Traduzione italiana a scopo informativo solo la versione originale tedesca è valida !
Traduzione italiana a scopo informativo solo la versione originale tedesca è valida !
Accordo sul trattamento dei dati personali su incarico
ClubDesk per le associazioni dello Spazio econo- mico europeo (SEE) e per le associazioni con sede in Svizzera (e membri nello SEE)
(SEE: Stati membri dell'Unione europea più Islanda, Liechtenstein e Norvegia)
tra
Associazione che assegna l’incarico
- in qualità di titolare del trattamento, di seguito denominato “cliente” - e
reeweb ag (Sviluppatore di ClubDesk)
Xxxxxxxxxxxxxx 0
0000 Xxxxxxx Xxxxxxxx
- in qualità di responsabile del trattamento, di seguito denominata "reeweb" -
1. Oggetto e durata dell’incarico, applicazione del GDPR
1.1. Oggetto dell’incarico
Oggetto dell’incarico è la fornitura del software ClubDesk per l'amministrazione dei dati dell’associazione come servizio via Internet (software-as-a-service) in conformità al contratto stipulato online tra il cliente e reeweb sulla base delle condizioni generali.
La gestione per quanto riguarda il contenuto dei dati dell'associazione e la responsabilità in materia di liceità del trattamento dei dati, ovvero la questione se determinati dati (per esempio i dati di contatto dei membri) possano essere trattati, spetta al cliente o al soggetto autorizzato a rappresentarlo. Nell'am- bito degli accordi stipulati, reeweb tratta i dati inseriti dal cliente solo su incarico e secondo le istruzioni del cliente stesso.
Il presente accordo regola i diritti e gli obblighi del cliente e di reeweb nell'ambito del trattamento dei dati personali per conto del cliente. Le disposizioni si applicano a tutte le attività legate al contratto per cui reeweb e i suoi dipendenti o agenti entrano in contatto con i dati personali provenienti da o raccolti per il cliente.
1.2. Durata dell’incarico
La durata del presente incarico (termine) si basa sul termine del contratto principale. In caso di dubbi, qualora venga risolto il contratto principale, si considererà risolto anche il presente accordo, e viceversa.
In caso di violazioni semplici, ovvero non intenzionali o per negligenza grave, il cliente dovrà innanzitutto fis- sare un termine ragionevole entro il quale reeweb possa porre rimedio alla violazione. Resta fatto salvo il di- ritto di risoluzione straordinaria del presente accordo per giusta causa.
1.3. Applicazione del GDPR
Al cliente, in quanto associazione con sede nello Spazio Economico Europeo (SEE), si applica la normativa eu- ropea sulla protezione dei dati, in particolare, a partire dal 25 maggio 2018, il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con ri- guardo al trattamento dei dati personali, alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation - di seguito denominato "GDPR"). Per reeweb, con sede in Svizzera, si ap- plicano le norme del GDPR a cui si riferisce il presente accordo.
1.4. Localizzazione del trattamento
Il trattamento dei dati da parte di reeweb avviene in Svizzera. Nella sua decisione del 26 luglio 2000, la Commissione europea ha stabilito che in Svizzera è presente un livello adeguato di protezione dei dati per tutte le attività coperte dalla direttiva 95/46/CE sulla protezione dei dati (decisione 200/518/CE, Gaz- zetta ufficiale della CE del 25/08/2000, pp. 1-3). Questo accertamento rimarrà in vigore ai sensi dell'arti- colo 45, comma 9 del GDPR, fino a quando non verrà presa una nuova decisione, se necessario. La ge- stione dei dati delle associazioni è coperta dalla suddetta direttiva sulla protezione dei dati, e in Svizzera viene attuato, quindi, un livello adeguato di protezione dei dati anche in questo senso.
reeweb può trasferire il trattamento dei dati in uno stato membro dell'Unione Europea o in un altro stato contraente dell'accordo sullo Spazio Economico Europeo. Qualsiasi trasferimento in un paese terzo
diverso dalla Svizzera richiede il consenso preventivo del cliente e può avvenire solo se sono soddisfatti i requisiti legali specifici stabiliti dall'articolo 44 e segg. del GDPR.
