Accordo per il trattamento dei dati Ultima modifica: 14/03/2023
Accordo per il trattamento dei dati secondo l'articolo 28 del GDPR
fra
l'Utente registrato
- in seguito chiamato il Titolare -
e la
AlfaDocs GmbH
Dachauer Straße, 17
80335 Monaco di Baviera
www.alfadocs.com
- in seguito chiamato il Responsabile -
1. Oggetto e durata del contratto
1.1 Oggetto del contratto
L'oggetto del mandato si evince dall'Accordo di Prestazione / SLA (Service Level Agreement) che, a sua volta, si evince dalle Condizioni Generali di Utilizzo riportate sul sito Web del Responsabile. La data della registrazione sul sito Web del Responsabile (https://www.alfadocs.com/), a cui si rimanda con la presente, è la data dell'Accordo di Prestazione.
Il Responsabile tratta i dati personali per il Titolare secondo le modalità dell'Art. 4 n. 2 e art. 28 del GDPR sulla base di questo contratto.
La prestazione è fornita esclusivamente in uno stato membro dell'Unione Europea o in uno stato parte dell'accordo sullo Spazio economico europeo. Qualsiasi trasferimento del servizio o subfornitura in un paese terzo richiede il previo consenso del Titolare e può avvenire solo se sono soddisfatti i requisiti speciali di cui all'articolo 44 e seguenti del GDPR (ad esempio, decisione della Commissione sull'adeguatezza, clausole standard sulla protezione dei dati, regole di condotta approvate).
1.2 Durata del Contratto
La durata del contratto (Durata) corrisponde alla durata dell’Accordo di Prestazione. Inoltre si rimanda alle Condizioni Generali di Utilizzo.
Il Titolare può recedere dal contratto in qualsiasi momento senza preavviso in caso di violazione grave da parte del Responsabile delle norme sulla protezione dei dati o delle disposizioni del presente contratto, se il contraente non può o non vuole eseguire istruzioni dal cliente o nega i diritti di contratto del Titolare.
In particolare, l'inosservanza degli obblighi concordati nel presente contratto o di quanto previsto dall'articolo 28 del GDPR costituisce una violazione grave.
2. Campo di applicazione, natura e finalità del trattamento, tipo di dati personali e categorie di interessati
2.1 Descrizione aggiuntiva
Ulteriore descrizione dell'oggetto del contratto per quanto riguarda la portata, la natura e lo scopo dei compiti del Responsabile: il Responsabile fornisce Software come servizio per la gestione delle pratiche mediche. In generale, sono disponibili funzioni per la gestione degli appuntamenti, assieme a una piattaforma per la loro prenotazione da parte dei pazienti, l'amministrazione dei dipendenti esterni, la gestione dei fornitori e del magazzino, l'amministrazione della cartella clinica del paziente nonché i piani di cura e preventivi, contabilità, marketing e analisi, e una piattaforma di collegamento telematico con i pazienti in modo da rendere disponibile la visita a distanza. In dettaglio, tutte le funzioni disponibili all'interno dell'area di accesso possono essere ricostruite e, ove necessario, prenotate a pagamento.
2.2 Tipo di trattamento (secondo la definizione di Art. 4 par. 2 del GDPR)
Il trattamento è costituito dal rilevamento, organizzazione, ordinamento, salvataggio, adeguamento (aggiornamento), modifica, selezione (lettura), interrogazione, utilizzo, rivelazione (visualizzazione), trasmissione, confronto, collegamento, cancellazione o distruzione.
