Common use of Istruzioni sul trattamento dei dati Clause in Contracts

Istruzioni sul trattamento dei dati. 1. Il responsabile del trattamento, con la sottoscrizione del presente Accordo, si impegna ad osservarele istruzioni documentate fornite dal Titolare. 2. Il responsabile del trattamento considera istruzioni documentate le pattuizioni previste dal rapporto contrattuale in essere, dagli eventuali suoi allegati o atti correlati ai quali le relative parti hanno fatto espresso rinvio nonché ogni altra eventuale comunicazione scritta del Titolare concernente le modalità di trattamento dei dati da parte del responsabile del trattamento e, soprattutto, le seguenti: a) informare il Titolare qualora ritenga che un’istruzione impartitagli da quest’ultimo violi il GDPR o altre disposizioni europee o nazionali relative alla protezione dei dati; b) trattare i dati nel pieno rispetto del GDPR e di ogni altra vigente normativa in materia di protezione dei dati; c) adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto, se necessari a conformare il trattamento o ad elevarne la relativa sicurezza, anche dei provvedimenti, tempo per tempo, emanati dall’Autorità di Controllo, consultabili sul portale internet istituzionale di questa ultima (xxxxx://xxx.xxxxxxxxxxxxxx.xx) e che comunque, possono essere forniti, previa richiesta, dal responsabile della protezione dei dati di questa Azienda Sanitaria (tel. 0000000000; xxx@xxxxxxx0.xx); d) rispettare, in ogni caso, la dignità degli interessati, osservando sia princìpi del trattamento di cui all’art. 5 del GDPR sia adottando ogni necessaria cautela e accorgimento riferibile al contesto del trattamento, tra cui, se applicabili, si indicano, esemplificativamente, le cautele e gli accorgimenti disposti dal Garante per la protezione dei dati personali: per i luoghi di cura, il provvedimento del 9 novembre 2005 (doc. web n. 1191411); per la consegna presìdi sanitari al domicilio dell'interessato, il provvedimento 21 novembre 2013 (doc. web n. 2803050); e) compiere le sole operazioni di trattamento funzionali, nei limiti di stretta pertinenza e non eccedenza, all’esecuzione dell’attività/servizio (finalità principale del trattamento), con modalità che permettano di identificare l'interessato solo in caso di necessità e, in tal ultimo caso, con modalità e adozione di accorgimenti e misure tecniche e organizzative tali da assicurare che il livello di protezione dei diritti e delle libertà delle persone fisiche garantito dal GDPR non venga mai compromesso, anche al fine di evitare che il trattamento possa arrecare danno agli interessati; f) utilizzare i dati per finalità strettamente correlate alla finalità principale del trattamento se imposte dalla normativa vigente o, diversamente, se autorizzate dal Titolare; g) non utilizzare i dati per altre finalità (es. ricerca scientifica, marketing, ecc.); h) fornire assistenza al Titolare, per quanto di competenza e nella misura in cui ciò sia possibile, per garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento, come (esemplificativamente): - tutte le informazioni necessarie per dimostrare la conformità del trattamento, anche relativamente alla sicurezza, al GDPR e il rispetto degli obblighi stabiliti dal relativo articolo 28 e dal presente Accordo; - tutte le informazioni necessarie a fornire adeguato riscontro degli interessati o ad adempiere ad obblighi stabiliti dalla normativa vigente nei confronti dell’Autorità di controllo (Garante per la protezione dei dati personali); i) mantenere la riservatezza dei dati ovvero non renderli pubblici, diffonderli o divulgarli, anche dopo la cessazione del rapporto contrattuale/convenzionale di riferimento, come, parimenti, mantenere la riservatezza sulle misure intraprese per proteggerli; j) designare le persone autorizzate al trattamento e garantire che tali persone siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; k) individuare, ove necessario, i soggetti da nominare quali Amministratori di sistema e, in tal caso, garantire e rispettare quanto stabilito nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 (pubblicato in G.U. n. 300 del 24 dicembre 2008) modificato in base al provvedimento del 25 giugno 2009 (pubblicato in G.U. n. 149 del 30 giugno 2009); l) far osservare alle persone autorizzate le istruzioni sul corretto trattamento o, se del caso, chiederne ulteriori al Titolare nonché vigilare sulla correttezza delle operazioni di trattamento; m) gestire, nel caso in cui sia previsto dall’atto di affidamento del servizio e/o da eventuali susseguenti connessi accordi, le credenziali informatiche del personale autorizzato dal titolare, i cui nominativi, con descrizione dei connessi profili di autorizzazione (ambito di trattamento consentito e relative operazione da abilitare), verranno comunicati al responsabile del trattamento da Responsabili/Direttori di Unità Operative che compongono la struttura organizzativa dello stesso Titolare; n) fornire agli interessati l’informativa sul trattamento dei dati personali (contenente gli estremi identificativi del responsabile del trattamento e quelli del Titolare), salvo che al riguardo non debba provvedervi direttamente il Titolare; o) acquisire dagli interessati la debita autorizzazione (consenso) al trattamento (salvo che al riguardo non debba provvedervi direttamente il Titolare), impegnandosi altresì, a non acquisire ulteriori consensi non necessari al trattamento e che possono avere effetti pregiudizievoli all’eventuale fruizione di servizi che il Titolare, tramite il responsabile del trattamento, deve fornire agli stessi interessati; p) tenere e aggiornare il registro delle attività di trattamento, salvo quanto stabilito dall’art. 30, paragrafo 5, del GDPR Ue 2016/679 e, in tal caso, dandone adeguata motivazione al Titolare; q) comunicare prontamente al Titolare ogni notizia rilevante che possa incidere sul trattamento dei dati personali, quali, a titolo esemplificativo e non esaustivo, liquidazione, fallimento, fusione, accorpamento societario, ricorso ad altri subfornitori (di seguito, sub-responsabili del trattamento) e, senza ingiustificato ritardo, comunicare qualsivoglia violazione di dati personali e, in tal caso, le misure adottate per limitare e/o evitare effetti pregiudizievoli nei confronti degli interessati, fornendo ogni collaborazione al Titolare; r) non comunicare i dati, oggetto del trattamento, a terzi (salvo che tale operazione non sia consentita da disposizione di legge o dal titolare del trattamento) né cedergli, in alcun modo, i dati; s) designare, nel caso in cui sia ammesso il subappalto dagli atti negoziali di riferimento, i subfornitori (anche se situati all’estero) quali altri responsabili del trattamento (sub-responsabili) e far assumere agli stessi, mediante sottoscrizione di appositi atti giuridici o contratti, i medesimi obblighi in materia di protezione dei dati personali imposti, tramite il presente Accordo, al responsabile del trattamento (Fornitore); t) informare il Titolare di aver fatto ricorso a sub-responsabili del trattamento, anche se situati all’estero, conformemente a quanto previsto dall’art. 28, paragrafo 2, secondo periodo, del GDPR.

