Accordo sul trattamento dei dati personali
Il presente Accordo sul trattamento dei dati è concluso tra EasyLMS B.V. ("Responsabile del trattamento") e i suoi clienti (il cliente è il "Titolare del trattamento") per i quali elabora i dati personali in qualità di responsabile del trattamento;
Di seguito ciascuna una "Parte" e collettivamente le "Parti";
Considerando quanto segue:
A. Il presente Accordo sul trattamento dei dati costituisce parte integrante dei Termini e condizioni di Easy LMS ("Termini e condizioni"), nonché dell'accordo tra il Responsabile del trattamento e il Titolare del trattamento, in relazione al sistema di gestione dell'apprendimento online offerto dal Responsabile del trattamento al Titolare del trattamento (il/i "Servizio/i");
B. Affinché il Titolare del trattamento e i suoi partecipanti possano utilizzare i Servizi, il Responsabile del trattamento deve elaborare i dati personali ("Dati personali") dei dipendenti del Titolare del trattamento e/o di altri partecipanti (congiuntamente: "Interessati") che utilizzano i contenuti creati dal Titolare del trattamento nei Servizi;
C. Le categorie di Dati personali e gli altri dettagli relativi al trattamento dei Dati personali sono descritti nell'Allegato 1 del presente Accordo sul trattamento dei dati;
D. Il Regolamento generale sulla protezione dei dati (REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO DEL 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE) ("GDPR") è applicabile al trattamento dei Dati personali;
E. Sulla base del GDPR, le Parti sono tenute a concludere il presente Accordo sul trattamento dei dati.
1. Definizioni
1.1. Oltre ai termini in maiuscolo sopra definiti, i seguenti termini in maiuscolo avranno i seguenti significati:
1.2. "DPA": un'autorità competente per la protezione dei dati.
1.3. "SEE": lo Spazio economico europeo.
1.4. "Violazione dei Dati Personali": una violazione della sicurezza che comporta la distruzione, la perdita, l'alterazione accidentale o illecita, la divulgazione non autorizzata o l'accesso ai Dati Personali.
1.5. "Trattamento": le azioni di trattamento effettuate con i Dati Personali come definiti nel GDPR, tra cui, a titolo esemplificativo ma non esaustivo, la memorizzazione, la visualizzazione, la suddivisione in porzioni, la cancellazione, l'alterazione, l'inoltro.
1.6. "Allegato": un allegato al presente Accordo sul trattamento dei dati.
1.7. "Accordo sui Servizi": l'accordo sulla base del quale vengono forniti i Servizi, che può consistere nei Termini e Condizioni e/o in un altro tipo di accordo.
1.8. "Sub-responsabile del trattamento": una terza parte a cui il Responsabile del trattamento subappalta il Trattamento dei Dati personali, in tutto o in parte.
2. Obblighi generali
2.1. Per quanto riguarda i Dati Personali, il Responsabile adotta misure tecniche e organizzative adeguate per garantire il rispetto del GDPR e la protezione dei diritti degli Interessati.
2.2. Il Titolare dichiara di essere conforme al GDPR per quanto riguarda i Dati Personali trattati dal Responsabile. È responsabilità del Titolare rispettare la legislazione applicabile in materia di dati personali per quanto riguarda i Dati personali creati o caricati sul Servizio. Ciò include, a titolo esemplificativo ma non esaustivo, avere una base legale per il Trattamento (ad esempio un consenso valido se richiesto) dei Dati Personali, informare gli Interessati sul Trattamento dei loro Dati Personali e assicurarsi che gli Interessati abbiano l'età legale per l'invio dei loro Dati Personali, se applicabile.
3. Trattamento esclusivamente su istruzioni del Titolare
3.1. Lo scopo del Trattamento da parte del Responsabile del trattamento è quello di consentire al Responsabile del trattamento di fornire i Servizi.
3.2. Il Responsabile del trattamento tratterà i Dati personali solo su istruzioni scritte del Titolare del trattamento, che sono le attività di trattamento di cui all'Allegato 1, o quelle ragionevoli istruzioni altrimenti fornite dal Titolare del trattamento per iscritto (che possono includere via e-mail). Il Responsabile del trattamento tratterà i Dati personali al di fuori delle istruzioni del Titolare del trattamento solo se richiesto per adempiere a un obbligo legale applicabile. In questo caso si applica l'articolo 3.3 che segue.
