ADDENDUM SUL TRATTAMENTO DEI DATI

Ultimo aggiornamento 28 maggio 2026

Il presente Addendum sul Trattamento dei Dati ("DPA") costituisce parte integrante, ed è incorporato mediante rinvio, dei Termini di Servizio e di qualsiasi altro accordo scritto o elettronico tra OneCal SHPK ("OneCal", "noi", "ci") e il cliente identificato nell'Account ("Cliente", "Lei") in base al quale forniamo il Servizio (congiuntamente, l'"Accordo").

Il presente DPA disciplina il Trattamento dei Dati personali da parte di OneCal in qualità di Responsabile del trattamento per conto del Cliente in qualità di Titolare del trattamento, in relazione all'utilizzo del Servizio da parte del Cliente. Esso riflette l'accordo delle parti relativo al Trattamento dei Dati personali e si applica nella misura in cui le normative UE/UK/svizzere in materia di protezione dei dati o altre normative applicabili in materia di protezione dei dati si applicano a tale Trattamento.

Il presente DPA ha effetto al momento dell'accettazione dei Termini di Servizio. Utilizzando il Servizio, Lei accetta il presente DPA per proprio conto e, ove applicabile, per conto dell'entità Cliente che rappresenta. Non è richiesta alcuna controfirma, ma i Clienti che necessitano di una copia controfirmata possono richiederla all'indirizzo contact@onecal.io.

In caso di conflitto tra il presente DPA e l'Accordo in relazione al Trattamento dei Dati personali, prevale il presente DPA. Gli Allegati costituiscono parte integrante del presente DPA.

1. Definizioni

I termini con la lettera maiuscola non definiti nel presente DPA hanno il significato loro attribuito nell'Accordo. Ai fini del presente DPA:

  • "Dati personali del Cliente" indica i Dati personali che OneCal Tratta per conto del Cliente nel corso della fornitura del Servizio, come ulteriormente descritto nell'Allegato 1.
  • "Normative in materia di protezione dei dati" indica tutte le leggi e i regolamenti applicabili al Trattamento dei Dati personali ai sensi dell'Accordo, inclusi (i) il Regolamento (UE) 2016/679 ("GDPR"), (ii) il UK Data Protection Act 2018 e il UK GDPR ("UK GDPR"), (iii) la Legge federale svizzera sulla protezione dei dati ("FADP"), (iv) il California Consumer Privacy Act come modificato dal CPRA ("CCPA"), e (v) qualsiasi altra legge equivalente o successiva applicabile.
  • "Titolare del trattamento", "Responsabile del trattamento", "Interessato", "Dati personali", "Trattamento" e "Categorie particolari di dati personali" hanno il significato loro attribuito dal GDPR.
  • "Sub-responsabile del trattamento" indica qualsiasi terza parte incaricata da OneCal che Tratta Dati personali del Cliente per conto di OneCal in relazione al Servizio.
  • "Incidente di sicurezza" indica una violazione della sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso, accidentali o illeciti, ai Dati personali del Cliente Trattati da OneCal o dai suoi Sub-responsabili. L'Incidente di sicurezza non include tentativi non riusciti o attività che non compromettono la sicurezza dei Dati personali del Cliente, quali tentativi di accesso non riusciti, ping, scansioni di porte, attacchi denial-of-service o altri attacchi di rete a firewall o sistemi in rete.
  • "Clausole Contrattuali Tipo" o "CCT" indica le clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi ai sensi del GDPR, come stabilite nella Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021.
  • "UK Addendum" indica l'International Data Transfer Addendum to the EU Commission Standard Contractual Clauses emesso dall'UK Information Commissioner, versione B1.0, in vigore dal 21 marzo 2022.
  • "Utente finale" ha il significato attribuito nei Termini di Servizio: qualsiasi persona che interagisce con contenuti pubblicati dal Cliente tramite il Servizio, inclusi gli invitati alle Booking Pages del Cliente e i visualizzatori dei Public Calendar Feeds del Cliente.