I dati trattati da reeweb sono accessibili in tutto il mondo via Internet da chiunque abbia il codice di ac- cesso appropriato. reeweb non effettuerà alcun trasferimento al di fuori della Svizzera o dello Spazio economico europeo. È responsabilità del cliente assicurarsi che i trasferimenti da lui eseguiti o eseguiti su sua richiesta siano inoltre conformi alle disposizioni legali a livello locale.
2. Dettagli relativi al contenuto dell’incarico
2.1. Portata, natura e scopo del trattamento dei dati previsto
Il trattamento dei dati è utilizzato per l'amministrazione di associazioni o gruppi secondo quanto stabilito nell’accordo. Questo può includere, per esempio, la gestione dei membri, dei prospect, dei partecipanti agli eventi, dei fornitori e degli appuntamenti. La portata, la natura e lo scopo del trattamento dei dati personali da parte di reeweb per il cliente sono descritti più dettagliatamente nell’Informativa sulla privacy.
2.2. Tipo e categorie di dati personali
La raccolta, il trattamento o l'utilizzo riguardano qualsiasi tipo/categoria di dati, a seconda della configura- zione delle funzionalità flessibili di ClubDesk, nonché del loro utilizzo da parte dell’associazione/gruppo in con- formità con il contratto principale. In particolare, possono essere considerate le seguenti categorie di dati:
• Dati anagrafici degli interessati, in particolare dei membri dell'associazione, tra cui
o Indirizzo e numero di telefono
o Coordinate bancarie
• Dati del libro paga (come lo stato del conto contributivo, lo stato dei conti clienti/fornitori e del libro paga)
• Dati riguardanti la qualifica professionale (ad esempio partecipazione a eventi e competizioni e rela- tivi risultati, formazione dei dipendenti)
2.3. Gruppo e categorie di soggetti interessati
Il gruppo o le categorie di soggetti interessati dal presente trattamento su incarico comprendono qualsiasi persona, a seconda della configurazione delle funzionalità flessibili di ClubDesk, nonché del loro utilizzo da parte dell’associazione/gruppo in conformità con il contratto principale. In particolare, vengono prese in con- siderazione le seguenti categorie di persone:
• Membri dell'associazione / gruppo
• Soggetti interessati e ospiti
• Sponsor e finanziatori
• Partecipanti a eventi
• Dipendenti
• Fornitori/fornitori di servizi
3. Descrizione delle misure tecniche e organizzative di protezione e sicurezza dei dati da adottare
(1) Le misure tecniche e organizzative necessarie per un'adeguata protezione dei dati del cliente (ai sensi dell'art. 32 del GDPR) vengono descritte da reeweb nell'allegato. Se accettate dal cliente, le misure docu- mentate diventano la base dell’incarico. Nella misura in cui un esame del cliente riveli la necessità di un adeguamento, questo deve essere attuato di comune accordo.
(2) reeweb stabilisce la sicurezza del trattamento dei dati in conformità con l'allegato al presente ac- cordo. Nel complesso, le misure da adottare sono misure di sicurezza dei dati e misure per garantire un livello di protezione adeguato al rischio per quanto riguarda la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi, in particolare tenendo conto del controllo organizzativo, controllo dell’accesso,
controllo del trasferimento, controllo dell’incarico, controllo della disponibilità e requisito della separa- zione. Si tiene conto dello stato dell'arte, dei costi di attuazione e della natura, della portata e delle fina- lità del trattamento, nonché della diversa probabilità e gravità del rischio per i diritti e le libertà delle per- sone fisiche.
(3) Le misure tecniche e organizzative sono soggette al progresso tecnico e all’evoluzione. A questo pro- posito, reeweb è autorizzata ad attuare misure alternative adeguate. Così facendo, il livello di sicurezza delle misure definite non deve essere sottovalutato. Il cliente deve essere informato immediatamente in forma scritta circa qualsiasi cambiamento significativo.