2.3 Tipo di dati personali (secondo la definizione dell Art. 4 par. 1, 13, 14 e 15 del GDPR)
- dati personali di base
- dati di comunicazione (p.es. telefono, e-mail)
- dati contrattuali di base (rapporto contrattuale, interesse per il prodotto o per il contratto)
- cronologia cliente
- dati contabili relativi al contratto e dati di pagamento
- dati di report (di terzi, p.es. agenzie di credito o derivanti da registri pubblici)
- dati di pazienti
- dati di natura audiovisiva (riguardo esclusivamente al servizio di visita telematica)
2.4 Categorie di soggetti interessati (secondo la definizione dell’Art. 4 par.1 GDPR)
Le categorie di persone interessate dal trattamento includono:
- medici
- pazienti
- terzi interessati
- collaboratori ai sensi del § 3 cpv. 11 BDSG
- fornitori
- interlocutori
- consulenti fiscali
- odontotecnici
- assistenti esterni (p.es. chirurghi o esperti di igiene dentale)
3. Diritti, doveri e autorità del Titolare
3.1 il Titolare è il solo responsabile in relazione alla valutazione della liceità del trattamento ai sensi dell'articolo 6 par. 1 del GDPR, nonché per la tutela dei diritti delle persone interessate ai sensi degli articoli da 12 a 22 del GDPR. Tuttavia, il Responsabile è obbligato a inoltrare immediatamente le richieste degli interessati al Titolare, qualora siano chiaramente ed esclusivamente dirette al Titolare.
3.2 Le modifiche all'oggetto del trattamento e le modifiche procedurali devono essere coordinate congiuntamente tra il Titolare e il Responsabile e devono essere definite per iscritto o in formato elettronico documentato.
3.3 Come regola generale, il Titolare emette tutti gli ordini, gli ordini parziali e le istruzioni, per iscritto o in formato elettronico documentato. Le istruzioni date a voce devono essere immediatamente confermate per iscritto o in un formato elettronico documentato.
3.4 Il Titolare ha il diritto di verificare, come stabilito al punto 5, prima dell'inizio del trattamento e poi regolarmente in modo adeguato, l'adempimento delle misure tecniche e organizzative adottate dal Responsabile e degli obblighi previsti nel presente contratto.
3.5 Il Titolare informa immediatamente il Responsabile nel caso in cui egli individui errori o irregolarità nell’adempimento del presente contratto.
3.6 Il Titolare è obbligato a trattare confidenzialmente tutte le informazioni acquisite sui segreti commerciali e sulle misure attuate per la sicurezza dei dati dal contraente nell'ambito della relazione contrattuale. Questo obbligo rimane valido anche dopo la risoluzione del presente contratto.
3.7 Il Responsabile ha il diritto di trattare i dati del Titolare per migliorare il software offerto in conformità con gli standard tecnici attuali e nel rispetto della legge sulla protezione dei dati.
3.8 Per statistiche che necessitano il trattamento dei dati dello studio, i dati vengono resi anonimi dal Responsabile ai sensi del Considerando n. 26 del GDPR. Di seguito il Titolare potrà ricevere statistiche anonime basate sui dati, sempre elaborati in modo anonimo, degli studi che utilizzano AlfaDocs. Il Titolare garantisce la liceità del processo di anonimizzazione da parte del Responsabile, in particolare rispettando gli obblighi di trasparenza dell'Art. 13 del GDPR.
4. Autorizzati dal Titolare a dare le direttive, e destinatari delle direttive dalla parte del Responsabile
4.1 L’autorizzato dal Titolare ex art. 29 del GDPR a dare le direttive è: ciascun utente registrato con diritti da amministratore.
4.2 L’autorizzato a ricevere le direttive è: Niklas Fischer-Riepe, Co-Founder & CEO, Email: gdpr@alfadocs.com.
4.3 Canali di comunicazione del Responsabile: AlfaDocs GmbH, Dachauer Str. 17, 80335 München, gdpr@alfadocs.com.
4.4 In caso di cambiamento o impedimento di lunga durata degli autorizzati, il Responsabile deve essere immediatamente informato, generalmente per iscritto o per via elettronica in merito ai successori o ai rappresentanti dei referenti. Le direttive devono essere conservate per il loro periodo di validità e successivamente per tre anni civili completi.
5. Obblighi del Responsabile
5.1 Il Responsabile tratta i dati personali solo in conformità con gli accordi e le istruzioni del Titolare. Può altresì trattare di dati ove obbligato a svolgere un diverso trattamento dal diritto dell'Unione o degli Stati membri cui è soggetto il Responsabile del trattamento (ad esempio indagini delle autorità giudiziarie); in tal caso, il Responsabile del trattamento informa il Titolare del trattamento di tali requisiti legali prima del trattamento, a meno che la legge non vieti tale comunicazione in forza di un importante interesse pubblico (articolo 28, paragrafo 3, frase 2, lettera a), del GDPR).