2. Ambito di applicazione e ruoli delle parti

Il Cliente è il Titolare del trattamento e OneCal è il Responsabile del trattamento dei Dati personali che il Cliente trasmette o genera tramite il Servizio, inclusi i Dati personali degli Utenti finali del Cliente che il Cliente raccoglie tramite Booking Pages, sincronizzazione del calendario e altre funzionalità che il Cliente mette a disposizione di tali Utenti finali ("Dati personali del Cliente"). Qualora il Cliente sia esso stesso un Responsabile del trattamento che agisce per conto di un Titolare del trattamento terzo (ad esempio, qualora il Cliente sia un'organizzazione che utilizza il Servizio per trattare Dati personali per conto dei propri clienti), OneCal agisce come Sub-responsabile e il Cliente garantisce di avere l'autorizzazione del Titolare sottostante per stipulare il presente DPA.

OneCal Tratterà i Dati personali del Cliente unicamente sulla base di istruzioni documentate del Cliente, anche per quanto riguarda i trasferimenti internazionali, salvo ove richiesto dalla legge applicabile. L'Accordo (incluso il presente DPA, la documentazione del Servizio, la configurazione del Servizio da parte del Cliente e qualsiasi istruzione emessa tramite i controlli amministrativi del Servizio) costituisce le istruzioni documentate complete e definitive del Cliente a OneCal per il Trattamento dei Dati personali del Cliente. Istruzioni aggiuntive o alternative devono essere concordate per iscritto.

OneCal informerà il Cliente se, a suo parere, un'istruzione viola le Normative in materia di protezione dei dati applicabili, senza alcun obbligo di monitorare il rispetto da parte del Cliente di tali normative.

Il presente DPA si applica esclusivamente al Trattamento da parte di OneCal dei Dati personali del Cliente per conto del Cliente in qualità di Responsabile del trattamento. OneCal Tratta separatamente Dati personali come Titolare del trattamento autonomo, inclusi l'Account, le informazioni di fatturazione e i contatti del Cliente; i metadati di autenticazione, sicurezza e prevenzione delle frodi utilizzati per gestire e proteggere il Servizio; le analisi di prodotto che OneCal utilizza per gestire e migliorare il Servizio; e le comunicazioni di marketing di OneCal inviate con il consenso separato del destinatario. Tale Trattamento separato è descritto e disciplinato dalla Privacy Policy di OneCal, non dal presente DPA.

OneCal non utilizzerà i Dati personali del Cliente per addestrare o perfezionare modelli di intelligenza artificiale o di apprendimento automatico senza l'autorizzazione preventiva ed espressa del Cliente.

3. Obblighi del Cliente

Il Cliente è responsabile della liceità dei Dati personali del Cliente e dei mezzi con cui il Cliente li ha acquisiti. Il Cliente garantisce di avere tutti i diritti, le basi giuridiche, i consensi e le autorizzazioni necessari per Trattare i Dati personali del Cliente e per istruire OneCal a Trattare i Dati personali del Cliente per conto del Cliente come descritto nell'Accordo e nel presente DPA, anche in relazione agli eventi del calendario sincronizzati dai fornitori di calendari terzi e ai Dati personali degli Utenti finali, come gli invitati alle prenotazioni.

Il Cliente è responsabile di fornire tutte le informative richieste e di ottenere tutti i consensi richiesti dagli Interessati (inclusi gli Utenti finali) in relazione al Trattamento da parte del Cliente dei loro Dati personali tramite il Servizio.

Il Cliente non trasmetterà, e si impegna a compiere sforzi ragionevoli per impedire ai propri Utenti finali di trasmettere, Categorie particolari di dati personali o dati soggetti a regimi giuridici speciali che il Servizio non è progettato per gestire, come descritto nei Termini di Servizio (inclusi, a titolo esemplificativo ma non esaustivo, i dati soggetti a HIPAA o GLBA). OneCal non è responsabile del Trattamento di tali dati trasmessi al Servizio in violazione di questa restrizione.

Il Cliente riconosce che il Servizio dipende da fornitori di calendari terzi e che l'autorizzazione di tali fornitori da parte del Cliente, i dati resi disponibili da essi e la loro continua disponibilità sono al di fuori del controllo di OneCal.

4. Sub-responsabili del trattamento

Il Cliente fornisce a OneCal un'autorizzazione scritta generale a incaricare Sub-responsabili per Trattare i Dati personali del Cliente in relazione alla fornitura del Servizio.

OneCal mantiene un elenco aggiornato dei propri Sub-responsabili, incluso il nome, il ruolo e la sede principale di ciascun Sub-responsabile, sulla pagina Sub-processors. Il Cliente può consultare tale elenco in qualsiasi momento. Visualizza la pagina Sub-processors.