Istruzioni sul trattamento dei dati. 1. Il responsabile del trattamento, con la sottoscrizione del presente Accordo, si impegna ad osservarele osservare le istruzioni documentate fornite dal Titolare. 2. Il responsabile del trattamento considera istruzioni documentate le pattuizioni previste dal rapporto contrattuale in essere, dagli eventuali suoi allegati o atti correlati ai quali le relative parti hanno fatto espresso rinvio nonché ogni altra eventuale comunicazione scritta del Titolare concernente le modalità di trattamento dei dati da parte del responsabile del trattamento e, soprattutto, le seguenti: a) informare il Titolare qualora ritenga che un’istruzione impartitagli da quest’ultimo violi il GDPR o altre disposizioni europee o nazionali relative alla protezione dei dati; b) trattare i dati nel pieno rispetto del GDPR e di ogni altra vigente normativa in materia di protezione dei dati; c) adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto, se necessari a conformare il trattamento o ad elevarne la relativa sicurezza, anche dei provvedimenti, tempo per tempo, emanati dall’Autorità di Controllo, consultabili sul portale internet istituzionale di questa ultima (xxxxx://xxx.xxxxxxxxxxxxxx.xx) e che comunque, possono essere forniti, previa richiesta, dal responsabile della protezione dei dati di questa Azienda Sanitaria (tel. 0000000000; xxx@xxxxxxx0.xx); d) rispettare, in ogni caso, la dignità degli interessati, osservando sia princìpi del trattamento di cui all’art. 5 del GDPR sia adottando ogni necessaria cautela e accorgimento riferibile al contesto del trattamento, tra cui, se applicabili, si indicano, esemplificativamente, le cautele e gli accorgimenti disposti dal Garante per la protezione dei dati personali: per i luoghi di cura, il provvedimento del 9 novembre 2005 (doc. web n. 1191411); per la consegna presìdi sanitari al domicilio dell'interessato, il provvedimento 21 novembre 2013 (doc. web n. 2803050); e) compiere le sole operazioni di trattamento funzionali, nei limiti di stretta pertinenza e non eccedenza, all’esecuzione dell’attività/servizio (finalità principale del trattamento), con modalità che permettano di identificare l'interessato solo in caso di necessità e, in tal ultimo caso, con modalità e adozione di accorgimenti e misure tecniche e organizzative tali da assicurare che il livello di protezione dei diritti e delle libertà delle persone fisiche garantito dal GDPR non venga mai compromesso, anche al fine di evitare che il trattamento possa arrecare danno agli interessati; f) utilizzare i dati per finalità strettamente correlate alla finalità principale del trattamento se imposte dalla normativa vigente o, diversamente, se autorizzate dal Titolare; g) non utilizzare i dati per altre finalità (es. ricerca scientifica, marketing, ecc.); h) fornire assistenza al Titolare, per quanto di competenza e nella misura in cui ciò sia possibile, per garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento, come (esemplificativamente): - tutte le informazioni necessarie per dimostrare la conformità del trattamento, anche relativamente alla sicurezza, al GDPR e il rispetto degli obblighi stabiliti dal relativo articolo 28 e dal presente Accordo; - tutte le informazioni necessarie a fornire adeguato riscontro degli interessati o ad adempiere ad obblighi stabiliti dalla normativa vigente nei confronti dell’Autorità di controllo (Garante per la protezione dei dati personali); i) mantenere la riservatezza dei dati ovvero non renderli pubblici, diffonderli o divulgarli, anche dopo la cessazione del rapporto contrattuale/convenzionale di riferimento, come, parimenti, mantenere la riservatezza sulle misure intraprese per proteggerli; j) designare le persone autorizzate al trattamento e garantire che tali persone siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; k) individuare, ove necessario, i soggetti da nominare quali Amministratori di sistema e, in tal caso, garantire e rispettare quanto stabilito nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 (pubblicato in G.U. n. 300 del 24 dicembre 2008) modificato in base al provvedimento del 25 giugno 2009 (pubblicato in G.U. n. 149 del 30 giugno 2009); l) far osservare alle persone autorizzate le istruzioni sul corretto trattamento o, se del caso, chiederne ulteriori al Titolare nonché vigilare sulla correttezza delle operazioni di trattamento; m) gestire, nel caso in cui sia previsto dall’atto di affidamento del servizio e/o da eventuali susseguenti connessi accordi, le credenziali informatiche del personale autorizzato dal titolare, i cui nominativi, con descrizione dei connessi profili di autorizzazione (ambito di trattamento consentito e relative operazione da abilitare), verranno comunicati al responsabile del trattamento da Responsabili/Direttori di Unità Operative che compongono la struttura organizzativa dello stesso Titolare; n) fornire agli interessati l’informativa sul trattamento dei dati personali (contenente gli estremi identificativi del responsabile del trattamento e quelli del Titolare), salvo che al riguardo non debba provvedervi direttamente il Titolare; o) acquisire dagli interessati la debita autorizzazione (consenso) al trattamento (salvo che al riguardo non debba provvedervi direttamente il Titolare), impegnandosi altresì, a non acquisire ulteriori consensi non necessari al trattamento e che possono avere effetti pregiudizievoli all’eventuale fruizione di servizi che il Titolare, tramite il responsabile del trattamento, deve fornire agli stessi interessati; p) tenere e aggiornare il registro delle attività di trattamento, salvo quanto stabilito dall’art. 30, paragrafo 5, del GDPR Ue 2016/679 e, in tal caso, dandone adeguata motivazione al Titolare; q) comunicare prontamente al Titolare ogni notizia rilevante che possa incidere sul trattamento dei dati personali, quali, a titolo esemplificativo e non esaustivo, liquidazione, fallimento, fusione, accorpamento societario, ricorso ad altri subfornitori (di seguito, sub-responsabili del trattamento) e, senza ingiustificato ritardo, comunicare qualsivoglia violazione di dati personali e, in tal caso, le misure adottate per limitare e/o evitare effetti pregiudizievoli nei confronti degli interessati, fornendo ogni collaborazione al Titolare; r) non comunicare i dati, oggetto del trattamento, a terzi (salvo che tale operazione non sia consentita da disposizione di legge o dal titolare del trattamento) né cedergli, in alcun modo, i dati; s) designare, nel caso in cui sia ammesso il subappalto dagli atti negoziali di riferimento, i subfornitori (anche se situati all’estero) quali altri responsabili del trattamento (sub-responsabiliresponsabili del trattamento) e far assumere agli stessi, mediante sottoscrizione di appositi atti giuridici o contratti, i medesimi obblighi in materia di protezione dei dati personali cui si è impegnato, con imposti, tramite il presente Accordo, quale al responsabile (iniziale) del trattamento trattamento; (Fornitore); t) informare il Titolare di aver fatto ricorso a sub-responsabili del trattamento, anche se situati all’estero, conformemente a quanto previsto dall’art. 28, paragrafo 2, secondo periodo, del GDPR.

