Accordo del responsabile del trattamento dei dati personali

Versione 23/02/2021

Versione precedente

Introduzione

  • AvaiBook avrà accesso ai dati personali in possesso del Titolare o del Gestore, del Portale e/o del Partner (a seconda dei casi) (il "Cliente") nell'ambito dei servizi contrattati (il Contratto)
  • Di conseguenza, resulta necessario disciplinare gli obblighi assunti nel Contratto in materia di protezione dei dati in conformità con ciò che è previsto nel Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 di aprile del 2016 ("GPD") e nella Legge Organica 3/2018, del 5 di dicembre, di Protezione dei Dati Personali e garanzia dei diritti digitali ((LOPD-GDD).
  • Per quei contratti sottoscritti prima del 25 maggio 2018, il regolamento sulla protezione dati del Contratto si considera sostituito dal presente accordo sul trattamento dei dati.
  • Per i contratti sottoscritti dopo il 25 maggio 2018. gli obblighi in materia di protezione dei dati saranno disciplinati dal presente accordo sul trattamento dei dati (l"Accordo"), di cui all'articolo 28 gdpR e LOPD-GDD e in particolare dalle seguenti clausole

Oggetto

Il Cliente, in qualità di responsabile del trattamento dei dati personali, rende disponibile AvaiBook:

  • Dati identificativi dei viaggiatori in possesso di una prenotazione (nomi, cognomi, indirizzi, telefoni, documenti d'identità (carta d'identità, passaporto), fotografie, indirizzi email e altri dati configurati per registrare i clienti)
  • Dati identificativi degli ospiti (nomi, cognomi, indirizzi, telefoni, documenti d'identità (carta d'identità, passaporto), fotografie, indirizzi email e altri dati configurati per registrare i clienti)
  • Informazioni relative alle operazioni di pagamento elaborate tramite AvaiBook (se il cliente utilizza AvaiBook per gestire tali operazioni)
  • Dati di prenotazioni effettuate negli alloggi del Cliente dai viaggiatori e i loro ospiti, incluse le date di arrivo e partenza
  • Firme digitalizzate di viaggiatori e ospiti durante la registrazione dei viaggiatori

Allo stesso modo, l'erogazione dei servizi da parte di AvaiBook implica i seguenti trattamenti: raccolta, registrazione, strutturazione, conservazione, consultazione, comunicazione, diffusione, interconnessione, soppressione, distruzione, conservazione.

Durata

Per i Contratti firmati prima del 25 maggio 2018, l'Accordo entrerà in vigore il 25 maggio 2018.

Per i contratti con una data successiva, l'Accordo entrerà in vigore alla data della loro accettazione

In entrambi i casi rimarrà in vigore fino a quando il Contratto rimarrà in vigore.

Obblighi di AvaiBook in qualità di titolare del trattamento

AvaiBook dichiara che:

  • Dispone della capacità tecnica sufficiente per adempiere agli obblighi previsti dal contratto in relazione alla normativa sulla protezione dei dati personali e può impegnarsi, nella misura in cui la fornitura dei servizi lo richieda, a rispettare i requisiti della RGPD.
  • Essa manterrà la segretezza e la riservatezza dei dati personali del cliente a cui avrà accesso e li tratterà esclusivamente per conto del cliente.
  • Utilizzerà questi dati esclusivamente per l'erogazione di servizi e non li utilizzerà o li applicherà in alcun modo per scopi diversi da quelli per cui sono stati creati. Nel caso in cui il cliente richieda un trattamento che eccede la prestazione del servizio, lo dettaglierà per iscritto attraverso le istruzioni corrispondenti.
  • Non comunicherà a terzi, neppure per la sua conservazione, i dati a cui ha accesso in virtù della fornitura di servizi, né l'elaborazione, la valutazione o simili processi effettuati con tali dati, né duplicherà o riprodurrà in tutto o in parte le informazioni, i risultati o le relazioni su tali dati, salvo nei casi in cui sia legalmente richiesto.
  • Egli mette a disposizione del cliente le informazioni necessarie per dimostrare il rispetto dei suoi obblighi, nonché per l'esecuzione di revisioni o ispezioni ragionevolmente eseguite dal cliente o da un altro revisore per suo conto.
  • Se necessario per legge, sarà nominato un responsabile della protezione dei dati, o un responsabile della gestione di quest'area e del rispetto della legislazione sulla protezione dei dati, e comunicherà la vostra identità e i vostri dati di contatto al cliente.
  • I soggetti autorizzati al trattamento dei dati personali su AvaiBook si impegnano espressamente per iscritto a rispettare la riservatezza e le relative misure di sicurezza. AvaiBook fornirà la necessaria formazione in materia di protezione dei dati personali alle persone autorizzate.
  • Essa fornisce al cliente il necessario supporto nello svolgimento delle valutazioni d'impatto e delle consultazioni preliminari con l'autorità di vigilanza, ove opportuno e ragionevolmente necessario.
  • Nel caso in cui AvaiBook ritenga che il rispetto di una particolare istruzione del cliente possa comportare una violazione di RGPD o di qualsiasi altra norma applicabile che possa modificarla o integrarla, AvaiBook informerà immediatamente il cliente e chiederà a quest'ultimo di ritirare, modificare o confermare la relativa istruzione. AvaiBook potrà sospendere l'applicazione della relativa istruzione in attesa della decisione del cliente in merito al ritiro, alla modifica o alla conferma della stessa.
  • Al termine della fornitura dei servizi, e su richiesta del cliente, distruggerà, secondo le istruzioni del cliente e se tecnicamente possibile, i dati personali a cui ha avuto accesso, così come i documenti o supporti su cui sono memorizzati tutti questi dati. Specialmente per essere restituiti: (i) i dati inclusi nei file sotto la responsabilità del cliente, che il cliente ha messo a disposizione di AvaiBook a seguito della fornitura dei servizi; (ii) qualsiasi dato che possa essere stato generato a seguito del trattamento dei dati da parte di AvaiBook sotto la responsabilità del cliente; e (iii) qualsiasi supporto o documento su cui uno qualsiasi di questi dati sono contenuti. I dati non verranno distrutti in caso di obbligo legale di conservazione, nel qual caso AvaiBook provvederà a restituirli al cliente, che dovrà provvedere alla loro conservazione.
  • Essa metterà in atto i meccanismi necessari a tal fine: (i) garantire la continuità della riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento; (ii) ripristinare la disponibilità e l'accesso ai dati in caso di incidenti fisici o tecnici; (iii) verificare, valutare e valutare periodicamente l'efficacia delle misure tecniche e organizzative attuate per garantire la sicurezza del trattamento; (iv) pseudonimizzare e cifrare i dati, se del caso.
  • In qualità di responsabile del trattamento, egli riferisce senza indebito ritardo, e in ogni caso prima della scadenza del termine di 24 ore e via e-mail, di ogni caso sospetto o confermato di violazione della protezione dei dati, di ogni trattamento che possa essere considerato illegale o non autorizzato, di ogni perdita, distruzione o danneggiamento dei dati personali nell'area di responsabilità di AvaiBook (causati da AvaiBook, dal suo personale, agenti o subappaltatori) e qualsiasi incidente che possa essere considerato una violazione della sicurezza dei dati, insieme a tutte le informazioni rilevanti per la documentazione e la comunicazione dell'incidente alle autorità o alle parti interessate. Assisterà inoltre il cliente, in caso di violazione della sicurezza dei dati personali, nel garantire il rispetto degli obblighi di notifica di una violazione della sicurezza dei dati personali ai sensi della RGPD (in particolare, gli articoli 33 e 34 della RGPD) e di qualsiasi altra norma applicabile che possa modificare, integrare o essere emanata in futuro.
  • Assisterà il Cliente quando richiesto con una ragionevole richiesta, fornendogli le informazioni e/o la documentazione necessarie per una risposta adeguata all'esercizio dei diritti di accesso, rettifica, soppressione, opposizione, limitazione del trattamento e/o della portabilità dei dati che possa ricevere dagli interessati, il tutto entro un ragionevole periodo di tempo.
  • Nei casi in cui AvaiBook riceva direttamente una richiesta di accesso, rettifica, cancellazione, opposizione, limitazione del trattamento e/o della portabilità da parte dell'interessato, titolare dei dati oggetto di trattamento, si impegna a inoltrare immediatamente la richiesta al cliente, affinché questi possa rispondervi entro i termini di legge.
  • L'utente non esternalizza i servizi a terzi a meno che non si tratta di servizi accessori di cui AvaiBook ha bisogno per fornire correttamente i propri servizi, ad esempio:
    1. elaborazione dei pagamenti tramite un gateway di pagamento;
    2. cloud storage;
    3. Gestione della registrazione dei viaggiatori Avaibook/Fast Check-in;