OneCal fornirà al Cliente un preavviso dell'aggiunta o sostituzione di qualsiasi Sub-responsabile aggiornando la pagina Sub-processors almeno 30 giorni prima che la modifica abbia effetto.

Il Cliente può opporsi alla nomina di un nuovo Sub-responsabile da parte di OneCal per ragionevoli motivi legati alla protezione dei dati notificandolo a OneCal per iscritto all'indirizzo contact@onecal.io entro 14 giorni dalla notifica. Se il Cliente si oppone, le parti collaboreranno in buona fede per risolvere l'obiezione. Se non è possibile raggiungere alcuna soluzione entro un periodo ragionevole, il Cliente può, come unico rimedio, risolvere l'Abbonamento interessato e ricevere un rimborso pro-rata di eventuali Canoni di Abbonamento pagati in anticipo per il periodo successivo alla risoluzione.

OneCal stipulerà con ciascun Sub-responsabile un accordo scritto che impone obblighi di protezione dei dati non meno protettivi dei Dati personali del Cliente rispetto a quelli imposti a OneCal ai sensi del presente DPA. OneCal rimane responsabile nei confronti del Cliente per l'adempimento degli obblighi di ciascun Sub-responsabile ai sensi di tale accordo, nei limiti previsti dall'Accordo.

5. Trasferimenti internazionali di dati

L'infrastruttura principale di trattamento di OneCal per i Dati personali del Cliente è situata negli Stati Uniti. OneCal potrebbe inoltre dover Trattare i Dati personali del Cliente in qualsiasi altra parte del mondo in cui OneCal o i suoi Sub-responsabili operano. Visualizza la pagina Sub-processors.

Qualora OneCal Tratti Dati personali del Cliente soggetti al GDPR in un paese che non è oggetto di una decisione di adeguatezza della Commissione europea, le parti incorporano nel presente DPA mediante rinvio le Clausole Contrattuali Tipo (Modulo Due: da Titolare a Responsabile), con i dettagli delle parti, la descrizione del trasferimento e le misure tecniche e organizzative completate come indicato nell'Allegato 3, con le seguenti opzioni: (i) si applica la clausola facoltativa di adesione (Clausola 7); (ii) per le modifiche dei sub-responsabili, si applica l'Opzione 2 (autorizzazione scritta generale) con il termine di preavviso indicato nella Sezione 4; (iii) la Clausola 17 (legge applicabile) è disciplinata dal diritto irlandese; (iv) il foro e la giurisdizione ai sensi della Clausola 18 sono i tribunali dell'Irlanda; e (v) l'Allegato I.C identifica la Commissione irlandese per la protezione dei dati come autorità di controllo competente.

Qualora i Dati personali del Cliente siano soggetti al UK GDPR, le parti incorporano nel presente DPA l'UK Addendum, con le CCT di cui sopra come "Approved EU SCCs" cui fa riferimento l'UK Addendum, e con le Tabelle da 1 a 3 compilate mediante rinvio all'Allegato 3. Ciascuna parte può porre fine all'UK Addendum come stabilito nella Sezione 19 dell'UK Addendum.

Qualora i Dati personali del Cliente siano soggetti alla FADP, le CCT si applicano con le seguenti modifiche: (a) i riferimenti al GDPR sono letti come riferimenti alla FADP ove la FADP si applichi; (b) il Commissario federale svizzero per la protezione dei dati e l'informazione è l'autorità di controllo competente per i trasferimenti soggetti esclusivamente alla FADP; e (c) il termine "Stato membro" è interpretato in modo da non escludere gli Interessati in Svizzera dall'esercizio dei diritti nel loro luogo di residenza abituale.

Se un'autorità di controllo o un tribunale competente invalida o limita le CCT, l'UK Addendum o qualsiasi altro meccanismo di trasferimento su cui si basa il presente DPA, OneCal e il Cliente collaboreranno in buona fede per adottare un meccanismo di trasferimento sostitutivo conforme alle Normative in materia di protezione dei dati applicabili.

6. Sicurezza

OneCal implementerà e manterrà misure tecniche e organizzative adeguate progettate per proteggere i Dati personali del Cliente da distruzione, perdita, modifica, divulgazione non autorizzata o accesso, accidentali o illeciti, tenendo conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito di applicazione, del contesto e delle finalità del Trattamento, nonché del rischio per gli Interessati. Una sintesi aggiornata di tali misure è riportata nell'Allegato 2.

OneCal garantirà che il personale autorizzato a Trattare i Dati personali del Cliente sia vincolato da adeguati obblighi di riservatezza e abbia ricevuto formazione sulle proprie responsabilità in materia di protezione dei dati, e limiterà l'accesso ai Dati personali del Cliente al personale che necessita di tale accesso per svolgere il proprio ruolo.

OneCal può aggiornare di volta in volta le proprie misure tecniche e organizzative a condizione che le misure aggiornate non riducano sostanzialmente il livello di protezione dei Dati personali del Cliente.

7. Notifica di Incidenti di sicurezza

OneCal notificherà al Cliente senza ingiustificato ritardo e, ove possibile, entro settantadue (72) ore dopo essere venuto a conoscenza di un Incidente di sicurezza che riguarda i Dati personali del Cliente.

Ciascuna notifica includerà, nella misura nota a OneCal in quel momento: (a) una descrizione della natura dell'Incidente di sicurezza, incluse, ove possibile, le categorie e il numero approssimativo di Interessati e di registrazioni interessati; (b) le probabili conseguenze dell'Incidente di sicurezza; (c) le misure adottate o proposte per affrontare l'Incidente di sicurezza e per attenuarne i possibili effetti negativi; e (d) un punto di contatto presso OneCal dal quale è possibile ottenere ulteriori informazioni. Qualora le informazioni non possano essere fornite contemporaneamente, OneCal le fornirà in modo graduale senza ulteriori ingiustificati ritardi.

OneCal fornirà al Cliente un'assistenza ragionevole per consentire al Cliente di adempiere ai propri obblighi di notifica ai sensi delle Normative in materia di protezione dei dati applicabili (incluse le notifiche alle autorità di controllo e agli Interessati interessati).

La notifica o la risposta di OneCal a un Incidente di sicurezza ai sensi della presente Sezione non costituisce un riconoscimento da parte di OneCal di alcuna colpa o responsabilità in relazione all'Incidente di sicurezza.

8. Richieste degli Interessati e cooperazione

Tenuto conto della natura del Trattamento, OneCal fornirà al Cliente un'assistenza ragionevole, attraverso adeguate misure tecniche e organizzative e nella misura del possibile, per consentire al Cliente di adempiere al proprio obbligo di rispondere alle richieste degli Interessati di esercitare i propri diritti ai sensi delle Normative in materia di protezione dei dati applicabili (inclusi i diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione).

Se un Interessato contatta direttamente OneCal con una richiesta relativa ai Dati personali del Cliente, OneCal, senza ingiustificato ritardo, informerà l'Interessato che la richiesta deve essere indirizzata al Cliente, oppure, qualora i dati identificativi dell'Interessato consentano a OneCal di farlo, inoltrerà la richiesta al Cliente. OneCal non risponderà a tale richiesta per conto del Cliente se non sulla base di istruzioni documentate del Cliente.

Tenuto conto della natura del Trattamento e delle informazioni a sua disposizione, OneCal fornirà al Cliente un'assistenza ragionevole rispetto agli obblighi di cui agli Articoli da 32 a 36 del GDPR (sicurezza, notifica delle violazioni, valutazioni d'impatto sulla protezione dei dati e consultazione preventiva con le autorità di controllo), a spese del Cliente per eventuali costi vivi sostenuti da OneCal oltre a quelli ragionevolmente inclusi nel Servizio.

9. Registri e audit

OneCal manterrà i registri delle attività di Trattamento svolte per conto del Cliente come richiesto dall'Articolo 30(2) del GDPR.

OneCal metterà a disposizione del Cliente tutte le informazioni ragionevolmente necessarie per dimostrare la conformità al presente DPA e agli obblighi di un Responsabile del trattamento ai sensi dell'Articolo 28 del GDPR. In prima istanza, il diritto di audit del Cliente è soddisfatto da OneCal fornendo: (a) il presente DPA e la descrizione delle misure tecniche e organizzative riportate nell'Allegato 2 e sulla pagina OneCal Data Security; (b) copie delle certificazioni, attestazioni, sintesi dei penetration test o relazioni di audit di terzi allora in vigore di OneCal, ove disponibili; e (c) risposte scritte ragionevoli a un questionario standard sulla sicurezza che copra le materie indicate nell'Allegato 2, in ciascun caso soggette a ragionevoli obblighi di riservatezza.