Istruzioni sul trattamento dei dati. 1. Il responsabile del trattamento, con la sottoscrizione del presente Accordo, si impegna ad osservarele osservare le istruzioni documentate fornite dal Titolare. 2. Il responsabile del trattamento considera istruzioni documentate le pattuizioni previste dal rapporto contrattuale in essere, dagli eventuali suoi allegati o atti correlati ai quali le relative parti hanno fatto espresso rinvio nonché ogni altra eventuale comunicazione scritta del Titolare concernente le modalità di trattamento dei dati da parte del responsabile del trattamento e, soprattutto, le seguenti: a) informare il Titolare qualora ritenga che un’istruzione impartitagli da quest’ultimo violi il GDPR o altre disposizioni europee o nazionali relative alla protezione dei dati; b) trattare i dati nel pieno rispetto del GDPR e di ogni altra vigente normativa in materia di protezione dei dati; c) adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto, se necessari a conformare il trattamento o ad elevarne la relativa sicurezza, anche dei provvedimenti, tempo per tempo, emanati dall’Autorità di Controllo, consultabili sul portale internet istituzionale di questa ultima (xxxxx://xxx.xxxxxxxxxxxxxx.xx) e che comunque, possono essere forniti, previa richiesta, dal responsabile della protezione dei dati di questa Azienda Sanitaria Ospedaliera (tel. 0000000000; xxx@xxxxxxx0.xxxxx@xxxxxxxxxxxx.xxxx.xx); d) rispettare, in ogni caso, la dignità degli interessati, osservando sia princìpi del trattamento di cui all’art. 5 del GDPR sia adottando ogni necessaria cautela e accorgimento riferibile al contesto del trattamento, tra cui, se applicabili, si indicano, esemplificativamente, le cautele e gli accorgimenti disposti dal Garante per la protezione dei dati personali: per i luoghi di cura, il provvedimento del 9 novembre 2005 (doc. web n. 1191411); per la consegna presìdi sanitari al domicilio dell'interessato, il provvedimento 21 novembre 2013 (doc. web n. 2803050); e) compiere le sole operazioni di trattamento funzionali, nei limiti di stretta pertinenza e non eccedenza, all’esecuzione dell’attività/servizio (finalità principale del trattamento), con modalità che permettano di identificare l'interessato solo in caso di necessità e, in tal ultimo caso, con modalità e adozione di accorgimenti e misure tecniche e organizzative tali da assicurare che il livello di protezione dei diritti e delle libertà delle persone fisiche garantito dal GDPR non venga mai compromesso, anche al fine di evitare che il trattamento possa arrecare danno agli interessati; f) utilizzare i dati per finalità strettamente correlate alla finalità principale del trattamento se imposte dalla normativa vigente o, diversamente, se autorizzate dal Titolare; g) non utilizzare i dati per altre finalità (es. ricerca scientifica, marketing, ecc.); h) fornire assistenza al Titolare, per quanto di competenza e nella misura in cui ciò sia possibile, per garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento, come (esemplificativamente): - tutte le informazioni necessarie per dimostrare la conformità del trattamento, anche relativamente alla sicurezza, al GDPR e il rispetto degli obblighi stabiliti dal relativo articolo 28 e dal presente Accordo; - tutte le informazioni necessarie a fornire adeguato riscontro degli interessati o ad adempiere ad obblighi stabiliti dalla normativa vigente nei confronti dell’Autorità di controllo (Garante per la protezione dei dati personali); i) mantenere la riservatezza dei dati ovvero non renderli pubblici, diffonderli o divulgarli, anche dopo la cessazione del rapporto contrattuale/convenzionale di riferimento, come, parimenti, mantenere la riservatezza sulle misure intraprese per proteggerli; j) designare le persone autorizzate al trattamento e garantire che tali persone siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; k) individuare, ove necessario, i soggetti da nominare quali Amministratori di sistema e, in tal caso, garantire e rispettare quanto stabilito nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 (pubblicato in G.U. n. 300 del 24 dicembre 2008) modificato in base al provvedimento del 25 giugno 2009 (pubblicato in G.U. n. 149 del 30 giugno 2009); l) far osservare alle persone autorizzate le istruzioni sul corretto trattamento o, se del caso, chiederne ulteriori al Titolare nonché vigilare sulla correttezza delle operazioni di trattamento; m) gestire, nel caso in cui sia previsto dall’atto di affidamento del servizio e/o da eventuali susseguenti connessi accordi, le credenziali informatiche del personale autorizzato dal titolare, i cui nominativi, con descrizione dei connessi profili di autorizzazione (ambito di trattamento consentito e relative operazione da abilitare), verranno comunicati al responsabile del trattamento da Responsabili/Direttori di Unità Operative che compongono la struttura organizzativa dello stesso Titolare; n) fornire agli interessati l’informativa sul trattamento dei dati personali (contenente gli estremi identificativi del responsabile del trattamento e quelli del Titolare), salvo che al riguardo non debba provvedervi direttamente il Titolare; o) acquisire dagli interessati la debita autorizzazione (consenso) al trattamento (salvo che al riguardo non debba provvedervi direttamente il Titolare), impegnandosi altresì, a non acquisire ulteriori consensi non necessari al trattamento e che possono avere effetti pregiudizievoli all’eventuale fruizione di servizi che il Titolare, tramite il responsabile del trattamento, deve fornire agli stessi interessati; p) tenere e aggiornare il registro delle attività di trattamento, salvo quanto stabilito dall’art. 30, paragrafo 5, del GDPR Ue 2016/679 e, in tal caso, dandone adeguata motivazione al Titolare; q) comunicare prontamente al Titolare ogni notizia rilevante che possa incidere sul trattamento dei dati personali, quali, a titolo esemplificativo e non esaustivo, liquidazione, fallimento, fusione, accorpamento societario, ricorso ad altri subfornitori (di seguito, sub-responsabili del trattamento) e, senza ingiustificato ritardo, comunicare qualsivoglia violazione di dati personali e, in tal caso, le misure adottate per limitare e/o evitare effetti pregiudizievoli nei confronti degli interessati, fornendo ogni collaborazione al Titolare; r) non comunicare i dati, oggetto del trattamento, a terzi (salvo che tale operazione non sia consentita da disposizione di legge o dal titolare del trattamento) né cedergli, in alcun modo, i dati; s) designare, nel caso in cui sia ammesso il subappalto dagli atti negoziali di riferimento, i subfornitori (anche se situati all’estero) quali altri responsabili del trattamento (sub-responsabiliresponsabili del trattamento) e far assumere agli stessi, mediante sottoscrizione di appositi atti giuridici o contratti, i medesimi obblighi in materia di protezione dei dati personali imposticui si è impegnato, conimposti, tramite il presente Accordo, al qualeal responsabile (iniziale) del trattamento trattamento; (Fornitore); t) informare il Titolare di aver fatto ricorso a sub-responsabili del trattamento, anche se situati all’estero, conformemente a quanto previsto dall’art. 28, paragrafo 2, secondo periodo, del GDPR.

Istruzioni sul trattamento dei dati. 1. Il responsabile del trattamento, con la sottoscrizione del presente Accordo, si impegna ad osservarele osservare le istruzioni documentate fornite dal Titolare. 2. Il responsabile del trattamento considera istruzioni documentate le pattuizioni previste dal rapporto contrattuale in essere, dagli eventuali suoi allegati o atti correlati ai quali le relative parti hanno fatto espresso rinvio nonché ogni altra eventuale comunicazione scritta del Titolare concernente le modalità di trattamento dei dati da parte del responsabile del trattamento e, soprattutto, le seguenti: a) informare il Titolare qualora ritenga che un’istruzione impartitagli da quest’ultimo violi il GDPR o altre disposizioni europee o nazionali relative alla protezione dei dati; b) trattare i dati nel pieno rispetto del GDPR e di ogni altra vigente normativa in materia di protezione dei dati; c) adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto, se necessari a conformare il trattamento o ad elevarne la relativa sicurezza, anche dei provvedimenti, tempo per tempo, emanati dall’Autorità di Controllo, consultabili sul portale internet istituzionale di questa ultima (xxxxx://xxx.xxxxxxxxxxxxxx.xx) e che comunque, possono essere forniti, previa richiesta, dal responsabile della protezione dei dati di questa Azienda Sanitaria (tel. 0000000000; xxx@xxxxxxx0.xx); d) rispettare, in ogni caso, la dignità degli interessati, osservando sia princìpi del trattamento di cui all’art. 5 del GDPR sia adottando ogni necessaria cautela e accorgimento riferibile al contesto del trattamento, tra cui, se applicabili, si indicano, esemplificativamente, le cautele e gli accorgimenti disposti dal Garante per la protezione dei dati personali: per i luoghi di