4. Correzione, blocco e cancellazione dei dati;
Diritti dell'interessato e responsabilità
(1) reeweb non può correggere, cancellare o bloccare i dati elaborati per conto del cliente di propria ini- ziativa, ma solo in base alle istruzioni documentate del cliente, né limitarne il trattamento. Il blocco dell'accesso del cliente a ClubDesk da parte di reeweb è possibile nella misura in cui ciò sia consentito dalle condizioni generali di contratto di ClubDesk, ad esempio in caso di arretrati di pagamento o in caso di sospetto fondato di uso improprio.
(2) Nella misura in cui un interessato (ad es. un membro di un'associazione) si rivolge direttamente a reeweb in merito ai propri diritti di protezione dei dati, in particolare per ottenere informazioni, corre- zioni, cancellazioni e blocchi ai sensi degli artt. 16-18 del GDPR, reeweb inoltrerà tale richiesta al cliente e/o rinvierà l'interessato al cliente e contemporaneamente informerà il cliente della richiesta dell'inte- ressato. reeweb stessa non prenderà alcuna decisione sulla legittimità delle richieste degli interessati e in particolare non risponderà alle richieste di informazioni degli interessati.
(3) reeweb sosterrà il cliente nell'adempimento delle richieste degli interessati nell'ambito delle sue pos- sibilità, a condizione che il cliente non possa rispondere alle richieste senza l'assistenza di reeweb. reeweb può esigere dal cliente un adeguato compenso aggiuntivo per le spese giustificate da tale colla- borazione.
(4) Se un interessato si rivolge direttamente a reeweb a causa di una presunta violazione della protezione dei dati e ottiene da quest'ultima un risarcimento, il cliente è tenuto a risarcire a reeweb il danno risul- tante, nella misura in cui reeweb non risulti responsabile nei confronti del cliente per tale violazione della protezione dei dati secondo le disposizioni del presente accordo e del contratto principale, in particolare
se ha rispettato l'accordo e le istruzioni del cliente. Questo vale anche nel caso di una sanzione pecunia- ria inflitta a reeweb.
5. Controlli e altri obblighi di reeweb
Oltre alle disposizioni del presente incarico, reeweb si attiene alle disposizioni legali sulla protezione dei dati in vigore presso la sua sede legale in Svizzera. Il legame tra le diverse norme contrattuali e legali si traduce in particolare nei seguenti obblighi di reeweb:
2. Nello svolgimento delle proprie attività, reeweb si avvale esclusivamente di collaboratori che si sono impegnati per iscritto alla riservatezza e che hanno precedentemente appreso le disposi- zioni sulla protezione dei dati che li riguardano, o che sono soggetti a un obbligo legale di riserva- tezza. Inoltre, reeweb garantirà il rispetto di questo obbligo con la dovuta diligenza. reeweb e qualsiasi persona subordinata a reeweb che abbia accesso ai dati personali tratterà tali dati esclusivamente in conformità alle istruzioni del cliente, compresi i poteri concessi nel presente accordo, a meno che non siano obbligati al trattamento per legge. In tal caso, reeweb informerà il cliente di tali requisiti legali prima del trattamento, a meno che la legge pertinente non vieti tale notifica a causa di un importante interesse pubblico.
3. reeweb verifica regolarmente le misure tecniche e organizzative di sicurezza dei dati per garan- tire che il trattamento, nel proprio ambito di responsabilità, sia effettuato in conformità con i re- quisiti di protezione dei dati ad esso applicabili per la durata del trattamento dei dati del cliente.
4. reeweb o il suo rappresentante terrà un registro di tutte le categorie di attività di trattamento
effettuate per conto del cliente, conformemente all’art. 30, comma 2 del GDPR.
