Il presente Contratto di trattamento dei dati è stipulato tra EasyLMS B.V. ("Responsabile del trattamento") e i suoi clienti (il cliente è il "Titolare") per i quali tratta i dati personali in qualità di responsabile del trattamento;
Di seguito ciascuna "Parte" e collettivamente le "Parti";
Considerando che:
A. Il presente Contratto di trattamento dei dati costituisce parte integrante dei Termini e condizioni di Easy LMS ("Termini e condizioni") nonché dell'accordo tra il Responsabile del trattamento e il Titolare del trattamento, in relazione al sistema di gestione dell'apprendimento online offerto dal Responsabile del trattamento al Titolare del trattamento (il/i "Servizio/i");
B. Affinché il Controllore e i suoi partecipanti possano utilizzare i Servizi, il Responsabile del trattamento deve trattare i dati personali ("Dati personali") dei dipendenti del Controllore e/o di altri partecipanti (congiuntamente: "Soggetti interessati") che utilizzano i contenuti creati dal Controllore nei Servizi;
C. Le categorie di Dati personali e gli altri dettagli relativi al trattamento dei Dati personali sono descritti nell'Allegato 1 del presente Accordo sul trattamento dei dati;
D. Il Regolamento Generale sulla Protezione dei Dati (REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE), ("GDPR") è applicabile al trattamento dei Dati Personali;
E. Sulla base del GDPR, le Parti sono tenute a stipulare il presente Accordo sul trattamento dei dati.
1. Definizioni
1.1. Oltre ai termini in maiuscolo definiti sopra, i seguenti termini in maiuscolo avranno il seguente significato:
1.2. "DPA": un'Autorità competente per la protezione dei dati.
1.3. "SEE": lo Spazio Economico Europeo.
1.4. "Violazione dei dati personali": una violazione della sicurezza che comporta la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali.
1.5. "Trattamento": le azioni di trattamento effettuate con i Dati personali come definiti nel GDPR, tra cui, a titolo esemplificativo e non esaustivo, l'archiviazione, la visualizzazione, la suddivisione, la cancellazione, la modifica, l'inoltro.
1.6. "Scheda": una scheda del presente Contratto di elaborazione dati.
1.7. "Contratto di servizi": l'accordo sulla base del quale vengono forniti i Servizi, che può consistere nei Termini e condizioni e/o in un altro tipo di accordo.
1.8. "Subprocessore": una terza parte a cui il Processore subappalta il trattamento dei Dati personali, in tutto o in parte.
2. Obblighi generali
2.1. Per quanto riguarda i Dati Personali, il Processore adotta misure tecniche e organizzative adeguate per garantire la conformità al GDPR e la protezione dei diritti degli Interessati.
2.2. Il Titolare dichiara di rispettare il GDPR per quanto riguarda i Dati personali trattati dal Responsabile del trattamento. È responsabilità del Titolare del trattamento rispettare la legislazione applicabile in materia di dati personali in relazione ai Dati personali creati o caricati sul Servizio. Ciò include, a titolo esemplificativo e non esaustivo, l'esistenza di un fondamento giuridico per il Trattamento (ad esempio un valido consenso, se richiesto) dei Dati personali, l'informazione degli interessati sul Trattamento dei loro Dati personali e l'accertamento che gli interessati abbiano l'età legale per la presentazione dei loro Dati personali, se applicabile.
3. Trattamento esclusivamente su istruzioni del Titolare del trattamento
3.1. Lo scopo del trattamento da parte del Responsabile del trattamento è quello di consentire al Responsabile del trattamento di fornire i Servizi.
3.2. Il Responsabile del trattamento tratterà i Dati personali solo su istruzioni scritte del Titolare del trattamento, ossia le attività di trattamento indicate nell'Allegato 1, o su ragionevoli istruzioni altrimenti impartite dal Titolare del trattamento per iscritto (anche via e-mail). Il Responsabile del trattamento tratterà i Dati personali al di fuori delle istruzioni del Titolare solo se richiesto per adempiere a un obbligo di legge applicabile. In tal caso, si applica il successivo articolo 3.3.
