Responsabile esterno del trattamento dei dati. 1. Nell’ambito dell’attività oggetto del contratto, l’appaltatore potrà venire a conoscenza e trattare dati comuni e sensibili relativi ai servizi offerti agli utenti della stazione appaltante. 2. L’appaltatore pertanto ai sensi dell’art. 29 del Codice in materia di protezione dei dati personali, è nominato Responsabile del trattamento dei dati, per gli adempimenti previsti nel contratto, nei limiti e per la durata dello stesso. In casi particolari, e previa accurata verifica delle relative condizioni, l’appaltatore potrà rivestire il ruolo di Titolare del trattamento. 3. I dati personali oggetto del trattamento sono strettamente necessari per adempiere al contratto stesso. 4. L’appaltatore, in qualità di Responsabile del trattamento dei dati, ha il compito e la responsabilità di adempiere a quanto necessario per il rispetto delle disposizioni della normativa vigente in materia di protezione dei dati personali (inclusi i provvedimenti del Garante) e di osservare scrupolosamente quanto in essa previsto, nonché le istruzioni impartite dal Titolare del trattamento. Il Responsabile esterno del trattamento dovrà assolvere, in particolare, i seguenti compiti, indicati a titolo esemplificativo e non esaustivo: - garantire la riservatezza delle informazioni, dei documenti e degli atti, dei quali venga a conoscenza durante l’esecuzione della prestazione ed imporre l’obbligo di riservatezza a tutte le persone che, direttamente e/o indirettamente, per ragioni del loro ufficio verranno a conoscenza di informazioni riservate; - utilizzare i dati solo per le finalità connesse allo svolgimento dell’attività oggetto del contratto, con divieto di qualsiasi altra diversa utilizzazione. Il Responsabile esterno non produce copie dei dati personali e non esegue nessun tipo di trattamento che non sia attinente allo scopo dei servizi offerti; non potrà, inoltre, diffondere, né comunicare, dati oltre ai casi previsti nel contratto o necessari per l’adempimento dello stesso. In nessun caso il Responsabile esterno acquisisce la proprietà intellettuale di dati e informazioni trattati nell’ambito di svolgimento del contratto; - adottare preventive misure di sicurezza atte ad eliminare o, comunque, a ridurre al minimo, qualsiasi rischio di distruzione o perdita, anche accidentale, dei dati personali trattati, di accesso non autorizzato o di trattamento non consentito o non conforme, nel rispetto delle disposizioni contenute nell’art. 31 del D.Lgs. 30 giugno 2003, n. 196; - adottare e rispettare tutte le misure di sicurezza previste dagli articoli 33, 34, 35 e 36 del D.Lgs. 30 giugno 2003, n. 196, che configurano il livello minimo di protezione richiesto in relazione ai rischi indicati nell’art. 31 e analiticamente specificate nell’allegato B (“Disciplinare tecnico in materia di misure minime di sicurezza”) del citato decreto. Qualora, ai sensi delle norme concernenti le misure minime di sicurezza, risulti necessario un adeguamento delle stesse, il Responsabile esterno provvede, nei termini di legge, al relativo adeguamento, senza alcun costo per la stazione appaltante; - individuare, per iscritto, le persone Incaricate del trattamento e fornire loro le istruzioni relative alle operazioni da compiere, affinché il trattamento avvenga in conformità alla legge, per gli scopi e le finalità previste in contratto e nel rispetto delle misure minime di sicurezza idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito, previste dal Codice e delle disposizioni impartite dal Titolare. Vigilare sulla corretta osservanza delle istruzioni impartite; - rispettare le istruzioni e le procedure in materia di privacy, adottate dall’Azienda ULSS per garantire la sicurezza dei dati personali; in particolare, qualora gli Incaricati del Responsabile esterno accedano, per esigenze di servizio, alle sedi o al sistema informativo del Titolare, il Responsabile esterno risponderà di eventuali violazioni ai sensi dell’art. 2049 del codice civile; - provvedere alla formazione degli Incaricati del trattamento; - verificare annualmente lo stato di applicazione del D.Lgs. 30 giugno 2003, n. 196; - adempiere agli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione dei dati personali anche dopo che l’incarico è stato portato a termine o revocato; - comunicare, tempestivamente, al Titolare, le eventuali richieste degli interessati all’accesso, alla rettifica, all’integrazione, alla cancellazione dei propri dati, ai sensi dell’art. 7 (diritto di accesso ai dati personali ed altri diritti) del D.Lgs. 30 giugno 2003, n. 196; - avvisare, tempestivamente, il Titolare qualora ricevesse ispezioni o richieste di informazioni, documenti od altro, da parte del Garante, in merito ai trattamenti effettuati per la stazione appaltante; - fornire al Titolare, a semplice richiesta e secondo le modalità indicate da quest’ultimo, i dati e le informazioni necessari per consentire, allo stesso, di svolgere una tempestiva difesa in eventuali procedure instaurate davanti al Garante o all’Autorità Giudiziaria e relative al trattamento dei dati personali connessi all’esecuzione del contratto in vigore tra le parti; - consentire che il Titolare – come imposto dalla normativa – effettui verifiche periodiche in relazione al rispetto delle presenti disposizioni; - comunicare al Titolare, del trattamento qualsiasi disfunzione possa in qualche modo compromettere la sicurezza dei dati. Si precisa che tale nomina sarà valida per il tempo necessario ad eseguire le operazioni affidate dal Titolare e si considererà revocata a completamento dell’incarico. All’atto della cessazione delle operazioni di trattamento, il Responsabile esterno dovrà restituire tutti i dati personali del Titolare, a quest’ultimo, e provvedere ad eliminare definitivamente dal proprio sistema informativo, e dagli archivi cartacei, i medesimi dati o copie degli stessi, dandone conferma per iscritto al Titolare. Il Titolare e il Responsabile esterno si mantengono vicendevolmente indenni per qualsiasi danno, incluse le spese legali, che possa derivare da pretese, avanzate nei rispettivi confronti a seguito dell’eventuale illiceità o non correttezza delle operazioni di trattamento che siano imputabili a fatto, comportamento od omissione dell’altro.
Appears in 2 contracts
Samples: Fornitura Di Endoscopi E Colonne, Fornitura Di Ventilatori E Stazioni Di Anestesia
Responsabile esterno del trattamento dei dati. 1. Nell’ambito dell’attività oggetto Ai fini dell’esecuzione del contratto, l’appaltatore potrà venire a conoscenza e trattare dati comuni e sensibili relativi ai servizi offerti agli utenti della stazione appaltante.
2. L’appaltatore pertanto ai sensi dell’art. 29 del Codice in materia presente appalto la ditta dovrà effettuare operazioni di protezione trattamento dei dati personali, è nominato Responsabile del trattamento dei dati, personali per gli adempimenti previsti nel contratto, nei limiti e per la durata dello stessoconto dell’Azienda. In casi particolari, e previa accurata verifica delle relative condizioni, l’appaltatore potrà rivestire L’Azienda svolge il ruolo di Titolare del trattamento in relazione ai Dati Personali dalla stessa trattati, stabilendo autonomamente le finalità, le modalità ed i mezzi del trattamento.
3. I La ditta dovrà essere in possesso di adeguate competenze tecniche e know-how circa gli scopi e le modalità di trattamento dei Dati Personali, delle misure di sicurezza da adottare al fine di garantire la loro riservatezza, la completezza e l’integrità, nonché diretta e completa conoscenza delle norme che disciplinano la protezione degli stessi. La ditta verrà quindi nominata quale Responsabile del Trattamento ai sensi dell’art. 28 del GDPR, con l’incarico di effettuare le operazioni di trattamento sui Dati Personali, di cui entrerà in possesso o ai quali ha comunque accesso, necessarie all’adempimento degli obblighi derivanti dal Contratto e di eventuali servizi accessori allo stesso. La ditta si assumerà e si impegnerà a procedere al trattamento dei Dati Personali attenendosi alle istruzioni ricevute dal Titolare attraverso la relativa nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore. L’incarico di effettuare le operazioni di trattamento sui Dati Personali al Responsabile potrà essere affidato per l’esclusiva ragione che il profilo professionale/societario, in termini di proprietà, risorse umane, organizzative ed attrezzature, è stato ritenuto idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti, che possa sollevare incertezze sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta. Il trattamento deve essere svolto da parte del Responsabile in esecuzione del vigente rapporto contrattuale con l’Azienda e per le finalità ad esso relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità. L’Azienda ha diritto di ottenere dal Responsabile tutte le informazioni relative alle misure organizzative e di sicurezza da questo adottate necessarie per dimostrare il rispetto delle istruzioni e degli obblighi affidati. La stessa Azienda, inoltre, ha il diritto di disporre - a propria cura e spese - verifiche a campione o specifiche attività di audit in ambito protezione dei dati personali oggetto e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile. Nell’adempimento delle proprie obbligazioni il Fornitore, i suoi dipendenti ed ogni Subfornitore di cui il Fornitore si avvalga e che effettui il Trattamento di Dati Personali del Titolare, si obbligano a rispettare il GDPR ed ogni altra istruzione impartita dall’Azienda, nonché a tener conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo italiana, dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati, inerenti il trattamento sono svolto. Il Fornitore si impegna ad effettuare il Trattamento soltanto dei Dati Personali che siano necessari e/o strumentali all’esecuzione del Contratto. Il Fornitore si impegna, sin dalla data di sottoscrizione del presente atto, a rendere disponibili ed a comunicare ai propri Subfornitori soltanto quei Dati Personali che siano strettamente necessari per adempiere l’adempimento delle obbligazioni di cui al contratto stesso.
