Accordo per l'elaborazione dei dati
Accordo sul trattamento dei dati - Rods&Cones agiscono come processore
Il presente accordo sul trattamento dei dati ("DPA") indica che il sottoscritto:
Rods&Cones BV, società di diritto belga con sede legale in Oudebaan 2, 2350 Vosselaar, Belgio, iscritta al registro delle imprese della Camera di Commercio con il numero BE0741.795.919 o Rods&Cones Sales B.V., società di diritto olandese con sede legale in Apollolaan 69-3, 1077AH Amsterdam, Olanda, iscritta al registro delle imprese della Camera di Commercio con il numero 80331947 (di seguito denominata "Rods&Cones").Aste e ossa/Processore"),
di seguito, congiuntamente, anche il "Parti" e ciascuno separatamente come "Partito";
Dichiariamo di aver concordato quanto segue:
Rods&Cones fornirà la Soluzione di assistenza remota nella misura prevista dall'Accordo sottostante per riflettere l'accordo delle parti in merito al Trattamento dei Dati Personali.
Nel corso della fornitura dei Servizi al Cliente ai sensi della DPA, Rods&Cones potrà trattare i Dati Personali per conto del Cliente e le Parti si impegnano a rispettare le seguenti disposizioni in relazione a qualsiasi Dato Personale, agendo ciascuna ragionevolmente e in buona fede.
Con effetto dal 25 maggio 2018, Aste e ossa tratterà i Dati Personali in conformità al Regolamento Generale sulla Protezione dei Dati, o Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 che abroga la Direttiva 95/46/CE (di seguito indicato come: 'GDPR') direttamente applicabili a Aste e ossa' fornitura dei propri Servizi.
- Definizioni
"Affiliato" | si intende qualsiasi entità facente parte del gruppo di società Rods&Cones. |
"Dati personali | si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile (Soggetto interessato); |
"Soggetto interessato" | si intende per persona identificabile quella che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi specifici dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica; |
"Violazione dei dati personali" | si intende una violazione della sicurezza che comporti la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati personali trasmessi, memorizzati o altrimenti trattati; |
"Processo/elaborazione" | si intende qualsiasi operazione o insieme di operazioni eseguite sui Dati personali o su insiemi di Dati personali, con o senza l'ausilio di mezzi automatizzati, quali la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la divulgazione mediante trasmissione, diffusione o messa a disposizione in altro modo, l'allineamento o la combinazione, la restrizione, la cancellazione o la distruzione; |
"Soluzione" | si intende l'Assistenza remota di Rods&Cones, come ordinata dal Cliente ai sensi del contratto sottostante, nonché la relativa documentazione. |
"Categorie speciali di dati | si intendono i dati che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale; i dati genetici, i dati biometrici trattati allo scopo di identificare in modo univoco una persona fisica; i dati relativi alla salute o i dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica; |
"Sottoprocessore" | si intende qualsiasi incaricato del trattamento dei dati assunto dal Responsabile del trattamento che accetti di ricevere dal Responsabile del trattamento i dati personali destinati esclusivamente alle attività di trattamento da svolgere per conto del Titolare del trattamento in conformità alle sue istruzioni, ai termini del presente DPA e ai termini di un contratto di subappalto scritto; |
"Autorità di vigilanza" | si intende un'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51 del GDPR; e |
"Misure di sicurezza tecniche e organizzative". | Si intendono le misure volte a proteggere i Dati personali dalla distruzione accidentale o dalla perdita accidentale, dall'alterazione, dalla divulgazione o dall'accesso non autorizzati, in particolare quando il Trattamento comporta la trasmissione di dati in rete, e da ogni altra forma illecita di Trattamento. |
"Terzo Paese" | Si intende un Paese in cui la Commissione europea non ha deciso che il Paese, un territorio o uno o più settori specifici all'interno di tale Paese garantiscono un livello di protezione adeguato. |
"Accordo sottostante" | indica il contratto di abbonamento SaaS con il quale Rods&Cones mette a disposizione del Cliente la Soluzione. |
- Dettagli del trattamento
I dati personali trattati ai sensi della presente DPA riguardano le seguenti categorie di soggetti:
- Dipendenti e appaltatori del cliente
- Professionisti del settore sanitario
- pazienti
Rods&Cones consiste in un back-end online basato sul web per archiviare e gestire i dati dei clienti (compresi i dati personali) e in client front-end interagenti che consentono di visualizzare audio e video (compresi i dati personali identificabili) e di generare analisi sull'utilizzo ("Servizi").
