Common use of Istruzioni Clause in Contracts

Istruzioni. In ottemperanza a quanto previsto dal c.d. Codice Privacy, dal GDPR e dal Regolamento interno di Ateneo in materia di protezione dei dati personali, Lei dovrà attenersi all’adempimento degli obblighi relativi alla tutela dei dati e delle informazioni, sia in termini di sicurezza, sia in materia di riservatezza. In particolare, in qualità di soggetto autorizzato al trattamento dei dati di cui entra a conoscenza è tenuto a: ● operare in modo lecito e secondo correttezza e trasparenza; ● trattare i dati personali, in formato sia elettronico che cartaceo, ai quali Lei ha legittimo accesso, nel corretto svolgimento del rapporto di lavoro e, in ogni caso, per scopi determinati, espliciti, compatibili con gli obblighi di riservatezza. utilizzando a tal fine gli strumenti indicati o messi a disposizione dall’Università. ● trattare i dati personali, i dati di categorie particolari ex art. 9 del GDPR e i dati giudiziari ex art. 10 del GDPR, contenuti in elenchi, registri o banche dati e utilizzati con l’ausilio di mezzi elettronici o comunque automatizzati, ove possibile, attraverso tecniche di cifratura e di pseudonimizzazione o mediante l’applicazione di codici identificativi e di altri sistemi di sicurezza; ● consegnare agli interessati, eventualmente al momento della raccolta dei dati, se rientra nell’attività assegnata, il modulo contenente l’informativa di cui all’art. 13 del GDPR, salvo che l’informativa medesima sia stata fornita direttamente dal Titolare o dal Responsabile del trattamento, ● trattare, custodire e controllare i dati, in particolare quelli particolari/sensibili, mediante l'adozione delle misure di sicurezza disposte dal Titolare e/o dal Responsabile del trattamento, al fine di evitare la distruzione, la perdita o l’accesso non autorizzato da parte di terzi, in relazione alle diverse classifiche operative; ● astenersi dal creare nuove autonome banche dati senza preventiva autorizzazione del Titolare e/o del Responsabile del trattamento; ● osservare scrupolosamente gli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione tanto dei Dati Personali altrui da Lei trattati, quanto delle credenziali di autenticazione a Lei attribuite; ● garantire e mantenere, in ogni operazione di trattamento, la massima riservatezza, ● non comunicare a terzi e non diffondere, con o senza strumenti elettronici, le notizie, le password, le informazioni o i dati appresi in relazione a fatti e circostanze di cui sia venuto a conoscenza in qualità di soggetto autorizzato; ● supportare previa autorizzazione del responsabile gerarchico e nei limiti dell’esecuzione delle attività amministrative attribuite, i Referenti privacy della Struttura di Riferimento, nel censimento dei trattamenti già in essere e nell’aggiornamento del registro dei trattamenti, in attuazione delle istruzioni ivi contenute, ● osservare scrupolosamente il divieto di pubblicare su internet e sui social network – o in altro luogo accessibile da un pubblico definito o indefinito – le foto e video e/o ogni altro dato in cui siano riconoscibili i soggetti interessati al trattamento. ● comunicare preventivamente, ossia prima dell’avvio, al Referente privacy, al Responsabile interno e al Responsabile di riferimento della Direzione ICT (nei casi di trattamenti informatizzati) e alla Direzione Bilancio e Contratti, l’attivazione di un nuovo trattamento, dandone notizia al Responsabile della protezione dati (RPD) nei casi di trattamenti più complessi; ● in caso di allontanamento, anche temporaneo, dall’ufficio o dalla postazione di lavoro, verificare che non vi sia possibilità da parte di terzi (anche se colleghi o comunque appartenenti alla struttura) di accedere ai Dati Personali per i quali era in corso una qualunque operazione di trattamento, sia essa mediante supporto cartaceo o informatico; ● astenersi dal comunicare a terzi (anche se colleghi o comunque appartenenti alla struttura) in qualsiasi forma, la/le propria/e credenziale/i di autenticazione, necessaria/e per il trattamento dei Dati Personali con strumenti elettronici; ● modificare, con scadenza periodica le proprie password relative alle credenziali SCU, secondo le policy definite dalla Direzione ICT; ● segnalare al proprio responsabile gerarchico e eventualmente al Referente Privacy della