4presente Contratto o di obblighi di legge. L’appaltatore, Il Fornitore si impegna a cooperare con l’Azienda in qualità qualsiasi momento al fine di Responsabile del assicurare il corretto trattamento dei datiDati Personali e si impegna a fornire alla stessa Azienda tutte le informazioni o i documenti, ha che potranno essere richiesti da quest’ultima per l’adempimento degli obblighi di legge e per comprovare l’adozione di misure tecniche e organizzative adeguate, entro 15 giorni dalla richiesta formulata dall’Azienda a mezzo posta elettronica. Il Fornitore si obbliga, nei limiti dei propri poteri, al rispetto delle norme che disciplinano il compito Trattamento dei Dati Personali, ivi incluse le regole stabilite dall’Autorità di Controllo, nonché a garantire che i propri dipendenti ed ogni soggetto della cui cooperazione esso si avvalga rispettino tali norme. In particolare, il Responsabile si impegna a rispettare gli obblighi ed istruzioni di seguito elencati: adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la responsabilità disponibilità dei dati personali trattati, tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità di adempiere Controllo inerenti ai Trattamenti svolti dal Responsabile, ovvero dal Gruppo di Lavoro Articolo 29 e dall’istituendo Comitato Europeo per la protezione dei dati; non trasferire i Dati Personali trattati per conto dell’Azienda al di fuori dell’usuale luogo di lavoro, a quanto necessario meno che tale trasferimento non sia autorizzato dalle competenti pubbliche autorità, anche regolamentari e di vigilanza, o dall’Azienda stessa; fornire all’Azienda una descrizione dettagliata delle misure fisiche, tecniche ed organizzative applicate al Trattamento dei Dati Personali; impiegare sistemi di cifratura per il tutti i Dati Personali memorizzati su dispositivi di archiviazione digitali o elettronici, come computer portatili, CD, dischetti, driver portatili, nastri magnetici o dispositivi similari: i Dati Personali dovranno essere cifrati nel rispetto delle disposizioni della normativa vigente italiana ed europea in materia di protezione dei dati personali (inclusi i provvedimenti del Garante) e dovrà compiere ogni ragionevole sforzo per assicurare l’aggiornamento degli standard di cifratura in modo da tenere il passo dello sviluppo tecnologico e dei rischi ad esso connaturati, includendo ogni richiesta o indicazione emanata da qualsiasi pubblica autorità competente, anche regolamentare e di osservare scrupolosamente quanto in essa previsto, nonché le istruzioni impartite dal Titolare del trattamento. Il Responsabile esterno del trattamento dovrà assolvere, in particolare, i seguenti compiti, indicati a titolo esemplificativo vigilanza; istituire e non esaustivo: - garantire la riservatezza mantenere il registro delle informazioni, dei documenti e degli atti, dei quali venga a conoscenza durante l’esecuzione della prestazione ed imporre l’obbligo di riservatezza a tutte le persone che, direttamente e/o indirettamente, per ragioni del loro ufficio verranno a conoscenza di informazioni riservate; - utilizzare i dati solo per le finalità connesse allo svolgimento dell’attività oggetto del contratto, con divieto di qualsiasi altra diversa utilizzazione. Il Responsabile esterno non produce copie dei dati personali e non esegue nessun tipo attività di trattamento che non sia attinente allo scopo dei servizi offerti; non potrà, inoltre, diffondere, né comunicare, dati oltre ai casi previsti nel contratto o necessari per l’adempimento dello stesso. In nessun caso il Responsabile esterno acquisisce la proprietà intellettuale di dati e informazioni trattati nell’ambito di svolgimento del contratto; - adottare preventive misure di sicurezza atte ad eliminare o, comunque, a ridurre al minimo, qualsiasi rischio di distruzione o perdita, anche accidentale, dei dati personali trattati, di accesso non autorizzato o di trattamento non consentito o non conforme, nel rispetto delle disposizioni contenute nell’art. 31 del D.Lgs. 30 giugno 2003, n. 196; - adottare e rispettare tutte le misure di sicurezza previste dagli articoli 33, 34, 35 e 36 del D.Lgs. 30 giugno 2003, n. 196, che configurano il livello minimo di protezione richiesto in relazione ai rischi indicati nell’art. 31 e analiticamente specificate nell’allegato B (“Disciplinare tecnico in materia di misure minime di sicurezza”) del citato decreto. Qualora, ai sensi delle norme concernenti le misure minime di sicurezza, risulti necessario un adeguamento delle stesse, il Responsabile esterno provvede, nei termini di legge, al relativo adeguamento, senza alcun costo per la stazione appaltante; - individuare, per iscritto, le persone Incaricate del trattamento e fornire loro le istruzioni relative alle operazioni da compiere, affinché il trattamento avvenga in conformità alla legge, per gli scopi e le finalità previste in contratto e nel rispetto delle misure minime di sicurezza idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito, previste dal Codice e delle disposizioni impartite dal Titolare. Vigilare sulla corretta osservanza delle istruzioni impartite; - rispettare le istruzioni e le procedure in materia di privacy, adottate dall’Azienda ULSS per garantire la sicurezza dei dati personali; in particolare, qualora gli Incaricati del Responsabile esterno accedano, per esigenze di servizio, alle sedi o al sistema informativo del Titolare, il Responsabile esterno risponderà di eventuali violazioni ai sensi dell’art. 2049 30 del codice civileGDPR e metterlo a disposizione del Titolare ogniqualvolta richiesto; comunicare all’Azienda il nominativo ed i recapiti di contatto del proprio responsabile della protezione dei dati, se designato ai sensi degli artt. 37 e ss. del GDPR; assistere la stessa Azienda, relativamente ai Dati Personali oggetto di trattamento, nel garantire – ove applicabili - provvedere il rispetto degli obblighi relativi: alla formazione degli Incaricati sicurezza del trattamento; - verificare annualmente lo stato alla notifica di applicazione del D.Lgs. 30 giugno 2003, n. 196; - adempiere agli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione una violazione dei dati personali anche dopo che l’incarico è stato portato a termine o revocato; - comunicare, tempestivamente, al Titolare, le eventuali richieste degli interessati all’accesso, alla rettifica, all’integrazione, alla cancellazione dei propri dati, Dati Personali all'Autorità di controllo ai sensi dell’art. 7 (diritto 33 del GDPR; alla comunicazione di accesso una violazione dei Dati Personali all'interessato ai sensi dell’art. 34 del GDPR; alla valutazione d'impatto sulla protezione dei Dati Personali ai sensi dell’art. 35 del GDPR; alla consultazione preventiva ai sensi dell’art. 36 del GDPR. La ditta dovrà, inoltre, rispettare le seguenti prescrizioni: In caso di violazione dei dati personali consistente nella violazione di sicurezza, che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali ed altri diritti) del D.Lgstrasmessi, conservati o comunque trattati e tali da mettere a rischio i diritti e le libertà degli individui i cui dati personali sono trattati dal Responsabile per conto dell’Azienda (c.d. 30 giugno 2003, n. 196; - avvisare, tempestivamentedata breach), il Titolare qualora ricevesse ispezioni o richieste di