1. Ambito e ruoli – e come entrarvi
Quando il tuo maneggio esegue le sue operazioni su Nose, tu (il maneggio) sei il responsabile del trattamento per il cavaliere e i dati operativi che inserisci e horsenose è il tuo responsabile del trattamento: gestiamo tali dati solo in base alle tue istruzioni documentate. Il presente Accordo sul trattamento dei dati (DPA) è il contratto ai sensi dell'articolo 28 GDPR che regola tale rapporto.
Il DPA è parte dei tuoi Termini di servizio: lo accedi automaticamente quando accetti i Termini e non c'è niente di separato da firmare. Per quanto riguarda i dati del tuo account e di contatto, i dati dei nostri siti di marketing, le analisi basate sul consenso e i dati di sicurezza, horsenose è il titolare del trattamento a pieno titolo (vedi Informativa sulla privacy → "Chi è responsabile").
2. Cosa facciamo con i tuoi dati – solo secondo le tue istruzioni
Elaboriamo i dati personali dei tuoi membri per fornire il Servizio e nient'altro: creando e isolando il tuo tenant; creare record di cavalieri, clienti e partecipanti per tuo conto; programmazione delle corse e registrazione delle presenze; gestione pacchetti lezioni e buoni regalo; registrare come ha pagato un cavaliere (le etichette contanti/pacchetto/buono regalo/bonifico e, quando attivi i pagamenti online, un resoconto di ogni pagamento online o ricarica del saldo per tuo conto — i fondi e i dati della carta sono gestiti da Stripe sul tuo account Stripe, mai da horsenose); calcolo dei guadagni degli insegnanti; invio degli annunci unidirezionali da te avviati; dare a ogni membro una visione self-service delle proprie prenotazioni; e il supporto, la prevenzione degli abusi e la registrazione degli audit necessari per gestire tutto ciò.
Non utilizziamo i tuoi dati per i nostri scopi, non li vendiamo o li condividiamo per la pubblicità e non li utilizziamo per addestrare modelli di intelligenza artificiale o di apprendimento automatico.
Confermi di avere una base legale ai sensi dell'articolo 6 GDPR (e, se pertinente, dell'articolo 9 o dell'articolo 8 GDPR) per ogni istruzione che ci fornisci e ogni dato personale che inserisci in Nose, di aver fornito ai tuoi membri le comunicazioni richieste dagli Articoli 13 e 14 GDPR e che le tue istruzioni non ci porteranno a infrangere la legge.
3. Bambini
Le scuole di equitazione insegnano ai bambini, quindi Nose è progettato per conservare i dati dei bambini per tuo conto, in genere un bambino inserito come partecipante alla lezione da un genitore che è tuo cliente. Sei responsabile della base legale e di qualsiasi consenso o autorità dei genitori richiesta, anche ai sensi dell'articolo 8 GDPR; laddove fai affidamento sul consenso di un bambino, confermi di aver compiuto sforzi ragionevoli per verificare l'autorità genitoriale. Manteniamo al minimo ciò che si pensa di un bambino (in genere un nome e le lezioni frequentate) e non commercializziamo né indirizziamo mai il Servizio ai bambini.
4. Riservatezza, sicurezza e sub-responsabili del trattamento
Tutti coloro che hanno accesso ai tuoi dati sono vincolati alla riservatezza e applichiamo le misure tecniche e organizzative descritte nella nostra pagina Sicurezza e affidabilità, inclusa la sicurezza a livello di riga applicata al database che definisce l'ambito dei dati di ogni maneggio a quel maneggio, TLS in transito, crittografia dei dati inattivi e un registro di controllo di sola aggiunta.
Utilizziamo un piccolo insieme di sub-responsabili controllati per eseguire il Servizio; l'elenco attuale, con lo scopo, la regione e il meccanismo di trasferimento di ciascuno, si trova in Sub-responsabili e in Informativa sulla privacy → "Condivisione - sub-responsabili". Prima di aggiungerne o sostituirne uno, diamo un preavviso di almeno 15 giorni (via e-mail all'indirizzo dell'account del maneggio o all'interno del prodotto) - prima solo laddove la sicurezza o la continuità del servizio lo richiedono realmente, nel qual caso ti informiamo non appena ragionevolmente possibile e puoi comunque opporti entro 15 giorni da tale avviso. Se ti opponi e non riusciamo a risolvere il problema, puoi risolvere la parte interessata del Servizio - o l'intero contratto se il sub-responsabile è essenziale per esso - con un rimborso proporzionale delle tariffe prepagate per il periodo non utilizzato. Vincoliamo ogni sub-responsabile a obblighi di protezione dei dati almeno altrettanto protettivi di questo DPA e rimaniamo pienamente responsabili nei tuoi confronti per le loro prestazioni.
Operiamo su più di una regione e aggiungiamo regioni man mano che cresciamo; la regione primaria attuale di ciascun sub-responsabile del trattamento si trova nella pagina Sub-responsabili e può cambiare man mano che ci espandiamo. Oggi la maggior parte del trattamento avviene nel SEE, con alcuni componenti al di fuori di esso. Per ogni trasferimento tra regioni facciamo affidamento su un meccanismo appropriato — lo Standard Contractual Clauses dell'UE, l'EU–U.S. Data Privacy Framework (e la sua UK Extension), l'addendum sul trasferimento internazionale dei dati del Regno Unito laddove si applica lo GDPR del Regno Unito, o l'equivalente richiesto da un'ulteriore regione — come indicato nella pagina Sub-responsabili.