Struttura di assegnazione, situazioni di rischio per la sicurezza dei dati di cui è venuto a conoscenza (es. la violazione della password, il tentativo di accesso non autorizzato ai sistemi), anche quando riguardino i soggetti esterni autorizzati all’accesso: la Sua collaborazione potrebbe essere fondamentale al fine di colmare eventuali lacune nei sistemi di sicurezza e nelle procedure relative alla tutela dei dati personali; ● informare in modo tempestivo il proprio responsabile gerarchico, e il Referente Privacy della Struttura di assegnazione, qualora si verifichi una violazione dei dati trattati (anomalie, furti, distruzione, divulgazione/accessi non autorizzati, perdite accidentali di dati) al fine di attivare la procedura del Data Breach che prevede la notifica all’Autorità Garante entro 72 ore nei casi in cui la violazione comporti gravi rischi per i diritti e le libertà delle persone fisiche (artt. 33 e 34 del GDPR); ● passare le consegne relative alle attività di ufficio in modo preciso, dettagliato e documentato nel caso di trasferimento dell’attività svolta ad altro soggetto; ● seguire corsi di formazione in materia di protezione dei dati personali, obbligatori alla luce delle nuove disposizioni del GDPR e sostenere i relativi test di valutazione finalizzati alla verifica dell’apprendimento. L’obbligo di formazione è a carico della società appaltatrice che deve provvedere con proprie risorse a formare i dipendenti assegnati a svolgere mansioni presso l’Università; previo accordo, la formazione dei suddetti soggetti nominati autorizzati, per gli ambiti più operativi, può essere gestita a cura dell’Università; ● consultare con proprie credenziali di accesso rilasciate, la sezione privacy presente sulla Rete Intranet di Ateneo, alimentata e aggiornata a cura dello Staff RPD: indirizzo e-mail: ▇▇▇@▇▇▇▇▇.▇▇. E della Direzione Sistemi Informativi. ● In caso di ispezioni da parte dell’Autorità ▇▇▇▇▇▇▇, della polizia Postale e della Guardia di Finanza, qualora si verifichi un intervento immediato o si abbia conoscenza della notizia di ispezione, avvisare tempestivamente il proprio responsabile gerarchico e il Referente Privacy della Struttura di assegnazione, al fine di informare ed attivare la filiera dei soggetti responsabili e offrire la massima collaborazione nelle attività ispettive, fornendo la documentazione richiesta e ogni altra informazione utile di cui si abbia legittimamente cognizione. Gli obblighi relativi alla riservatezza, alla comunicazione e alla diffusione dovranno essere da Lei scrupolosamente osservati anche in seguito all’eventuale cessazione del rapporto di lavoro attualmente in essere con l’Università. Inoltre, La informiamo altresì che:

Istruzioni. In ottemperanza a quanto previsto dal c.d. Codice Privacy, dal GDPR e dal Regolamento interno L’Amministratore di Ateneo Sistema è tenuto: - ad informare prontamente il Responsabile Della Protezione Dei Dati personali ed il Titolare del Trattamento in materia caso di protezione violazione dei dati personali, Lei dovrà attenersi all’adempimento degli obblighi relativi al fine di consentire l’attivazione della procedura prevista dalla norma quando ricorre tale situazione (data breach); - ad osservare la massima riservatezza in merito alle informazioni ottenute nello svolgimento dell’attività, incluse le informazioni relative alla tutela situazione di sicurezza dell’organizzazione, come sistemi operativi, applicativi software, documentazione, architettura e connessioni di rete; - a predisporre un sistema di registrazione dei suoi accessi logici ai sistemi informatici, che consentano di risalire al tempo e alle modalità di accesso; - ad attuare le misure di sicurezza indicate nella circolare Agid n. 2 del 28.4.2017; - ad implementare e a tenere aggiornate le misure di sicurezza informatiche così come previsto dalle procedure dell’Ente (antispam, antivirus, firewall, ecc). - ad impostare e gestire un sistema di autenticazione informatica così come previsto dalle procedure dell’Ente; - alla gestione del salvataggio dei dati così come previsto dalle procedure dell’Ente; - ad adottare le procedure, per la custodia delle copie di sicurezza dei dati e per il ripristino della disponibilità dei dati e dei sistemi e organizzare il salvataggio dei dati, così come previsto dalle procedure