5.2 Il Responsabile non utilizzerà i dati personali forniti per il trattamento per nessun altra finalità, in particolare per i propri interessi. Non verranno create copie o duplicati di dati personali senza che il Titolare ne sia a conoscenza.
5.3 Il Responsabile garantisce, nell'ambito di un trattamento di dati personali conforme alle direttive, un'esecuzione conforme al contratto di tutte le misure concordate. Garantisce che i dati trattati per il Titolare siano rigorosamente separati dagli altri dati.
5.4 Nel rispetto dei diritti delle persone interessate da parte del Titolare ai sensi dell'articolo 12-22 del GDPR, nella compilazione degli elenchi delle attività di trattamento e nell'esecuzione delle necessarie valutazioni di impatto sulla protezione dei dati da parte del Titolare, il Responsabile deve collaborare nella misura necessaria e deve fornire adeguato sostegno al Titolare. (articolo 28 (3) (2) (e) e (f) del GDPR).
5.5 Se ad avviso del Responsabile, una direttiva emessa dal Titolare dovesse violare le disposizioni di legge (articolo 28, paragrafo 3, frase 3 GDPR), il Responsabile è autorizzato a sospendere l'esecuzione delle istruzioni corrispondenti fino a quando esse non siano state confermate o modificate dal Titolare dopo la verifica.
5.6 Il Responsabile corregge, cancella o limita il trattamento dei dati personali derivanti dal rapporto contrattuale qualora il Titolare lo richieda mediante una direttiva e gli interessi legittimi del Responsabile non siano in conflitto con questa.
5.7 Il Responsabile può fornire informazioni sui dati personali dal rapporto contrattuale a terzi o all'interessato solo previa istruzione o approvazione da parte del Titolare.
5.8 Il Responsabile accetta che il Titolare abbia il diritto, in linea di massima, di verificare l'osservanza delle disposizioni in materia di protezione e sicurezza dei dati e degli accordi contrattuali in modo appropriato e necessario, direttamente o tramite terzi incaricati dal Titolare, in particolare ottenendo informazioni e accesso ai dati memorizzati e ai programmi di trattamento dei dati, nonché attraverso ispezioni e ispezioni in loco (articolo 28, paragrafo 3, frase 2, lettera h GDPR).
5.9 Il trattamento dei dati in abitazioni private (telelavoro o lavoro a casa dei dipendenti del Responsabile) è consentito solo con il consenso del cliente. Laddove i dati vengono elaborati in abitazioni private, al datore di lavoro deve essere garantito tramite contratto, l'accesso a casa del dipendente per fini di controllo. Anche in questo caso devono essere garantite le misure di cui all'articolo 32 del GDPR. Il Responsabile conferma di essere a conoscenza delle prescrizioni sulla protezione dei dati del GDPR rilevanti per la gestione dell'incarico. Entrambe le parti si impegnano inoltre ad osservare le relative prescrizioni in materia di segreto bancario, riservatezza delle telecomunicazioni, protezione dei dati sociali, segreto professionale.
5.10 Il Responsabile si impegna a mantenere la riservatezza nel trattamento dei dati personali del Titolare. Ciò vale anche dopo la fine del contratto.
5.11 Il Responsabile si assicura di portare alla conoscenza dei dipendenti coinvolti nell'esecuzione dei lavori, le disposizioni sulla protezione dei dati che li riguardano prima dell'inizio dell'attività e li impegna a mantenere la riservatezza durante il loro impiego nonché dopo la cessazione del rapporto di lavoro (art. 28 comma 3 capoverso 2 lettera b e articolo 29 GDPR). Il Responsabile vigila sul rispetto del regolamento sulla protezione dei dati nella propria azienda.
Il Responsabile nomina come responsabile della protezione dei dati:
Sig. Jan Schmidt
Supplente: Dr. Jörg Kümmerlen
Secopan GmbH, https://secopan.de/
+49 (0)7152-56958-0, datenschutz@secopan.de
Un cambiamento del Responsabile della protezione dei dati deve essere comunicato immediatamente al Titolare. Se del caso:
Il Responsabile si impegna a informare immediatamente il Titolare circa l'esclusione dai codici di condotta approvati ai sensi dell'articolo 41, paragrafo 4 GDPR e la revoca della certificazione ai sensi dell'articolo 42, paragrafo 7, GDPR.