informazioni, documenti od altro, da parte del Garante, Responsabile deve: informare l’Azienda tempestivamente e in merito ai trattamenti effettuati per la stazione appaltante; - fornire ogni caso al Titolare, a semplice richiesta massimo entro e secondo le modalità indicate da quest’ultimo, i dati e le informazioni necessari per consentire, allo stessonon oltre 24 ore dalla scoperta dell’evento, di svolgere una tempestiva difesa in eventuali procedure instaurate davanti al Garante o all’Autorità Giudiziaria e relative al trattamento ogni violazione dei dati personali connessi all’esecuzione del contratto in vigore tra trattati per conto dell’Azienda che presenti un rischio per i diritti e le parti; - consentire che il Titolare – come imposto dalla normativa – effettui verifiche periodiche in relazione al rispetto libertà delle presenti disposizioni; - comunicare al Titolare, del trattamento qualsiasi disfunzione possa in qualche modo compromettere la sicurezza dei dati. Si precisa che tale nomina sarà valida per il tempo necessario ad eseguire le operazioni affidate dal Titolare persone fisiche e si considererà revocata a completamento dell’incarico. All’atto della cessazione delle operazioni di trattamento, il Responsabile esterno dovrà restituire fornire tutti i dettagli completi della violazione subita: in particolare, fornendo una descrizione della natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni dei dati in questione, l’impatto della violazione dei dati personali del Titolare, a quest’ultimo, sull’Azienda e provvedere ad eliminare definitivamente dal proprio sistema informativo, sugli interessati coinvolti e dagli archivi cartacei, le misure adottate per mitigare i medesimi dati o copie degli stessi, dandone conferma rischi; fornire assistenza all’Azienda per iscritto al Titolarefar fronte alla violazione e alle sue conseguenze soprattutto in capo agli interessati coinvolti. Il Titolare Responsabile si attiverà per mitigare gli effetti delle violazioni, proponendo tempestive azioni correttive all’Azienda ed attuando tempestivamente tutte le azioni correttive approvate e/o richieste dalla stessa. La ditta dovrà identificare e il Responsabile esterno si mantengono vicendevolmente indenni per qualsiasi danno, incluse designare le spese legali, che possa derivare da pretese, avanzate nei rispettivi confronti a seguito dell’eventuale illiceità o non correttezza delle persone autorizzate ad effettuare operazioni di trattamento che siano imputabili sui dati di titolarità dell’Azienda, individuando l’ambito autorizzativo consentito ai sensi dell’art. 29 del GDPR e provvedendo alla relativa formazione ed a fattofornire le relative istruzioni. Adozione della documentazione in materia di protezione dei dati personali prevista dalla normativa italiana ed europea e relative procedure concernenti le adeguate misure tecniche e organizzative. In caso di ricevimento di istanze provenienti dagli interessati, comportamento od omissione dell’altrofinalizzate all’esercizio dei propri diritti, la ditta deve: dare tempestiva comunicazione scritta al titolare; coordinarsi, per quanto di propria competenza, con le funzioni aziendali designate dal titolare per gestire le relazioni con gli interessati; assistere e supportare il titolate del trattamento con misure tecniche e organizzative adeguate, al fine di soddisfare l’obbligo dell’Azienda di dare seguito alle richieste per l’esercizio dei diritti degli interessati.
Appears in 2 contracts
Samples: Educational Services, Capitolato Speciale d'Appalto
Responsabile esterno del trattamento dei dati. 1. Nell’ambito dell’attività oggetto Ai fini dell’esecuzione del contratto, l’appaltatore potrà venire a conoscenza e trattare dati comuni e sensibili relativi ai servizi offerti agli utenti della stazione appaltante.
2. L’appaltatore pertanto ai sensi dell’art. 29 del Codice in materia presente appalto la ditta dovrà effettuare operazioni di protezione trattamento dei dati personali, è nominato Responsabile del trattamento dei dati, personali per gli adempimenti previsti nel contratto, nei limiti e per la durata dello stessoconto dell’Azienda. In casi particolari, e previa accurata verifica delle relative condizioni, l’appaltatore potrà rivestire L’Azienda svolge il ruolo di Titolare del trattamento in relazione ai Dati Personali dalla stessa trattati, stabilendo autonomamente le finalità, le modalità ed i mezzi del trattamento.
3. I La ditta dovrà essere in possesso di adeguate competenze tecniche e know-how circa gli scopi e le modalità di trattamento dei Dati Personali, delle misure di sicurezza da adottare al fine di garantire la loro riservatezza, la completezza e l’integrità, nonché diretta e completa conoscenza delle norme che disciplinano la protezione degli stessi. La ditta verrà quindi nominata quale Responsabile del Trattamento ai sensi dell’art. 28 del GDPR, con l’incarico di effettuare le operazioni di trattamento sui Dati Personali, di cui entrerà in possesso o ai quali ha comunque accesso, necessarie all’adempimento degli obblighi derivanti dal Contratto e di eventuali servizi accessori allo stesso. La ditta si assumerà e si impegnerà a procedere al trattamento dei Dati Personali attenendosi alle istruzioni ricevute dal Titolare attraverso la relativa nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore. L’incarico di effettuare le operazioni di trattamento sui Dati Personali al Responsabile potrà essere affidato per l’esclusiva ragione che il profilo professionale/societario, in termini di proprietà, risorse umane, organizzative ed attrezzature, è stato ritenuto idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti, che possa sollevare incertezze sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta. Il trattamento deve essere svolto da parte del Responsabile in esecuzione del vigente rapporto contrattuale con l’Azienda e per le finalità ad esso relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità. L’Azienda ha diritto di ottenere dal Responsabile tutte le informazioni relative alle misure organizzative e di sicurezza da questo adottate necessarie per dimostrare il rispetto delle istruzioni e degli obblighi affidati. La stessa Azienda, inoltre, ha il diritto di disporre - a propria cura e spese - verifiche a campione o specifiche attività di audit in ambito protezione dei dati personali oggetto e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile. Nell’adempimento delle proprie obbligazioni il fornitore, i suoi dipendenti ed ogni Subfornitore di cui il fornitore si avvalga e che effettui il Trattamento di Dati Personali del Titolare, si obbligano a rispettare il GDPR ed ogni altra istruzione impartita dall’Azienda, nonché a tener conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo italiana, dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati, inerenti il trattamento sono svolto. Il fornitore si impegna ad effettuare il Trattamento soltanto dei Dati Personali che siano necessari e/o strumentali all’esecuzione del Contratto. Il Fornitore si impegna, sin dalla data di sottoscrizione del presente atto, a rendere disponibili ed a comunicare ai propri Subfornitori soltanto quei Dati Personali che siano strettamente necessari per adempiere l’adempimento delle obbligazioni di cui al contratto stesso.