3.3. Nel caso in cui il Responsabile del trattamento sia obbligato per legge, ai sensi della normativa europea, a divulgare i Dati personali, il Responsabile del trattamento dovrà darne tempestiva comunicazione al Titolare del trattamento e notificare l'obbligo di legge in questione, a meno che l'obbligo di legge non vieti al Responsabile del trattamento di effettuare tale notifica per importanti motivi di interesse pubblico. Se al Processore non è vietato informare il Titolare del trattamento, il Processore si asterrà dal divulgare i Dati personali fino a quando il Titolare del trattamento non avrà preso provvedimenti per ottenere un'ordinanza cautelare o un altro rimedio adeguato. In caso di mancato ottenimento di tale ordinanza cautelare, il Responsabile del trattamento fornirà solo i Dati personali che gli verranno comunicati per iscritto dal Titolare del trattamento o, in assenza di tale comunicazione tempestiva, fornirà i Dati personali che riterrà necessari in base ai requisiti di legge.
3.4. Il Responsabile del trattamento dovrà notificare al Titolare del trattamento se, a suo parere, un'istruzione impartita dal Titolare del trattamento viola il GDPR, nel qual caso il Responsabile del trattamento non sarà tenuto a rispettare l'istruzione.
4. Assistenza al controllore
4.1. Il Responsabile del trattamento fornirà l'assistenza ragionevolmente richiesta dal Titolare del trattamento per:
(i) tenendo conto della natura del Trattamento, assistere il Titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per l'adempimento degli obblighi del Titolare del trattamento di rispondere alle richieste degli Interessati per l'esercizio dei loro diritti, nella misura in cui il Responsabile del trattamento possa effettivamente farlo alla luce dei Servizi. Nel caso in cui il Processore riceva una richiesta da parte di un Interessato, la inoltrerà al Titolare del trattamento e quest'ultimo provvederà alla gestione della richiesta;
(ii) tenendo conto della natura del Trattamento e delle informazioni a disposizione del Responsabile, assistere il Titolare nell'adempimento degli obblighi del Titolare in materia di sicurezza, notifica delle violazioni dei dati personali (cfr. articolo 5.4), indagini da parte delle autorità di protezione dei dati, valutazioni d'impatto sulla protezione dei dati e consultazione preventiva, se necessario.
5. Misure di sicurezza e violazioni dei dati personali
5.1. Tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, del contesto e delle finalità del Trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Responsabile del Trattamento mette in atto misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio connesso al Trattamento.
5.2. Il Titolare garantisce che non chiederà ai Soggetti interessati di inviare al Servizio dati personali che sono considerati una categoria speciale o dati personali sensibili ai sensi delle leggi applicabili. Si tratta, ad esempio, di dati relativi alla salute, alle convinzioni religiose, alle opinioni politiche, alla razza, all'origine etnica, alle preferenze sessuali o al comportamento, all'appartenenza sindacale, ai precedenti penali, ai dati biometrici per l'identificazione, ai dati genetici. Le misure di sicurezza dei Servizi non sono adatte a questi tipi di Dati personali.
5.3. Il Responsabile del trattamento ha messo in atto misure tecniche e organizzative adeguate per garantire che i Dati personali siano accessibili solo alle persone che, all'interno della sua organizzazione, sono tenute ad accedervi ai fini della fornitura dei Servizi, ad esempio limitando il numero di persone con diritti di accesso.
5.4. Sul proprio sito web, il Responsabile del trattamento mette a disposizione informazioni sulle proprie misure di sicurezza. Inoltre, su richiesta del Titolare, il Responsabile del trattamento presenterà una panoramica delle misure di sicurezza in vigore al momento della richiesta. Il Titolare può presentare tale richiesta una volta per anno solare, a meno che non vi sia un motivo fondato per presentare la richiesta più frequentemente, ad esempio in caso di violazione dei dati personali.
5.5. L'Incaricato dovrà informare il Titolare del trattamento senza ritardi ingiustificati dopo essere venuto a conoscenza di una violazione dei dati personali. Tale notifica dovrà:
(i) contenere le informazioni disponibili in merito alla violazione dei dati personali, tra cui, a titolo esemplificativo, una descrizione della violazione dei dati personali, la causa della stessa, le categorie, la natura e la quantità (stimata) di dati personali e di soggetti interessati e la portata della violazione dei dati personali;
(ii) spiegare gli effetti della violazione dei dati personali sul Titolare del trattamento e sugli interessati;
(iii) illustrare le azioni correttive intraprese o da intraprendere da parte del Responsabile del trattamento, del Titolare del trattamento e/o degli interessati e i tempi di completamento di tali azioni.
