CiviCRM Spark Accordo sul trattamento dei dati
Il presente Accordo sul trattamento dei dati (di seguito “Contratto” o “DPA”) fa parte dei termini e condizioni (di seguito anche “Accordo principale”) in base ai quali CiviCRM LLC (di seguito la “Società”) ha accettato di fornire CiviCRM Spark e i servizi correlati al Cliente. Accettando l’Accordo, si stipula un DPA per conto del cliente e della sua organizzazione, ove applicabile. Questi termini scadono automaticamente e rimangono in vigore fino a quando la Società elimina tutti i Dati personalizzati come descritto nei termini del Contratto.
Per una copia firmata del presente Accordo, stampare in PDF questa pagina e inviarne una copia firmata a spark@civicrm.org.
CONSIDERATO CHE
- (A) La Società agisce in qualità di Responsabile del trattamento.
- (B) Il Cliente agisce in qualità di Titolare del trattamento.
- (C) Le Parti desiderano subappaltare alcuni Servizi, che implicano il trattamento dei dati personali.
-
(D) Le parti cercano di attuare un accordo sul trattamento dei dati conforme ai requisiti dell’attuale quadro giuridico in relazione al trattamento dei dati, e al regolamento (UE) 2016/679 del Parlamento e del Consiglio Europei, del 27 aprile 2016, sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
- (E) Le Parti desiderano stabilire i propri diritti e obblighi.
LE PARTI CONCORDANO QUANTO SEGUE:
- 1. Definizioni e Interpretazione
- 1.1 Salvo diversamente esplicitato nel presente documento, i termini e le espressioni in maiuscolo utilizzati nel presente Accordo avranno il seguente significato:
- 1.1.1 “Contratto” indica il presente Accordo sul trattamento dei dati e tutti gli Allegati;
- 1.1.2 “Dati personali della Società” indica qualsiasi Dato Personale elaborato da un Responsabile dei dati a contratto per conto della Società, ai sensi o in merito all’accordo principale;
- 1.1.3 “Responsabile del trattamento dei dati a contratto” indica un Sub-responsabile del trattamento;
- 1.1.4 “Leggi sulla Protezione dei Dati” indica le leggi dell’UE sulla protezione dei dati e, nella misura applicabile, le leggi sulla protezione dei dati o sulla privacy di qualsiasi altro paese;
- 1.1.5 “SEE” indica lo Spazio Economico Europeo;
- 1.1.6 “Leggi UE sulla protezione dei dati” indica la Direttiva UE 95/46/CE, come recepita nella legislazione nazionale di ciascuno Stato membro e come di volta in volta modificata, sostituita o superata, anche dal GDPR e dalle leggi di attuazione o integrazione del GDPR;
- 1.1.7 “GDPR” indica il Regolamento Generale UE sulla Protezione dei Dati 2016/679;
- 1.1.8 “Trasferimento dei dati” significa:
- 1.1.8.1 un trasferimento di Dati Personali della Società dalla Società a un Responsabile del trattamento dei dati a contratto;
- 1.1.8.2 un successivo trasferimento dei Dati personali della Società da un Responsabile del trattamento dei dati a contratto a un Responsabile del trattamento dei dati subappaltato, o tra due sedi di un Responsabile del trattamento dei dati a contratto, in ogni caso in cui tale trasferimento fosse vietato dalle Leggi sulla Protezione dei Dati (o dai termini di accordi di trasferimento dei dati messi in atto per affrontare le restrizioni al trasferimento dei dati delle Leggi sulla Protezione dei Dati);
- 1.1.9 “Servizi” o “Servizi in abbonamento” indica i servizi CiviCRM Spark forniti dalla Società.
- 1.1.10 “Sub-responsabile del trattamento” indica qualsiasi persona nominata da o per conto del Responsabile del trattamento dei dati personali per conto della Società in relazione all’Accordo.
- 1.2 I termini “Commissione”, “Titolare”, “Interessato”, “Stato Membro”, “Dati Personali”, “Violazione dei Dati Personali”, “Trattamento” e “Autorità di controllo” avranno lo stesso significato del GDPR , e i loro termini affini devono essere interpretati di conseguenza.