6. Rapporti di subappalto
(1) Per rapporti di subappalto ai sensi del presente regolamento si intendono quelle prestazioni che si riferiscono direttamente alla fornitura della prestazione principale. Sono escluse le prestazioni accessorie di cui si avvale reeweb, come ad esempio i servizi di telecomunicazione, i servizi postali/di trasporto, la manutenzione e l'assistenza agli utenti o lo smaltimento dei supporti dati, nonché altre misure volte a garantire la riservatezza, la disponibilità, l'integrità e la resilienza dell'hardware e del software dei sistemi di trattamento dati. reeweb è tuttavia tenuta ad eseguire accordi contrattuali adeguati e conformi alla legge, nonché ad attuare misure di controllo per garantire la protezione e la sicurezza dei dati del cliente, anche nel caso di servizi accessori esternalizzati.
(2) reeweb può assumere subappaltatori (altri responsabili del trattamento) solo con il previo consenso scritto o documentato del cliente.
(3) Il cliente acconsente in generale all'incarico dei subappaltatori con i quali reeweb ha stipulato un ac- cordo in conformità al presente accordo. Un elenco degli attuali fornitori di servizi può essere consultato sul sito web di reeweb all'indirizzo xxx.xxxxxxxx.xxx/xxxxxxxxxxxxxxxxxx.
(4) L'esternalizzazione a subappaltatori o il cambiamento del subappaltatore esistente è consentito nella misura in cui:
• un accordo contrattuale con il subappaltatore si basi sul presente accordo,
• reeweb comunichi al cliente tale esternalizzazione ai subappaltatori per iscritto o in forma di te- sto con un ragionevole anticipo (di solito due (2) mesi), indicando il momento del trasferimento dei dati, e
• il cliente non si opponga, per iscritto o in forma di testo al momento della trasmissione dei dati, alla decisione di reeweb di esternalizzare il trattamento.
Un’eventuale opposizione da parte del cliente è considerata come una risoluzione straordinaria del con- tratto principale nel momento immediatamente precedente al trasferimento. Dopo tale data, il cliente non potrà più in alcun modo utilizzare i servizi di reeweb. Prima della consegna al subappaltatore, i dati del cliente saranno cancellati da reeweb. È compito del cliente effettuare il backup dei dati all’interno dei propri sistemi prima di questo momento.
(5) Il trasferimento dei dati personali del cliente al subappaltatore e la prima attività del subappaltatore sono consentiti solo dopo aver soddisfatto tutti i requisiti per il subappalto. Se un subappaltatore non rispetta i propri obblighi in materia di protezione dei dati, reeweb è responsabile nei confronti del cliente per il rispetto degli obblighi di tale subappaltatore.
(6) Se il subappaltatore fornisce il servizio concordato al di fuori dell'UE/SEE, reeweb garantisce i requisiti speciali per il trasferimento in un paese terzo adottando misure adeguate. Lo stesso vale se i fornitori di servizi devono essere utilizzati per servizi ausiliari ai sensi della seconda frase del precedente paragrafo 1 al di fuori dell'UE/SEE. Se il subappaltatore o un altro fornitore di servizi si trova in Svizzera, i requisiti speciali secondo la sezione 1.4 sono considerati soddisfatti.
(7) Qualsiasi ulteriore esternalizzazione da parte del subappaltatore richiede il consenso esplicito di reeweb (almeno in forma di testo). Le disposizioni contrattuali nella catena contrattuale devono appli- carsi anche all'ulteriore subappaltatore.
7. Diritti di controllo del cliente
(1) reeweb si impegna a garantire che il cliente sia in grado di assicurarsi che reeweb rispetti i propri ob- blighi ai sensi del presente accordo. reeweb si impegna a fornire al cliente le informazioni necessarie su richiesta e, in particolare, a fornire prove dell'attuazione delle misure tecniche e organizzative.
(2) reeweb è autorizzata, a sua esclusiva discrezione, tenendo conto degli obblighi legali del cliente, a non divulgare informazioni sensibili in relazione alla propria attività o la cui divulgazione porterebbe reeweb a violare disposizioni di legge o altre disposizioni contrattuali. Il cliente non è autorizzato ad avere accesso a dati o informazioni riguardanti altri clienti di reeweb, a informazioni sui costi e a qualsiasi altro dato riservato di reeweb che non sia direttamente rilevante ai fini del controllo concordato.