3.3. Nel caso in cui il Responsabile del trattamento sia legalmente obbligato ai sensi del diritto europeo a divulgare uno qualsiasi dei Dati personali, il Responsabile del trattamento dovrà fornire tempestiva comunicazione al Titolare del trattamento e notificare il relativo requisito legale, a meno che il requisito legale non proibisca al Responsabile del trattamento tale notifica per importanti motivi di interesse pubblico. Se al Responsabile del trattamento non è vietato notificare il Titolare del trattamento, il Responsabile del trattamento si asterrà dal divulgare qualsiasi Dato personale fino a quando il Titolare del trattamento non avrà adottato misure per ottenere un ordine di protezione o altro rimedio appropriato. Se tale ordine di protezione non viene ottenuto, il Responsabile del trattamento dovrà fornire solo i Dati personali che ritiene siano richiesti mediante tempestiva comunicazione scritta del Titolare del trattamento o, in assenza di tale tempestiva comunicazione, il Responsabile del trattamento fornirà i Dati personali che ritiene necessari ai sensi del requisito legale.
3.4. Il Responsabile del trattamento dovrà notificare al Titolare del trattamento se, a suo parere, un'istruzione fornita dal Titolare del trattamento viola il GDPR, nel qual caso il Responsabile del trattamento non dovrà rispettare le istruzioni.
4. Assistenza al Titolare del trattamento
4.1. Il Responsabile del trattamento dovrà fornire l'assistenza ragionevolmente richiesta dal Titolare del trattamento per:
(i) tenendo conto della natura del Trattamento, assistere il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per l'adempimento degli obblighi del Titolare di rispondere alle richieste degli Interessati per l'esercizio dei loro diritti, nella misura in cui il Responsabile possa farlo di fatto alla luce dei Servizi. Nel caso in cui il Responsabile del trattamento riceva una richiesta da un Interessato, inoltrerà tale richiesta al Titolare del trattamento e il Titolare del trattamento gestirà ulteriormente la richiesta;
(ii) tenendo conto della natura del Trattamento e delle informazioni a disposizione del Responsabile del trattamento, assistere il Titolare del trattamento nell'adempimento degli obblighi del Titolare in materia di sicurezza, notificando le Violazioni dei dati personali (si veda l'articolo 5.4), le indagini da parte delle Autorità di protezione dei dati, le valutazioni d'impatto sulla protezione dei dati e la consultazione preventiva, se necessario.
5. Misure di sicurezza e Violazioni dei Dati Personali
Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Responsabile del trattamento mette in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adatto al rischio.
5.2. Il Titolare assicura e garantisce che non chiederà agli Interessati di inviare al Servizio dei Dati Personali che sono considerati una categoria speciale o dati personali sensibili ai sensi delle leggi applicabili. Ciò riguarda ad esempio: dati relativi alla salute, alle convinzioni religiose, alle opinioni politiche, alla razza, all'origine etnica, alle preferenze o ai comportamenti sessuali, all'appartenenza sindacale, ai precedenti penali, ai dati biometrici a fini identificativi, ai dati genetici. Le misure di sicurezza dei Servizi non sono adatte a questi tipi di Dati Personali.
5.3. Il Responsabile del trattamento ha implementato misure tecniche e organizzative appropriate per garantire che i Dati personali siano accessibili solo alle persone all'interno della sua organizzazione che sono tenute ad accedervi allo scopo di fornire i Servizi, ad esempio limitando il numero di persone con diritti di accesso.
5.4. Sul proprio sito web, il Responsabile del trattamento rende disponibili le informazioni sulle proprie misure di sicurezza. Inoltre, su richiesta del Titolare, il Responsabile presenterà una panoramica delle misure di sicurezza in atto al momento della richiesta. Il Titolare del trattamento può presentare tale richiesta una volta ogni anno solare, a meno che non vi sia un motivo fondato per presentare la richiesta più frequentemente, ad esempio in caso di Violazione dei Dati Personali.
5.5. Il Responsabile del trattamento deve informare il Titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della Violazione dei Dati personali. Tale comunicazione dovrà:
(i) contenere le informazioni disponibili in merito alla Violazione dei Dati Personali, inclusa, a titolo esemplificativo ma non esaustivo, una descrizione della Violazione dei Dati Personali, la causa della stessa; le categorie, la natura e la quantità (stimata) dei Dati Personali e degli Interessati coinvolti e l'ambito di applicazione della Violazione dei Dati Personali;
(ii) spiegare l'effetto della Violazione dei Dati Personali sul Titolare del trattamento e sugli Interessati coinvolti;
(iii) spiegare le azioni correttive intraprese o da intraprendere da parte del Responsabile del trattamento, del Titolare del trattamento e/o degli Interessati e la tempistica per il completamento di tali azioni.