cura, il provvedimento del 9 novembre 2005 (doc. web n. 1191411); per la consegna presìdi sanitari al domicilio dell'interessato, il provvedimento 21 novembre 2013 (doc. web n. 2803050); e) compiere le sole operazioni di trattamento funzionali, nei limiti di stretta pertinenza e non eccedenza, all’esecuzione dell’attività/servizio (finalità principale del trattamento), con modalità che permettano di identificare l'interessato solo in caso di necessità e, in tal ultimo caso, con modalità e adozione di accorgimenti e misure tecniche e organizzative tali da assicurare che il livello di protezione dei diritti e delle libertà delle persone fisiche garantito dal GDPR non venga mai compromesso, anche al fine di evitare che il trattamento possa arrecare danno agli interessati; f) utilizzare i dati per finalità strettamente correlate alla finalità principale del trattamento se imposte dalla normativa vigente o, diversamente, se autorizzate dal Titolare; g) non utilizzare i dati per altre finalità (es. ricerca scientifica, marketing, ecc.); h) fornire assistenza al Titolare, per quanto di competenza e nella misura in cui ciò sia possibile, per garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento, come (esemplificativamente): - tutte le informazioni necessarie per dimostrare la conformità del trattamento, anche relativamente alla sicurezza, al GDPR e il rispetto degli obblighi stabiliti dal relativo articolo 28 e dal presente Accordo; - tutte le informazioni necessarie a fornire adeguato riscontro degli interessati o ad adempiere ad obblighi stabiliti dalla normativa vigente nei confronti dell’Autorità di controllo (Garante per la protezione dei dati personali); i) mantenere la riservatezza dei dati ovvero non renderli pubblici, diffonderli o divulgarli, anche dopo la cessazione del rapporto contrattuale/convenzionale di riferimento, come, parimenti, mantenere la riservatezza sulle misure intraprese per proteggerli; j) designare le persone autorizzate al trattamento e garantire che tali persone siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; k) individuare, ove necessario, i soggetti da nominare quali Amministratori di sistema e, in tal caso, garantire e rispettare quanto stabilito nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 (pubblicato in G.U. n. 300 del 24 dicembre 2008) modificato in base al provvedimento del 25 giugno 2009 (pubblicato in G.U. n. 149 del 30 giugno 2009); l) far osservare alle persone autorizzate le istruzioni sul corretto trattamento o, se del caso, chiederne ulteriori al Titolare nonché vigilare sulla correttezza delle operazioni di trattamento; m) gestire, nel caso in cui sia previsto dall’atto di affidamento del servizio e/o da eventuali susseguenti connessi accordi, le credenziali informatiche del personale autorizzato dal titolare, i cui nominativi, con descrizione dei connessi profili di autorizzazione (ambito di trattamento consentito e relative operazione da abilitare), verranno comunicati al responsabile del trattamento da Responsabili/Direttori di Unità Operative che compongono la struttura organizzativa dello stesso Titolare; n) fornire agli interessati l’informativa sul trattamento dei dati personali (contenente gli estremi identificativi del responsabile del trattamento e quelli del Titolare), salvo che al riguardo non debba provvedervi direttamente il Titolare; o) acquisire dagli interessati la debita autorizzazione (consenso) al trattamento (salvo che al riguardo non debba provvedervi direttamente il Titolare), impegnandosi altresì, a non acquisire ulteriori consensi non necessari al trattamento e che possono avere effetti pregiudizievoli all’eventuale fruizione di servizi che il Titolare, tramite il responsabile del trattamento, deve fornire agli stessi interessati; p) tenere e aggiornare il registro delle attività di trattamento, salvo quanto stabilito dall’art. 30, paragrafo 5, del GDPR Ue 2016/679 e, in tal caso, dandone adeguata motivazione al Titolare; q) comunicare prontamente al Titolare ogni notizia rilevante che possa incidere sul trattamento dei dati personali, quali, a titolo esemplificativo e non esaustivo, liquidazione, fallimento, fusione, accorpamento societario, ricorso ad altri subfornitori (di seguito, sub-responsabili del trattamento) e, senza ingiustificato ritardo, comunicare qualsivoglia violazione di dati personali e, in tal caso, le misure adottate per limitare e/o evitare effetti pregiudizievoli nei confronti degli interessati, fornendo ogni collaborazione al Titolare; r) non comunicare i dati, oggetto del trattamento, a terzi (salvo che tale operazione non sia consentita da disposizione di legge o dal titolare del trattamento) né cedergli, in alcun modo, i dati; s) designare, nel caso in cui sia ammesso il subappalto dagli atti negoziali di riferimento, i subfornitori (anche se situati all’estero) quali altri responsabili del trattamento (sub-responsabili) e far assumere agli stessi, mediante sottoscrizione di appositi atti giuridici o contratti, i medesimi obblighi in materia di protezione dei dati personali imposti, tramite il presente Accordo, al responsabile del trattamento (Fornitore); t) informare il Titolare di aver fatto ricorso a sub-responsabili del trattamento, anche se situati all’estero, conformemente a quanto previsto dall’art. 28, paragrafo 2, secondo periodo, del GDPR.

Istruzioni sul trattamento dei dati. 1. Il responsabile del trattamento, con la sottoscrizione del presente Accordo, si impegna ad osservarele osservare le istruzioni documentate fornite dal Titolare. 2. Il responsabile del trattamento considera istruzioni documentate le pattuizioni previste dal rapporto contrattuale in essere, dagli eventuali suoi allegati o atti correlati ai quali le relative parti hanno fatto espresso rinvio nonché ogni altra eventuale comunicazione scritta del Titolare concernente le modalità di trattamento dei dati da parte del responsabile del trattamento e, soprattutto, le seguenti: a) informare il Titolare qualora ritenga che un’istruzione impartitagli da quest’ultimo violi il GDPR o altre disposizioni europee o nazionali relative alla protezione dei dati; b) trattare i dati nel pieno rispetto del GDPR e di ogni altra vigente normativa in materia di protezione dei dati; c) adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto, se necessari a conformare il trattamento o ad elevarne la relativa sicurezza, anche dei provvedimenti, tempo per tempo, emanati dall’Autorità di Controllo, consultabili sul portale internet istituzionale di questa ultima (xxxxx://xxx.xxxxxxxxxxxxxx.xx) e che comunque, possono essere forniti, previa richiesta, dal responsabile della protezione dei dati di questa Azienda Sanitaria (tel. 0000000000; xxx@xxxxxxx0.xx)0000000; d) rispettare, in ogni caso, la dignità degli interessati, osservando sia princìpi del trattamento di cui all’art. 5 del GDPR sia adottando ogni necessaria cautela e accorgimento riferibile al contesto del trattamento, tra cui, se applicabili, si indicano, esemplificativamente, le cautele e gli accorgimenti disposti dal Garante per la protezione dei dati personali: per i luoghi di cura, il provvedimento del 9 novembre 2005 (doc. web n. 1191411); per la consegna presìdi sanitari al domicilio dell'interessato, il provvedimento 21 novembre 2013 (doc. web n. 2803050); e) compiere le sole operazioni di trattamento funzionali, nei limiti di stretta pertinenza e non eccedenza, all’esecuzione dell’attività/servizio (finalità principale del trattamento), con modalità che permettano di identificare l'interessato solo in caso di necessità e, in tal ultimo caso, con modalità e adozione di accorgimenti e misure tecniche e organizzative tali da assicurare che il livello di protezione dei diritti e delle libertà delle persone fisiche garantito dal GDPR non venga mai compromesso, anche al fine di evitare che il trattamento possa arrecare danno agli interessati; f) utilizzare i dati per finalità strettamente correlate alla finalità principale del trattamento se imposte dalla normativa vigente o, diversamente, se autorizzate dal Titolare; g) non utilizzare i dati per altre finalità (es. ricerca scientifica, marketing, ecc.); h) fornire assistenza al Titolare, per quanto di competenza e nella misura in cui ciò sia possibile, per garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento, come (esemplificativamente): - tutte le informazioni necessarie per dimostrare la conformità del trattamento, anche relativamente alla sicurezza, al GDPR e il rispetto degli obblighi stabiliti dal relativo articolo 28 e dal presente Accordo; - tutte le informazioni necessarie a fornire adeguato riscontro degli interessati o ad adempiere ad obblighi stabiliti dalla normativa vigente nei confronti dell’Autorità di controllo (Garante per la protezione dei dati personali); i) mantenere la riservatezza dei dati ovvero non renderli pubblici, diffonderli o divulgarli, anche dopo la cessazione del rapporto contrattuale/convenzionale di riferimento, come, parimenti, mantenere la