    Potete trovare l'elenco attuale dei sottoprocessori del trattamento qui

  • Nel caso in cui AvaiBook debba incaricare una nuova elaborazione, informerà il cliente dei servizi e trattamenti che intende subappaltare, dell'identità del subfornitore e dei suoi dati di contatto Il presente avviso dovrà essere effettuato per iscritto da AvaiBook con almeno venti giorni lavorativi di preavviso rispetto alla data della firma del subappalto. Il subappalto potrà essere realizzato se il Cliente non manifesta la sua opposizione entro venti giorni dalla notifica.
  • Non effettuerà trasferimenti internazionali di dati personali ai quali il cliente ha accesso, a meno che non abbia la previa autorizzazione scritta del cliente o non sia debitamente regolarizzato.
  • Essa dispone di una descrizione generale delle misure di sicurezza tecniche e organizzative relative a (i) la pseudonimizzazione e la cifratura dei dati personali, se del caso; (ii) la capacità di garantire in permanenza la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; (iii) la capacità di ripristinare la disponibilità dei dati personali e l'accesso agli stessi in caso di incidente fisico o tecnico; (iv) il processo di verifica, valutazione e verifica periodiche dell'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.
  • Essa attua tutte le misure tecniche e organizzative nel settore della sicurezza applicabili conformemente alle disposizioni della DGP (in particolare, ma non esclusivamente, a quelle dell'articolo 32) e a qualsiasi altra regolamentazione applicabile che la modifichi, la integri o la sostituisca. Le misure di sicurezza possono essere aggiornate se richiesto da eventuali regolamenti futuri che possono essere emanati, e se questo influisce sui costi dei servizi appaltati in modo pertinente, le parti concordano le misure appropriate per risolvere la situazione.

    Le misure di sicurezza a disposizione di AvaiBook sono le seguenti:

    • Dispone di un sistema per la designazione degli utenti e delle password dei propri lavoratori, sia per i propri sistemi che per i sistemi di terze parti, con il quale l'accesso è limitato in base ai profili utente; tramite password personalizzate per l'assegnazione e l'accesso degli utenti.
    • Ha informato il suo personale dei loro diritti e doveri in merito al trattamento di dati di terze parti.
    • Ha un elenco aggiornato di profili e autorizzazioni dei suoi utenti, sia per i propri sistemi che per quelli di terze parti.
    • Possiede un sistema di registro degli errori, cosí come il protocollo da seguire nel caso in cui l'errore si produca sia in forma interna che per il Cliente, utenti o organo di supervisione.
    • Adotterà le misure appropriate per il trasferimento di mezzi di comunicazione, propri o terzi, se del caso.
    • Ha sistemi di identificazione per i mezzi con cui lavora.
    • Hai un circuito di backup dei sistemi informatici su base giornaliera.
    • Ha un circuito di recupero dati.
    • È stato nominato responsabile della protezione dei dati, che può essere contattato al seguente indirizzo: dpo@avaibook.com
    • Ha condotto o controllato la protezione dei dati ogni due anni.
    • Possiede un sistema di registrazione di input e output di richieste di assistenza che possono contenere dati personali sensibili e che è conforme con i parametri della legge.
    • Possiede un acceso non autorizzato limitato ai suoi sistema informatici, perché ha aree sicure, con acceso limitatosia físico che logico..
    • Nel suo circuito e registro di errori, si permette inoltre di registrare il proceso di recupero dei dati, d'accordo con i parametri della normativa.

Divieto di altri usi

AvaiBook sarà ritenuta responsabile del trattamento nel caso in cui utilizzi i dati per altri scopi, li comunichi o li utilizzi in violazione delle disposizioni del Contratto, ed è responsabile per eventuali violazioni da essa personalmente subite.

Compromessi e obblighi del cliente

Il cliente accetta di compiere con tutte le misure tecniche e organizzative necessarie per garantire la sicurezza dei dispositivi, sistemi, programmi in cui si immagazzinano o si trattano i dati oggetto di incarico.

Il cliente è responsabile delle garanzie degli interessati, come i diritti di accesso, rettifica, cancellazione e opposizione.

Informazione dei firmatari

AvaiBook tratterà i dati personali relativi alla persona che sottoscrive il Contratto sulla base del suo legittimo interesse, e con il solo scopo di garantire il mantenimento del nostro rapporto contrattuale e per la durata dello stesso, potendoli tenere successivamente bloccati durante i periodi derivati dalla prescrizione delle azioni legali relative a questo trattamento. Gli interessati possono in qualsiasi momento esercitare i loro diritti di accesso, rettifica, cancellazione, limitazione dell'elaborazione e dell'opposizione contattando AvaiBook all'indirizzo e-mail privacy@avaibook.com. Inoltre, è possibile contattare l'autorità competente per far valere i propri diritti. I dati dei firmatari non saranno trasferiti a terzi e potranno essere consultati da fornitori di servizi nei settori della tecnologia e dei sistemi di AvaiBook.