5.6. Il Responsabile del trattamento fornirà la cooperazione ragionevolmente richiesta dal Titolare del trattamento e presenterà le informazioni in suo possesso in relazione alla notifica della violazione dei dati personali alla DPA e, se del caso, agli interessati.
5.7. Il Processore non può essere tenuto a notificare una violazione dei dati personali a nessuna DPA, né agli interessati, a meno che il Processore non accetti esplicitamente di farlo per iscritto in caso di una specifica violazione dei dati personali.
5.8. Per utilizzare i Servizi, il Controllore deve utilizzare i dati di login per accedere al proprio account. Il Titolare del trattamento deve mantenere tali dati di accesso sicuri e riservati, in quanto danno accesso ai Dati personali. È inoltre responsabilità del Titolare del trattamento assicurarsi che i Soggetti interessati che utilizzano i Servizi mantengano le proprie informazioni di accesso sicure e riservate, in quanto danno accesso ai propri Dati personali.
6. La riservatezza
6.1. Il Responsabile del trattamento terrà conto della riservatezza dei Dati personali.
6.2. In relazione a quanto sopra, il Processore:
(i) non divulgherà i Dati personali a terzi, a meno che ciò non sia esplicitamente consentito dal presente Accordo sul trattamento dei dati;
(ii) ha implementato misure tecniche e organizzative adeguate per garantire che qualsiasi persona che abbia accesso ai Dati personali sia informata e vincolata alla riservatezza.
7. Subappaltatori
7.1. Il Responsabile del trattamento si avvale di subprocessori che elaborano i dati personali. Su richiesta del Titolare del trattamento, il Processore comunicherà i nomi e le sedi dei subprocessori. Qualora il Processore intenda assumere un altro o ulteriori Subprocessori per il trattamento dei Dati personali, dovrà darne comunicazione al Titolare del trattamento in anticipo, indicando anche la data di inizio delle attività di trattamento del Subprocessore. Il Titolare può opporsi alla modifica o all'aggiunta entro sette (7) giorni lavorativi dalla notifica. Se l'elaborazione dei Dati personali non è influenzata negativamente da tale modifica o aggiunta, il Titolare non si opporrà ragionevolmente in modo che il Responsabile del trattamento possa continuare a offrire i Servizi. Nel caso in cui il Controllore si opponga tempestivamente e il Processore non sia in grado di modificare i Servizi per accogliere l'obiezione del Controllore entro quattordici (14) giorni da tale obiezione, il Controllore e/o il Processore potranno rescindere i Servizi e il Contratto di Servizi e il Processore dovrà rimborsare le tariffe eventualmente pagate in anticipo dal Controllore per il restante periodo di abbonamento durante il quale il Servizio viene interrotto. Alla data di inizio delle attività di trattamento del nuovo Subprocessore, l'Allegato 2 sarà aggiornato (o ritenuto aggiornato) con le informazioni notificate sul nuovo Subprocessore; se si tratta di un Subprocessore che tratta dati personali al di fuori del SEE, si applica anche l'articolo 8.
7.2. Il processore garantisce che i sottoprocessori:
(i) dichiarare di aver implementato misure tecniche e organizzative adeguate per garantire la conformità al GDPR e la protezione dei diritti degli Interessati;
(ii) si impegnano per iscritto a rispettare gli stessi obblighi previsti dal presente Accordo per il trattamento dei dati, che sono rilevanti in relazione alle attività di trattamento del Subprocessore.
7.3. A scanso di equivoci: se il Titolare del trattamento utilizza funzionalità attraverso i Servizi in cui viene stabilita una connessione con servizi offerti al Titolare del trattamento da terze parti, tali terze parti non sono Subprocessori del Titolare del trattamento; il Titolare del trattamento ha un rapporto giuridico diretto con tali terze parti. A titolo esemplificativo, queste terze parti possono essere piattaforme di social media, fornitori di posta elettronica e fornitori di servizi del Titolare del trattamento in cui il Titolare del trattamento ha un proprio account che riceve i dati utilizzando integrazioni nella piattaforma.