4presente Contratto o di obblighi di legge. L’appaltatore, Il fornitore si impegna a cooperare con l’Azienda in qualità qualsiasi momento al fine di Responsabile del assicurare il corretto trattamento dei datiDati Personali e si impegna a fornire alla stessa Azienda tutte le informazioni o i documenti, ha che potranno essere richiesti da quest’ultima per l’adempimento degli obblighi di legge e per comprovare l’adozione di misure tecniche e organizzative adeguate, entro 15 giorni dalla richiesta formulata dall’Azienda a mezzo posta elettronica. Il fornitore si obbliga, nei limiti dei propri poteri, al rispetto delle norme che disciplinano il compito Trattamento dei Dati Personali, ivi incluse le regole stabilite dall’Autorità di Controllo, nonché a garantire che i propri dipendenti ed ogni soggetto della cui cooperazione esso si avvalga rispettino tali norme. In particolare, il Responsabile si impegna a rispettare gli obblighi ed istruzioni di seguito elencati: ✓ adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la responsabilità disponibilità dei dati personali trattati, tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità di adempiere Controllo inerenti ai Trattamenti svolti dal Responsabile, ovvero dal Gruppo di Lavoro Articolo 29 e dall’istituendo Comitato Europeo per la protezione dei dati; ✓ non trasferire i Dati Personali trattati per conto dell’Azienda al di fuori dell’usuale luogo di lavoro, a quanto necessario meno che tale trasferimento non sia autorizzato dalle competenti pubbliche autorità, anche regolamentari e di vigilanza, o dall’Azienda stessa; ✓ fornire all’Azienda una descrizione dettagliata delle misure fisiche, tecniche ed organizzative applicate al Trattamento dei Dati Personali; ✓ impiegare sistemi di cifratura per il tutti i Dati Personali memorizzati su dispositivi di archiviazione digitali o elettronici, come computer portatili, CD, dischetti, driver portatili, nastri magnetici o dispositivi similari: i Dati Personali dovranno essere cifrati nel rispetto delle disposizioni della normativa vigente italiana ed europea in materia di protezione dei dati personali (inclusi i provvedimenti del Garante) e dovrà compiere ogni ragionevole sforzo per assicurare l’aggiornamento degli standard di cifratura in modo da tenere il passo dello sviluppo tecnologico e dei rischi ad esso connaturati, includendo ogni richiesta o indicazione emanata da qualsiasi pubblica autorità competente, anche regolamentare e di osservare scrupolosamente quanto in essa previsto, nonché le istruzioni impartite dal Titolare del trattamento. Il Responsabile esterno del trattamento dovrà assolvere, in particolare, i seguenti compiti, indicati a titolo esemplificativo vigilanza; ✓ istituire e non esaustivo: - garantire la riservatezza mantenere il registro delle informazioni, dei documenti e degli atti, dei quali venga a conoscenza durante l’esecuzione della prestazione ed imporre l’obbligo di riservatezza a tutte le persone che, direttamente e/o indirettamente, per ragioni del loro ufficio verranno a conoscenza di informazioni riservate; - utilizzare i dati solo per le finalità connesse allo svolgimento dell’attività oggetto del contratto, con divieto di qualsiasi altra diversa utilizzazione. Il Responsabile esterno non produce copie dei dati personali e non esegue nessun tipo attività di trattamento che non sia attinente allo scopo dei servizi offerti; non potrà, inoltre, diffondere, né comunicare, dati oltre ai casi previsti nel contratto o necessari per l’adempimento dello stesso. In nessun caso il Responsabile esterno acquisisce la proprietà intellettuale di dati e informazioni trattati nell’ambito di svolgimento del contratto; - adottare preventive misure di sicurezza atte ad eliminare o, comunque, a ridurre al minimo, qualsiasi rischio di distruzione o perdita, anche accidentale, dei dati personali trattati, di accesso non autorizzato o di trattamento non consentito o non conforme, nel rispetto delle disposizioni contenute nell’art. 31 del D.Lgs. 30 giugno 2003, n. 196; - adottare e rispettare tutte le misure di sicurezza previste dagli articoli 33, 34, 35 e 36 del D.Lgs. 30 giugno 2003, n. 196, che configurano il livello minimo di protezione richiesto in relazione ai rischi indicati nell’art. 31 e analiticamente specificate nell’allegato B (“Disciplinare tecnico in materia di misure minime di sicurezza”) del citato decreto. Qualora, ai sensi delle norme concernenti le misure minime di sicurezza, risulti necessario un adeguamento delle stesse, il Responsabile esterno provvede, nei termini di legge, al relativo adeguamento, senza alcun costo per la stazione appaltante; - individuare, per iscritto, le persone Incaricate del trattamento e fornire loro le istruzioni relative alle operazioni da compiere, affinché il trattamento avvenga in conformità alla legge, per gli scopi e le finalità previste in contratto e nel rispetto delle misure minime di sicurezza idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito, previste dal Codice e delle disposizioni impartite dal Titolare. Vigilare sulla corretta osservanza delle istruzioni impartite; - rispettare le istruzioni e le procedure in materia di privacy, adottate dall’Azienda ULSS per garantire la sicurezza dei dati personali; in particolare, qualora gli Incaricati del Responsabile esterno accedano, per esigenze di servizio, alle sedi o al sistema informativo del Titolare, il Responsabile esterno risponderà di eventuali violazioni ai sensi dell’art. 2049 30 del codice civileGDPR e metterlo a disposizione del Titolare ogniqualvolta richiesto; ✓ comunicare all’Azienda il nominativo ed i recapiti di contatto del proprio responsabile della protezione dei dati, se designato ai sensi degli artt. 37 e ss. del GDPR; ✓ assistere la stessa Azienda, relativamente ai Dati Personali oggetto di trattamento, nel garantire – ove applicabili - provvedere il rispetto degli obblighi relativi:
(i) alla formazione degli Incaricati sicurezza del trattamento; - verificare annualmente lo stato ;
(ii) alla notifica di applicazione del D.Lgs. 30 giugno 2003, n. 196; - adempiere agli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione una violazione dei dati personali anche dopo che l’incarico è stato portato a termine o revocato; - comunicare, tempestivamente, al Titolare, le eventuali richieste degli interessati all’accesso, alla rettifica, all’integrazione, alla cancellazione dei propri dati, Dati Personali all'Autorità di controllo ai sensi dell’art. 7 33 del GDPR;
(diritto iii) alla comunicazione di accesso una violazione dei Dati Personali all'interessato ai sensi dell’art. 34 del GDPR;
(iv) alla valutazione d'impatto sulla protezione dei Dati Personali ai sensi dell’art. 35 del GDPR;
(v) alla consultazione preventiva ai sensi dell’art. 36 del GDPR. La ditta dovrà, inoltre, rispettare le seguenti prescrizioni:
1) In caso di violazione dei dati personali consistente nella violazione di sicurezza, che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali ed altri diritti) del D.Lgstrasmessi, conservati o comunque trattati e tali da mettere a rischio i diritti e le libertà degli individui i cui dati personali sono trattati dal Responsabile per conto dell’Azienda (c.d. 30 giugno 2003, n. 196; - avvisare, tempestivamentedata breach), il Titolare qualora ricevesse ispezioni o richieste di informazioni, documenti od altro, da parte del Garante, Responsabile deve: • informare l’Azienda tempestivamente e in merito ai trattamenti effettuati per la stazione appaltante; - fornire ogni caso al Titolare, a semplice richiesta massimo entro e secondo le modalità indicate da quest’ultimo, i dati e le informazioni necessari per consentire, allo stessonon oltre 24 ore dalla scoperta dell’evento, di svolgere una tempestiva difesa in eventuali procedure instaurate davanti al Garante o all’Autorità Giudiziaria e relative al trattamento ogni violazione dei dati personali connessi all’esecuzione del contratto in vigore tra trattati per conto dell’Azienda che presenti un rischio per i diritti e le parti; - consentire che il Titolare – come imposto dalla normativa – effettui verifiche periodiche in relazione al rispetto libertà delle presenti disposizioni; - comunicare al Titolare, del trattamento qualsiasi disfunzione possa in qualche modo compromettere la sicurezza dei dati. Si precisa che tale nomina sarà valida per il tempo necessario ad eseguire le operazioni affidate dal Titolare persone fisiche e si considererà revocata a completamento dell’incarico. All’atto della cessazione delle operazioni di trattamento, il Responsabile esterno dovrà restituire fornire tutti i dettagli completi della violazione subita: in particolare, fornendo una descrizione della natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni dei dati in questione, l’impatto della violazione dei dati personali del Titolare, a quest’ultimo, sull’Azienda e provvedere ad eliminare definitivamente dal proprio sistema informativo, sugli interessati coinvolti e dagli archivi cartacei, le misure adottate per mitigare i medesimi dati o copie degli stessi, dandone conferma rischi; • fornire assistenza all’Azienda per iscritto al Titolarefar fronte alla violazione e alle sue conseguenze soprattutto in capo agli interessati coinvolti. Il Titolare Responsabile si attiverà per mitigare gli effetti delle violazioni, proponendo tempestive azioni correttive all’Azienda ed attuando tempestivamente tutte le azioni correttive approvate e/o richieste dalla stessa. La ditta dovrà identificare e il Responsabile esterno si mantengono vicendevolmente indenni per qualsiasi danno, incluse designare le spese legali, che possa derivare da pretese, avanzate nei rispettivi confronti a seguito dell’eventuale illiceità o non correttezza delle persone autorizzate ad effettuare operazioni di trattamento che siano imputabili sui dati di titolarità dell’Azienda, individuando l’ambito autorizzativo consentito ai sensi dell’art. 29 del GDPR e provvedendo alla relativa formazione ed a fattofornire le relative istruzioni.
2) Adozione della documentazione in materia di protezione dei dati personali prevista dalla normativa italiana ed europea e relative procedure concernenti le adeguate misure tecniche e organizzative.
3) In caso di ricevimento di istanze provenienti dagli interessati, comportamento od omissione dell’altrofinalizzate all’esercizio dei propri diritti, la ditta deve: • dare tempestiva comunicazione scritta al titolare; • coordinarsi, per quanto di propria competenza, con le funzioni aziendali designate dal titolare per gestire le relazioni con gli interessati; • assistere e supportare il titolate del trattamento con misure tecniche e organizzative adeguate, al fine di soddisfare l’obbligo dell’Azienda di dare seguito alle richieste per l’esercizio dei diritti degli interessati.
Appears in 2 contracts
Samples: Servizio Di Trasporto, Servizio Di Trasporto
Responsabile esterno del trattamento dei dati. 1. Nell’ambito dell’attività oggetto del contratto, l’appaltatore potrà venire a conoscenza e trattare dati comuni e sensibili relativi ai servizi offerti agli utenti della stazione appaltante.
2dell’ASL di Taranto. L’appaltatore pertanto ai sensi dell’art. 29 dell’art.29 del Codice in materia di protezione dei dati personali, è nominato Responsabile del trattamento dei dati, per gli adempimenti previsti nel contratto, nei limiti e per la durata dello stesso. In casi particolari, e previa accurata verifica delle relative condizioni, l’appaltatore potrà rivestire il ruolo di Titolare del trattamento.