riservatezza sulle misure intraprese per proteggerli; j) designare le persone autorizzate al trattamento e garantire che tali persone siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; k) individuare, ove necessario, i soggetti da nominare quali Amministratori di sistema e, in tal caso, garantire e rispettare quanto stabilito nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 (pubblicato in G.U. n. 300 del 24 dicembre 2008) modificato in base al provvedimento del 25 giugno 2009 (pubblicato in G.U. n. 149 del 30 giugno 2009); l) far osservare alle persone autorizzate le istruzioni sul corretto trattamento o, se del caso, chiederne ulteriori al Titolare nonché vigilare sulla correttezza delle operazioni di trattamento; m) gestire, nel caso in cui sia previsto dall’atto di affidamento del servizio e/o da eventuali susseguenti connessi accordi, le credenziali informatiche del personale autorizzato dal titolare, i cui nominativi, con descrizione dei connessi profili di autorizzazione (ambito di trattamento consentito e relative operazione da abilitare), verranno comunicati al responsabile del trattamento da Responsabili/Direttori di Unità Operative che compongono la struttura organizzativa dello stesso Titolare; n) fornire agli interessati l’informativa sul trattamento dei dati personali (contenente gli estremi identificativi del responsabile del trattamento e quelli del Titolare), salvo che al riguardo non debba provvedervi direttamente il Titolare; o) acquisire dagli interessati la debita autorizzazione (consenso) al trattamento (salvo che al riguardo non debba provvedervi direttamente il Titolare), impegnandosi altresì, a non acquisire ulteriori consensi non necessari al trattamento e che possono avere effetti pregiudizievoli all’eventuale fruizione di servizi che il Titolare, tramite il responsabile del trattamento, deve fornire agli stessi interessati; p) tenere e aggiornare il registro delle attività di trattamento, salvo quanto stabilito dall’art. 30, paragrafo 5, del GDPR Ue 2016/679 e, in tal caso, dandone adeguata motivazione al Titolare; q) comunicare prontamente al Titolare ogni notizia rilevante che possa incidere sul trattamento dei dati personali, quali, a titolo esemplificativo e non esaustivo, liquidazione, fallimento, fusione, accorpamento societarioaccorpamentosocietario, ricorso ad altri subfornitori (di seguito, sub-responsabili del trattamento) e, senza ingiustificato ritardo, comunicare qualsivoglia violazione di dati personali e, in tal caso, le misure adottate per limitare e/o evitare effetti pregiudizievoli nei confronti degli interessati, fornendo ogni collaborazione al Titolare; r) non comunicare i dati, oggetto del trattamento, a terzi (salvo che tale operazione non sia consentita da disposizione di legge o dal titolare del trattamento) né cedergli, in alcun modo, i dati; s) designare, nel caso in cui sia ammesso il subappalto dagli atti negoziali di riferimento, i subfornitori (anche se situati all’estero) quali altri responsabili del trattamento (sub-responsabili) e far assumere agli stessi, mediante sottoscrizione di appositi atti giuridici o contratti, i medesimi obblighi in materia di protezione dei dati personali imposti, tramite il presente Accordo, al responsabile del trattamento (Fornitore); t) informare il Titolare di aver fatto ricorso a sub-responsabili del trattamento, anche se situati all’estero, conformemente a quanto previsto dall’art. 28, paragrafo 2, secondo periodo, del GDPR.

Istruzioni sul trattamento dei dati. 1. Il responsabile del trattamento, con la sottoscrizione del presente Accordo, si impegna ad osservarele osservare le istruzioni documentate fornite dal Titolare. 2. Il responsabile del trattamento considera istruzioni documentate le pattuizioni previste dal rapporto contrattuale in essere, dagli eventuali suoi allegati o atti correlati ai quali le relative parti hanno fatto espresso rinvio nonché ogni altra eventuale comunicazione scritta del Titolare concernente le modalità di trattamento dei dati da parte del responsabile del trattamento e, soprattutto, le seguenti: a) informare il Titolare qualora ritenga che un’istruzione impartitagli da quest’ultimo violi il GDPR o altre disposizioni europee o nazionali relative alla protezione dei dati; b) trattare i dati nel pieno rispetto del GDPR e di ogni altra vigente normativa in materia di protezione dei dati; c) adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto, se necessari a conformare il trattamento o ad elevarne la relativa sicurezza, anche dei provvedimenti, tempo per tempo, emanati dall’Autorità di Controllo, consultabili sul portale internet istituzionale di questa ultima (xxxxx://xxx.xxxxxxxxxxxxxx.xx) e che comunque, possono essere forniti, previa richiesta, dal responsabile della protezione dei dati di questa Azienda Sanitaria (tel. 0000000000; xxx@xxxxxxx0.xx); d) rispettare, in ogni caso, la dignità degli interessati, osservando sia princìpi del trattamento di cui all’art. 5 del GDPR sia adottando ogni necessaria cautela e accorgimento riferibile al contesto del trattamento, tra cui, se applicabili, si indicano, esemplificativamente, le cautele e gli accorgimenti disposti dal Garante per la protezione dei dati personali: per i luoghi di cura, il provvedimento del 9 novembre 2005 (doc. web n. 1191411); per la consegna presìdi sanitari al domicilio dell'interessato, il provvedimento 21 novembre 2013 (doc. web n. 2803050); e) compiere le sole operazioni di trattamento funzionali, nei limiti di stretta pertinenza e non eccedenza, all’esecuzione dell’attività/servizio (finalità principale del trattamento), con modalità che permettano di identificare l'interessato solo in caso di necessità e, in tal ultimo caso, con modalità e adozione di accorgimenti e misure tecniche e organizzative tali da assicurare che il livello di protezione dei diritti e delle libertà delle persone fisiche garantito dal GDPR non venga mai compromesso, anche al fine di evitare che il trattamento possa arrecare danno agli interessati; f) utilizzare i dati per finalità strettamente correlate alla finalità principale del trattamento se imposte dalla normativa vigente o, diversamente, se autorizzate dal Titolare; g) non utilizzare i dati per altre finalità (es. ricerca scientifica, marketing, ecc.); h) fornire assistenza al Titolare, per quanto di competenza e nella misura in cui ciò sia possibile, per garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento, come (esemplificativamente): - tutte le informazioni necessarie per dimostrare la conformità del trattamento, anche relativamente alla sicurezza, al GDPR e il rispetto degli obblighi stabiliti dal relativo articolo 28 e dal presente Accordo; - tutte le informazioni necessarie a fornire adeguato riscontro degli interessati o ad adempiere ad obblighi stabiliti dalla normativa vigente nei confronti dell’Autorità di controllo (Garante per la protezione dei dati personali); i) mantenere la riservatezza dei dati ovvero non renderli pubblici, diffonderli o divulgarli, anche dopo la cessazione del rapporto contrattuale/convenzionale di riferimento, come, parimenti, mantenere la riservatezza sulle misure intraprese per proteggerli; j) designare le persone autorizzate al trattamento e garantire che tali persone siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; k) individuare, ove necessario, i soggetti da nominare quali Amministratori di sistema e, in tal caso, garantire e rispettare quanto stabilito nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 (pubblicato in G.U. n. 300 del 24 dicembre 2008) modificato in base al provvedimento del 25 giugno 2009 (pubblicato in G.U. n. 149 del 30 giugno 2009); l) far osservare alle persone autorizzate le istruzioni sul corretto trattamento o, se del caso, chiederne ulteriori al Titolare nonché vigilare sulla correttezza delle operazioni di trattamento; m) gestire, nel caso in cui sia previsto dall’atto di affidamento del servizio e/o da eventuali susseguenti connessi accordi, le credenziali informatiche del personale autorizzato dal titolare, i cui nominativi, con descrizione dei connessi profili di autorizzazione (ambito di trattamento consentito e relative operazione da abilitare), verranno comunicati al responsabile del trattamento da Responsabili/Direttori di Unità Operative che compongono la struttura organizzativa dello stesso Titolare; n) fornire agli interessati l’informativa sul trattamento dei dati personali (contenente gli estremi identificativi del responsabile del trattamento e quelli del Titolare), salvo che al riguardo non debba provvedervi direttamente il Titolare; o) acquisire dagli interessati la debita autorizzazione (consenso) al trattamento (salvo che al riguardo non debba provvedervi direttamente il Titolare), impegnandosi altresì, a non acquisire ulteriori consensi non necessari al trattamento e che possono avere effetti pregiudizievoli all’eventuale fruizione di servizi che il Titolare, tramite il responsabile del trattamento, deve fornire agli