dell’Ente; - a sottoporre all’attenzione del Titolare Del Trattamento le situazioni di rischio informatico considerate non accettabili; - ad aggiornare l’inventario delle informazionirisorse informatiche quando nuovi dispositivi approvati vengono collegati in rete; - a gestire l’inventario delle risorse di tutti i sistemi collegati alla rete e dei dispositivi di rete stessi, sia registrando almeno l’indirizzo IP o quanto indicato dalle procedure dell’Ente; - a stilare un elenco dei software autorizzati e relative versioni necessario per ciascun tipo di sistema, compresi server, workstation e laptop di vari tipi e per diversi usi; - a verificare che sui sistemi presenti in termini azienda non vi siano software non autorizzati; - ad utilizzare configurazioni sicure standard per la protezione dei sistemi operativi; - a conservare le credenziali amministrative in modo da garantirne disponibilità e riservatezza; - ad utilizzare credenziali amministrative riconducibili ad una sola persona; - a sostituire le utenze amministrative con sufficiente frequenza (password aging); - a suggerire al Titolare Del Trattamento l'adozione e l'aggiornamento delle più ampie misure di sicurezza, sia anche tenendo conto dello stato dell’arte e dei costi di attuazione, atte a realizzare quanto previsto dalla normativa privacy in materia di riservatezzasicurezza del trattamento; - a collaborare attivamente con il Titolare Del Trattamento, con il Responsabile Del Trattamento e con il Responsabile Della Protezione Dei Dati per assicurare che il trattamento sia conforme a quanto previsto dalla normativa e dalle procedure adottate dall’Ente; - a collaborare con i soggetti incaricati dall’Ente per la redazione della valutazione d’impatto sulla protezione dei dati. In particolareLa presente lettera di incarico si intenderà revocata di diritto alla scadenza del rapporto o alla risoluzione, in qualità di soggetto autorizzato per qualsiasi causa, dello stesso. Luogo, data (Per accettazione dell’incarico) Si forniscono le seguenti informazioni relative al trattamento dei dati di cui entra a conoscenza è tenuto a: ● operare in modo lecito e secondo correttezza e trasparenza; ● trattare i dati personali, in formato sia elettronico che cartaceo, ai quali Lei ha legittimo accesso, nel corretto svolgimento del rapporto di lavoro e, in ogni caso, per scopi determinati, espliciti, compatibili con gli obblighi di riservatezza. utilizzando a tal fine gli strumenti indicati o messi a disposizione dall’Università. ● trattare i dati personali, i dati di categorie particolari ex art. 9 del GDPR e i dati giudiziari ex art. 10 del GDPR, contenuti in elenchi, registri o banche dati e utilizzati con l’ausilio di mezzi elettronici o comunque automatizzati, ove possibile, attraverso tecniche di cifratura e di pseudonimizzazione o mediante l’applicazione di codici identificativi e di altri sistemi di sicurezza; ● consegnare agli interessati, eventualmente al momento della raccolta dei dati, se rientra nell’attività assegnata, il modulo contenente l’informativa di cui all’art. 13 del GDPR, salvo che l’informativa medesima sia stata fornita direttamente dal Titolare o dal Responsabile del trattamento, ● trattare, custodire e controllare i dati, in particolare quelli particolari/sensibili, mediante l'adozione delle misure di sicurezza disposte dal Titolare e/o dal Responsabile del trattamento, al fine di evitare la distruzione, la perdita o l’accesso non autorizzato da parte di terzi, in relazione alle diverse classifiche operative; ● astenersi dal creare nuove autonome banche dati senza preventiva autorizzazione del Titolare e/o del Responsabile del trattamento; ● osservare scrupolosamente gli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione tanto dei Dati Personali altrui da Lei trattati, quanto delle credenziali di autenticazione a Lei attribuite; ● garantire e mantenere, in ogni operazione di trattamento, la massima riservatezza, ● non comunicare a terzi e non diffondere, con o senza strumenti elettronici, le notizie, le password, le informazioni o i dati appresi in relazione a fatti e circostanze di cui sia venuto a conoscenza in qualità di soggetto autorizzato; ● supportare previa autorizzazione del responsabile gerarchico e nei limiti dell’esecuzione delle attività amministrative attribuite, i Referenti privacy