ai sensi dell'art. 28 GDPR
Versione: aprile 2026
La presente traduzione ha scopo puramente informativo. Ai fini legali fa fede esclusivamente la versione tedesca. Alla versione tedesca
Il presente accordo sul trattamento dei dati per conto del titolare (di seguito «AVV») concretizza gli obblighi in materia di protezione dei dati delle parti contraenti derivanti dal contratto di utilizzo della piattaforma RIKE concluso tra le stesse (di seguito «Contratto principale»). Esso si applica a tutte le attività nelle quali la Vegvísir GmbH (di seguito «Responsabile del trattamento») tratta su incarico dati personali del cliente (di seguito «Committente» o «Titolare del trattamento»).
(1) Oggetto del trattamento per conto del titolare è la messa a disposizione della piattaforma SaaS cloud RIKE per la gestione di membri, eventi, documenti, comunicazione e altri processi legati ad associazioni e Club, conformemente al Contratto principale.
(2) La durata del trattamento corrisponde alla durata del Contratto principale. Essa inizia con la messa a disposizione della Piattaforma e termina con la fine del contratto, al più tardi tuttavia con la cancellazione definitiva di tutti i dati del Committente ai sensi del § 10 del presente AVV.
Natura del trattamento: raccolta, memorizzazione, strutturazione, adattamento, consultazione, trasmissione, cancellazione, limitazione e altre operazioni connesse alla messa a disposizione della Piattaforma.
Finalità del trattamento: consentire al Committente l'utilizzo della piattaforma RIKE conforme al contratto per l'organizzazione e la gestione del proprio Club o della propria associazione.
Tipologie di dati personali:
Categorie di interessati:
Le categorie particolari di dati personali ai sensi dell'art. 9 GDPR non sono oggetto del trattamento per conto del titolare. Il Committente è tenuto a non inserire tali dati nella Piattaforma senza previo accordo e senza misure tecniche di protezione aggiuntive.
(1) Il Responsabile del trattamento tratta i dati personali esclusivamente nel quadro degli accordi presi e secondo le istruzioni documentate del Committente, salvo che sia obbligato per legge a un trattamento diverso. In tal caso il Responsabile del trattamento comunica al Committente tali requisiti giuridici prima del trattamento, a meno che il diritto applicabile non vieti tale comunicazione per rilevanti motivi di interesse pubblico.
(2) Il Responsabile del trattamento informa senza indugio il Committente qualora ritenga che un'istruzione violi le disposizioni in materia di protezione dei dati. Il Responsabile del trattamento è autorizzato a sospendere l'esecuzione dell'istruzione in questione finché essa non venga confermata o modificata dal Committente.
(3) Il Responsabile del trattamento garantisce che le persone autorizzate al trattamento si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di segretezza.
(4) Il Responsabile del trattamento attua le misure tecniche e organizzative descritte al § 5 ai sensi dell'art. 32 GDPR e le mantiene per tutta la durata del contratto.
(5) Il Responsabile del trattamento assiste il Committente, nei limiti delle proprie possibilità, nell'evasione delle richieste e nell'esercizio dei diritti degli interessati ai sensi del Capo III del GDPR nonché nel rispetto degli obblighi di cui agli artt. 32-36 GDPR.
(6) Il Responsabile del trattamento ha nominato un responsabile della protezione dei dati esterno, ove richiesto dalla legge. I dati di contatto vengono comunicati al Committente su richiesta.
(1) Nell'ambito del presente contratto il Committente è l'unico responsabile del rispetto delle disposizioni di legge in materia di protezione dei dati, in particolare della liceità della trasmissione dei dati al Responsabile del trattamento nonché della liceità del trattamento dei dati («Titolare del trattamento» ai sensi dell'art. 4 n. 7 GDPR).
(2) Il Committente impartisce le proprie istruzioni di norma per iscritto o in forma testuale (ad es. via e-mail a support@rike.club). Le istruzioni verbali devono essere confermate senza indugio per iscritto o in forma testuale.
(3) Il Committente indica al Responsabile del trattamento le persone autorizzate a impartire istruzioni. In caso di dubbio, si considerano autorizzati a impartire istruzioni gli utenti registrati nel sistema come amministratori.
(4) Il Committente informa senza indugio il Responsabile del trattamento qualora rilevi errori o irregolarità in relazione al trattamento di dati personali da parte del Responsabile del trattamento.
Il Responsabile del trattamento garantisce, ai sensi dell'art. 32 GDPR, la sicurezza del trattamento mediante misure tecniche e organizzative adeguate. Queste comprendono in particolare:
1. Riservatezza
2. Integrità
3. Disponibilità e resilienza
4. Procedure di verifica, valutazione ed esame periodici
La versione aggiornata delle TOM viene messa a disposizione del Committente su richiesta in forma dettagliata. Il Responsabile del trattamento è autorizzato ad adeguare le TOM nell'ambito dell'evoluzione tecnica, purché non venga ridotto il livello di protezione concordato nel presente AVV.
(1) Il Committente acconsente all'impiego dei sub-responsabili del trattamento di seguito indicati:
| Nome | Sede | Prestazione |
|---|---|---|
| Vercel Inc. | USA (data center UE a Francoforte) | Web hosting, edge delivery |
| Supabase Inc. | Singapore (data center UE a Francoforte) | Database, autenticazione, archiviazione file |
| Stripe Payments Europe, Ltd. | Irlanda | Elaborazione dei pagamenti |
| Resend, Inc. | USA | E-mail transazionali |
| Anthropic PBC | USA | Assistente IA (solo nel piano Platin) |
(2) Il Responsabile del trattamento ha stipulato con tutti i sub-responsabili indicati contratti ai sensi dell'art. 28 GDPR che assicurano un livello di protezione comparabile a quello del presente AVV. Per i trasferimenti verso paesi terzi sono in essere clausole contrattuali standard della Commissione UE ai sensi dell'art. 46 GDPR, unitamente a garanzie supplementari.
(3) Il Responsabile del trattamento informa il Committente in forma testuale con congruo anticipo prima dell'aggiunta o della sostituzione di un sub-responsabile del trattamento (ad es. via e-mail all'indirizzo amministratore registrato o mediante avviso nella Piattaforma). Il Committente può opporsi alla modifica in forma testuale entro 14 giorni dal ricevimento della comunicazione, per fondati motivi attinenti alla protezione dei dati.
(4) Qualora il Committente si opponga fondatamente, il Responsabile del trattamento è autorizzato a risolvere il contratto con un preavviso di 30 giorni, ove non sia possibile raggiungere una soluzione concordata.
(5) Non costituiscono rapporti di subappalto ai sensi della presente disposizione le prestazioni di cui il Responsabile del trattamento si avvale presso terzi come prestazioni puramente accessorie (ad es. servizi di telecomunicazione, servizi postali e di trasporto, pulizie, personale di manutenzione).
(1) Il Responsabile del trattamento assiste il Committente, per quanto possibile, con misure tecniche e organizzative adeguate nell'adempimento dei diritti degli interessati ai sensi degli artt. 12-22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità dei dati, opposizione).
(2) Qualora un interessato si rivolga direttamente al Responsabile del trattamento per far valere i propri diritti, il Responsabile del trattamento inoltra senza indugio tale richiesta al Committente.
(3) Il Committente mette a disposizione autonomamente le funzioni di accesso, rettifica e cancellazione nell'amministrazione della Piattaforma e le utilizza in autonomia per la gestione dei diritti degli interessati.
(1) Il Responsabile del trattamento informa il Committente senza indugio, e comunque al più tardi entro 48 ore dalla presa di conoscenza, in merito a violazioni della protezione dei dati personali del Committente (art. 33 GDPR).
(2) La notifica contiene almeno:
(3) Il Responsabile del trattamento assiste il Committente nell'adempimento dei suoi obblighi di notifica all'autorità di controllo (art. 33 GDPR) e di comunicazione agli interessati (art. 34 GDPR).
(1) Il Committente ha il diritto di accertarsi del rispetto, da parte del Responsabile del trattamento, degli obblighi derivanti dal presente AVV. A tal fine il Responsabile del trattamento mette a disposizione del Committente, su richiesta, le informazioni necessarie, in particolare:
(2) Qualora, a giudizio del Committente, la presentazione dei suddetti documenti non sia sufficiente, il Committente può far eseguire, una volta all'anno o al ricorrere di un motivo specifico, un controllo in loco da parte di un terzo esperto da lui designato. Il terzo non può essere un concorrente del Responsabile del trattamento e deve essere vincolato alla riservatezza.
(3) I controlli devono essere annunciati in forma testuale con un preavviso di almeno 30 giorni e devono svolgersi durante i normali orari di lavoro, senza compromettere in modo sproporzionato l'attività operativa.
(4) I costi del controllo sono a carico del Committente. Il Responsabile del trattamento è autorizzato a fatturare un compenso adeguato per il proprio impegno.
(1) Al termine del trattamento per conto del titolare – al più tardi con la cessazione del Contratto principale – il Responsabile del trattamento mette a disposizione del Committente per 30 giorni, tramite la Piattaforma, un'esportazione dei suoi dati in un formato comune e leggibile da una macchina (ad es. JSON/CSV).
(2) Decorso il termine di esportazione, il Responsabile del trattamento cancella in modo conforme alla protezione dei dati e irrevocabile tutti i dati personali trattati nell'ambito del Contratto principale, comprese le eventuali copie presso i sub-responsabili del trattamento, salvo che obblighi di conservazione previsti dalla legge non ostino alla cancellazione.
(3) I dati di backup vengono cancellati nell'ambito della normale rotazione dei backup, al più tardi tuttavia entro 90 giorni dalla fine del contratto.
(4) Su richiesta, la cancellazione viene confermata al Committente per iscritto o in forma testuale.
Per la responsabilità delle parti si applicano per analogia le disposizioni del Contratto principale, salvo quanto diversamente disciplinato nel presente AVV. Resta impregiudicato l'art. 82 GDPR.
(1) Il presente AVV integra il Contratto principale. Qualora singole disposizioni del presente AVV siano o diventino inefficaci, resta impregiudicata l'efficacia delle restanti disposizioni. In luogo della disposizione inefficace si considera concordata quella disposizione efficace che più si avvicina al senso e allo scopo della disposizione inefficace.
(2) In caso di contrasto tra il presente AVV e il Contratto principale prevalgono le disposizioni del presente AVV, nella misura in cui riguardino aspetti di protezione dei dati.
(3) Si applica il diritto della Repubblica Federale di Germania. Foro esclusivo è Amburgo.
Il presente AVV diventa automaticamente parte integrante del contratto con la conclusione del Contratto principale (ordine di un piano a pagamento tramite la piattaforma rike.club). Non è necessaria una sottoscrizione separata; il Committente accetta il presente AVV in modo concludente con la conclusione del Contratto principale.
Su richiesta, il Responsabile del trattamento mette a disposizione una versione del presente AVV firmata separatamente. Per richieste in merito si prega di scrivere a support@rike.club.
Vegvísir GmbH
Ballindamm 27
20095 Hamburg
Germania
Amministratore: Mark C. Reinold
HRB 178193, Amtsgericht Hamburg
Partita IVA (USt-ID): DE357182449