3. I dati personali oggetto del trattamento sono strettamente necessari per adempiere al contratto stesso.
4. L’appaltatore, in qualità di Responsabile del trattamento dei dati, ha il compito e la responsabilità di adempiere a quanto necessario per il rispetto delle disposizioni della normativa vigente in materia di protezione dei dati personali (inclusi i provvedimenti del Garante) e di osservare scrupolosamente quanto in essa previsto, nonché le istruzioni impartite dal Titolare del trattamento. Il Responsabile esterno del trattamento dovrà assolvere, in particolare, i seguenti compiti, indicati a titolo esemplificativo e non esaustivo: - garantire la riservatezza delle informazioni, dei documenti e degli atti, dei quali venga a conoscenza durante l’esecuzione della prestazione ed imporre l’obbligo di riservatezza a tutte le persone che, direttamente e/o indirettamente, per ragioni del loro ufficio verranno a conoscenza di informazioni riservate; - utilizzare i dati solo per le finalità connesse allo svolgimento dell’attività oggetto del contratto, con divieto di qualsiasi altra diversa utilizzazione. Il Responsabile esterno non produce copie dei dati personali e non esegue nessun tipo di trattamento che non sia attinente allo scopo dei servizi offerti; non potrà, inoltre, diffondere, né comunicare, dati oltre ai casi previsti nel contratto o necessari per l’adempimento dello stesso. In nessun caso il Responsabile esterno acquisisce la proprietà intellettuale di dati e informazioni trattati nell’ambito di svolgimento del contratto; - adottare preventive misure di sicurezza atte ad eliminare o, comunque, a ridurre al minimo, qualsiasi rischio di distruzione o perdita, anche accidentale, dei dati personali trattati, di accesso non autorizzato o di trattamento non consentito o non conforme, nel rispetto delle disposizioni contenute nell’art. 31 del D.Lgs. 30 giugno 2003, n. 196; - adottare e rispettare tutte le misure di sicurezza previste dagli articoli 33, 34, 35 e 36 del D.Lgs. 30 giugno 2003, n. 196, che configurano il livello minimo di protezione richiesto in relazione ai rischi indicati nell’art. 31 e analiticamente specificate nell’allegato B (“Disciplinare tecnico in materia di misure minime di sicurezza”) del citato decreto. Qualora, ai sensi delle norme concernenti le misure minime di sicurezza, risulti necessario un adeguamento delle stesse, il Responsabile esterno provvede, nei termini di legge, al relativo adeguamento, senza alcun costo per la stazione appaltante; - individuare, per iscritto, le persone Incaricate del trattamento e fornire loro le istruzioni relative alle operazioni da compiere, affinché il trattamento avvenga in conformità alla legge, per gli scopi e le finalità previste in contratto e nel rispetto delle misure minime di sicurezza idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito, previste dal Codice e delle disposizioni impartite dal Titolare. Vigilare sulla corretta osservanza delle istruzioni impartite; - rispettare le istruzioni e le procedure in materia di privacy, adottate dall’Azienda ULSS dall’ASL di Taranto per garantire la sicurezza dei dati personali; in particolare, qualora gli Incaricati del Responsabile esterno accedano, per esigenze di servizio, alle sedi o al sistema informativo del Titolare, il Responsabile esterno risponderà di eventuali violazioni ai sensi dell’art. 2049 del codice civile; - provvedere alla formazione degli Incaricati del trattamento; - verificare annualmente lo stato di applicazione del D.Lgs. 30 giugno 2003, n. 196; - adempiere agli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione dei dati personali anche dopo che l’incarico è stato portato a termine o revocato; - comunicare, tempestivamente, al Titolare, le eventuali richieste degli interessati all’accesso, alla rettifica, all’integrazione, alla cancellazione dei propri dati, ai sensi dell’art. 7 (diritto di accesso ai dati personali ed altri diritti) del D.Lgs. 30 giugno 2003, n. 196; - avvisare, tempestivamente, il Titolare qualora ricevesse ispezioni o richieste di informazioni, documenti od altro, da parte del Garante, in merito ai trattamenti effettuati per la stazione appaltante; - fornire al Titolare, a semplice richiesta e secondo le modalità indicate da quest’ultimo, i dati e le informazioni necessari per consentire, allo stesso, di svolgere una tempestiva difesa in eventuali procedure instaurate davanti al Garante o all’Autorità Giudiziaria e relative al trattamento dei dati personali connessi all’esecuzione del contratto in vigore tra le parti; - consentire che il Titolare – come imposto dalla normativa – effettui verifiche periodiche in relazione al rispetto delle presenti disposizioni; - comunicare al Titolare, del trattamento qualsiasi disfunzione possa in qualche modo compromettere la sicurezza dei dati. Si precisa che tale nomina sarà valida per il tempo necessario ad eseguire le operazioni affidate dal Titolare e si considererà revocata a completamento dell’incarico. All’atto della cessazione delle operazioni di trattamento, il Responsabile esterno dovrà restituire tutti i dati personali del Titolare, a quest’ultimo, e provvedere ad eliminare definitivamente dal proprio sistema informativo, e dagli archivi cartacei, i medesimi dati o copie degli stessi, dandone conferma per iscritto al Titolare. Il Titolare e il Responsabile esterno si mantengono vicendevolmente indenni per qualsiasi danno, incluse le spese legali, che possa derivare da pretese, avanzate nei rispettivi confronti a seguito dell’eventuale illiceità o non correttezza delle operazioni di trattamento che siano imputabili a fatto, comportamento od omissione dell’altro.
Appears in 1 contract
Samples: Appalto Per La Gestione Di Comunità Riabilitative E Centri Diurni
Responsabile esterno del trattamento dei dati. 1. Nell’ambito dell’attività oggetto Ai fini dell’esecuzione del contratto, l’appaltatore potrà venire a conoscenza e trattare dati comuni e sensibili relativi ai servizi offerti agli utenti della stazione appaltante.
2. L’appaltatore pertanto ai sensi dell’art. 29 del Codice in materia presente appalto la ditta dovrà effettuare operazioni di protezione trattamento dei dati personali, è nominato Responsabile del trattamento dei dati, personali per gli adempimenti previsti nel contratto, nei limiti e per la durata dello stessoconto dell’Azienda. In casi particolari, e previa accurata verifica delle relative condizioni, l’appaltatore potrà rivestire L’Azienda svolge il ruolo di Titolare del trattamento in relazione ai Dati Personali dalla stessa trattati, stabilendo autonomamente le finalità, le modalità ed i mezzi del trattamento.
3. I La ditta dovrà essere in possesso di adeguate competenze tecniche e know-how circa gli scopi e le modalità di trattamento dei Dati Personali, delle misure di sicurezza da adottare al fine di garantire la loro riservatezza, la completezza e l’integrità, nonché diretta e completa conoscenza delle norme che disciplinano la protezione degli stessi. La ditta verrà quindi nominata quale Responsabile del Trattamento ai sensi dell’art. 28 del GDPR, con l’incarico di effettuare le operazioni di trattamento sui Dati Personali, di cui entrerà in possesso o ai quali ha comunque accesso, necessarie all’adempimento degli obblighi derivanti dal Contratto e di eventuali servizi accessori allo stesso. La ditta si assumerà e si impegnerà a procedere al trattamento dei Dati Personali attenendosi alle istruzioni ricevute dal Titolare attraverso la relativa nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore. L’incarico di effettuare le operazioni di trattamento sui Dati Personali al Responsabile potrà essere affidato per l’esclusiva ragione che il profilo professionale/societario, in termini di proprietà, risorse umane, organizzative ed attrezzature, è stato ritenuto idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti, che possa sollevare incertezze sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta. Il trattamento deve essere svolto da parte del Responsabile in esecuzione del vigente rapporto contrattuale con l’Azienda e per le finalità ad esso relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità. L’Azienda ha diritto di ottenere dal Responsabile tutte le informazioni relative alle misure organizzative e di sicurezza da questo adottate necessarie per dimostrare il rispetto delle istruzioni e degli obblighi affidati. La stessa Azienda, inoltre, ha il diritto di disporre - a propria cura e spese - verifiche a campione o specifiche attività di audit in ambito protezione dei dati personali oggetto e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile. Nell’adempimento delle proprie obbligazioni il Fornitore, i suoi dipendenti ed ogni Subfornitore di cui il Fornitore si avvalga e che effettui il Trattamento di Dati Personali del Titolare, si obbligano a rispettare il GDPR ed ogni altra istruzione impartita dall’Azienda, nonché a tener conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo italiana, dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati, inerenti il trattamento sono svolto. Il Fornitore si impegna ad effettuare il Trattamento soltanto dei Dati Personali che siano necessari e/o strumentali all’esecuzione del Contratto. Il Fornitore si impegna, sin dalla data di sottoscrizione del presente atto, a rendere disponibili ed a comunicare ai propri Subfornitori soltanto quei Dati Personali che siano strettamente necessari per adempiere l’adempimento delle obbligazioni di cui al contratto stesso.