stessi interessati; p) tenere e aggiornare il registro delle attività di trattamento, salvo quanto stabilito dall’art. 30, paragrafo 5, del GDPR Ue 2016/679 e, in tal caso, dandone adeguata motivazione al Titolare; q) comunicare prontamente al Titolare ogni notizia rilevante che possa incidere sul trattamento dei dati personali, quali, a titolo esemplificativo e non esaustivo, liquidazione, fallimento, fusione, accorpamento societario, ricorso ad altri subfornitori (di seguito, sub-responsabili del trattamento) e, senza ingiustificato ritardo, comunicare qualsivoglia violazione di dati personali e, in tal caso, le misure adottate per limitare e/o evitare effetti pregiudizievoli nei confronti degli interessati, fornendo ogni collaborazione al Titolare; r) non comunicare i dati, oggetto del trattamento, a terzi (salvo che tale operazione non sia consentita da disposizione di legge o dal titolare del trattamento) né cedergli, in alcun modo, i dati; s) designare, nel caso in cui sia ammesso il subappalto dagli atti negoziali di riferimento, i subfornitori (anche se situati all’estero) quali altri responsabili del trattamento (sub-responsabiliresponsabili del trattamento) e far assumere agli stessi, mediante sottoscrizione di appositi atti giuridici o contratti, i medesimi obblighi in materia di protezione dei dati personali imposticui si è impegnato, conimposti, tramite il presente Accordo, al qualeal responsabile (iniziale) del trattamento trattamento; (Fornitore); t) informare il Titolare di aver fatto ricorso a sub-responsabili del trattamento, anche se situati all’estero, conformemente a quanto previsto dall’art. 28, paragrafo 2, secondo periodo, del GDPR.

Istruzioni sul trattamento dei dati. 1. Il responsabile del trattamento, con la sottoscrizione del presente Accordo, si impegna ad osservarele osservare le istruzioni documentate fornite dal Titolare. 2. Il responsabile del trattamento considera istruzioni documentate le pattuizioni previste dal rapporto contrattuale in essere, dagli eventuali suoi allegati o atti correlati ai quali le relative parti hanno fatto espresso rinvio nonché ogni altra eventuale comunicazione scritta del Titolare concernente le modalità di trattamento dei dati da parte del responsabile del trattamento e, soprattutto, le seguenti: a) informare il Titolare qualora ritenga che un’istruzione impartitagli da quest’ultimo violi il GDPR o altre disposizioni europee o nazionali relative alla protezione dei dati; b) trattare i dati nel pieno rispetto del GDPR e di ogni altra vigente normativa in materia di protezione dei dati; c) adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto, se necessari a conformare il trattamento o ad elevarne la relativa sicurezza, anche dei provvedimenti, tempo per tempo, emanati dall’Autorità di Controllo, consultabili sul portale internet istituzionale di questa ultima (xxxxx://xxx.xxxxxxxxxxxxxx.xx) e che comunque, possono essere forniti, previa richiesta, dal responsabile della protezione dei dati di questa Azienda Sanitaria (tel. 0000000000; xxx@xxxxxxx0.xx); d) rispettare, in ogni caso, la dignità degli interessati, osservando sia princìpi del trattamento di cui all’art. 5 del GDPR sia adottando ogni necessaria cautela e accorgimento riferibile al contesto del trattamento, tra cui, se applicabili, si indicano, esemplificativamente, le cautele e gli accorgimenti disposti dal Garante per la protezione dei dati personali: per i luoghi di cura, il provvedimento del 9 novembre 2005 (doc. web n. 1191411); per la consegna presìdi sanitari al domicilio dell'interessato, il provvedimento 21 novembre 2013 (doc. web n. 2803050); e) compiere le sole operazioni di trattamento funzionali, nei limiti di stretta pertinenza e non eccedenza, all’esecuzione dell’attività/servizio (finalità principale del trattamento), con modalità che permettano di identificare l'interessato solo in caso di necessità e, in tal ultimo caso, con modalità e adozione di accorgimenti e misure tecniche e organizzative tali da assicurare che il livello di protezione dei diritti e delle libertà delle persone fisiche garantito dal GDPR non venga mai compromesso, anche al fine di evitare che il trattamento possa arrecare danno agli interessati; f) utilizzare i dati per finalità strettamente correlate alla finalità principale del trattamento se imposte dalla normativa vigente o, diversamente, se autorizzate dal Titolare; g) non utilizzare i dati per altre finalità (es. ricerca scientifica, marketing, ecc.); h) fornire assistenza al Titolare, per quanto di competenza e nella misura in cui ciò sia possibile, per garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento, come (esemplificativamente): - tutte le informazioni necessarie per dimostrare la conformità del trattamento, anche relativamente alla sicurezza, al GDPR e il rispetto degli obblighi stabiliti dal relativo articolo 28 e dal presente Accordo; - tutte le informazioni necessarie a fornire adeguato riscontro degli interessati o ad adempiere ad obblighi stabiliti dalla normativa vigente nei confronti dell’Autorità di controllo (Garante per la protezione dei dati personali); i) mantenere la riservatezza dei dati ovvero non renderli pubblici, diffonderli o divulgarli, anche dopo la cessazione del rapporto contrattuale/convenzionale di riferimento, come, parimenti, mantenere la riservatezza sulle misure intraprese per proteggerli; j) designare le persone autorizzate al trattamento ai sensi dell’art. 2-quaterdecies, comma 2, del D.Lgs. n 196/2003 e s.m.i. e garantire che tali persone siano impegnate aderiscano all'obbligo di riservatezza di cui alla riservatezza o abbiano un adeguato obbligo legale di riservatezzalettera i); k) individuare, ove necessario, i soggetti da nominare quali Amministratori di sistema e, in tal caso, garantire e rispettare quanto stabilito nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 (pubblicato in G.U. n. 300 del 24 dicembre 2008) modificato in base al provvedimento del 25 giugno 2009 (pubblicato in G.U. n. 149 del 30 giugno 2009); l) far osservare alle persone autorizzate le istruzioni sul corretto trattamento o, se del caso, chiederne ulteriori al Titolare nonché vigilare sulla correttezza delle operazioni di trattamento; m) gestire, nel caso in cui sia previsto dall’atto di affidamento del servizio e/o da eventuali susseguenti connessi accordi, le credenziali informatiche del personale autorizzato dal titolare, i cui nominativi, con descrizione dei connessi profili di autorizzazione (ambito di trattamento consentito e relative operazione da abilitare), verranno comunicati al responsabile del trattamento da Responsabili/Direttori di Unità Operative che compongono la struttura organizzativa dello stesso Titolare; n) fornire agli interessati l’informativa sul trattamento dei dati personali (contenente gli estremi identificativi del responsabile del trattamento e quelli del Titolare), salvo che al riguardo non debba provvedervi direttamente il Titolare; o) acquisire dagli interessati la debita autorizzazione (consenso) al trattamento (salvo che al riguardo non debba provvedervi direttamente il Titolare), impegnandosi altresì, a non acquisire ulteriori consensi non necessari al trattamento e che possono avere effetti pregiudizievoli all’eventuale fruizione di servizi che il Titolare, tramite il responsabile del trattamento, deve fornire agli stessi interessati; p) tenere e aggiornare il registro delle attività di trattamento, salvo quanto stabilito dall’art. 30, paragrafo 5, del GDPR Ue 2016/679 e, in tal caso, dandone adeguata motivazione al Titolare; q) comunicare prontamente al Titolare ogni notizia rilevante che possa incidere sul trattamento dei dati personali, quali, a titolo esemplificativo e non esaustivo, liquidazione, fallimento, fusione, accorpamento societario, ricorso ad altri subfornitori (di seguito, sub-responsabili del trattamento) e, senza ingiustificato ritardo, comunicare qualsivoglia violazione di dati personali e, in tal caso, le misure adottate per limitare e/o evitare effetti pregiudizievoli nei confronti degli interessati, fornendo ogni collaborazione al Titolare; r) non comunicare i dati, oggetto del trattamento, a terzi (salvo che tale operazione non sia consentita da disposizione di legge o dal titolare del trattamento) né cedergli, in alcun modo, i dati; s) designare, nel caso in cui sia ammesso il subappalto dagli atti negoziali di riferimento, i subfornitori (anche se situati all’estero) quali altri sub-responsabili del trattamento (sub-responsabili) e far assumere agli stessi, mediante sottoscrizione di appositi atti giuridici o contratti, i medesimi obblighi in materia di protezione dei dati personali imposticui si è impegnato, tramite con il presente Accordo, al quale responsabile (iniziale) del trattamento (Fornitore)trattamento; t) informare il Titolare di aver fatto ricorso a sub-responsabili del trattamento, anche se situati all’estero, conformemente a quanto previsto dall’art. 28, paragrafo 2, secondo periodo, del GDPR.