della Struttura di Riferimento, nel censimento dei trattamenti già in essere e nell’aggiornamento del registro dei trattamenti, in attuazione delle istruzioni ivi contenute, ● osservare scrupolosamente il divieto di pubblicare su internet e sui social network – o in altro luogo accessibile da un pubblico definito o indefinito – le foto e video e/o ogni altro dato in cui siano riconoscibili i soggetti interessati al trattamento. ● comunicare preventivamente, ossia prima dell’avvio, al Referente privacy, al Responsabile interno e al Responsabile di riferimento della Direzione ICT (nei casi di trattamenti informatizzati) e alla Direzione Bilancio e Contratti, l’attivazione di un nuovo trattamento, dandone notizia al Responsabile della protezione dati (RPD) nei casi di trattamenti più complessi; ● in caso di allontanamento, anche temporaneo, dall’ufficio o dalla postazione di lavoro, verificare che non vi sia possibilità da parte di terzi (anche se colleghi o comunque appartenenti alla struttura) di accedere ai Dati Personali per i quali era in corso una qualunque operazione di trattamento, sia essa mediante supporto cartaceo o informatico; ● astenersi dal comunicare a terzi (anche se colleghi o comunque appartenenti alla struttura) in qualsiasi forma, la/le propria/e credenziale/i di autenticazione, necessaria/e per il trattamento dei Dati Personali con strumenti elettronici; ● modificare, con scadenza periodica le proprie password relative alle credenziali SCU, secondo le policy definite dalla Direzione ICT; ● segnalare al proprio responsabile gerarchico e eventualmente al Referente Privacy della Struttura di assegnazione, situazioni di rischio per la sicurezza dei dati di cui è venuto a conoscenza (es. la violazione della password, il tentativo di accesso non autorizzato ai sistemi), anche quando riguardino i soggetti esterni autorizzati all’accesso: la Sua collaborazione potrebbe essere fondamentale al fine di colmare eventuali lacune nei sistemi di sicurezza e nelle procedure relative alla tutela dei dati personali; ● informare in modo tempestivo il proprio responsabile gerarchico, e il Referente Privacy della Struttura di assegnazione, qualora si verifichi una violazione dei dati trattati (anomalie, furti, distruzione, divulgazione/accessi non autorizzati, perdite accidentali di dati) al fine di attivare la procedura del Data Breach che prevede la notifica all’Autorità Garante entro 72 ore nei casi in cui la violazione comporti gravi rischi per i diritti e le libertà delle persone fisiche (artt. 33 e 34 del GDPR); ● passare le consegne relative alle attività di ufficio in modo preciso, dettagliato e documentato nel caso di trasferimento dell’attività svolta ad altro soggetto; ● seguire corsi di formazione in materia di protezione dei dati personali, obbligatori alla luce delle nuove disposizioni del GDPR e sostenere i relativi test di valutazione finalizzati alla verifica dell’apprendimento. L’obbligo di formazione è a carico della società appaltatrice che deve provvedere con proprie risorse a formare i dipendenti assegnati a svolgere mansioni presso l’Università; previo accordo, la formazione dei suddetti soggetti nominati autorizzati, per gli ambiti più operativi, può essere gestita a cura dell’Università; ● consultare con proprie credenziali di accesso rilasciate, la sezione privacy presente sulla Rete Intranet di Ateneo, alimentata e aggiornata a cura dello Staff RPD: indirizzo e-mail: ▇▇▇@▇▇▇▇▇.▇▇. E della Direzione Sistemi Informativi. ● In caso di ispezioni da parte dell’Autorità ▇▇▇▇▇▇▇, della polizia Postale e della Guardia di Finanza, qualora si verifichi un intervento immediato o si abbia conoscenza della notizia di ispezione, avvisare tempestivamente il proprio responsabile gerarchico e il Referente Privacy della Struttura di assegnazione, al fine di informare ed attivare la filiera dei soggetti responsabili e offrire la massima collaborazione nelle attività ispettive, fornendo la documentazione richiesta e ogni altra informazione utile di cui si abbia legittimamente cognizione. Gli obblighi relativi alla riservatezza, alla comunicazione e alla diffusione dovranno essere da Lei scrupolosamente osservati anche in seguito all’eventuale cessazione del rapporto di lavoro attualmente in essere con l’Università. Inoltre, La informiamo altresì che: