Accordo sul trattamento dei dati.

Determini perché e come vengono trattati i dati personali dei clienti nelle gallerie pubblicate — ad esempio regole di accesso, permessi di download e impostazioni di notifica. Holdstill fornisce hosting, transcodifica, consegna, sequenziamento assistito da IA facoltario quando lo attivi, registrazione operativa e accesso all’assistenza con minimo privilegio. Quando Holdstill tratta dati personali per la propria amministrazione di account, analisi o sicurezza come descritto nell’Informativa sulla privacy, agisce come titolare autonomo per quelle finalità limitate. Il presente DPA copre unicamente il trattamento che svolgiamo secondo le tue istruzioni documentate in qualità di responsabile per i flussi di consegna delle gallerie.

Il trattamento prosegue per la durata dell’abbonamento e fino a trenta giorni successivi per consentire esportazione e cancellazione ordinata, salvo che la legge o un ambito di migrazione concordato richiedano un periodo maggiore. L’oggetto include asset digitali che carichi, metadati che associa, credenziali di accesso per visitatori e metadati di comunicazioni necessari per inviti o avvisi che avvii. Se sospendi una galleria, il trattamento necessario per applicare la sospensione continua fino a cancellazione o ripubblicazione.

Le operazioni includono archiviazione e recupero, generazione di rappresentazioni ridimensionate, trasferimento crittografato ai clienti, applicazione di password o collegamenti firmati quando li attivi, registrazione di eventi che scegli come download, inferenza IA facoltaria che produce ordinamenti o bozze da convalidare prima di impatti di pubblicazione, e assistenza alla migrazione su richiesta. Le finalità sono strettamente limitate alla fornitura del servizio contrattato e all’adempimento della legge. Non riutilizzeremo dati personali dei tuoi clienti per pubblicità non correlata o rivendita.

Gli interessati possono includere utenti del tuo studio, visitatori della galleria e destinatari di e-mail transazionali che avvii tramite il prodotto. Le categorie possono comprendere identificatori (e-mail, nomi che raccogli), identificatori online (indirizzi IP in registri a breve ritenzione se attivi determinata telemetria), contenuto (fotografie) e dati di uso che configuri per raccogliere. Non richiediamo dati sanitari o altre categorie particolari per il nucleo del prodotto; se carichi tali immagini, garantisci basi giuridiche adeguate come titolare.

Le istruzioni principali risiedono nella configurazione del prodotto: visibilità delle gallerie, password, scadenze, branding e regole di download. Istruzioni aggiuntive possono figurare in ticket di assistenza quando richiedi azioni tecniche specifiche sui dati del tuo account. Se riteniamo che un’istruzione violi il GDPR o altra legge dell’Unione, te lo comunicheremo tempestivamente salvo divieti per motivi importanti di interesse pubblico. Documentiamo schemi abituali di istruzioni nel nostro centro assistenza per accelerare le revisioni.

Il personale autorizzato al trattamento dei dati personali è soggetto a obblighi di riservatezza o norme professionali. L’accesso è concesso per necessità e rivalutato periodicamente. L’accesso remoto ai sistemi di produzione richiede autenticazione forte e controlli di conformità del dispositivo proporzionati al rischio.

Implementiamo crittografia in transito e a riposo ove opportuno, controllo degli accessi basato su ruoli, separazione degli ambienti, registrazione e monitoraggio, gestione delle vulnerabilità e linee guida per la risposta agli incidenti. Verifichiamo i controlli su calendario proporzionato al rischio e conserviamo riepiloghi adatti ai questionari di sicurezza fornitore. Diagrammi architetturali dettagliati possono essere forniti sotto NDA per clienti enterprise che preparano valutazioni d’impatto.

Manteniamo un elenco scritto di sub-responsabili con funzioni e ubicazioni. Ti informeremo di aggiunte o sostituzioni rilevanti con preavviso ragionevole per consentirti di opporti per motivi documentati legati alla protezione dei dati. Se non possiamo soddurre un’opposizione ragionevole relativa a un nuovo sub-responsabile essenziale per proseguire il servizio, puoi cessare la parte interessata del servizio conformemente ai Termini. Le categorie attuali includono in genere infrastruttura cloud UE, consegna e-mail transazionale e fornitori facoltativi di inferenza IA vincolati da obblighi equivalenti.

Quando le persone ci contattano direttamente su dati di cui sei titolare, inoltreremo la richiesta salvo obbligo legale di agire noi stessi. Forniremo assistenza tecnica ragionevole per richieste di accesso, rettifica, cancellazione, limitazione e portabilità che transitano sui nostri sistemi, inclusi formati di esportazione ove disponibili. I termini di risposta possono dipendere dalle tue istruzioni tempestive.

Su richiesta forniremo le informazioni necessarie affinché tu conduca una valutazione d’impatto sulla protezione dei dati riguardo al nostro trattamento, riconoscendo che la responsabilità finale della valutazione ricade su di te come titolare. Coopereremo con questionari in buona fede dei tuoi legali o team di sicurezza entro limiti ragionevoli.

Ti informeremo senza indebito ritardo dopo aver avuto conoscenza di una violazione che riguarda dati che trattiamo per tuo conto, descrivendo la natura della violazione, le probabili conseguenze e le misure adottate o proposte. Coordineremo con te le comunicazioni alle autorità di controllo e agli interessati quando gli articoli 33 o 34 GDPR possano applicarsi al tuo rapporto di trattamento.

Per impostazione predefinita, i dati personali trattati ai sensi del presente DPA restano nell’UE. Se il trattamento in un paese terzo fosse necessario, stabiliremo garanzie adeguate come Clausole Contrattuali Standard integrate da misure tecniche supplementari, e documenteremo valutazioni d’impatto del trasferimento ove richiesto. Non aggireremo impegni di residenza tramite routing non dichiarato.

Alla cessazione dei servizi, a tua scelta, cancelleremo o restituiremo i dati personali trattati per tuo conto entro trenta giorni salvo che la legge UE o di uno Stato membro richieda la conservazione di determinati registri. Certificati di cancellazione sono disponibili su richiesta ove tecnicamente fattibile. I sistemi di backup si depurano secondo cicli allineati agli eventi di cancellazione.

Una volta all’anno solare forniremo un riepilogo scritto dei controlli di sicurezza e delle prove recenti su richiesta ragionevole. Audit in loco per studi regolamentati possono essere disponibili sotto accordo di riservatezza per clienti Signature, soggetti a pianificazione e limiti di ambito. Report di audit di terzi generici possono essere condivisi quando le condizioni di ridistribuzione lo consentono.

Quando le autorità di controllo competenti richiedono informazioni nell’ambito del trattamento regolato dal presente DPA, coopereremo in buona fede salvo procedura legale e doveri di riservatezza applicabili verso di te. Non amplieremo volontariamente l’ambito oltre quanto richiesto dalla legge e ti informeremo di richieste non esenti rivolte a dati dei tuoi clienti quando la legge lo consenta affinché tu possa partecipare alle risposte.

Se il presente DPA è incorporato per riferimento in un ordine o accordo enterprise, l’ordine regola i termini commerciali mentre il DPA regola gli aspetti dell’articolo 28 GDPR salvo esplicita deroga scritta. Possiamo aggiornare il DPA per riflettere cambiamenti nella legge o nell’architettura del prodotto; riduzioni sostanziali della protezione saranno notificate per tempo. L’uso continuato dopo l’avviso implica accettazione salvo risoluzione nel periodo di rimedio descritto nei Termini.