(3) Il cliente ha il diritto, d'accordo con reeweb, di effettuare ispezioni (controllo dell’incarico) nell'ambito del consueto orario di lavoro a proprie spese, senza interrompere le ordinarie attività e nel rigoroso ri- spetto del segreto aziendale e commerciale di reeweb, o di farle eseguire da ispettori da nominare di volta in volta, a condizione che questi non siano in rapporto di concorrenza con reeweb. Il cliente deve informare reeweb in tempo utile (di regola almeno quattro settimane prima) di tutte le circostanze le- gate all'esecuzione dell'ispezione.
(4) A discrezione di reeweb, la prova del rispetto delle misure tecniche e organizzative può essere fornita anche in sostituzione di un'ispezione in loco, presentando un idoneo e attuale certificato di audit, rap- porti o estratti di organismi indipendenti (ad es. revisori, controllori, responsabili della protezione dei dati, reparto sicurezza IT, controllori della protezione dei dati o controllori della qualità) o un'idonea cer- tificazione di audit sulla sicurezza IT o sulla protezione dei dati - ad es. secondo la norma ISO 27001 o se- condo l'art. 42 del GDPR - ("rapporto di audit"), se il rapporto di audit consente ragionevolmente al cliente di accertarsi del rispetto delle misure tecniche e organizzative. Anche il rispetto dei codici di con- dotta approvati ai sensi dell'art. 40 del GDPR può essere considerato come prova.
(5) Se il cliente incarica un soggetto terzo per effettuare l'ispezione, il cliente deve obbligare il soggetto
terzo a mantenere la riservatezza. reeweb ha inoltre il diritto di esigere da terzi, prima dell’ispezione, un obbligo di riservatezza che vieta al cliente di essere informato su qualsiasi circostanza relativa all’incarico diversa da quelle rilevanti per la protezione dei dati, e a terzi di essere informati su qualsiasi circostanza accertata nel corso dell’incarico e dell’ispezione. Il cliente non può affidare l’ispezione a un concorrente di reeweb.
(6) Per il supporto nell'ambito dei controlli del cliente, reeweb può richiedere un adeguato compenso aggiuntivo per le spese giustificate da tali attività.
8. Notifica di violazione da parte di reeweb e supporto per il cliente
(1) reeweb comunicherà in ogni caso senza indugio al cliente se si sono verificate violazioni delle norme sulla protezione dei dati personali del cliente o delle disposizioni contenute nell’incarico da parte del cliente, delle persone impiegate dal cliente o dei subappaltatori assegnati al cliente e se queste vengono rese note a reeweb. Il contenuto delle comunicazioni si basa sulle informazioni di cui all’art. 33, comma 3, del GDPR.
(2) Il cliente è tenuto a informare immediatamente e integralmente reeweb nel caso in cui vengano rile- vati errori o irregolarità rispetto alle norme sulla protezione dei dati o alle sue istruzioni durante l’ispe- zione dei risultati dell’incarico.
(3) Nell'ambito delle sue possibilità e del presente accordo, reeweb sosterrà il cliente nell'adempimento degli obblighi legali in materia di sicurezza dei dati personali, degli obblighi di notifica in caso di viola- zione dei dati, delle valutazioni d'impatto sulla protezione dei dati ai sensi dell'art. 35 del GDPR e delle consultazioni preventive con l'autorità di controllo ai sensi dell'art. 36 del GDPR. Ciò include, in partico- lare, la garanzia di un adeguato livello di protezione attraverso misure tecniche e organizzative che ten- gano conto delle circostanze e delle finalità del trattamento, nonché della probabilità e della gravità pre- viste di una possibile violazione della legge dovuta a vulnerabilità della sicurezza e che consentano l'im- mediata individuazione di eventi di violazione rilevanti.
(4) Per i servizi di supporto che non sono inclusi nella descrizione delle prestazioni del contratto princi- pale o che non sono dovuti a un comportamento scorretto da parte di reeweb, quest'ultima può richie- dere un adeguato compenso aggiuntivo per le spese giustificate da tali attività.