4presente Contratto o di obblighi di legge. L’appaltatore, Il Fornitore si impegna a cooperare con l’Azienda in qualità qualsiasi momento al fine di Responsabile del assicurare il corretto trattamento dei datiDati Personali e si impegna a fornire alla stessa Azienda tutte le informazioni o i documenti, ha che potranno essere richiesti da quest’ultima per l’adempimento degli obblighi di legge e per comprovare l’adozione di misure tecniche e organizzative adeguate, entro 15 giorni dalla richiesta formulata dall’Azienda a mezzo posta elettronica. Il Fornitore si obbliga, nei limiti dei propri poteri, al rispetto delle norme che disciplinano il compito Trattamento dei Dati Personali, ivi incluse le regole stabilite dall’Autorità di Controllo, nonché a garantire che i propri dipendenti ed ogni soggetto della cui cooperazione esso si avvalga rispettino tali norme. In particolare, il Responsabile si impegna a rispettare gli obblighi ed istruzioni di seguito elencati:
a) adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la responsabilità disponibilità dei dati personali trattati, tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità di adempiere Controllo inerenti ai Trattamenti svolti dal Responsabile, ovvero dal Gruppo di Lavoro Articolo 29 e dall’istituendo Comitato Europeo per la protezione dei dati;
a) non trasferire i Dati Personali trattati per conto dell’Azienda al di fuori dell’usuale luogo di lavoro, a quanto necessario meno che tale trasferimento non sia autorizzato dalle competenti pubbliche autorità, anche regolamentari e di vigilanza, o dall’Azienda stessa;
b) fornire all’Azienda una descrizione dettagliata delle misure fisiche, tecniche ed organizzative applicate al Trattamento dei Dati Personali;
c) impiegare sistemi di cifratura per il tutti i Dati Personali memorizzati su dispositivi di archiviazione digitali o elettronici, come computer portatili, CD, dischetti, driver portatili, nastri magnetici o dispositivi similari: i Dati Personali dovranno essere cifrati nel rispetto delle disposizioni della normativa vigente italiana ed europea in materia di protezione dei dati personali (inclusi i provvedimenti del Garante) e dovrà compiere ogni ragionevole sforzo per assicurare l’aggiornamento degli standard di cifratura in modo da tenere il passo dello sviluppo tecnologico e dei rischi ad esso connaturati, includendo ogni richiesta o indicazione emanata da qualsiasi pubblica autorità competente, anche regolamentare e di osservare scrupolosamente quanto in essa previsto, nonché le istruzioni impartite dal Titolare del trattamento. Il Responsabile esterno del trattamento dovrà assolvere, in particolare, i seguenti compiti, indicati a titolo esemplificativo vigilanza;
d) istituire e non esaustivo: - garantire la riservatezza mantenere il registro delle informazioni, dei documenti e degli atti, dei quali venga a conoscenza durante l’esecuzione della prestazione ed imporre l’obbligo di riservatezza a tutte le persone che, direttamente e/o indirettamente, per ragioni del loro ufficio verranno a conoscenza di informazioni riservate; - utilizzare i dati solo per le finalità connesse allo svolgimento dell’attività oggetto del contratto, con divieto di qualsiasi altra diversa utilizzazione. Il Responsabile esterno non produce copie dei dati personali e non esegue nessun tipo attività di trattamento che non sia attinente allo scopo dei servizi offerti; non potrà, inoltre, diffondere, né comunicare, dati oltre ai casi previsti nel contratto o necessari per l’adempimento dello stesso. In nessun caso il Responsabile esterno acquisisce la proprietà intellettuale di dati e informazioni trattati nell’ambito di svolgimento del contratto; - adottare preventive misure di sicurezza atte ad eliminare o, comunque, a ridurre al minimo, qualsiasi rischio di distruzione o perdita, anche accidentale, dei dati personali trattati, di accesso non autorizzato o di trattamento non consentito o non conforme, nel rispetto delle disposizioni contenute nell’art. 31 del D.Lgs. 30 giugno 2003, n. 196; - adottare e rispettare tutte le misure di sicurezza previste dagli articoli 33, 34, 35 e 36 del D.Lgs. 30 giugno 2003, n. 196, che configurano il livello minimo di protezione richiesto in relazione ai rischi indicati nell’art. 31 e analiticamente specificate nell’allegato B (“Disciplinare tecnico in materia di misure minime di sicurezza”) del citato decreto. Qualora, ai sensi delle norme concernenti le misure minime di sicurezza, risulti necessario un adeguamento delle stesse, il Responsabile esterno provvede, nei termini di legge, al relativo adeguamento, senza alcun costo per la stazione appaltante; - individuare, per iscritto, le persone Incaricate del trattamento e fornire loro le istruzioni relative alle operazioni da compiere, affinché il trattamento avvenga in conformità alla legge, per gli scopi e le finalità previste in contratto e nel rispetto delle misure minime di sicurezza idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito, previste dal Codice e delle disposizioni impartite dal Titolare. Vigilare sulla corretta osservanza delle istruzioni impartite; - rispettare le istruzioni e le procedure in materia di privacy, adottate dall’Azienda ULSS per garantire la sicurezza dei dati personali; in particolare, qualora gli Incaricati del Responsabile esterno accedano, per esigenze di servizio, alle sedi o al sistema informativo del Titolare, il Responsabile esterno risponderà di eventuali violazioni ai sensi dell’art. 2049 30 del codice civile; GDPR e metterlo a disposizione del Titolare ogniqualvolta richiesto;
e) comunicare all’Azienda il nominativo ed i recapiti di contatto del proprio responsabile della protezione dei dati, se designato ai sensi degli artt. 37 e ss. del GDPR;
f) assistere la stessa Azienda, relativamente ai Dati Personali oggetto di trattamento, nel garantire – ove applicabili - provvedere il rispetto degli obblighi relativi:
(i) alla formazione degli Incaricati sicurezza del trattamento; - verificare annualmente lo stato ;
(ii) alla notifica di applicazione del D.Lgs. 30 giugno 2003, n. 196; - adempiere agli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione una violazione dei dati personali anche dopo che l’incarico è stato portato a termine o revocato; - comunicare, tempestivamente, al Titolare, le eventuali richieste degli interessati all’accesso, alla rettifica, all’integrazione, alla cancellazione dei propri dati, Dati Personali all'Autorità di controllo ai sensi dell’art. 7 33 del GDPR;
(diritto iii) alla comunicazione di accesso una violazione dei Dati Personali all'interessato ai sensi dell’art. 34 del GDPR;
(iv) alla valutazione d'impatto sulla protezione dei Dati Personali ai sensi dell’art. 35 del GDPR;
(v) alla consultazione preventiva ai sensi dell’art. 36 del GDPR. La ditta dovrà, inoltre, rispettare le seguenti prescrizioni:
1. In caso di violazione dei dati personali consistente nella violazione di sicurezza, che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali ed altri diritti) del D.Lgstrasmessi, conservati o comunque trattati e tali da mettere a rischio i diritti e le libertà degli individui i cui dati personali sono trattati dal Responsabile per conto dell’Azienda (c.d. 30 giugno 2003, n. 196; - avvisare, tempestivamentedata breach), il Titolare qualora ricevesse ispezioni o richieste di informazioni, documenti od altro, da parte del Garante, Responsabile deve:
a) informare l’Azienda tempestivamente e in merito ai trattamenti effettuati per la stazione appaltante; - fornire ogni caso al Titolare, a semplice richiesta massimo entro e secondo le modalità indicate da quest’ultimo, i dati e le informazioni necessari per consentire, allo stessonon oltre 24 ore dalla scoperta dell’evento, di svolgere una tempestiva difesa in eventuali procedure instaurate davanti al Garante o all’Autorità Giudiziaria e relative al trattamento ogni violazione dei dati personali connessi all’esecuzione del contratto in vigore tra trattati per conto dell’Azienda che presenti un rischio per i diritti e le parti; - consentire che il Titolare – come imposto dalla normativa – effettui verifiche periodiche in relazione al rispetto libertà delle presenti disposizioni; - comunicare al Titolare, del trattamento qualsiasi disfunzione possa in qualche modo compromettere la sicurezza dei dati. Si precisa che tale nomina sarà valida per il tempo necessario ad eseguire le operazioni affidate dal Titolare persone fisiche e si considererà revocata a completamento dell’incarico. All’atto della cessazione delle operazioni di trattamento, il Responsabile esterno dovrà restituire fornire tutti i dettagli completi della violazione subita: in particolare, fornendo una descrizione della natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni dei dati in questione, l’impatto della violazione dei dati personali del Titolare, a quest’ultimo, sull’Azienda e provvedere ad eliminare definitivamente dal proprio sistema informativo, sugli interessati coinvolti e dagli archivi cartacei, le misure adottate per mitigare i medesimi dati o copie degli stessi, dandone conferma rischi;
a) fornire assistenza all’Azienda per iscritto al Titolarefar fronte alla violazione e alle sue conseguenze soprattutto in capo agli interessati coinvolti. Il Titolare Responsabile si attiverà per mitigare gli effetti delle violazioni, proponendo tempestive azioni correttive all’Azienda ed attuando tempestivamente tutte le azioni correttive approvate e/o richieste dalla stessa. La ditta dovrà identificare e il Responsabile esterno si mantengono vicendevolmente indenni per qualsiasi danno, incluse designare le spese legali, che possa derivare da pretese, avanzate nei rispettivi confronti a seguito dell’eventuale illiceità o non correttezza delle persone autorizzate ad effettuare operazioni di trattamento che siano imputabili sui dati di titolarità dell’Azienda, individuando l’ambito autorizzativo consentito ai sensi dell’art. 29 del GDPR e provvedendo alla relativa formazione ed a fattofornire le relative istruzioni. ● Adozione della documentazione in materia di protezione dei dati personali prevista dalla normativa italiana ed europea e relative procedure concerneti le adeguate misure tecniche e organizzative. ● In caso di ricevimento di istanze provenienti dagli interessati, comportamento od omissione dell’altrofinalizzate all’esercizio dei propri diritti, la ditta deve:
1. dare tempestiva comunicazione scritta al titolare;
1. coordinarsi, per quanto di propria competenza, con le funzioni aziendali designate dal titolare per gestire le relazioni con gli interessati;
2. assistere e supportare il titolate del trattamento con misure tecniche e organizzative adeguate, al fine di soddisfare l’obbligo dell’Azienda di dare seguito alle richieste per l’esercizio dei diritti degli interessati.