Istruzioni sul trattamento dei dati. 1. Il responsabile del trattamento, con la sottoscrizione del presente Accordo, si impegna ad osservarele istruzioni documentate fornite dal Titolare. 2. Il responsabile del trattamento considera istruzioni documentate le pattuizioni previste dal rapporto contrattuale in essere, dagli eventuali suoi allegati o atti correlati ai quali le relative parti hanno fatto espresso rinvio nonché ogni altra eventuale comunicazione scritta del Titolare concernente le modalità di trattamento dei dati da parte del responsabile del trattamento e, soprattutto, le seguenti: a) informare il Titolare qualora ritenga che un’istruzione impartitagli da quest’ultimo violi il GDPR o altre disposizioni europee o nazionali relative alla protezione dei dati; b) trattare i dati nel pieno rispetto del GDPR e di ogni altra vigente normativa in materia di protezione dei dati; c) adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto, se necessari a conformare il trattamento o ad elevarne la relativa sicurezza, anche dei provvedimenti, tempo per tempo, emanati dall’Autorità di Controllo, consultabili sul portale internet istituzionale di questa ultima (xxxxx://xxx.xxxxxxxxxxxxxx.xx) e che comunque, possono essere forniti, previa richiesta, dal responsabile della protezione dei dati di questa Azienda Sanitaria (tel. 0000000000; xxx@xxxxxxx0.xx); d) rispettare, in ogni caso, la dignità degli interessati, osservando sia princìpi del trattamento di cui all’art. 5 del GDPR sia adottando ogni necessaria cautela e accorgimento riferibile al contesto del trattamento, tra cui, se applicabili, si indicano, esemplificativamente, le cautele e gli accorgimenti disposti dal Garante per la protezione dei dati personali: per i luoghi di cura, il provvedimento del 9 novembre 2005 (doc. web n. 1191411); per la consegna presìdi sanitari al domicilio dell'interessato, il provvedimento 21 novembre 2013 (doc. web n. 2803050); e) compiere le sole operazioni di trattamento funzionali, nei limiti di stretta pertinenza e non eccedenza, all’esecuzione dell’attività/servizio (finalità principale del trattamento), con modalità che permettano di identificare l'interessato solo in caso di necessità e, in tal ultimo caso, con modalità e adozione di accorgimenti e misure tecniche e organizzative tali da assicurare che il livello di protezione dei diritti e delle libertà delle persone fisiche garantito dal GDPR non venga mai compromesso, anche al fine di evitare che il trattamento possa arrecare danno agli interessati; f) utilizzare i dati per finalità strettamente correlate alla finalità principale del trattamento se imposte dalla normativa vigente o, diversamente, se autorizzate dal Titolare;dalla g) non utilizzare i dati per altre finalità (es. ricerca scientifica, marketing, ecc.); h) fornire assistenza al Titolare, per quanto di competenza e nella misura in cui ciò sia possibile, per garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento, come (esemplificativamente): - tutte le informazioni necessarie per dimostrare la conformità del trattamento, anche relativamente alla sicurezza, al GDPR e il rispetto degli obblighi stabiliti dal relativo articolo 28 e dal presente Accordo; - tutte le informazioni necessarie a fornire adeguato riscontro degli interessati o ad adempiere ad obblighi stabiliti dalla normativa vigente nei confronti dell’Autorità di controllo (Garante per la protezione dei dati personali); i) mantenere la riservatezza dei dati ovvero non renderli pubblici, diffonderli o divulgarli, anche dopo la cessazione del rapporto contrattuale/convenzionale di riferimento, come, parimenti, mantenere la riservatezza sulle misure intraprese per proteggerli; j) designare le persone autorizzate al trattamento e garantire che tali persone siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; k) individuare, ove necessario, i soggetti da nominare quali Amministratori di sistema e, in tal caso, garantire e rispettare quanto stabilito nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 (pubblicato in G.U. n. 300 del 24 dicembre 2008) modificato in base al provvedimento del 25 giugno 2009 (pubblicato in G.U. n. 149 del 30 giugno 2009); l) far osservare alle persone autorizzate le istruzioni sul corretto trattamento o, se del caso, chiederne ulteriori al Titolare nonché vigilare sulla correttezza delle operazioni di trattamento; m) gestire, nel caso in cui sia previsto dall’atto di affidamento del servizio e/o da eventuali susseguenti connessi accordi, le credenziali informatiche del personale autorizzato dal titolare, i cui nominativi, con descrizione dei connessi profili di autorizzazione (ambito di trattamento consentito e relative operazione da abilitare), verranno comunicati al responsabile del trattamento da Responsabili/Direttori di Unità Operative che compongono la struttura organizzativa dello stesso Titolare; n) fornire agli interessati l’informativa sul trattamento dei dati personali (contenente gli estremi identificativi del responsabile del trattamento e quelli del Titolare), salvo che al riguardo non debba provvedervi direttamente il Titolare; o) acquisire dagli interessati la debita autorizzazione (consenso) al trattamento (salvo che al riguardo non debba provvedervi direttamente il Titolare), impegnandosi altresì, a non acquisire ulteriori consensi non necessari al trattamento e che possono avere effetti pregiudizievoli all’eventuale fruizione di servizi che il Titolare, tramite il responsabile del trattamento, deve fornire agli stessi interessati; p) tenere e aggiornare il registro delle attività di trattamento, salvo quanto stabilito dall’art. 30, paragrafo 5, del GDPR Ue 2016/679 e, in tal caso, dandone adeguata motivazione al Titolare; q) comunicare prontamente al Titolare ogni notizia rilevante che possa incidere sul trattamento dei dati personali, quali, a titolo esemplificativo e non esaustivo, liquidazione, fallimento, fusione, accorpamento societario, ricorso ad altri subfornitori (di seguito, sub-responsabili del trattamento) e, senza ingiustificato ritardo, comunicare qualsivoglia violazione di dati personali e, in tal caso, le misure adottate per limitare e/o evitare effetti pregiudizievoli nei confronti degli interessati, fornendo ogni collaborazione al Titolare; r) non comunicare i dati, oggetto del trattamento, a terzi (salvo che tale operazione non sia consentita da disposizione di legge o dal titolare del trattamento) né cedergli, in alcun modo, i dati; s) designare, nel caso in cui sia ammesso il subappalto dagli atti negoziali di riferimento, i subfornitori (anche se situati all’estero) quali altri responsabili del trattamento (sub-responsabili) e far assumere agli stessi, mediante sottoscrizione di appositi atti giuridici o contratti, i medesimi obblighi in materia di protezione dei dati personali imposti, tramite il presente Accordo, al responsabile del trattamento (Fornitore); t) informare il Titolare di aver fatto ricorso a sub-responsabili del trattamento, anche se situati all’estero, conformemente a quanto previsto dall’art. 28, paragrafo 2, secondo periodo, del GDPR.