Natura e finalità del trattamento: Il Responsabile del trattamento raccoglie, elabora e utilizza i dati personali degli interessati per conto del Titolare del trattamento al fine di consentire agli esperti remoti di supportare gli operatori sanitari a distanza senza richiedere la presenza in loco.
Le cuffie utilizzate in sala operatoria visualizzano le seguenti immagini relative alla privacy:
- Personale OR
- Immagini di un paziente non identificato
- Display e schermi in sala operatoria
L'audio e il video vengono trasmessi solo a un assistente remoto certificato in modalità 1-to-1. Su specifica eccezione, la sessione può essere trasmessa a un pubblico più ampio (per casi di formazione e istruzione). Per impostazione predefinita, i video e le immagini non vengono memorizzati durante o dopo la trasmissione. Con un'impostazione eccezionale, gli assistenti remoti possono essere autorizzati a registrare una sessione sul disco rigido del proprio computer.
Gli assistenti remoti acconsentono a istruzioni rigorose per il comportamento professionale come in sala operatoria (https://rods-cones.com/re_terms/).
Rods&Cones memorizza i seguenti dati personali degli assistenti remoti: Indirizzo e-mail; Cognome, nome.
- Diritti e obblighi del controllore
Il Titolare del trattamento rimane il responsabile del trattamento dei dati personali secondo le istruzioni impartite al Responsabile del trattamento sulla base del presente DPA e secondo le altre istruzioni. Il Titolare del trattamento ha incaricato e incaricherà Rods&Cones, per tutta la durata del trattamento dei dati commissionato, di trattare i dati personali solo per conto del Titolare del trattamento e in conformità alla legge applicabile sulla protezione dei dati, al presente DPA e alle istruzioni del Titolare del trattamento. Il Titolare ha il diritto e l'obbligo di dare istruzioni a Rods&Cones in relazione al Trattamento dei Dati Personali, sia in generale che in situazioni individuali. Le istruzioni possono anche riguardare la correzione, la cancellazione, il blocco dei Dati personali. Le istruzioni saranno generalmente impartite per iscritto, a meno che l'urgenza o altre circostanze specifiche non richiedano un'altra forma (ad esempio, orale, elettronica). Le istruzioni in forma diversa da quella scritta saranno confermate dal Titolare del trattamento per iscritto senza indugio. Nella misura in cui l'esecuzione di un'istruzione comporti dei costi per Rods&Cones, quest'ultima informerà preventivamente il Titolare del trattamento di tali costi. Solo dopo la conferma da parte del Titolare del trattamento di sostenere tali costi per l'attuazione di un'istruzione, il Responsabile del trattamento è tenuto ad attuare tale istruzione.
- Obblighi del Responsabile del trattamento
Rods&Cones deve:
- trattare i Dati personali solo secondo le istruzioni impartite dal Titolare del trattamento e per conto di quest'ultimo; tali istruzioni sono fornite nel presente DPA e altrimenti in forma documentata come specificato nella clausola 3 di cui sopra. Tale obbligo di seguire le istruzioni del Titolare del trattamento si applica anche al trasferimento dei Dati personali a un Paese terzo.
- informare tempestivamente il Titolare del trattamento nel caso in cui Rods&Cones non sia in grado di adempiere alle istruzioni del Titolare del trattamento per qualsiasi motivo;
- mantenere i dati personali in modo strettamente confidenziale e
- e tratterà i Dati Personali solo per l'esecuzione dei Servizi e per nessun altro scopo, salvo previa autorizzazione scritta del Cliente.
- garantire che le persone autorizzate da Rods&Cones a trattare i Dati personali per conto del Titolare si siano impegnate alla riservatezza o siano soggette a un obbligo di riservatezza adeguato e che tali persone che hanno accesso ai Dati personali trattino tali Dati personali in conformità alle istruzioni del Titolare.
- implementare le Misure di Sicurezza Tecniche e Organizzative che soddisfino i requisiti del GDPR prima del Trattamento dei Dati Personali e assicurare di fornire sufficienti garanzie al Titolare del Trattamento su tali Misure di Sicurezza Tecniche e Organizzative.