9. Autorità del cliente
(1) Il trattamento dei dati avviene esclusivamente nell'ambito degli accordi presi e secondo le istruzioni del cliente, a meno che le disposizioni di legge non siano in contrasto con tali istruzioni. reeweb infor- merà il cliente in merito a tali requisiti legali, a meno che non vi sia un importante interesse pubblico a non farlo. Il cliente deve impartire le proprie istruzioni generali automaticamente attraverso le funzioni del software ClubDesk fornite secondo il contratto principale, i loro ingressi e configurazioni lato cliente.
(2) reeweb non è tenuta ad eseguire altre istruzioni individuali. Fa eccezione la singola istruzione di can- cellare tutti i dati elaborati per conto del cliente, che reeweb deve sempre eseguire se è garantito che tale richiesta sia impartita dal cliente o da una persona autorizzata a rappresentarlo. Il cliente deve con- fermare immediatamente le istruzioni individuali verbali almeno in forma di testo. Una cancellazione ne- cessita sempre di un'istruzione almeno in forma di testo. reeweb deve informare immediatamente il cliente se ritiene che un'istruzione individuale ai sensi del presente paragrafo violi le norme sulla prote- zione dei dati. reeweb ha il diritto di sospendere l'esecuzione dell'istruzione in questione fino alla sua conferma o modifica da parte del cliente. Se reeweb esegue un'istruzione individuale ai sensi del pre- sente paragrafo, ha il diritto di richiedere un adeguato compenso aggiuntivo per le spese giustificate da tali attività.
(3) Le persone autorizzate a impartire istruzioni sono quelle che possono rappresentare efficacemente il cliente.
10. Cancellazione dei dati personali
(1) Non è possibile eseguire copie o duplicati dei dati senza che il cliente ne sia a conoscenza. Questo non si applica alle copie di backup, nella misura in cui sono necessarie per garantire il corretto trattamento dei dati. Inoltre, reeweb può utilizzare copie dei dati del cliente per eseguire test del software (ad esem- pio la migrazione dei dati per le nuove versioni) e per il supporto (ad esempio il debugging sui sistemi di prova).
(2) Su richiesta del cliente e al più presto dopo la conclusione delle attività previste dal contratto (ovvero al termine del contratto in conformità alle condizioni generali applicabili), reeweb cancellerà tutti i dati personali del cliente di cui è entrata in possesso e che sono legati al rapporto contrattuale in conformità alle norme sulla protezione dei dati. Questo vale anche per le duplicazioni dei dati dei clienti presso reeweb, come i backup dei dati. È responsabilità del cliente fare il backup dei dati sui propri sistemi prima della conclusione del contratto o prima di emettere un ordine di cancellazione. reeweb confer- merà la cancellazione al cliente in forma di testo.
(3) La documentazione, che serve come prova del trattamento richiesto e corretto dei dati, deve essere conservata da reeweb secondo i rispettivi periodi di conservazione anche dopo la conclusione del con- tratto. Potrà altrimenti consegnarli al cliente al momento della conclusione del contratto.
11. Disposizioni varie
Nella misura in cui il presente accordo non contenga disposizioni speciali, le disposizioni dell'accordo si applicano in conformità alle condizioni generali applicabili, in particolare le limitazioni di responsabilità ai sensi della sezione 14 delle GTC.