Se le informazioni fornite ai sensi del paragrafo precedente non sono, secondo la ragionevole valutazione del Cliente, sufficienti a dimostrare la conformità a uno specifico obbligo ai sensi del presente DPA, il Cliente può presentare una richiesta scritta a contact@onecal.io identificando la questione da affrontare e le informazioni aggiuntive richieste. OneCal risponderà per iscritto entro un periodo ragionevole e in ogni caso entro trenta (30) giorni dalla ricezione, fornendo ulteriori informazioni, chiarimenti o prove ragionevolmente a sua disposizione, soggette a ragionevoli obblighi di riservatezza e a eventuali restrizioni derivanti dagli obblighi di OneCal nei confronti di terzi, dalla protezione dei dati di altri clienti o dalla protezione dei segreti commerciali di OneCal.

Se, dopo il completamento delle fasi indicate nei paragrafi precedenti, il Cliente ritiene ragionevolmente che le informazioni fornite siano ancora insufficienti a dimostrare la conformità a uno specifico obbligo ai sensi del presente DPA, il Cliente può, a proprie spese, condurre un audit della conformità di OneCal in materia di protezione dei dati limitatamente a tale specifica questione, non più di una volta ogni dodici mesi (salvo ove richiesto da un'autorità di controllo o a seguito di un Incidente di sicurezza), subordinatamente a: (a) un preavviso scritto di almeno sessanta (60) giorni; (b) la sottoscrizione di un accordo di riservatezza ragionevolmente accettabile per OneCal; (c) lo svolgimento dell'audit durante il normale orario lavorativo, in modo da non interferire con le operazioni di OneCal, e che non si estenda ai dati di altri clienti, ai segreti commerciali o a qualsiasi sistema il cui accesso violerebbe gli obblighi di OneCal nei confronti di terzi; e (d) l'auditor sia una terza parte indipendente di buona reputazione che non sia un concorrente di OneCal e che abbia stipulato l'accordo di riservatezza sopra richiamato. Le parti condivideranno i risultati dell'audit e discuteranno eventuali rilievi in buona fede.

10. Restituzione e cancellazione dei Dati personali del Cliente

Il Cliente può cancellare i Dati personali del Cliente tramite le funzionalità del Servizio in qualsiasi momento durante la durata dell'Accordo. Per le richieste di esportazione dei dati, il Cliente può contattare OneCal all'indirizzo contact@onecal.io.

Alla risoluzione o scadenza dell'Accordo, OneCal, a scelta del Cliente, cancellerà o restituirà al Cliente tutti i Dati personali del Cliente, e cancellerà eventuali copie esistenti, salvo nella misura in cui la legge applicabile richieda a OneCal di conservare i Dati personali, o qualora i Dati personali siano conservati in backup crittografati di routine che vengono ciclati ed eliminati nel normale corso delle pratiche di conservazione dei backup di OneCal.

Quando l'Accordo è risolto, anche quando il Cliente cancella il proprio account tramite il Servizio, OneCal cancella tempestivamente i Dati personali del Cliente dai sistemi di produzione attivi. Le copie di backup vengono eliminate man mano che tali backup vengono ciclati nel normale corso delle pratiche di conservazione dei backup di OneCal (di norma entro sette (7) giorni). Gli unici Dati personali che OneCal conserva relativi a un Interessato cancellato sono un hash unidirezionale dell'indirizzo email, conservato a tempo indeterminato su base di legittimo interesse per impedire la nuova registrazione di account bannati o cancellati e per supportare la prevenzione di frodi e abusi. I registri finanziari sono conservati dai merchant of record di OneCal in base ai loro periodi di conservazione previsti dalla legge, e non sono conservati da OneCal.

11. Responsabilità

La responsabilità di ciascuna parte derivante o connessa al presente DPA, sia essa contrattuale, extracontrattuale o basata su qualsiasi altra teoria di responsabilità, è soggetta alle limitazioni di responsabilità previste nell'Accordo, e qualsiasi riferimento nell'Accordo alla responsabilità di una parte indica la responsabilità aggregata di tale parte ai sensi dell'Accordo e del presente DPA congiuntamente. Nulla nel presente DPA limita o esclude alcuna responsabilità che non possa essere limitata o esclusa ai sensi della legge applicabile, inclusa la responsabilità ai sensi dell'Articolo 82 del GDPR.