Appears in 1 contract
Samples: Capitolato Speciale d'Appalto
Responsabile esterno del trattamento dei dati. 1. Nell’ambito dell’attività oggetto del contratto, l’appaltatore potrà venire a conoscenza e trattare dati comuni e sensibili relativi ai servizi offerti agli utenti della stazione appaltante.
2. L’appaltatore pertanto ai sensi dell’artPertanto l’azienda u.l.s.s. 29 del Codice in materia di protezione dei dati personali, è nominato n. 4 provvederà a nominare l’appaltatore quale Responsabile del trattamento dei dati, per gli adempimenti previsti nel contratto, nei limiti e per la durata dello stesso. In casi particolari, e previa accurata verifica delle relative condizioni, l’appaltatore potrà rivestire il ruolo di Titolare del trattamento.
3. I dati personali oggetto del trattamento sono strettamente necessari per adempiere al contratto stesso.
4. L’appaltatore, in qualità di Responsabile del trattamento dei dati, ha il compito e la responsabilità di adempiere a quanto necessario per il rispetto delle disposizioni della normativa vigente in materia di protezione dei dati personali (inclusi i provvedimenti del Garante) e di osservare scrupolosamente quanto in essa previsto, nonché le istruzioni impartite dal Titolare del trattamento. Il Responsabile esterno del trattamento dovrà assolvere, in particolare, i seguenti compiti, indicati a titolo esemplificativo e non esaustivo: - garantire la riservatezza delle informazioni, dei documenti e degli atti, dei quali venga a conoscenza durante l’esecuzione della prestazione ed imporre l’obbligo di riservatezza a tutte le persone che, direttamente e/o indirettamente, per ragioni del loro ufficio verranno a conoscenza di informazioni riservate; - utilizzare i dati solo per le finalità connesse allo svolgimento dell’attività oggetto del contratto, con divieto di qualsiasi altra diversa utilizzazione. Il Responsabile esterno non produce copie dei dati personali e non esegue nessun tipo di trattamento che non sia attinente allo scopo dei servizi offerti; non potrà, inoltre, diffondere, né comunicare, dati oltre ai casi previsti nel contratto o necessari per l’adempimento dello stesso. In nessun caso il Responsabile esterno acquisisce la proprietà intellettuale di dati e informazioni trattati nell’ambito di svolgimento del contratto; - adottare preventive misure di sicurezza atte ad eliminare o, comunque, a ridurre al minimo, qualsiasi rischio di distruzione o perdita, anche accidentale, dei dati personali trattati, di accesso non autorizzato o di trattamento non consentito o non conforme, nel rispetto delle disposizioni contenute nell’art. 31 del D.Lgs. 30 giugno 2003, n. 196; - adottare e rispettare tutte le misure di sicurezza previste dagli articoli 33, 34, 35 e 36 del D.Lgs. 30 giugno 2003, n. 196, che configurano il livello minimo di protezione richiesto in relazione ai rischi indicati nell’art. 31 e analiticamente specificate nell’allegato B (“Disciplinare tecnico in materia di misure minime di sicurezza”) del citato decreto. Qualora, ai sensi delle norme concernenti le misure minime di sicurezza, risulti necessario un adeguamento delle stesse, il Responsabile esterno provvede, nei termini di legge, al relativo adeguamento, senza alcun costo per la stazione appaltante; - individuare, per iscritto, le persone Incaricate del trattamento e fornire loro le istruzioni relative alle operazioni da compiere, affinché il trattamento avvenga in conformità alla legge, per gli scopi e le finalità previste in contratto e nel rispetto delle misure minime di sicurezza idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito, previste dal Codice e delle disposizioni impartite dal Titolare. Vigilare sulla corretta osservanza delle istruzioni impartite; - rispettare le istruzioni e le procedure in materia di privacy, adottate dall’Azienda ULSS per garantire la sicurezza dei dati personali; in particolare, qualora gli Incaricati del Responsabile esterno accedano, per esigenze di servizio, alle sedi o al sistema informativo del Titolare, il Responsabile esterno risponderà di eventuali violazioni ai sensi dell’art. 2049 del codice civile; - provvedere alla formazione degli Incaricati del trattamento; - verificare annualmente lo stato di applicazione del D.Lgs. 30 giugno 2003, n. 196; - adempiere agli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione dei dati personali anche dopo che l’incarico è stato portato a termine o revocato; - comunicare, tempestivamente, al Titolare, le eventuali richieste degli interessati all’accesso, alla rettifica, all’integrazione, alla cancellazione dei propri datiTrattamento, ai sensi dell’art. 7 28 del Regolamento UE 2016/679 (Regolamento Generale per la Protezione dei Dati – nel prosieguo “RGPD”), con l’incarico di effettuare le operazioni di trattamento sui Dati Personali, di cui entrerà in possesso o ai quali avrà comunque accesso, necessarie all’adempimento degli obblighi derivanti dal Contratto e di eventuali servizi accessori allo stesso. L’appaltatore, con la sottoscrizione dell’accordo di nomina, accetterà tutti i termini ivi indicati, confermerà la diretta e approfondita conoscenza degli obblighi che si assumerà e si impegnerà a procedere al trattamento dei Dati Personali attenendosi alle istruzioni ricevute dal Titolare attraverso la suddetta nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore. L’appaltatore prenderà atto che l’incarico di effettuare le operazioni di trattamento sui Dati Personali quale Responsabile sarà affidato per l’esclusiva ragione che il profilo professionale/societario, in termini di proprietà, risorse umane, organizzative ed attrezzature, sarà stato ritenuto idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti, che possa sollevare incertezze sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di accesso ai dati personali recesso, senza penali ed altri diritti) del D.Lgseccezioni di sorta. 30 giugno 2003, n. 196; - avvisare, tempestivamente, il Titolare qualora ricevesse ispezioni o richieste di informazioni, documenti od altro, Il trattamento dovrà essere svolto da parte del GaranteResponsabile in esecuzione del vigente rapporto contrattuale con l’Azienda e per le finalità ad esso relative, in merito ai trattamenti effettuati nonché per il tempo strettamente necessario al perseguimento di tali finalità. Nell’adempimento delle proprie obbligazioni l’appaltatore, i suoi dipendenti ed ogni eventuale Subappaltatore di cui l’appaltatore si avvarrà e che effettueranno il Trattamento di Dati Personali del Titolare, si obbligheranno a rispettare il RGPD ed ogni altra istruzione impartita dall’Azienda, nonché a tener conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo italiana, dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la stazione appaltante; - fornire al Titolareprotezione dei dati, inerenti il trattamento svolto. L’appaltatore si impegnerà ad effettuare il Trattamento soltanto dei Dati Personali che siano necessari e/o strumentali all’esecuzione del Contratto. L’appaltatore si impegnerà, sin dalla data di sottoscrizione della suddetta nomina, a semplice richiesta rendere disponibili ed a comunicare ai propri eventuali Subappaltatori soltanto quei Dati Personali che siano strettamente necessari per l’adempimento delle obbligazioni di cui al presente affidamento o di obblighi di legge. L’appaltatore si impegnerà a cooperare con l’Azienda in qualsiasi momento al fine di assicurare il corretto trattamento dei Dati Personali e secondo le modalità indicate da quest’ultimo, i dati e si impegnerà a fornire alla stessa Azienda tutte le informazioni necessari o i documenti, che potranno essere richiesti da quest’ultima per consentirel’adempimento degli obblighi di legge e per comprovare l’adozione di misure tecniche e organizzative adeguate, allo stessoentro 15 giorni dalla richiesta formulata dall’Azienda a