Basilea, 1 marzo 2022
reeweb ag, Xxxxxxxxxxxxxx 0, 0000 Xxxxxxx, Xxxxxxxx
12. Allegato - Misure tecniche e organizzative
1. Riservatezza (Art. 32 comma 1 lett. b del GDPR)
• Controllo degli accessi (nessun accesso non autorizzato ai mezzi di trattamento dei dati):
reeweb ag: Nessuna conservazione di dati presso reeweb ag, il software e i dati sono completa- mente ospitati in un centro dati esterno (sistemi di produzione e di test);
Centro dati: Nessun accesso non autorizzato ai mezzi di trattamento dei dati; la videosorve- glianza e il principio di controllo dell'accesso a più livelli garantiscono la sicurezza fisica;
• Controllo dell'accesso (nessun uso non autorizzato del sistema):
Password sicure (lunghezza minima di 8 caratteri per le password di amministratore per Club- Desk, numero e caratteri speciali richiesti, ecc.), meccanismi di blocco automatico (gli account utente vengono bloccati automaticamente dopo 10 accessi falliti), solo il valore hash delle pas- sword viene memorizzato;
• Controllo dell'accesso (nessuna lettura, copia, modifica o rimozione non autorizzata all'interno del sistema):
ClubDesk offre un ampio sistema di ruoli per i diritti di accesso basati sulle necessità dei singoli utenti di un’associazione, la registrazione dei login e degli accessi in scrittura (le modifiche ai dati vengono memorizzate in cronologia, compresa la validazione temporale e l'utente);
• Controllo della separazione(trattamento separato dei dati raccolti per scopi diversi):
I dati sono conservati per associazione in un database separato con un login separato.
2. Integrità (Art. 32 comma 1 lett. b del GDPR)
• Controllo del trasferimento (nessuna lettura, copia, modifica o rimozione non autorizzata du- rante la trasmissione o il trasporto elettronico):
Connessione web sicura con i server delle applicazioni tramite HTTPS - anche per i siti web
dell’associazione creati all’interno del software ClubDesk.
L’invio della posta elettronica non è protetto (nessuna crittografia delle e-mail). Le e-mail per la registrazione, il recupero della password, ecc. sono sempre inviate da reeweb con link a pagine web criptate e valide per un periodo di tempo limitato. Il cliente è responsabile per l'invio non criptato di e-mail da parte del cliente utilizzando la funzionalità corrispondente di ClubDesk.
• Controllo dell'input(determinare se e da chi i dati personali sono stati inseriti, modificati o rimossi dai sistemi di trattamento dei dati):
Registrazione dei login e degli accessi in scrittura: Le modifiche ai dati sono memorizzate in cro- nologia, compresa la validazione temporale e l'utente;
3. Disponibilità e resilienza (Art. 32 comma 1 lett. b del GDPR)
• Controllo della disponibilità (protezione contro la distruzione o la perdita accidentale o delibe- rata):
reeweb ag: tra gli altri, mirroring dei dischi rigidi (RAID), backup giornalieri nel centro dati, fi- rewall, protezione antivirus per i file caricati, monitoraggio esterno di importanti componenti software e hardware con avviso via SMS al supporto di terzo livello;
Centro dati: Rilevatori di incendio; linee ridondanti e completamente separate per l'alimenta- zione e i dati; Internet fail-safe, componenti di rete ridondanti; gruppo di continuità (UPS); bac- kup dei dati all'avanguardia: backup multipli, separati localmente in diverse zone antincendio;
• Recuperabilità rapida (Art. 32 comma 1 lett. c del GDPR)
Grazie ai backup e alla configurazione standardizzata dei server, le operazioni possono essere ripristinate rapidamente in caso di emergenza.
4. Procedure per la verifica periodica, l'accertamento e la valutazione (art. 32, comma 1, lett. d del GDPR; art. 25, comma 1 del GDPR)
• Gestione della privacy:
Disposizioni relative alla protezione dei dati in tutti i contratti di lavoro e linee guida sul wiki in- terno; il management viene sensibilizzato sul tema della protezione dei dati;
• Gestione della risposta agli incidenti:
Strumento di supporto esterno per gli incidenti dove tutte le richieste di supporto sono gestite e monitorate;
• Protezione dei dati per impostazione predefinita (art. 25, comma 2 del GDPR): per esempio, ruoli predefiniti per funzioni tipiche all'interno di un'associazione;
• Controllo degli incarichi (nessun trattamento dei dati per conto del cliente senza istruzioni corri- spondenti):
Progettazione chiara del contratto, selezione e controllo rigorosi del centro dati.