Il Cliente non avanzerà pretese duplicative ai sensi sia dell'Accordo sia del presente DPA in relazione alla medesima perdita.

12. California Consumer Privacy Act

Qualora OneCal Tratti Dati personali di residenti in California per conto del Cliente, OneCal agisce come "service provider" del Cliente ai sensi del CCPA. OneCal: (a) Tratterà tali Dati personali esclusivamente per le finalità commerciali limitate e specifiche indicate nel presente DPA e nell'Accordo; (b) non Venderà o Condividerà tali Dati personali (come definiti tali termini nel CCPA); (c) non conserverà, utilizzerà o divulgherà tali Dati personali al di fuori del rapporto commerciale diretto tra il Cliente e OneCal, o per qualsiasi finalità commerciale diversa dalle finalità commerciali indicate nel presente DPA, salvo quanto consentito dal CCPA; e (d) non combinerà tali Dati personali con Dati personali ricevuti da qualsiasi altra persona, salvo quanto consentito dal CCPA.

OneCal certifica di comprendere le restrizioni indicate nella presente Sezione e di rispettarle.

13. Disposizioni generali

Il presente DPA ha effetto dalla data in cui il Cliente accetta l'Accordo e rimane in vigore per tutto il tempo in cui OneCal Tratta i Dati personali del Cliente, anche dopo la risoluzione dell'Accordo nella misura di qualsiasi Trattamento continuato necessario per dare effetto alla Sezione 10 (Restituzione e cancellazione).

OneCal può aggiornare di volta in volta il presente DPA, anche per riflettere modifiche delle Normative applicabili in materia di protezione dei dati, dei meccanismi di trasferimento o delle operazioni di OneCal. Daremo notifica delle modifiche sostanziali come descritto nei Termini di Servizio. Gli aggiornamenti richiesti dalla legge applicabile, da un'autorità di controllo o per riflettere un meccanismo di trasferimento sostitutivo hanno effetto alla data specificata nella notifica senza richiedere ulteriori azioni da parte del Cliente.

Se una qualsiasi disposizione del presente DPA è ritenuta invalida o inapplicabile da un tribunale competente, le restanti disposizioni rimangono in pieno vigore ed efficacia.

Domande sul presente DPA, richieste di una copia controfirmata, richieste di una copia firmata delle CCT o notifiche richieste ai sensi del presente DPA possono essere inviate a OneCal all'indirizzo contact@onecal.io. Gli Interessati con sede nell'UE possono utilizzare anche i canali indicati nella sezione "Rappresentante GDPR UE/SEE" della Privacy Policy di OneCal. Leggi la Privacy Policy.

Allegato 1 — Descrizione del Trattamento

Oggetto

OneCal Processes Customer Personal Data as necessary to provide the Service in accordance with the Agreement and Customer's documented instructions, including any features and functionality made available to Customer from time to time.

Durata

Per la durata dell'Accordo, oltre al periodo di conservazione successivo alla risoluzione indicato nella Sezione 10.

Natura e finalità

Processing activities include hosting, storing, transmitting, displaying, backing up, securing, and otherwise handling Customer Personal Data as reasonably necessary to deliver, support, and improve the Service in accordance with the Agreement and Customer's instructions.

Categorie di Interessati

  • Customer's Authorized Users: account holders and other individuals authorized by Customer to use the Service.
  • Customer's End Users: booking attendees and schedulers, workspace invitees, and other persons who interact with content the Customer publishes through the Service or who are invited to scheduled events.

Categorie di Dati personali

  • Identification and contact data: such as name, email address, time zone, and similar contact details of Authorized Users and End Users.
  • Account and workspace data: account and team-membership information for Authorized Users, such as role and permission assignments, invitation status, and team affiliations.
  • Calendar data: Personal Data contained in connected calendar event details as exposed by Customer's connected calendar providers. Customer may minimize what is mirrored to destination calendars through the privacy controls available in the Service.
  • Booking data: Booking Page and per-link configuration, and booking event data, including times, attendee details, and custom-field responses, which may contain arbitrary Customer-defined Personal Data.
  • Customer-published content: text, images, links, and other content Customer publishes on Booking Pages and similar surfaces.
  • Communications data sent through the Service on Customer's behalf: outbound transactional and service email content to End Users (such as booking confirmations, reminders, and calendar invites).
  • Support communications: messages, transcripts, and attachments exchanged with OneCal's support channel.
  • Device and mobile-application data: data necessary to operate OneCal's mobile applications, such as push notification tokens and device-level preferences.
  • Integration data: payload contents of outbound webhooks delivered to Customer-provided endpoints, and other Personal Data transmitted through Customer's use of OneCal APIs.

