Contratto di Trattamento dei Dati su Commessa (AVV) ai sensi dell'Art. 28 GDPR
Stato: 30 aprile 2026
Preambolo
Benvenuti presso Campcruisers GmbH! Siamo molto lieti che abbiate scelto Campsite OS e ci affidiate il supporto nella gestione digitale del vostro campeggio. La protezione dei dati e la sicurezza dei dati sono per noi un elemento centrale di qualità del nostro software.
Questo Contratto di Trattamento dei Dati su Commessa (AVV) costituisce la base giuridica trasparente e equa per il trattamento dei dati personali per vostro conto.
Parti contrattuali
Titolare del trattamento (Cliente): I vostri dati aziendali risultano dal contratto principale (abbonamento per Campsite OS).
Responsabile del trattamento: Campcruisers GmbH, Berliner Str. 21B, 14612 Falkensee, Germania. Daniel Bosch (CEO), Philipp André Marschall (Procuratore). Tribunale di Potsdam, HRB 40180 P. Partita IVA: DE368000447.
Responsabile della protezione dei dati: Non nominato (§ 38 BDSG non soddisfatto).
§ 1 Oggetto, durata e specificazione
1.1
Questo contratto regola il trattamento dei dati personali nell'ambito della fornitura di Campsite OS. Integrazione alle CG e al contratto principale.
1.2
La durata è conforme al contratto principale. Gli obblighi di riservatezza e cancellazione permangono.
1.3
Il trattamento comprende: raccolta, memorizzazione, modifica, lettura, trasmissione (ad es. a Channel Manager), cancellazione. Server: Paesi Bassi (IP: 34.91.84.25).
§ 2 ResponsabilitÃ
2.1
Voi siete il titolare del trattamento (Art. 4 n. 7 GDPR). Decidete su finalità e mezzi.
2.2
Noi siamo il responsabile del trattamento (Art. 4 n. 8 GDPR). Trattamento solo secondo le vostre istruzioni. Nessun utilizzo proprio, nessuna vendita.
§ 3 Tipo e scopo del trattamento
Scopo: fornitura di Campsite OS. Comprende: prenotazione e riservazione, gestione degli ospiti (inclusa scheda di registrazione § 29 BMG), contabilità (ZUGFeRD), Channel Management, invio e-mail, IoT & Smart Camp.
§ 4 Tipo di dati personali
4.1 Categorie di dati
Dati anagrafici (nome, data di nascita, nazionalità ) | Dati di contatto (indirizzo, e-mail, telefono) | Dati di prenotazione (periodo, categoria, extra) | Dati KYC/registrazione (numeri di documento) | Dati veicolo (targa) | Dati di pagamento (tokenizzati tramite Stripe) | Dati di comunicazione (ticket, e-mail) | Dati di sistema (IP, logfile, sessioni)
4.2 Persone interessate
Ospiti/clienti finali e loro compagni di viaggio | Vostri dipendenti (utenti del software) | Fornitori/partner commerciali
§ 5 Obblighi del responsabile del trattamento
5.1 Rispetto del GDPR, BDSG, TDDDG. | 5.2 Vincolo di scopo e obbligo di istruzioni. | 5.3 Informazione in caso di istruzioni illegittime. | 5.4 Trattamento nell'UE (Paesi Bassi). Paesi terzi solo con Art. 44 ss. GDPR.
§ 6 Facoltà di istruzione
6.1 Istruzioni definite dal contratto e dal contratto principale. | 6.2 Forma scritta (e-mail a support@campsite-os.de) o configurazione del software. | 6.3 Documentazione di tutte le istruzioni.
§ 7 Riservatezza e personale
7.1 Obbligo di riservatezza per tutti i dipendenti (Art. 28 par. 3 lett. b GDPR). | 7.2 Formazione regolare. | 7.3 Principio del "need-to-know".