- assistere il Titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia fattibile, per l'adempimento dell'obbligo del Titolare del trattamento di rispondere alle richieste di esercizio dei diritti dell'Interessato in materia di informazione, accesso, rettifica e cancellazione, limitazione del trattamento, notifica, portabilità dei dati, opposizione e processo decisionale automatizzato; nella misura in cui tali misure tecniche e organizzative fattibili richiedano modifiche o emendamenti alle Misure tecniche e organizzative, il Responsabile del trattamento informerà il Titolare del trattamento sui costi di attuazione di tali misure tecniche e organizzative aggiuntive o modificate. Una volta che il Titolare del trattamento avrà confermato di sostenere tali costi, il Responsabile del trattamento attuerà tali misure tecniche e organizzative aggiuntive o modificate per assistere il Titolare del trattamento a rispondere alle richieste dell'Interessato.
- mettere a disposizione del Titolare del trattamento tutte le informazioni necessarie a dimostrare il rispetto degli obblighi previsti dal presente DPA e dall'Art. 28 GDPR e consentire e contribuire agli audit, comprese le ispezioni condotte dal Titolare del trattamento o da un altro revisore incaricato dal Titolare del trattamento. Il Titolare del trattamento è consapevole del fatto che eventuali verifiche in loco possono disturbare in modo significativo l'attività di Rods&Cones e possono comportare un elevato dispendio in termini di costi e di tempo. Pertanto, il Titolare del trattamento può effettuare un audit di persona in loco solo se il Titolare del trattamento rimborsa al Responsabile del trattamento i costi e le spese sostenuti dal Titolare del trattamento a causa del disturbo delle operazioni commerciali.
- notificare al Controllore senza ritardi ingiustificati:
- in merito a qualsiasi richiesta legalmente vincolante di divulgazione dei Dati personali da parte di un'autorità preposta all'applicazione della legge, a meno che non sia altrimenti vietato, come ad esempio un divieto previsto dal diritto penale per preservare la riservatezza di un'indagine delle forze dell'ordine;
- su eventuali reclami e richieste ricevuti direttamente dagli Interessati (ad esempio, in materia di accesso, rettifica, cancellazione, limitazione del trattamento, portabilità dei dati, opposizione al trattamento dei dati, processo decisionale automatizzato) senza rispondere a tale richiesta, a meno che non sia stato altrimenti autorizzato a farlo;
- se il Responsabile del trattamento è tenuto, ai sensi del diritto dell'UE o dello Stato membro cui è soggetto, a trattare i Dati personali al di là delle istruzioni del Titolare del trattamento, prima di effettuare tale trattamento al di là delle istruzioni, a meno che il diritto dell'UE o dello Stato membro non vieti tale informazione per importanti motivi di interesse pubblico; tale notifica deve specificare il requisito legale ai sensi di tale diritto dell'UE o dello Stato membro;
- se, a parere del Responsabile del trattamento, un'istruzione viola il GDPR; dopo aver fornito tale notifica, il Responsabile del trattamento non sarà obbligato a seguire l'istruzione, a meno che e fino a quando il Titolare del trattamento non l'abbia confermata o modificata; e
- dopo che il Responsabile del trattamento è venuto a conoscenza di una violazione dei dati personali presso Rods&Cones. In caso di violazione dei dati personali, il Responsabile del trattamento, su richiesta scritta del Titolare del trattamento, assisterà il Titolare del trattamento nell'adempimento dell'obbligo di informare gli interessati e le autorità di vigilanza, se del caso, e di documentare la violazione dei dati personali.
- assistere il Titolare del trattamento con qualsiasi valutazione d'impatto sulla protezione dei dati come richiesto dall'Art. 35 del GDPR che si riferisce ai Servizi forniti dal Responsabile del trattamento al Titolare e ai Dati personali trattati dal Responsabile del trattamento per conto del Titolare.
- gestire tutte le richieste del Titolare del trattamento relative al trattamento dei dati personali oggetto del trattamento (ad esempio, per consentire al Titolare del trattamento di rispondere tempestivamente a reclami o richieste degli interessati) e attenersi al parere dell'Autorità di vigilanza in merito al trattamento dei dati trasferiti.
- che, nella misura in cui al Responsabile del trattamento sia richiesto di correggere, cancellare e/o bloccare i Dati personali trattati ai sensi della presente DPA, il Responsabile del trattamento lo farà senza indebito ritardo. Se e nella misura in cui i Dati personali non possono essere cancellati a causa dei requisiti di conservazione previsti dalla legge, il Responsabile del trattamento, invece di cancellare i Dati personali in questione, sarà obbligato a limitare l'ulteriore elaborazione e/o utilizzo dei Dati personali o a rimuovere l'identità associata dai Dati personali (di seguito "blocco"). Se il Responsabile del trattamento è soggetto a tale obbligo di blocco, dovrà cancellare i dati personali in questione entro o l'ultimo giorno dell'anno solare in cui termina il periodo di conservazione.