Categorie particolari di Dati personali

Il Servizio non è destinato a, e il Cliente garantisce di non trasmettere, Categorie particolari di dati personali (Articolo 9 GDPR) o dati soggetti a HIPAA o GLBA. Nella misura in cui tali dati siano trasmessi in violazione di tale restrizione, essi non fanno parte del Trattamento previsto dal presente DPA.

Frequenza del Trattamento

Continuativa, per la durata dell'Accordo.

Conservazione

Come stabilito nella Sezione 10 del presente DPA e nella Privacy Policy di OneCal.

Allegato 2 — Misure tecniche e organizzative

OneCal implementa misure tecniche e organizzative progettate per proteggere i Dati personali del Cliente in linea con l'Articolo 32 del GDPR, tra cui: crittografia dei Dati personali in transito (TLS) e a riposo; database di produzione privati e isolati dalla rete ospitati su AWS; controlli degli accessi basati sui ruoli e principio del minimo privilegio per il personale; hashing degli identificatori ad alto rischio (chiavi API, identificatori di account post-cancellazione); verifica della firma dei webhook sugli eventi in entrata dei fornitori; backup crittografati automatizzati; logging delle azioni amministrative rilevanti per la sicurezza, inclusa l'impersonificazione; controlli di prevenzione degli abusi quali rate limiting basato su IP e blocklist di email usa e getta; scansione automatizzata delle vulnerabilità delle dipendenze; una procedura documentata di risposta agli incidenti; e la stipula di accordi di trattamento dei dati con ciascun Sub-responsabile.

Una descrizione aggiornata e più dettagliata dei controlli di sicurezza di OneCal è pubblicata su la pagina OneCal Data Security e costituisce parte delle misure tecniche e organizzative applicate ai Dati personali del Cliente ai sensi del presente DPA. OneCal può aggiornare di volta in volta i controlli ivi descritti, a condizione che qualsiasi aggiornamento non riduca sostanzialmente il livello complessivo di protezione dei Dati personali del Cliente.

Allegato 3 — Allegati alle Clausole Contrattuali Tipo

Il presente Allegato 3 completa gli allegati alle Clausole Contrattuali Tipo qualora siano incorporate ai sensi della Sezione 5 del presente DPA.

A. Elenco delle parti

Esportatore dei dati: il Cliente, identificato nel proprio Account OneCal, che agisce come Titolare del trattamento, con i dettagli di contatto che il Cliente fornisce nel proprio Account.

Importatore dei dati: OneCal SHPK, Rruga Gjon Buzuku, Apartamenti nr.2, Kati 7, Tirana, Albania, che agisce come Responsabile del trattamento. Contatto: contact@onecal.io. Rappresentante nell'UE: Euverify Ltd, Unit 3D North Point House, North Point Business Park, New Mallow Road, Cork, T23 AT2P, Irlanda. Email: gdpr@euverify.com.

B. Descrizione del trasferimento

The categories of Data Subjects, categories of Personal Data, special categories of data (none, as set out in Annex 1), nature and purpose of the Processing, frequency, duration, and retention are set out in Annex 1.

C. Autorità di controllo competente

Per i trasferimenti soggetti al GDPR: la Commissione irlandese per la protezione dei dati (21 Fitzwilliam Square South, Dublin 2, D02 RD28, Irlanda). Per i trasferimenti soggetti al UK GDPR: l'UK Information Commissioner's Office. Per i trasferimenti soggetti esclusivamente alla FADP: il Commissario federale svizzero per la protezione dei dati e l'informazione.

II. Misure tecniche e organizzative

Le misure tecniche e organizzative applicate dall'importatore dei dati sono indicate nell'Allegato 2.

III. Elenco dei Sub-responsabili

L'elenco aggiornato dei Sub-responsabili autorizzati è pubblicato sulla pagina OneCal Sub-processors. Visualizza la pagina Sub-processors.