5.6. Il Responsabile del trattamento fornirà la cooperazione ragionevolmente richiesta dal Titolare del trattamento e presenterà le informazioni sotto il suo controllo, in relazione alla notifica della Violazione dei Dati Personali al DPA e, ove applicabile, agli Interessati.
5.7. Il Responsabile del trattamento non può essere tenuto a notificare una Violazione dei Dati Personali a qualsiasi DPA, né agli Interessati, a meno che il Responsabile del trattamento non accetti esplicitamente di farlo per iscritto in caso di una specifica Violazione dei Dati Personali.
5.8. Per utilizzare i Servizi, il Titolare deve utilizzare i dati di accesso per accedere al proprio account. Il Titolare deve mantenere questi dati di accesso sicuri e riservati, in quanto danno accesso ai Dati Personali. È inoltre responsabilità del Titolare assicurarsi che gli Interessati che utilizzano i Servizi mantengano le proprie informazioni di accesso sicure e riservate in quanto danno accesso ai propri Dati Personali.
6. Riservatezza
6.1. Il Responsabile del trattamento terrà conto della riservatezza in relazione ai Dati personali.
6.2. In relazione a quanto sopra, il Responsabile del trattamento:
(i) non divulgherà i Dati personali a terzi, a meno che ciò non sia esplicitamente consentito nel presente Accordo sul trattamento dei dati;
(ii) ha implementato misure tecniche e organizzative adeguate per garantire che qualsiasi persona che abbia accesso ai Dati personali sia informata e vincolata alla riservatezza.
7. Subappaltatori
7.1. Il Responsabile del trattamento utilizza Sub-responsabili del trattamento che trattano i Dati personali. Su richiesta del Titolare, il Responsabile invierà i nomi e le sedi dei Sub-responsabili. Se il Responsabile del trattamento intende assumere un altro o un ulteriore Sub-responsabile del trattamento per trattare i Dati personali, ne informerà in anticipo il Titolare del trattamento, inclusa la data di inizio delle attività di trattamento del Sub-responsabile del trattamento. Il Titolare del trattamento può opporsi alla modifica o all'aggiunta entro sette (7) giorni lavorativi dalla notifica. Se il Trattamento dei Dati Personali non è influenzato negativamente da tale modifica o aggiunta, il Titolare del trattamento non si opporrà ragionevolmente in modo che il Responsabile del trattamento possa continuare a offrire i Servizi. Nel caso in cui il Titolare del trattamento si opponga tempestivamente e il Responsabile del trattamento non possa modificare i Servizi per accogliere l'obiezione del Titolare del trattamento entro quattordici (14) giorni da tale obiezione, il Titolare del trattamento e/o il Responsabile del trattamento possono risolvere i Servizi e l'Accordo sui servizi e il Responsabile del trattamento rimborserà quelle commissioni che il Titolare del trattamento ha pagato in anticipo, se in caso, per il periodo di abbonamento rimanente durante il quale il Servizio viene interrotto. Per la data di inizio delle attività di Trattamento del nuovo Sub-responsabile, l'Allegato 2 sarà aggiornato (o ritenuto aggiornato) con le informazioni notificate sul nuovo Sub-responsabile; se si tratta di un Sub-responsabile del Trattamento dei Dati Personali al di fuori del SEE, si applica anche l'articolo 8.
7.2. Il Responsabile del trattamento garantisce che i Sub-responsabili del trattamento:
(i) dichiarano di aver messo in atto misure tecniche e organizzative idonee a garantire il rispetto del GDPR e la tutela dei diritti degli Interessati;
(ii) sono tenuti per iscritto a rispettare gli stessi obblighi stabiliti nel presente Accordo sul trattamento dei dati, che sono rilevanti in relazione alle attività di trattamento del Sub-responsabile.
7.3. A scanso di equivoci: se il Titolare utilizza funzionalità attraverso i Servizi in cui viene effettuata una connessione con servizi offerti al Titolare da terzi, tali terzi non sono i Sub-responsabili del Responsabile; il Titolare ha un rapporto giuridico diretto con tali terzi. A titolo esemplificativo, tali terze parti possono essere piattaforme di social media, provider di posta elettronica e provider di servizi del Titolare laddove il Titolare abbia un proprio account che riceva dati utilizzando integrazioni nella piattaforma.