- 2. Responsabilità del trattamento dei Dati Personali della Società
- 2.1 Le parti devono:
- 2.1.1 Rispettare tutte le leggi sulla protezione dei dati applicabili nel trattamento dei dati personali.
- 2.1.2 La Società istruisce il Responsabile del trattamento dei Dati Personali nell’ambito dello scopo del software.
- 2.2. Considerato che tutti i Dati Personali conservati dal Responsabile del Trattamento sono forniti dal Cliente:
- 2.2.1 Nell’ambito dell’Accordo e nell’utilizzo dei servizi, il Cliente sarà responsabile del rispetto di tutti i requisiti ad esso applicabili ai sensi delle Leggi sulla Protezione dei Dati, sia in relazione al trattamento dei dati personali che alle istruzioni che impartisce all’azienda.
- 2.2.2 In particolare, ma fermo restando la generalità di quanto precede, il Cliente riconosce e accetta di essere l’unico responsabile: (i) dell’esattezza, qualità e liceità dei Dati del Cliente e delle modalità attraverso le quali i Dati Personali vengono acquisiti; (ii) ottemperare a tutti i necessari requisiti di trasparenza e liceità ai sensi delle Leggi sulla protezione dei dati applicabili per la raccolta e l’utilizzo dei Dati Personali, compreso l’ottenimento degli eventuali consensi e autorizzazioni necessari (in particolare per l’utilizzo da parte del Cliente per finalità di marketing); (iii) garantire di avere il diritto di trasferire o fornire l’accesso ai Dati Personali alla Società per il Trattamento in conformità con i termini dell’Accordo (incluso il presente DPA); (iv) garantire che le Istruzioni fornite alla Società in merito al Trattamento dei Dati Personali siano conformi alle leggi applicabili, comprese le Leggi sulla Protezione dei Dati; e (v) rispettare tutte le leggi (incluse le Leggi sulla Protezione dei Dati) applicabili a qualsiasi e-mail o altro contenuto creato, inviato o gestito tramite i Servizi in abbonamento, comprese quelle relative all’ottenimento dei consensi (ove richiesto) per l’invio di e-mail, il contenuto delle e-mail e le sue pratiche di distribuzione della posta elettronica. Il Cliente informerà la Società senza indebito ritardo se non è in grado di adempiere alle proprie responsabilità.
- 3. Personale incaricato del trattamento
- 3.1 Il Responsabile del Trattamento adotterà misure ragionevoli per garantire l’affidabilità di qualsiasi dipendente, agente o appaltatore di qualsiasi Responsabile del Trattamento a contratto che potrebbe avere accesso ai Dati personali della Società, assicurando in ogni caso che l’accesso sia strettamente limitato a quei soggetti che hanno bisogno di conoscere/accedere a rilevanti Dati Personali della Società, nella misura strettamente necessaria ai fini dell’Accordo Principale, e per ottemperare alle Leggi Applicabili nel contesto dei doveri di tale individuo nei confronti del Responsabile del Trattamento a contratto, assicurando che tutti questi soggetti siano sottoscrittori di impegni di riservatezza o di obblighi professionali o statutari di riservatezza.
- 4. Sicurezza
- 4.1 Tenendo conto delle best practice, dei costi di attuazione e della natura, ambito, contesto e finalità del Trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Responsabile dovrà, in relazione ai dati personali della Società, implementare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato a tale rischio, comprese, se del caso, le misure di cui all’articolo 32, paragrafo 1, del GDPR.
- 4.2 Nel valutare l’adeguato livello di sicurezza, il Responsabile terrà conto in particolare dei rischi presentati dal Trattamento, in particolare da una Violazione dei Dati Personali.
- 5. Subcontratto
-
5.1 Consenso all’incarico del Sub-responsabile del Trattamento. Sebbene la Società limiti il più possibile l’uso dei Sub-responsabili, il Cliente autorizza specificamente il coinvolgimento dei Sub-responsabili del trattamento dei Dati Personali per loro conto. I sub-responsabili sono generalmente limitati all’elaborazione dei pagamenti, all’invio di e-mail o ad altre funzionalità direttamente rilevanti per CiviCRM stesso. La Società ha attualmente nominato, quali Sub-responsabili del trattamento, i soggetti terzi elencati nell’Allegato 1 al presente DPA. La Società notificherà al Cliente se un Sub-responsabile viene aggiunto o sostituito, almeno 30 giorni prima di tali modifiche, se il Cliente accetta di ricevere tali e-mail prima di tali modifiche. Clicca qui per aderire.