8. Esportazione dei dati (trasferimenti al di fuori del SEE)
8.1. Il Responsabile del trattamento trasferisce i Dati personali nel paese o nei paesi (se esistenti) elencati nell'Allegato 2.
8.2. Il Responsabile del trattamento si assicura che i paesi o le parti verso cui vengono trasferiti i dati personali offrano un livello di protezione adeguato. In mancanza di ciò, se è richiesta la collaborazione del Titolare del trattamento, il Titolare del trattamento si impegna a fornire la collaborazione richiesta dal Responsabile del trattamento per organizzare uno dei meccanismi di trasferimento previsti dal GDPR per il trasferimento verso tale paese privo di un livello di protezione adeguato, nel qual caso il Responsabile del trattamento e/o il Subprocessore, se necessario, attuano misure supplementari per salvaguardare i Dati personali.
9. Diritti di rendicontazione e di revisione
9.1. Il Responsabile del trattamento consentirà al Titolare del trattamento, nei termini e alle condizioni di cui al presente articolo, l'accesso alla propria amministrazione al fine di consentire al Titolare del trattamento di verificare il rispetto da parte del Responsabile del trattamento dei termini e delle condizioni del presente Contratto di trattamento dei dati. Il Responsabile del trattamento non consente al Titolare del trattamento di accedere ai dati personali di soggetti diversi dai Soggetti interessati;
9.2. Il Titolare del trattamento può nominare una terza parte per eseguire la verifica. In tal caso, il Titolare del trattamento si assicurerà che la terza parte sia tenuta a mantenere riservate le informazioni del Processore a cui la terza parte ha accesso in relazione all'audit e a non divulgarle a terzi.
9.3. Il Controllore non potrà avvalersi dei propri diritti di verifica ai sensi della presente clausola più di una volta per anno solare. Il Controllore informerà il Processore con almeno due settimane di anticipo rispetto all'audit per consentire al Processore di prepararsi.
9.4. Se l'audit dimostra che il Responsabile del trattamento non rispetta i propri obblighi ai sensi del presente Contratto di trattamento dei dati, il Responsabile del trattamento adotterà le misure ragionevolmente richieste dal Titolare del trattamento per conformarsi a tali obblighi.
10. Durata e risoluzione
10.1. Il presente Contratto di elaborazione dati avrà la stessa durata del Contratto di servizi. Il presente Contratto di elaborazione dati terminerà pertanto quando terminerà il Contratto di servizi.
10.2. Se l'Accordo sui servizi non prevede la risoluzione dello stesso - e quindi anche del presente Accordo sull'elaborazione dei dati - si applicano i seguenti motivi di risoluzione: ciascuna Parte ha il diritto di risolvere il presente Accordo sull'elaborazione dei dati per il futuro, senza obbligo di risarcimento, nel caso in cui:
(i) L'altra Parte richiede la protezione dalla bancarotta, o questa viene richiesta da una terza parte;
(ii) L'altra Parte chiede o ottiene la sospensione del pagamento;
(iii) L'altra Parte richiede una procedura di insolvenza o simile ai sensi della legge applicabile, o viene nominato un curatore fallimentare per essa;
(iv) L'altra Parte cessa di svolgere la propria attività.
10.3. Le Parti possono in qualsiasi momento decidere congiuntamente di risolvere il presente Contratto di elaborazione dati mediante accordo scritto.