5. Audit
Su richiesta, ti forniremo ciò di cui hai bisogno per dimostrare la nostra conformità all'articolo 28 GDPR come primo passo: la nostra pagina Sicurezza e affidabilità, questo DPA, i rapporti di terze parti pertinenti dei nostri sub-responsabili del trattamento laddove siamo autorizzati a condividerli e le risposte scritte a ragionevoli questionari sulla sicurezza e sull'elaborazione. Se ciò non bastasse, concorderemo con te l'ambito, i tempi e la conduzione di un ulteriore controllo o ispezione, con un preavviso di almeno 30 giorni (prima solo dopo un incidente di sicurezza o un ordine dell'autorità di vigilanza), non più di una volta all'anno solare (tranne dopo una violazione che ha interessato i tuoi dati o laddove un'autorità di vigilanza lo richieda), durante il nostro normale orario lavorativo e senza interruzioni irragionevoli del Servizio per altri maneggi. Coprirai il costo ragionevole di tale ulteriore audit, a meno che non riveli una violazione materiale del presente DPA da parte nostra, nel qual caso copriremo i nostri costi di cooperazione.
6. Diritti dei tuoi membri e violazione dei dati
Se uno dei tuoi membri esercita un diritto GDPR (accesso, correzione, cancellazione e così via), sei tu a decidere la risposta: sei il suo titolare del trattamento. Ti assistiamo e ti inoltriamo qualsiasi richiesta che ci pervenga; non lo decidiamo noi stessi (articolo 28, paragrafo 3, lettera e), GDPR).
Se venissimo a conoscenza di una violazione dei dati personali che riguarda i tuoi dati, ti informeremo senza indebito ritardo in modo che tu possa adempiere ai tuoi obblighi ai sensi degli articoli 33–34 GDPR.
Se un'istruzione che ci fornisci potrebbe, a nostro avviso, violare la GDPR o altre leggi sulla protezione dei dati, te lo informeremo prima di agire di conseguenza. Tenendo conto della natura del trattamento e delle informazioni a nostra disposizione, ti assisteremo ragionevolmente anche nelle valutazioni d'impatto sulla protezione dei dati e nelle consultazioni preventive con un'autorità di controllo (articoli 35-36 GDPR) laddove riguardino il trattamento su Nose.
7. Conservazione, restituzione ed eliminazione dei tuoi dati
Conserviamo i tuoi dati per la vita del tuo account attivo, perché un maneggio ha bisogno della propria cronologia per funzionare. Quando un singolo membro viene cancellato, eliminiamo i suoi identificatori diretti dopo un periodo di grazia reversibile di 30 giorni (pseudonimizzazione ai sensi dell'articolo 4(5) GDPR), lasciando linee finanziarie e didattiche non identificate nei tuoi libri in modo che possano riconciliarsi.
L'archiviazione o la chiusura di un maneggio avvia automaticamente una finestra di offboarding reversibile di 90 giorni. Al suo interno è possibile ripristinare il maneggio e su richiesta è disponibile un'esportazione completa; al termine, i tuoi dati verranno conservati per un massimo di 90 giorni in totale e poi verranno eliminati automaticamente. I tuoi registri legali (ad esempio, i registri contabili/IVA polacchi di 5 anni) sono tuoi da conservare: horsenose non ha alcun obbligo indipendente di conservare i dati personali del cavaliere per cinque anni, quindi esporta ciò di cui hai bisogno prima che la finestra si chiuda.
8. Responsabilità, ordine di precedenza e sopravvivenza
La nostra responsabilità ai sensi del presente DPA segue i limiti e le esclusioni dei Termini di servizio, tranne nella misura in cui la legge non consente che siano limitati, inclusi gli Articoli 82–83 GDPR. Se il presente DPA e i Termini dell'utente sono in conflitto sulla modalità di trattamento dei dati personali, prevale il presente DPA; se questo DPA è in conflitto con lo Standard Contractual Clauses su cui facciamo affidamento per un trasferimento, prevalgono gli SCC. Questo DPA dura finché trattiamo i tuoi dati per tuo conto; le parti che devono continuare ad essere applicate successivamente (riservatezza, notifica di violazione per qualsiasi cosa scoperta in seguito, conservazione/restituzione/eliminazione dei tuoi dati, controlli per il periodo precedente alla tua partenza e questa sezione) sopravvivono alla sua fine.
9. Ciò che compone questo DPA
Questa pagina indica i termini operativi del DPA. Insieme alla pagina Sicurezza e fiducia (le nostre misure tecniche e organizzative), alla pagina Sub-responsabili (l'elenco dei sub-responsabili autorizzati) e ai dettagli del trattamento sopra descritti, forma l'accordo completo sul trattamento dei dati tra il tuo maneggio e horsenose: non c'è niente di separato da firmare. Laddove un trasferimento transfrontaliero li richieda, si applicano gli Standard Contractual Clauses UE incorporati negli accordi dei nostri subresponsabili del trattamento (insieme all'addendum del Regno Unito o a un meccanismo equivalente laddove un'altra giurisdizione lo richieda). Se hai bisogno di una copia controfirmata o di un record di elaborazione dettagliato per la tua documentazione di responsabilità, scrivi a support@horsenose.eu e te ne forniremo uno.