- 5.2 Laddove la Società incarichi Sub-responsabili del trattamento, i termini di protezione dei dati a carico dei Sub-responsabili del trattamento forniranno almeno lo stesso livello di protezione dei Dati personali di quelli nel presente DPA (comprese, se del caso, le clausole contrattuali standard), nella misura applicabile alla natura dei servizi forniti da tali Sub-responsabili. La Società rimane responsabile della conformità dei Sub-responsabili.
- 5.3 Il Cliente è responsabile per qualsiasi altro Sub-responsabile con cui il Cliente stesso interagisce.
- 6. Richieste dell’Interessato
- 6.1 Il Servizio in abbonamento fornisce una serie di controlli che è possibile utilizzare per recuperare, correggere, eliminare o limitare i Dati personali che il Cliente può utilizzare per l’assistenza in relazione ai propri obblighi ai sensi delle Leggi sulla Protezione dei Dati, inclusi gli obblighi relativi alla risposta a richieste da parte degli Interessati di esercitare i propri diritti ai sensi delle Leggi applicabili in materia di protezione dei dati (“Richieste dell’Interessato”).
- 6.2 Nella misura in cui il Cliente non sia in grado di indirizzare autonomamente una Richiesta dell’Interessato tramite il Servizio in abbonamento, su richiesta scritta, la Società fornirà un’assistenza ragionevole per aiutare il Cliente a rispondere a eventuali Richieste dell’Interessato o a richieste delle autorità di protezione dei dati relative al Trattamento dei Dati Personali ai sensi dell’Accordo. Il Cliente rimborserà alla Società i costi derivanti da tale assistenza a una tariffa commercialmente ragionevole.
- 6.3 Se una Richiesta dell’Interessato o altra comunicazione relativa al Trattamento dei Dati Personali ai sensi del Contratto viene effettuata direttamente dalla Società, la Società informerà tempestivamente il Cliente e consiglierà all’Interessato di presentare la propria richiesta al Cliente. Il Cliente sarà l’unico responsabile di rispondere in maniera concreta a tali Richieste dell’Interessato o a comunicazioni che coinvolgono i Dati Personali.
- 7. Violazione dei Dati Personali
- 7.1 Tutte le parti devono informare l’altra parte, senza indebito ritardo, nel momento in cui il Responsabile del Trattamento dei Dati viene a conoscenza di una violazione che interessa i Dati personali, fornendo all’altra parte informazioni sufficienti per consentire a tutte le parti di adempiere a qualsiasi obbligo di segnalare o informare gli interessati della violazione dei dati personali ai sensi delle leggi sulla protezione dei dati.
- 7.2 Tutte le parti dovranno cooperare e adottare misure commercialmente ragionevoli per assistere nelle indagini, mitigazione e riparazione di ciascuna di tali violazioni dei dati personali.
- 8. Valutazione dell’impatto sulla protezione dei dati e consultazione preventiva con le autorità di controllo.
- 8.1. La Società fornirà ragionevole assistenza al Cliente per eventuali valutazioni di impatto sulla protezione dei dati e consultazioni preventive con le Autorità di controllo o altre autorità competenti per la privacy dei dati, che il Cliente ritiene ragionevolmente richieste dall’articolo 35 o 36 del GDPR o disposizioni equivalenti di qualsiasi altra Legge sulla Protezione dei Dati, in ogni caso esclusivamente in relazione al Trattamento dei Dati Personali “da parte di”, e tenendo conto della natura del Trattamento e delle informazioni a disposizione dei Responsabili del Trattamento contraenti.