11. Assistenza all'uscita
11.1. Il Responsabile tratterà i Dati Personali durante l'utilizzo dei Servizi da parte del Titolare.
11.2. Il Responsabile del trattamento deve assicurarsi di aver estratto e cancellato i Dati personali dal proprio account prima di porre fine all'Accordo sui servizi. Se il Responsabile del trattamento blocca l'account del Controllore a causa del mancato rispetto del Contratto di servizi, il Responsabile del trattamento, su richiesta del Controllore, da effettuarsi entro un periodo di dieci (10) giorni dal blocco dell'account, e previo pagamento di qualsiasi tariffa ancora dovuta ai sensi del Contratto di servizi, consegnerà al Controllore i Dati personali o, a discrezione del Responsabile del trattamento, consentirà al Controllore l'accesso al proprio account per un periodo di tre (3) giorni al solo fine di estrarre e cancellare i Dati personali. Nel caso in cui, al termine di tali periodi, il Responsabile del trattamento non abbia cancellato i Dati personali, il Processore si riserva il diritto di farlo unilateralmente e cancellerà i Dati personali dopo due (2) anni, a meno che il Processore non sia tenuto a conservare determinati Dati personali in base alle leggi vigenti. In quest'ultimo caso, il Responsabile del trattamento cancellerà i Dati personali dopo la scadenza del termine legale di conservazione;
12. Varie
12.1. Le disposizioni dell'Accordo sui servizi si applicano al trattamento dei dati personali e prevalgono per quanto riguarda le clausole che non riguardano la protezione dei dati, come la responsabilità. Se l'Accordo sui servizi contiene disposizioni sulla protezione dei dati, il presente Accordo sul trattamento dei dati prevale su tali disposizioni.
12.2. Nel caso in cui le attività del Processore in relazione al presente Contratto di elaborazione dati eccedano le normali attività del Processore per i Servizi, il Processore ha diritto a un compenso ragionevole basato sul regolare onorario del Processore in quel momento. Il Processore fornirà una specifica del compenso fatturato.
12.3. Il presente Contratto per l'elaborazione dei dati può essere emendato o modificato dal Responsabile del trattamento ai sensi delle disposizioni contenute nel Contratto per i servizi;
12.4. Se una qualsiasi disposizione del presente Contratto di elaborazione dati è ritenuta non valida o non applicabile da un tribunale della giurisdizione competente, tale decisione non pregiudicherà in alcun modo la validità o l'applicabilità di qualsiasi altra disposizione del presente Contratto e il presente Contratto di elaborazione dati sarà interpretato come se tale termine o disposizione non fosse inclusa nel Contratto.
12.5. Le considerazioni di cui al punto "considerando", così come gli Allegati, costituiscono parte integrante del presente Contratto di elaborazione dati.
13. Legge applicabile, risoluzione delle controversie
13.1. Il presente Contratto di elaborazione dati è disciplinato esclusivamente dalle leggi dei Paesi Bassi, ad esclusione delle leggi sul conflitto di interessi.
13.2. Per qualsiasi controversia che dovesse insorgere tra le Parti si applica la clausola di risoluzione delle controversie contenuta nell'Accordo sui servizi.
SCHEDA 1 - Informazioni relative al Trattamento
1. Descrizione dei Servizi e delle attività di trattamento:
Tipo di servizio: sistema di gestione dell'apprendimento online.
Attività di trattamento: archiviazione, accesso, modifica e cancellazione su richiesta del Titolare.
2. Categorie di dati personali:
Il Titolare del trattamento può scegliere i tipi di Dati Personali che vengono richiesti agli Interessati, come ad esempio:
o città
paese
identificativo del dipendente
risposte del soggetto alle domande a testo libero
risposte del soggetto alle domande a tendina
Gli Interessati possono inoltre creare Dati Personali a seguito dell'accesso e dell'utilizzo dei contenuti creati dal Titolare nel sistema Easy LMS, come ad esempio:
Il Titolare del trattamento non deve chiedere agli Interessati di fornire categorie particolari di Dati Personali, o di caricare tali Dati Personali, che riguardano: dati relativi alla salute, alle convinzioni religiose, alle opinioni politiche, alla razza, all'origine etnica, alle preferenze sessuali o al comportamento, all'appartenenza sindacale, ai precedenti penali, ai dati biometrici per l'identificazione, ai dati genetici.
SCHEDA 2 - Subprocessori
I Dati Personali sono trasferiti ai seguenti sub-responsabili
Sottoprocessore 1
Amazon Web Services (AWS)
Servizi di hosting e di posta elettronica
Sede in Germania
Sottoprocessore 2
Interfono
Chat di supporto
Sede in Irlanda
Sottoprocessore 3
MailerSend
Servizi di backup e-mail
Sede in Belgio
Sottoprocessore 4
Verifalia
Verifica e-mail
Sede nei Paesi Bassi
Il presente Allegato si considera aggiornato dopo la notifica delle modifiche di cui all'articolo 7.1.