8. Esportazione dei dati (trasferimenti al di fuori del SEE)
8.1. Il Responsabile del trattamento trasferisce i Dati personali (se lo fa) nel paese o nei paesi elencati nell'Allegato 2.
8.2. Il Responsabile del trattamento garantisce che i paesi o le parti a cui vengono trasferiti i Dati personali offrano un livello adeguato di protezione. In assenza di ciò, se è richiesta la cooperazione del Titolare, il Titolare si impegna a fornire la cooperazione richiesta dal Responsabile per organizzare uno dei meccanismi di trasferimento stabiliti nel GDPR per il trasferimento in tale paese senza un adeguato livello di protezione, nel qual caso il Responsabile e/o il Sub-responsabile, se necessario, implementano misure supplementari per salvaguardare i Dati Personali.
9. Reporting, diritti di audit
9.1. Il Responsabile del trattamento consentirà al Titolare del trattamento, secondo i termini e le condizioni di cui al presente articolo, l'accesso alla propria amministrazione in modo che il Titolare del trattamento possa verificare il rispetto da parte del Responsabile del trattamento dei termini e delle condizioni del presente Accordo sul trattamento dei dati. Il Responsabile del trattamento non consente al Titolare del trattamento l'accesso ai dati personali di interessati diversi dagli Interessati.
9.2. Il Titolare del trattamento può nominare una terza parte per eseguire l'audit. In tal caso, il Titolare del trattamento garantirà che la terza parte sia tenuta a mantenere riservate le informazioni del Responsabile del trattamento a cui la terza parte ha accesso in relazione all'audit e a non divulgarle a terzi.
9.3. Il Titolare del trattamento non può avvalersi dei propri diritti di revisione ai sensi della presente clausola più di una volta per anno civile. Il Titolare del trattamento informerà il Responsabile del trattamento almeno due settimane prima dell'audit per consentire al Responsabile del trattamento di prepararsi.
9.4. Se l'audit dimostra che il Responsabile del trattamento non rispetta i propri obblighi ai sensi del presente Accordo sul trattamento dei dati, il Responsabile del trattamento adotterà le misure ragionevolmente richieste dal Titolare del trattamento per rispettare tali obblighi.
10. Durata e risoluzione
10.1. Il presente Accordo sul trattamento dei dati avrà la stessa durata dell'Accordo sui servizi. Il presente Accordo sul trattamento dei dati terminerà pertanto al momento della risoluzione dell'Accordo sui servizi.
10.2. Se l'Accordo sui servizi non prevede la risoluzione dello stesso – e quindi successivamente del presente Accordo sul trattamento dei Dati – si applicano i seguenti motivi di risoluzione: ciascuna Parte ha il diritto di risolvere il presente Contratto di Trattamento dei Dati per il futuro, senza obbligo di risarcimento danni, nel caso in cui:
(i) L'altra Parte richiede la protezione fallimentare, o questa è richiesta da una terza parte;
(ii) L'altra Parte richiede o ottiene la sospensione del pagamento;
(iii) L'altra Parte richiede procedure di insolvenza o simili ai sensi della legge applicabile, o viene nominato un curatore fallimentare;
(iv) L'altra Parte cessa di svolgere la propria attività.
10.3. Le Parti possono in qualsiasi momento decidere congiuntamente di risolvere il presente Accordo sul trattamento dei dati mediante accordo scritto.
11. Assistenza in uscita
11.1. Il Responsabile del trattamento tratterà i Dati personali durante l'utilizzo dei Servizi da parte del Titolare del trattamento.
11.2. Il Titolare del trattamento deve assicurarsi di aver estratto e cancellato i Dati personali dal proprio account prima di terminare l'Accordo sui servizi. Se il Responsabile del trattamento blocca l'account del Titolare del trattamento a causa del mancato rispetto dell'Accordo sui servizi, il Responsabile del trattamento, su richiesta del Titolare del trattamento, che deve essere effettuata entro un periodo di dieci (10) giorni dopo il blocco dell'account e al pagamento di eventuali commissioni ancora dovute ai sensi dell'Accordo sui servizi, consegnerà al Titolare del trattamento i Dati personali o, a discrezione del Responsabile del trattamento, consentirà al Titolare del trattamento l'accesso al proprio account durante un periodo di tre (3) giorni esclusivamente per estrarre ed eliminare i Dati personali. Se, dopo questi periodi, il Titolare del trattamento non ha cancellato i Dati personali, il Responsabile del trattamento si riserva il diritto di farlo unilateralmente e cancellerà i Dati personali dopo due (2) anni, a meno che il Responsabile del trattamento non sia tenuto dalle leggi applicabili a conservare determinati Dati personali. In quest'ultimo caso, il Responsabile del trattamento cancellerà i Dati personali dopo la scadenza del termine di conservazione legale.
