Accordo sul trattamento dei dati – Bookairy
Il presente Accordo sul trattamento dei dati ("DPA") costituisce parte integrante dell'accordo tra Bookairy e il Cliente. Bookairy è gestito da Ghekko Development, Willem Buytewechstraat 187 C, 3024 XH Rotterdam, Paesi Bassi, numero della Camera di commercio olandese 70485437, numero di stabilimento 000028452003, partita IVA NL858338543B01.
1. Ruoli e istruzioni
- Il Cliente è il titolare del trattamento dei dati personali immessi o elaborati tramite lo spazio di lavoro Bookairy del Cliente.
- Bookairy è il responsabile del trattamento dei dati personali per conto del Cliente.
- Bookairy tratta i dati personali solo su istruzioni documentate del Cliente, incluso l'accordo, il presente DPA, la configurazione del prodotto e le richieste di supporto legittime.
- Il Cliente resta responsabile della liceità del trattamento, dell'esattezza dei dati, delle informative, del consenso ove richiesto e degli obblighi specifici del settore.
- Se Bookairy ritiene che un'istruzione violi il GDPR o altre leggi applicabili sulla protezione dei dati, Bookairy informerà il Cliente, a meno che ciò non sia vietato dalla legge.
2. Oggetto, durata e finalità
L'oggetto del trattamento è la fornitura, la manutenzione, la sicurezza e il supporto della piattaforma di prenotazione, programmazione e business di Bookairy. Il trattamento dura per la durata del contratto e per ogni ragionevole periodo di esportazione, backup, cancellazione o conservazione legale dopo la risoluzione.
Lo scopo è fornire prenotazioni online, calendari, gestione clienti, gestione del personale, servizi, eventi, prodotti, POS, fatture, depositi, stato dei pagamenti, notifiche, reportistica, moduli, flussi di prenotazione multilingue, supporto, sicurezza, risoluzione dei problemi e relative funzionalità SaaS.
3. Categorie di dati personali
- Nomi, indirizzi, indirizzi email, numeri di telefono e altri dettagli di contatto.
- Dati relativi ad account, azienda, personale, ruolo e autorizzazioni.
- Dati di prenotazione, calendario, appuntamento, lista d'attesa, cancellazione, mancata presentazione e cronologia dei servizi.
- Note del cliente, preferenze, risposte ai moduli, file caricati e contenuti della comunicazione.
- Stato del pagamento, riferimenti della transazione, dati della fattura, dati del deposito e informazioni sul rimborso o sullo storno di addebito.
- Dispositivo, installazione, browser, versione dell'app, indirizzo IP, registro, dati di utilizzo e sicurezza.
- A seconda della configurazione del Cliente: salute, trattamento, benessere, assunzione o altri dati sensibili inseriti dal Cliente o dai Clienti finali.
4. Categorie di interessati
- I clienti, clienti, pazienti, ospiti, partecipanti o altri utenti finali del Cliente.
- Il personale, i collaboratori esterni, gli amministratori e gli utenti del Cliente.
- Contatti, contatti di supporto e utenti delle pagine di prenotazione pubbliche.
5. Misure di sicurezza
Bookairy adotta misure tecniche e organizzative adeguate tenendo conto dello stato dell'arte, dei costi di implementazione, della natura del trattamento, dell'ambito, del contesto, delle finalità e dei rischi. Le misure possono includere:
- Crittografia HTTPS/TLS per i dati in transito.
- Controlli di accesso basati su ruoli e controlli di autenticazione.
- Accesso interno limitato ai dati di produzione.
- Registrazione, monitoraggio e prevenzione degli abusi.
- Proteggi l'infrastruttura cloud e Firestore, l'archiviazione o regole di sicurezza comparabili.
- Separazione logica dei dati aziendali per identificatori dell'azienda o del locatario.
- Cloudflare o protezione di rete comparabile, firewall, protezione bot e mitigazione DDoS.
- Meccanismi di backup, ripristino o esportazione, ove disponibili.
- Aggiornamenti periodici delle applicazioni e dell'infrastruttura.
- Obblighi di riservatezza per le persone autorizzate al trattamento dei dati personali.
6. Riservatezza
Bookairy garantisce che le persone autorizzate al trattamento dei dati personali siano vincolate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza. L'accesso è limitato a quanto necessario per il funzionamento, il supporto, la sicurezza e la manutenzione.
7. Subresponsabili del trattamento
Il Cliente concede a Bookairy l'autorizzazione generale a utilizzare subincaricati. Bookairy imporrà obblighi di protezione dei dati ai subresponsabili del trattamento che sono materialmente paragonabili a questo DPA ove richiesto dal GDPR.
| Subresponsabile del trattamento | Scopo |
|---|---|
| Google Cloud/Firebase | Hosting, database, autenticazione, funzioni cloud, storage e infrastruttura della piattaforma. |
| Cloudflare | DNS, CDN, sicurezza, protezione DDoS, funzionalità firewall, protezione bot, Turnstile, protezione di rete e filtraggio del traffico. |
| MailerSend | E-mail transazionali e notifiche e-mail. |
| Mollie | Pagamenti online, depositi, stato dei pagamenti, rimborsi ed elaborazione dei pagamenti. |
| DeepL | Traduzioni automatiche dei contenuti inseriti dal cliente quando le funzionalità di traduzione sono abilitate. |
| Mela | Distribuzione dell'App Store, servizi della piattaforma e infrastruttura di notifiche push ove applicabile. |
| GooglePlay/Google | Distribuzione di app, servizi della piattaforma e infrastruttura di notifica push ove applicabile. |
| Strumenti di supporto, hosting, monitoraggio o comunicazione | Supporto, comunicazione operativa, monitoraggio, diagnostica e servizio clienti ove utilizzato. |
Bookairy può aggiornare i subresponsabili del trattamento quando necessario per la fornitura, la sicurezza o il miglioramento dei Servizi. Il Cliente può opporsi per ragionevoli motivi di protezione dei dati entro cinque (5) giorni lavorativi dalla notifica di una modifica materiale del sub-responsabile.
8. Trasferimenti internazionali
I dati personali possono essere trasferiti al di fuori dello Spazio Economico Europeo solo ove consentito dal GDPR. Ove richiesto, Bookairy utilizzerà garanzie adeguate quali clausole contrattuali standard, decisioni di adeguatezza, valutazioni di impatto del trasferimento e misure supplementari.
9. Assistenza al Cliente
Tenendo conto della natura del trattamento e delle informazioni a disposizione di Bookairy, Bookairy assisterà ragionevolmente il Cliente con le richieste degli interessati, gli obblighi di sicurezza, le valutazioni d'impatto sulla protezione dei dati, la consultazione preventiva, le indagini sulle violazioni e le informazioni necessarie per dimostrare la conformità. Bookairy può addebitare costi ragionevoli per l'assistenza che va oltre la funzionalità standard della piattaforma o il normale supporto.
10. Violazioni dei dati
Bookairy avviserà il Cliente senza indebito ritardo dopo essere venuta a conoscenza di una violazione dei dati personali che riguarda i dati personali trattati per conto del Cliente. Ove disponibile, Bookairy fornirà informazioni sulla natura della violazione, sulle categorie interessate, sulle probabili conseguenze e sulle misure adottate o proposte. Il Cliente resta responsabile di eventuali comunicazioni alle autorità di controllo o agli interessati.
11. Verifiche e informazioni sulla conformità
Bookairy renderà disponibili le informazioni ragionevolmente necessarie per dimostrare la conformità al presente DPA. Gli audit richiedono un preavviso scritto, possono verificarsi non più di una volta per anno solare, a meno che un incidente grave non richieda diversamente, devono essere eseguiti durante l'orario lavorativo da un esperto indipendente vincolato dalla riservatezza e non devono interrompere irragionevolmente le operazioni di Bookairy.
12. Restituzione e cancellazione
Dopo la risoluzione, Bookairy cancellerà o renderà disponibili per l'esportazione i dati personali trattati per conto del Cliente, a meno che gli obblighi legali di conservazione non richiedano la conservazione continua. I backup possono rimanere temporaneamente finché non vengono sovrascritti o eliminati in base al normale ciclo di backup.
13. Responsabilità e precedenza
Le limitazioni di responsabilità contenute nei Termini e Condizioni si applicano al presente DPA, a meno che la legge imperativa non disponga diversamente. Se questo DPA è in conflitto con i Termini e Condizioni sul trattamento dei dati personali, questo DPA prevale per tale conflitto di trattamento.