§ 8 Misure tecnico-organizzative (TOMs)
8.1 Misure ai sensi dell'Art. 32 GDPR. | 8.2 Crittografia (TLS, AES-256), MFA, RBAC, logging, SLA 99%, backup, protezione DDoS. | 8.3 Adeguamento al progresso tecnico. Dettagli nell'Allegato 1.
§ 9 Subappalti
9.1 Autorizzazione generale (Art. 28 par. 2 GDPR). | 9.2 Attuali sub-responsabili del trattamento nell'Allegato 2. | 9.3 Informazione 14 giorni prima della modifica. Diritto di opposizione. | 9.4 Stessi obblighi per i sub-responsabili del trattamento.
§ 10 Diritti delle persone interessate
10.1 Supporto per Art. 15-22 GDPR (Self-Service in Campsite OS). | 10.2 Le richieste dirette vengono rinviate a voi.
§ 11 Obblighi di notifica
11.1 Notifica delle violazioni dei dati entro 48 ore. | 11.2 Contenuto: tipo di violazione, persone interessate, conseguenze, misure adottate. | 11.3 Supporto per DPIA (Art. 35/36 GDPR).
§ 12 Diritti di controllo e audit
12.1 Diritto di verifica. | 12.2 Documentazione/certificati in primo luogo; audit in loco con preavviso di 30 giorni. | 12.3 I costi sono a carico del cliente (tranne in caso di violazione).
§ 13 Cancellazione e restituzione
13.1 Portabilità dei dati: 30 giorni per l'esportazione (CSV, XML, JSON). | 13.2 Cancellazione definitiva dopo 30 giorni. | 13.3 Conferma su richiesta.
§ 14 ResponsabilitÃ
14.1 Responsabilità ai sensi dell'Art. 82 GDPR. Nel rapporto interno solo in caso di violazione degli obblighi GDPR o delle istruzioni. | 14.2 Limitazione alla quota annuale in caso di colpa lieve.
§ 15 Disposizioni finali
15.1 Forma scritta per le modifiche. | 15.2 Clausola salvatoria. | 15.3 Diritto tedesco, foro competente Falkensee.
Allegato 1: Misure tecnico-organizzative (TOMs)
1. Riservatezza
Controllo degli accessi: Server nei data center dei Paesi Bassi (IP: 34.91.84.25). Servizio di sicurezza 24/7, controlli biometrici, videosorveglianza.
Controllo degli accessi: Password complesse, MFA, protezione da attacchi brute-force, VPN.
Controllo degli accessi: RBAC in Campsite OS, principio del "need-to-know", distruzione documenti secondo DIN 66399.
Controllo della separazione: Separazione logica dei tenant. Separazione sviluppo/test/produzione.
2. IntegritÃ
Controllo della trasmissione: TLS 1.2/1.3, AES-256 at rest, chiavi API e autenticazione tramite token.
Controllo dell'inserimento: Audit trail in Campsite OS, registrazione centralizzata sui server.
3. DisponibilitÃ
Backup giornalieri (georedundanti, crittografati), UPS, protezione DDoS, WAF, SLA 99%.
4. Valutazione
Audit regolari, scansioni delle vulnerabilità , piano di risposta agli incidenti (notifica entro 48h), Privacy by Default.
Allegato 2: Sub-responsabili del trattamento autorizzati
| Fornitore di servizi | Sede | Scopo | Trasferimento in paesi terzi |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Irlanda (UE) | Elaborazione pagamenti | UE; eventualmente SCC per trasferimento interno negli USA |
| Resend, Inc. | USA | Invio e-mail transazionali | Clausole contrattuali standard UE (SCC) |
| Google Ireland Limited | Irlanda (UE) | Analytics & Ads | Principalmente UE |
| Biscotti CMP | Germania (UE) | Gestione cookie/consenso | Esclusivamente UE |
| Fornitore di hosting | Paesi Bassi (UE) | Infrastruttura server (IP: 34.91.84.25) | Esclusivamente UE |