6. Obblighi di notifica del Responsabile in caso di interruzioni del trattamento e violazioni dei dati personali
6.1 Il Responsabile informa immediatamente il Titolare di eventuali interruzioni, violazioni da parte del Responsabile stesso o di persone da egli impiegate, nonché delle norme sulla protezione dei dati o delle disposizioni adottate nell'incarico, nonché del sospetto di violazioni dei dati o di irregolarità nel trattamento dei dati personali.
6.2 Ciò vale anche in particolare in termini di eventuali obblighi di notifica e rapporto del Titolare ai sensi dell'articolo 33 e dell'articolo 34 del GDPR. Il Responsabile si impegna a sostenere adeguatamente il Titolare nelle sue funzioni di cui agli articoli 33 e 34 GDPR, se necessario (articolo 28 capoverso 3 frase 2 lettera f GDPR). Le notifiche ai sensi dell'articolo 33 o 34 GDPR per il Titolare possono essere fatte dal Responsabile solo in conformità con le istruzioni precedenti al punto 4 di questo contratto.
7. Rapporti di subfornitura con subfornitori (articolo 28, paragrafo 3, frase 2, lettera d) GDPR)
7.1 La designazione da parte del Responsabile di subfornitori per il trattamento dei dati del Titolare, è possibile solo con l'autorizzazione del Titolare stesso attraverso uno dei sopra citati canali di comunicazione (punto 4) ad eccezione dell'autorizzazione verbale. L'approvazione può essere concessa solo se il Responsabile comunica al Titolare il nome e l'indirizzo, nonché l'attività prevista del subfornitore. Inoltre, il Responsabile deve garantire di aver selezionato oculatamente il subfornitore tenendo debitamente conto dell'idoneità delle misure tecniche e organizzative adottate dal subfornitore ai sensi dell'articolo 32 del GDPR. I documenti di prova pertinenti devono essere resi disponibili al Titolare su richiesta.
7.2 La designazione di subfornitore aventi sede in paesi terzi può essere eseguita solo se sono soddisfatti i requisiti speciali di cui all'articolo 44 e seguenti del GDPR (ad esempio, decisione sull'adeguatezza della Commissione, clausole standard sulla protezione dei dati, codici di condotta approvati).
7.3 Il Responsabile deve garantire per contratto che le disposizioni concordate tra il Titolare e il Responsabile si applichino anche ai subfornitori. Nei contratti posti in essere con ogni subfornitore, i dettagli devono essere specificati in modo tale che le responsabilità del Responsabile e del subfornitore siano chiaramente distinte l'una dall'altra. Se vengono utilizzati più subfornitori, ciò vale anche per le responsabilità tra questi subfornitori. In particolare, il Titolare ha il diritto, se necessario, di eseguire controlli e ispezioni appropriate, anche in loco, presso i subfornitori o farli eseguire da terzi incaricati da lui.
7.4 Il contratto con il subfornitore deve essere redatto in forma scritta, anche in formato elettronico (articolo 28, paragrafi 4 e 9, GDPR).
7.5 La trasmissione di dati al subfornitore è consentita solo se il subfornitore ha adempiuto agli obblighi di cui all'articolo 29 e all'articolo 32 capoverso 4 GDPR riguardo ai propri dipendenti.
7.6 Il Responsabile deve verificare il rispetto degli obblighi del/dei subfornitore/i a intervalli regolari.
7.7 Il risultato dei controlli deve essere documentato e reso disponibile al Titolare su richiesta.
7.8 Il Responsabile è responsabile nei confronti del Titolare nel garantire che il subfornitore rispetti gli obblighi di protezione dei dati contrattualmente imposti dal Responsabile, conformemente alla presente sezione del contratto.
7.9 Allo stato attuale, i subfornitori indicati nell'allegato Appendix SUB con nome, l'indirizzo e il contenuto dell'incarico sono impegnati nel trattamento dei dati personali nella misura in esso specificata. Il Titolare approva la loro designazione.
7.10 Il Responsabile del trattamento informa sempre il Titolare del trattamento di qualsiasi modifica prevista in relazione all'inserimento di nuovi subfornitori o alla sostituzione di quelli esistenti, dando così al Titolare la possibilità di opporsi a tali modifiche (articolo 28 comma 2 frase 2 GDPR ).
8. Misure tecniche e organizzative ai sensi dell'articolo 32 DS-GVO (articolo 28, paragrafo 3, frase 2, lettera c), GDPR)
8.1 Ai fini dell’attuazione del presente contratto, viene fornito un livello adeguato di protezione dei rischi per i diritti e le libertà delle persone fisiche interessate dal trattamento. A tal fine, gli obiettivi di protezione di cui all'articolo 32, paragrafo 1, del GDPR, quali la riservatezza, l'integrità e la disponibilità dei sistemi e dei servizi e la loro solidità in termini di natura, portata, contesto e finalità del trattamento sono presi in considerazione in modo tale da adottare misure correttive tecniche e organizzative adeguate che riducano permanentemente il rischio.
La selezione delle misure tecniche e organizzative descritte nell'appendice Appendix TOM sono adeguate al rischio identificato, tenendo conto degli obiettivi di protezione secondo lo stato dell'arte in dettaglio e con particolare attenzione ai sistemi IT e ai processi di trattamento utilizzati dal Responsabile.
Il Responsabile procede a una revisione, analisi e valutazione dell'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento occasionalmente (articolo 32, paragrafo 1, lettera d), del GDPR). Il risultato può essere comunicato al Titolare su richiesta da quest’ultimo.
8.2 Per motivi di sicurezza, le decisioni importanti sull'organizzazione del trattamento dei dati e le procedure utilizzate devono essere concordate tra il Responsabile e il Titolare.
8.3 Se le misure adottate dal Responsabile non soddisfano i requisiti posti dal Titolare, egli ne informa immediatamente il Titolare.
8.4 Le misure adottate dal Responsabile possono essere adattate allo sviluppo tecnico e organizzativo nel corso del contratto, ma non devono scendere al di sotto degli standard concordati.
8.5 Modifiche significative devono essere concordate tra il Responsabile e il Titolare in forma documentata (scritta, elettronica). Tali consultazioni devono essere conservate per la durata del presente contratto.
8.6 Il Responsabile garantisce l'osservanza delle misure tecniche e organizzative specificate nell'allegato (MTO), che fanno parte del presente accordo.
9. Obblighi del Responsabile dopo la risoluzione del contratto, Art. 28 comma 3 frase 2 lett. g GDPR
Dopo la risoluzione del contratto, il Titolare deve informare il Responsabile se i dati devono continuare a essere detenuti a causa di obblighi legali esistenti del Titolare, o deve essere effettuata una cancellazione immediata.
10. Responsabilità
Si fa riferimento all'articolo 82 del GDPR.
11. Responsabilità congiunta
Ai sensi dell'articolo 26 (2) GDPR, segnaliamo la responsabilità congiunta del trattamento dei dati da parte di AlfaDocs GmbH e AlfaDocs Italia srl.
12. Varie
12.1 Gli accordi sulle misure tecniche e organizzative, nonché i documenti di controllo e di esame (compresi i subfornitori) devono essere conservati da entrambe le parti contraenti per la loro validità e successivamente per tre anni solari completi.
12.2 Per gli accordi accessori, è richiesta la forma scritta o un formato elettronico documentato.
12.3 Nel caso in cui la proprietà o il trattamento dei dati personali del Titolare da parte del Responsabile siano messe in pericolo da misure attuate da terzi (ad esempio mediante fermo o sequestro), da procedure di fallimento o di concordato o da altri eventi, il contraente deve informare immediatamente il cliente.
12.4 L'eccezione che riguarda il diritto di ritenzione ai sensi delladisciplina applicabile al presente contratto è escluso per quanto riguarda i dati trattati per il Titolare e i supporti di memorizzazione dati associati.
12.5 Se singole parti di questo accordo dovessero essere non valide, ciò non pregiudica in ogni caso la validità dell'accordo.