12. Altro
12.1. Le disposizioni dell'Accordo sui Servizi si applicano al Trattamento dei Dati Personali e prevarranno per quanto riguarda le clausole che non concernono la protezione dei dati, come la responsabilità. Se l'Accordo sui servizi contiene disposizioni sulla protezione dei dati, il presente Accordo sul trattamento dei dati prevale su tali disposizioni.
12.2. Nel caso in cui le attività del Responsabile del trattamento in relazione al presente Accordo sul trattamento dei dati superino le normali attività del Responsabile del trattamento per i Servizi, il Responsabile ha diritto a un compenso ragionevole basato sul compenso regolare del Responsabile in quel momento. Il Responsabile fornirà una specifica del compenso fatturato.
12.3. Il presente Accordo sul trattamento dei dati può essere modificato o emendato dal Responsabile del trattamento ai sensi delle disposizioni dell'Accordo sui servizi.
12.4. Se una qualsiasi disposizione del presente Accordo sul trattamento dei dati è ritenuta non valida o inapplicabile da un tribunale della giurisdizione competente, tale decisione non pregiudica in alcun modo la validità o l'applicabilità di qualsiasi altra disposizione del presente documento e il presente Accordo sul trattamento dei dati deve essere interpretato come se tale termine o disposizione non fosse incluso in esso.
12.5. Le considerazioni di cui al punto "considerato quanto segue", nonché gli Allegati costituiscono parte integrante del presente Accordo sul trattamento dei dati.
13. Legislazione applicabile e risoluzione delle controversie
13.1. Il presente Accordo sul trattamento dei dati è regolato esclusivamente dalle leggi dei Paesi Bassi, escluse le leggi sui conflitti.
13.2. La clausola di risoluzione delle controversie nell'Accordo sui servizi si applica per qualsiasi controversia insorta tra le Parti.
ALLEGATO 1 – Informazioni relative al Trattamento
1. Descrizione dei Servizi e delle attività di Trattamento:
Tipo di Servizio: sistema di gestione dell'apprendimento online.
Attività di trattamento: conservazione, accesso, emendamento e cancellazione su richiesta del Titolare.
2. Categorie di Dati personali
Il Titolare può scegliere le tipologie di Dati Personali che vengono richiesti agli Interessati, quali:
- nome
- numero di telefono
- ruolo
- genere
- data di nascita
- via
- cap
- città o comune
- Paese
- ID del dipendente
- Risposte dell'Interessato a domande a testo libero
- Risposte dell'Interessato a domande a tendina
Gli Interessati possono inoltre creare essi stessi Dati Personali a seguito dell'accesso e dell'utilizzo dei contenuti creati dal Titolare nel sistema Easy LMS, quali:
- risultati dei test
- risultati degli esami
- commenti aggiunti al sistema
- documenti di certificazione
Il Titolare non deve chiedere agli Interessati di inviare categorie particolari di Dati Personali, o di caricare tali Dati Personali, che riguardano: dati relativi alla salute, alle convinzioni religiose, alle opinioni politiche, alla razza, al background etnico, alle preferenze o ai comportamenti sessuali, all'appartenenza sindacale, al casellario giudiziale, dati biometrici a fini identificativi, dati genetici.
ALLEGATO 2 – Sub-responsabili del trattamento
I Dati Personali sono trasferiti ai seguenti sub-responsabili:
|
Sub-responsabili |
|
|
|
|
Sub-responsabile |
Paese |
Paese al di fuori del SEE senza un adeguato livello di protezione?: |
Meccanismo di trasferimento/garanzie appropriate: |
|
Amazon Web Services (AWS) (servizi di hosting ed e-mail) |
Germania |
No, paese SEE |
Non applicabile |
|
Intercom (chat di supporto) |
Irlanda |
No, paese SEE |
Non applicabile |
Il presente Allegato si considera aggiornato dopo la notifica delle modifiche di cui all'articolo 7.1.