Accordo
sul
trattamento dei dati in conformità all’articolo 28 del GDPR
Il responsabile del trattamento:
Eversport GmbH
Heiligenstädterstrasse 31,
Stiege 2/501, 1190 Vienna
(di seguito denominato “il Contraente” e “Eversports”)
Il titolare del trattamento:
partner contrattuale di Eversports
(di seguito denominato “il Committente”)
- OGGETTO DELL’ACCORDO
1.1. L’oggetto del presente accordo consiste nello svolgimento dei seguenti compiti:
▪ archiviazione, aggiornamento, trasferimento e cancellazione di dati di clienti, soci e/o dipendenti
▪ trasferimento (importazione) di dati di clienti, soci e/o dipendenti e di dati di prodotti, laddove rilevante
▪ gestione di prodotti
▪ gestione di risorse (gestione di locali)
▪ gestione di attività
▪ gestione di trainer e insegnanti
▪ trattamento di richieste di supporto
▪ possibilità di importare ed esportare dati di clientiAl fine di adempiere ai seguenti scopi:
▪ gestione di clienti
▪ trattamento di prenotazioni
▪ trattamento di transazioni
▪ analisi
▪ aderenza alla conformità del registro di cassa
▪ comunicazione con clienti (registrazione a newsletter)
Il presente Accordo deve essere inteso come integrazione dell’Accordo Eversports Corporation in essere tra il Contraente e il Committente.
1.2. Dovranno essere sottoposte a trattamento le seguenti categorie di dati:
▪ dettagli di contatto (nome, cognome, indirizzo, e-mail, numero di telefono)
▪ informazioni del cliente (numeri e gruppi di clienti)
▪ dati dell’account (data di creazione)
▪ data di nascita
▪ genere
▪ dati immagine (fotografia del profilo)
▪ dati bancari (SEPA, carta di credito)
▪ dati di prenotazione
▪ dati dell’ordine (prodotti, data d’acquisto)
▪ dati fattura
▪ registrazione a newsletter
1.3. Devono essere sottoposte a trattamento le seguenti categorie di interessati:
▪ clienti
▪ soci
▪ dipendenti
▪ trainer esterni
▪ amministratori
2. DURATA DELL’ACCORDO
Il presente Accordo viene stipulato a tempo indeterminato e può essere disdetto da entrambe le parti nel rispetto del preavviso specificato nelle Condizioni generali di contratto di Eversports. Il presente Accordo terminerà senza necessità di un’apposita dichiarazione in concomitanza con la completa cessazione dell’Accordo di Collaborazione di Eversports.
Rimane salva la possibilità di presentare una notifica di disdetta straordinaria per giusta causa. Tale notifica di disdetta straordinaria si applicherà – indipendentemente dai termini di disdetta pattuiti con il presente – allo stesso modo a qualsiasi evento per quanto pertiene all’Accordo di Collaborazione con Eversports nella misura in cui il relativo oggetto venga contemplato dal presente Accordo. L’Accordo di Eversports Corporation potrà essere proseguito in conformità ai termini rimanenti solo relativamente a eventuali elementi residui della prestazione (che, dal punto di vista economico, potrebbe essere ragionevole separare).
3. DOVERI DEL COMMITTENTE
3.1. Il Committente si impegna a ottenere il consenso al trattamento dell’interessato per quanto riguarda i dati forniti al Contraente, nella misura in cui il trattamento non sia essenziale nell’ambito dell’esecuzione del contratto oppure non si basi su altri principi legali specificati nell’articolo 6 del GDPR.
3.2. In particolare, il Committente si impegna a elaborare i dati appartenenti a categorie speciali (dati relativi alla salute) nell’ambito delle informazioni del cliente esclusivamente con il preventivo ed espresso consenso dell’interessato. Il Contraente non si assume alcuna responsabilità per quanto riguarda i contenuti inseriti dal Committente nei campi di testo libero.
3.3. Il Committente si impegna a non trattare ulteriormente, riprodurre o pubblicare alcuna fotografia del cliente trasmessa da Eversports nel corso di una prenotazione senza il consenso dell’interessato.
3.4. Il Committente è il solo responsabile dell’esecuzione/dell’introduzione della cancellazione tempestiva dei dati.
3.5. Le decisioni inerenti a eventuali restrizioni, cancellazioni o rettifiche dei record di dati che formano l’oggetto del presente Accordo verranno prese esclusivamente dal Committente. Il Contraente, pertanto, agirà solo su espressa e documentata istruzione del Committente. Nel caso in cui gli interessati dovessero contattare direttamente il Contraente in merito, le richieste dovranno essere inoltrate al Committente.
3.6. Il Committente includerà nella mailing list della propria newsletter i clienti che hanno prenotato tramite la piattaforma Eversports (app, marketplace o widget) solo in seguito al loro espresso consenso. In questo contesto devono essere osservate in ogni caso le clausole della sezione 107 della Legge austriaca sulle telecomunicazioni (Telekommunikationsgesetz) o un’eventuale disposizione successiva.
4. DOVERI DEL CONTRAENTE
4.1. Il Contraente si impegna a elaborare i dati e i risultati esclusivamente entro i limiti delle istruzioni scritte del Committente. Nel caso in cui il Committente riceva un ordine ufficiale di cessione di dati del Committente, nella misura in cui ciò sia consentito dalla legge, dovrà darne informazione immediata al Committente e rinviare l’autorità in questione a quest’ultimo. Analogamente, il trattamento di dati per i propri scopi da parte del Contraente esige una richiesta scritta.