- Sottoelaborazione
- Il Titolare del trattamento autorizza l'utilizzo dei Subprocessori incaricati dal Responsabile del trattamento per la fornitura dei Servizi. Il Titolare approva l'utilizzo dei seguenti Subprocessori:
Nome Indirizzo Scopo dell'utilizzo Microsoft Ireland ltd One Microsoft Place, South County Business Park, Leopardstown, Dublino 18, D18 P521, Irlanda Hosting dell'applicazione Xirsys LLC 25061 Avenue Stanford, Suite 10; Santa Clarita, California 91355, USA Girare il fornitore di server OpenVPN 7901 Stoneridge Drive, Suite 240, Pleasanton, California 94588, USA Client VPN - Nel caso in cui il Responsabile del trattamento intenda avvalersi di nuovi o ulteriori Subprocessori, il Responsabile del trattamento dovrà informare il Titolare del trattamento di qualsiasi modifica prevista in merito all'aggiunta o alla sostituzione di un qualsiasi Subprocessore ("Avviso ai subprocessori"). Se il Titolare del trattamento ha una base ragionevole per opporsi all'uso di un nuovo o ulteriore Subprocessore, il Titolare del trattamento lo comunicherà prontamente per iscritto al Responsabile del trattamento entro 14 giorni dal ricevimento dell'avviso del Subprocessore. Nel caso in cui il Titolare del trattamento si opponga a un nuovo o ulteriore Subprocessore, e tale obiezione non sia irragionevole, il Responsabile del trattamento compirà ogni ragionevole sforzo per mettere a disposizione del Titolare del trattamento una modifica dei Servizi o raccomandare una modifica commercialmente ragionevole della configurazione o dell'utilizzo dei Servizi da parte del Titolare del trattamento per evitare il trattamento dei Dati personali da parte del nuovo o ulteriore Subprocessore oggetto dell'obiezione, senza gravare irragionevolmente sul Titolare del trattamento. Se il Responsabile del trattamento non è in grado di apportare tale modifica entro un periodo di tempo ragionevole, non superiore a sessanta (60) giorni, il Titolare del trattamento può recedere dalla parte del DPA in questione solo per quanto riguarda i Servizi che non possono essere forniti dal Responsabile del trattamento senza l'utilizzo del nuovo o ulteriore Subprocessore contestato, dandone comunicazione scritta al Responsabile del trattamento.
- Il Responsabile del trattamento dovrà imporre lo stesso obbligo di protezione dei dati stabilito nel presente DPA a qualsiasi Subprocessore tramite contratto. Il contratto tra il Responsabile del trattamento e il Subincaricato dovrà in particolare fornire garanzie sufficienti per l'attuazione delle Misure di sicurezza tecniche e organizzative, nella misura in cui tali Misure di sicurezza tecniche e organizzative siano rilevanti per i servizi forniti dal Subincaricato.
- Il Responsabile del trattamento deve scegliere il subprocessore con diligenza.
- Nel caso in cui tale subprocessore sia ubicato in un Paese terzo, il Responsabile del trattamento, su richiesta scritta del Titolare del trattamento, stipulerà con il subprocessore in questione, per conto del Titolare del trattamento (a nome del Titolare del trattamento), un contratto tipo UE (dal Titolare del trattamento al Responsabile del trattamento), ai sensi della decisione 2010/87/UE. In questo caso, il Titolare del trattamento incarica e autorizza il Responsabile del trattamento a incaricare i Subprocessori a nome del Titolare del trattamento e ad avvalersi di tutti i diritti del Titolare del trattamento nei confronti dei Subprocessori sulla base del Contratto modello UE.
- Il Responsabile del trattamento rimane responsabile nei confronti del Titolare del trattamento per l'adempimento degli obblighi del Subprocessore, qualora quest'ultimo non adempia ai propri obblighi. Tuttavia, il Responsabile del trattamento non sarà responsabile per i danni e i reclami derivanti dalle istruzioni impartite dal Titolare del trattamento ai Subprocessori.
- Limitazione di responsabilità
Qualsiasi responsabilità derivante da o in relazione al presente DPA seguirà, e sarà esclusivamente disciplinata, dalle disposizioni in materia di responsabilità contenute o altrimenti applicabili nel presente DPA e non altrove. Pertanto, e ai fini del calcolo dei massimali di responsabilità e/o della determinazione dell'applicazione di altre limitazioni di responsabilità, qualsiasi responsabilità che si verifichi ai sensi del presente DPA sarà considerata come verificatasi ai sensi delle disposizioni del presente DPA.
- Durata e termine
- La durata del presente DPA è identica a quella dell'Accordo sottostante. Salvo quanto diversamente concordato nel presente documento, i diritti e i requisiti di risoluzione saranno gli stessi previsti dal Contratto sottostante.
- Il Responsabile del trattamento, a scelta del Titolare del trattamento, cancellerà o restituirà tutti i Dati personali al Titolare del trattamento al termine della fornitura dei servizi e cancellerà tutte le copie esistenti, a meno che il diritto dell'UE o degli Stati membri non imponga al Responsabile del trattamento di conservare tali Dati personali.
- Varie
- In caso di incongruenze tra le disposizioni del presente DPA e qualsiasi altro accordo esistente tra le Parti, le disposizioni del presente DPA prevarranno per quanto riguarda gli obblighi di protezione dei dati delle Parti. In caso di dubbio sul fatto che le clausole di tali altri accordi si riferiscano agli obblighi di protezione dei dati delle Parti, prevarrà il presente DPA.
- Se una disposizione del presente DPA dovesse risultare non valida o inapplicabile, la parte restante del presente DPA rimarrà valida e in vigore. La disposizione non valida o inapplicabile dovrà essere (i) modificata come necessario per garantirne la validità e l'applicabilità, preservando il più possibile le intenzioni delle Parti, oppure - qualora ciò non fosse possibile - (ii) interpretata come se la parte non valida o inapplicabile non fosse mai stata contenuta. Quanto sopra si applica anche nel caso in cui il presente DPA contenga omissioni.
- Fatta salva l'applicabilità del GDPR al presente DPA e al relativo trattamento, il presente DPA sarà disciplinato dalla stessa legge belga.
- Misure di sicurezza
Rods&Cones dovrà, come minimo, mantenere misure e procedure di sicurezza tecniche e organizzative per proteggere la sicurezza dei dati personali creati, raccolti, ricevuti o altrimenti ottenuti.
Le misure di sicurezza tecniche e organizzative possono essere considerate come lo stato dell'arte. Rods&Cones valuterà le misure di sicurezza tecniche e organizzative nel tempo, tenendo conto dei costi di implementazione, della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Rods&Cones devono garantire:
- di aver configurato adeguatamente i diritti di accesso per i propri dipendenti, compreso un processo ben definito di entrata e uscita per garantire la corretta gestione dei diritti di accesso;
- di disporre di controlli adeguati per garantire che vengano richieste password alfanumeriche complesse per l'accesso ai Dati personali e che venga fornita una formazione in merito alla necessità di mantenere tali password sicure;
- dispone di procedure per identificare l'uso illecito dei Dati personali, compreso il monitoraggio dell'accesso illecito ai Dati personali;
- dispone di procedure per identificare l'uso illecito dei Dati personali, compreso il monitoraggio dell'accesso illecito ai Dati personali;
- siano stabiliti e utilizzati processi di autenticazione adeguati ed efficaci per proteggere i dati personali;
- i Dati personali memorizzati su computer portatili o altri supporti portatili sono criptati;
- i Dati personali non sono visibili via Internet. Nel caso in cui sia consentito l'accesso via web ai Dati personali, tale accesso riguarderà solo i dati pertinenti.
- tutti i Dati personali conservati in forma cartacea saranno conservati in armadi chiusi a chiave all'interno di uffici chiusi a chiave, accessibili solo alle persone autorizzate.
- mantenere un registro delle attività accurato e aggiornato, compresi tutti i supporti portatili utilizzati per il Trattamento;
- che i dipendenti non possano accedere ai Dati personali da casa o tramite il proprio dispositivo elettronico se non attraverso una rete elettronica sicura e che i Dati personali non possano essere memorizzati su tali dispositivi;
- che vengano adottate misure di sicurezza fisiche adeguate e commisurate al danno che potrebbe derivare dalla divulgazione illegale dei Dati personali. Tali misure di sicurezza fisica saranno identificate nella politica di sicurezza dei dati di Rods&Cones;
- che Rods&Cones stabilisca e mantenga adeguate politiche di conformità in materia di sicurezza dei dati e verifichi il proprio utilizzo dei dati personali in conformità con le proprie politiche di sicurezza dei dati su base regolare e in ogni caso annuale; e
- di nominare per iscritto una persona che si assuma la responsabilità e sia responsabile dell'osservanza del DPA.