Istruzioni sul trattamento dei dati. 1. Il responsabile del trattamento, con la sottoscrizione del presente Accordo, si impegna ad osservarele osservare le istruzioni documentate fornite dal Titolare. 2. Il responsabile del trattamento considera istruzioni documentate le pattuizioni previste dal rapporto contrattuale in essere, dagli eventuali suoi allegati o atti correlati ai quali le relative parti hanno fatto espresso rinvio nonché ogni altra eventuale comunicazione scritta del Titolare concernente le modalità di trattamento dei dati da parte del responsabile del trattamento e, soprattutto, le seguenti: a) informare il Titolare qualora ritenga che un’istruzione impartitagli da quest’ultimo violi il GDPR o altre disposizioni europee o nazionali relative alla protezione dei dati; b) trattare i dati nel pieno rispetto del GDPR e di ogni altra vigente normativa in materia di protezione dei dati; c) adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto, se necessari a conformare il trattamento o ad elevarne la relativa sicurezza, anche dei provvedimenti, tempo per tempo, emanati dall’Autorità di Controllo, consultabili sul portale internet istituzionale di questa ultima (xxxxx://xxx.xxxxxxxxxxxxxx.xx) e che comunque, possono essere forniti, previa richiesta, dal responsabile della protezione dei dati di questa Azienda Sanitaria (tel. 0000000000; xxx@xxxxxxx0.xx); d) rispettare, in ogni caso, la dignità degli interessati, osservando sia princìpi del trattamento di cui all’art. 5 del GDPR sia adottando ogni necessaria cautela e accorgimento riferibile al contesto del trattamento, tra cui, se applicabili, si indicano, esemplificativamente, le cautele e gli accorgimenti disposti dal Garante per la protezione dei dati personali: per i luoghi di cura, il provvedimento del 9 novembre 2005 (doc. web n. 1191411); per la consegna presìdi sanitari al domicilio dell'interessato, il provvedimento 21 novembre 2013 (doc. web n. 2803050); e) compiere le sole operazioni di trattamento funzionali, nei limiti di stretta pertinenza e non eccedenza, all’esecuzione dell’attività/servizio (finalità principale del trattamento), con modalità che permettano di identificare l'interessato solo in caso di necessità e, in tal ultimo caso, con modalità e adozione di accorgimenti e misure tecniche e organizzative tali da assicurare che il livello di protezione dei diritti e delle libertà delle persone fisiche garantito dal GDPR non venga mai compromesso, anche al fine di evitare che il trattamento possa arrecare danno agli interessati; f) utilizzare i dati per finalità strettamente correlate alla finalità principale del trattamento se imposte dalla normativa vigente o, diversamente, se autorizzate dal Titolare; g) non utilizzare i dati per altre finalità (es. ricerca scientifica, marketing, ecc.); h) fornire assistenza al Titolare, per quanto di competenza e nella misura in cui ciò sia possibile, per garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento, come (esemplificativamente): - tutte le informazioni necessarie per dimostrare la conformità del trattamento, anche relativamente alla sicurezza, al GDPR e il rispetto degli obblighi stabiliti dal relativo articolo 28 e dal presente Accordo; - tutte le informazioni necessarie a fornire adeguato riscontro degli interessati o ad adempiere ad obblighi stabiliti dalla normativa vigente nei confronti dell’Autorità di controllo (Garante per la protezione dei dati personali); i) mantenere la riservatezza dei dati ovvero non renderli pubblici, diffonderli o divulgarli, anche dopo la cessazione del rapporto contrattuale/convenzionale di riferimento, come, parimenti, mantenere la riservatezza sulle misure intraprese per proteggerli; j) designare le persone autorizzate al trattamento e garantire che tali persone siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; k) individuare, ove necessario, i soggetti da nominare quali Amministratori di sistema e, in tal caso, garantire e rispettare quanto stabilito nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 (pubblicato in G.U. n. 300 del 24 dicembre 2008) modificato in base al provvedimento del 25 giugno 2009 (pubblicato in G.U. n. 149 del 30 giugno 2009); l) far osservare alle persone autorizzate le istruzioni sul corretto trattamento o, se del caso, chiederne ulteriori al Titolare nonché vigilare sulla correttezza delle operazioni di trattamento; m) gestire, nel caso in cui sia previsto dall’atto di affidamento del servizio e/o da eventuali susseguenti connessi accordi, le credenziali informatiche del personale autorizzato dal titolare, i cui nominativi, con descrizione dei connessi profili di autorizzazione (ambito di trattamento consentito e relative operazione da abilitare), verranno comunicati al responsabile del trattamento da Responsabili/Direttori di Unità Operative che compongono la struttura organizzativa dello stesso Titolare; n) fornire agli interessati l’informativa sul trattamento dei dati personali (contenente gli estremi identificativi del responsabile del trattamento e quelli del Titolare), salvo che al riguardo non debba provvedervi direttamente il Titolare; o) acquisire dagli interessati la debita autorizzazione (consenso) al trattamento (salvo che al riguardo non debba provvedervi direttamente il Titolare), impegnandosi altresì, a non acquisire ulteriori consensi non necessari al trattamento e che possono avere effetti pregiudizievoli all’eventuale fruizione di servizi che il Titolare, tramite il responsabile del trattamento, deve fornire agli stessi interessati; p) tenere e aggiornare il registro delle attività di trattamento, salvo quanto stabilito dall’art. 30, paragrafo 5, del GDPR Ue 2016/679 e, in tal caso, dandone adeguata motivazione al Titolare; q) comunicare prontamente al Titolare ogni notizia rilevante che possa incidere sul trattamento dei dati personali, quali, a titolo esemplificativo e non esaustivo, liquidazione, fallimento, fusione, accorpamento societario, ricorso ad altri subfornitori (di seguito, sub-responsabili del trattamento) e, senza ingiustificato ritardo, comunicare qualsivoglia violazione di dati personali e, in tal caso, le misure adottate per limitare e/o evitare effetti pregiudizievoli nei confronti degli interessati, fornendo ogni collaborazione al Titolare; r) non comunicare i dati, oggetto del trattamento, a terzi (salvo che tale operazione non sia consentita da disposizione di legge o dal titolare del trattamento) né cedergli, in alcun modo, i dati; s) designare, nel caso in cui sia ammesso il subappalto dagli atti negoziali di riferimento, i subfornitori (anche se situati all’estero) quali altri responsabili del trattamento (sub-responsabiliresponsabili del trattamento) e far assumere agli stessi, mediante sottoscrizione di appositi atti giuridici o contratti, i medesimi obblighi in materia di protezione dei dati personali imposticui si è impegnato, conimposti, tramite il presente Accordo, al qualeal responsabile (iniziale) del trattamento trattamento; (Fornitore); t) informare il Titolare di aver fatto ricorso a sub-responsabili del trattamento, anche se situati all’estero, conformemente a quanto previsto dall’art. 28, paragrafo 2, secondo periodo, del GDPR.