoro e dei task | xxxxx://xxxxxx.xxx/ |
5. | Recrea Systems SLU | Gestione contabilità interna | xxxxx://xxxxxxxxxxx.xxx/ |
6. | Pipedrive OÜ | Piattaforma CRM e marketing | xxxxx://xxxxxxxxx.xxx/ |
7. | Stripe Inc. | Pagamenti online, pagamenti con carta di credito | xxxxx://xxxxxx.xxx/ |
8. | Banco de Sabadell SA | Banca, conto corrente e pagamenti | |
9. | Atenea Asesores SCP | Studio Commerciale, contabilità della Lime Time Software S.L. | Paseo Maestra Xxxxxxxxxxx Xxxxxxx, 0, 00000 Xxx Xxxxxxxxx, Xxx Xxxxxx |
10. | SendGrid, Inc. | Transactional email e Marketing email | xxxxx://xxxxxxxx.xxx/ |
11. | Provider SMS | Acquisto di SMS, invio di SMS | Per motivi concorrenziali forniremo questa informazione solo su richiesta |