- 9. Cancellazione o restituzione dei Dati Personali
-
9.1 La Società cancellerà o restituirà tutti i Dati del Cliente, inclusi i Dati Personali (comprese le copie degli stessi) di cui al presente DPA, alla cessazione o alla scadenza del Servizio in abbonamento in conformità con i Termini specifici del prodotto. Questi Termini si applicano salvo laddove la legge in vigore richieda di conservare alcuni o tutti i Dati del cliente, o laddove i Dati del cliente siano stati archiviati su sistemi di backup, dati che verranno isolati e protetti in modo sicuro da qualsiasi ulteriore elaborazione e che verranno eliminati in conformità con le pratiche di eliminazione della Società. È possibile richiedere la cancellazione del proprio hosting CiviCRM Spark dopo la scadenza o la risoluzione dell’abbonamento inviando una richiesta a spark@civicrm.org. È possibile recuperare i Dati del cliente dal servizio CiviCRM Spark scaricando un backup dall’interfaccia amministrativa di CiviCRM.
-
10. Dimostrazione di conformità, diritti di audit
- 10.1 La Società metterà a disposizione del Cliente, su richiesta, tutte le informazioni necessarie per dimostrare il rispetto del presente Accordo e consentirà e contribuirà a verifiche da parte di un revisore incaricato dal Cliente in relazione al Trattamento dei Dati Personali da parte dei Responsabili del Trattamento a contratto.
- 10.2 Su richiesta scritta del Cliente, la Società fornirà risposte scritte (in via confidenziale) a tutte le ragionevoli richieste di informazioni che verranno avanzate e che siano necessarie per confermare il rispetto del presente DPA, a condizione che il Cliente non eserciti tale diritto più di una volta per anno solare, a meno che il Cliente non abbia fondati motivi per sospettare il mancato rispetto del DPA.
- 11. Trasferimento dei dati
- 11.1 La Società non può trasferire o autorizzare il trasferimento di Dati in paesi al di fuori dell’UE e/o dello Spazio Economico Europeo (SEE) senza il preventivo consenso scritto del Cliente. Se i dati personali trattati ai sensi del presente Accordo vengono trasferiti da un paese all’interno dello Spazio Economico Europeo a un paese al di fuori dello Spazio Economico Europeo, le Parti garantiscono che i dati personali siano adeguatamente protetti. A tal fine, le Parti, salvo diverso accordo, si basano su clausole contrattuali standard approvate dall’UE per il trasferimento di dati personali.
- 12. Condizioni Generali
- 12.1 Riservatezza. Ciascuna Parte deve mantenere riservati il presente Accordo, le informazioni che riceve sull’altra Parte e sulla sua attività in relazione al presente Accordo (“Informazioni riservate”) e non deve utilizzare o divulgare tali Informazioni riservate senza il previo consenso scritto dell’altra Parte, ad eccezione e nella misura in cui: (a) la divulgazione è richiesta dalla legge; (b) le informazioni pertinenti sono già di dominio pubblico.
- 12.2 Avvisi. Tutti gli avvisi e le comunicazioni fornite ai sensi del presente Accordo devono essere in forma scritta e saranno consegnati personalmente, inviati tramite e-mail all’indirizzo e-mail indicato nell’intestazione del presente Accordo e a qualsiasi altro indirizzo notificato di volta in volta dalle Parti nel caso di cambio di indirizzo.
- 13. Legislazione applicabile e giurisdizione
- 13.1 Le presenti clausole sono regolate dalla legge di uno degli Stati membri dell’UE, a condizione che tale legge preveda i diritti da parte di terzi beneficiari. Le Parti convengono che le presenti Clausole sono disciplinate in conformità con il paragrafo “Ente appaltante; Legge applicabile; Avviso” dei Termini specifici a seconda della giurisdizione o se tale paragrafo non specifica uno Stato membro dell’UE, dalla legge della Repubblica d’Irlanda (senza riferimento a eventuali conflitti di legge).
- 13.2 Qualsiasi controversia derivante da queste Clausole sarà risolta dai tribunali di uno Stato membro dell’UE.
Annex 1 – List of Sub-Processors
Third Party Sub-Processor | Purpose | Location |
---|---|---|
Linode | Hosting (Virtual private server (VPS) hosting) | European Union (Germany) |
Sparkpost | Email delivery | European Union (Ireland) |
Coop Symbiotic | Backups for users hosted in Europe | European Union (Finland) |
OSUOSL | Backups for users hosted in the USA | United-States (Oregon) |
Iscriviti per ricevere una mail quando l’Allegato 1 viene aggiornato.