4.2. Il Contraente dichiara in modo legalmente vincolante che, prima dell’inizio del lavoro, tutte le persone incaricate del trattamento di dati sono state assoggettate all’obbligo di riservatezza oppure che tali persone sono soggette per legge a un ragionevole obbligo di riservatezza. In particolare, il dovere di riservatezza che vincola le persone cui viene affidato il trattamento di dati rimarrà in essere anche successivamente al termine del loro rapporto di lavoro con il Committente.
4.3. Il Committente dichiara in modo legalmente vincolante di aver adottato tutte le misure necessarie al fine di garantire la sicurezza del trattamento in conformità all’articolo 32 del GDPR (per i dettagli, vedere Programma 1).
4.4. Il Contraente adotterà le misure tecniche ed organizzative necessarie atte a consentire al Committente di soddisfare in ogni momento i diritti degli interessati di cui al Capitolo 3 del GDPR (informazioni, accesso, rettifica e cancellazione, portabilità dei dati, negazione del consenso e processi decisionali automatizzati in singoli casi) entro i limiti di tempo prescritti per legge e fornirà al Committente tutte le necessarie informazioni in merito. Qualora al Contraente venisse rivolta una richiesta di questo genere e la stessa rivelasse che il richiedente ritiene erroneamente che il Contraente e il Committente coincidano per quanto riguarda l’attività di trattamento svolta, il Contraente dovrà inoltrare immediatamente la richiesta al Committente e darne notifica al richiedente.
4.5. Il Contraente assisterà il Committente nell’adempimento degli obblighi esposti negli articoli 32-36 del GDPR (misure di protezione dei dati, notifica alle autorità di controllo di infrazioni relative ai dati personali, comunicazione all’interessato di infrazioni relative ai dati personali, valutazione dell’impatto della protezione dei dati, consultazione preliminare). Il Contraente sarà autorizzato ad addebitare al Committente eventuali costi aggiuntivi che dovessero generarsi in tal senso, laddove non siano già coperti dal contratto sottostante in essere.
4.6. Per quanto riguarda il trattamento dei dati trasferiti dal Committente, a quest’ultimo verrà concesso il diritto di ispezionare e verificare le strutture per il trattamento dei dati. Il Contraente si impegna a fornire su richiesta al Committente qualsiasi informazione che si renda necessaria allo scopo di verificare il rispetto degli obblighi esposti nel presente Accordo.
4.7. Dopo il termine del presente Accordo, il Contraente sarà tenuto ad anonimizzare tutti gli esiti del trattamento e i documenti contenenti dati personali. Al Contraente verrà espressamente consentito di continuare ad archiviare e analizzare tali dati in forma anonima.
4.8. Il Contraente dovrà informare immediatamente il Committente qualora ritenga che eventuali istruzioni del Committente violino la legge sulla protezione dei dati dell’Unione europea o degli Stati membri dell’UE.
4.9. Dopo l’importazione di dati da strumenti esterni e l’integrazione nel database di Eversports, il Contraente si impegna a cancellare i dati dai supporti di archiviazione locali.
5. SEDE DI ESECUZIONE DEL TRATTAMENTO DEI DATI
Le attività di trattamento di dati dovranno essere svolte almeno parzialmente anche al di fuori dell’UE/SEE, più precisamente in USA e Canada. Un livello ragionevole di protezione dei dati si basa su una decisione di adeguatezza da parte della Commissione europea in conformità ai termini dell’articolo 45 GDPR.
6. SUBCONTRAENTI
6.1. Il Contraente può ricorrere a subcontraenti.
Il Contraente deve ottenere dal subcontraente i consensi necessari ai sensi dell’articolo 28 (4) del GDPR. In questo contesto, è necessario assicurarsi che il subcontraente si assuma gli stessi obblighi che spettano al Contraente in conformità al presente Accordo. Nel caso in cui un subcontraente non ottemperi ai propri obblighi di protezione dei dati, il Contraente sarà ritenuto responsabile nei confronti del Committente della conformità agli obblighi del subcontraente.
6.2. Il Contraente è autorizzato a nominare come subcontraenti altre affiliate del gruppo, con il presente il Committente fornisce il proprio consenso al riguardo in via preventiva. Al momento, si tratta nello specifico di: …
7. RESPONSABILITÀ
7.1. In linea di principio ciascuna delle parti contraenti è responsabile in modo esclusivo e senza restrizioni di tutte le conseguenze negative di una violazione degli obblighi di protezione dei dati e/o della sfera di responsabilità prevista dalla legge e, in caso di azioni legali da parte di terzi, e manterrà indenne e manlevata l’altra parte.
7.2. Il dovere di indennizzo sopra menzionato in particolare dovrà includere, nella misura consentita dalla legge, anche le sanzioni pecuniarie inflitte dalle autorità alle contraenti per condotte attribuibili rispettivamente all’altra parte.
7.3. La responsabilità da parte del Contraente sarà limitata a due volte il valore annuale (commissione) di cui all’Accordo di Eversports Corporation e a casi di colpa grave o dolo. Sono esclusi i casi di responsabilità per colpa lieve e di responsabilità per danni conseguenti.
8. DISPOSIZIONI CONCLUSIVE
8.1. Nel caso in cui singole parti del presente Accordo dovessero essere o divenire inefficaci, ciò non inficerà la validità delle clausole rimanenti. Eventuali disposizioni inefficaci verranno sostituite da disposizioni ammesse/efficaci che si avvicinino il più possibile all’intento economico e alle finalità perseguiti dalle parti.
8.2. Fatti salvi accordi differenti stabiliti nel contratto sottostante, il presente accordo sarà governato esclusivamente dalle leggi austriache e dalle disposizioni della legge UE rilevanti in materia, in particolare il GDPR. Il foro competente è Vienna.
……..……….., data
A nome del Committente:
Vienna, data
A nome del Contraente:
……………………………………
[Nome e titolo]
……………………………………
[Nome e titolo]