mezzo posta elettronica. L’appaltatore si obbligherà, di svolgere una tempestiva difesa in eventuali procedure instaurate davanti al Garante o all’Autorità Giudiziaria e relative al trattamento nei limiti dei dati personali connessi all’esecuzione del contratto in vigore tra le parti; - consentire che il Titolare – come imposto dalla normativa – effettui verifiche periodiche in relazione propri poteri, al rispetto delle presenti disposizioni; - comunicare al Titolarenorme che disciplinano il Trattamento dei Dati Personali, del trattamento qualsiasi disfunzione possa in qualche modo compromettere la sicurezza dei dati. Si precisa che tale nomina sarà valida per il tempo necessario ad eseguire le operazioni affidate dal Titolare e si considererà revocata a completamento dell’incarico. All’atto della cessazione delle operazioni di trattamento, il Responsabile esterno dovrà restituire tutti i dati personali del Titolare, a quest’ultimo, e provvedere ad eliminare definitivamente dal proprio sistema informativo, e dagli archivi cartacei, i medesimi dati o copie degli stessi, dandone conferma per iscritto al Titolare. Il Titolare e il Responsabile esterno si mantengono vicendevolmente indenni per qualsiasi danno, ivi incluse le spese legaliregole stabilite dall’Autorità di Controllo, nonché a garantire che possa derivare da pretese, avanzate nei rispettivi confronti a seguito dell’eventuale illiceità o non correttezza delle operazioni di trattamento che siano imputabili a fatto, comportamento od omissione dell’altroi propri dipendenti ed ogni soggetto della cui cooperazione esso si avvarrà rispettino tali norme.
Appears in 1 contract
Samples: Capitolato Speciale Per L’erogazione Di Un Servizio Di Help Desk
Responsabile esterno del trattamento dei dati. 1. Nell’ambito dell’attività oggetto del contratto, l’appaltatore potrà venire a conoscenza e trattare dati comuni e sensibili relativi ai servizi offerti agli utenti della stazione appaltante.
2. L’appaltatore pertanto ai sensi dell’art. 29 del Codice in materia di protezione dei dati personali, è nominato Responsabile esterno del trattamento dei dati, per gli adempimenti previsti nel contratto, nei limiti e per la durata dello stesso. In casi particolari, e previa accurata verifica delle relative condizioni, l’appaltatore potrà rivestire il ruolo di Titolare del trattamento.
3. I dati personali oggetto del trattamento sono strettamente necessari per adempiere al contratto stesso.
4. L’appaltatore, in qualità di Responsabile esterno del trattamento dei dati, ha il compito e la responsabilità di adempiere a quanto necessario per il rispetto delle disposizioni della normativa vigente in materia di protezione dei dati personali (inclusi i provvedimenti del Garante) e di osservare scrupolosamente quanto in essa previsto, nonché le istruzioni impartite dal Titolare del trattamento. Il Responsabile esterno del trattamento dovrà assolvere, in particolare, i seguenti compiti, indicati a titolo esemplificativo e non esaustivo: - garantire la riservatezza delle informazioni, dei documenti e degli atti, dei quali venga a conoscenza durante l’esecuzione della prestazione ed imporre l’obbligo di riservatezza a tutte le persone che, direttamente e/o indirettamente, per ragioni del loro ufficio verranno a conoscenza di informazioni riservate; - utilizzare i dati solo per le finalità connesse allo svolgimento dell’attività oggetto del contratto, con divieto di qualsiasi altra diversa utilizzazione. Il Responsabile esterno non produce copie dei dati personali e non esegue nessun tipo di trattamento che non sia attinente allo scopo dei servizi offerti; non potrà, inoltre, diffondere, né comunicare, dati oltre ai casi previsti nel contratto o necessari per l’adempimento dello stesso. In nessun caso il Responsabile esterno acquisisce la proprietà intellettuale di dati e informazioni trattati nell’ambito di svolgimento del contratto; - adottare preventive misure di sicurezza atte ad eliminare o, comunque, a ridurre al minimo, qualsiasi rischio di distruzione o perdita, anche accidentale, dei dati personali trattati, di accesso non autorizzato o di trattamento non consentito o non conforme, nel rispetto delle disposizioni contenute nell’art. 31 del D.Lgs. 30 giugno 2003, n. 196; - adottare e rispettare tutte le misure di sicurezza previste dagli articoli 33, 34, 35 e 36 del D.Lgs. 30 giugno 2003, n. 196, che configurano il livello minimo di protezione richiesto in relazione ai rischi indicati nell’art. 31 e analiticamente specificate nell’allegato B (“Disciplinare tecnico in materia di misure minime di sicurezza”) del citato decreto. Qualora, ai sensi delle norme concernenti le misure minime di sicurezza, risulti necessario un adeguamento delle stesse, il Responsabile esterno provvede, nei termini di legge, al relativo adeguamento, senza alcun costo per la stazione appaltante; - individuare, per iscritto, le persone Incaricate del trattamento e fornire loro le istruzioni relative alle operazioni da compiere, affinché affiché il trattamento avvenga in conformità alla legge, per gli scopi e le finalità previste in contratto e nel rispetto delle misure minime di sicurezza idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito, previste dal Codice e delle disposizioni impartite dal Titolare. Vigilare sulla corretta osservanza delle istruzioni impartite; - rispettare le istruzioni e le procedure in materia di privacy, adottate dall’Azienda ULSS dall’AULSS per garantire la sicurezza dei dati personali; in particolare, qualora gli Incaricati del Responsabile esterno accedano, per esigenze di servizio, alle sedi o al sistema informativo del Titolare, il Responsabile esterno risponderà di eventuali violazioni ai sensi dell’art. 2049 del codice civile; - provvedere alla formazione degli Incaricati del trattamento; - verificare annualmente lo stato di applicazione del D.Lgs. 30 giugno 2003, n. 196; - adempiere agli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione dei dati personali anche dopo che l’incarico è stato portato a termine o revocato; - comunicare, tempestivamente, al Titolare, le eventuali richieste degli interessati all’accesso, alla rettifica, all’integrazione, alla cancellazione dei propri dati, ai sensi dell’art. 7 (diritto di accesso ai dati personali ed altri diritti) del D.Lgs. 30 giugno 2003, n. 196; - avvisare, tempestivamente, il Titolare qualora ricevesse ispezioni o richieste di informazioni, documenti od altro, da parte del Garante, in merito ai trattamenti effettuati per la stazione appaltante; - fornire al Titolare, a semplice richiesta e secondo le modalità indicate da quest’ultimo, i dati e le informazioni necessari per consentire, allo stesso, di svolgere una tempestiva difesa in eventuali procedure instaurate davanti al Garante o all’Autorità Giudiziaria e relative al trattamento dei dati personali connessi all’esecuzione del contratto in vigore tra le parti; - consentire che il Titolare – come imposto dalla normativa – effettui verifiche periodiche in relazione al rispetto delle presenti disposizioni; - comunicare al Titolare, del trattamento qualsiasi disfunzione possa in qualche modo compromettere la sicurezza dei dati. Si precisa che tale nomina sarà valida per il tempo necessario ad eseguire le operazioni affidate dal Titolare e si considererà revocata a completamento dell’incarico. All’atto della cessazione delle operazioni di trattamento, il Responsabile esterno dovrà restituire tutti i dati personali del Titolare, a quest’ultimo, e provvedere ad eliminare definitivamente dal proprio sistema informativo, e dagli archivi cartacei, i medesimi dati o copie degli stessi, dandone conferma per iscritto al Titolare. Il Titolare e il Responsabile esterno si mantengono vicendevolmente indenni per qualsiasi danno, incluse le spese legali, che possa derivare da pretese, avanzate nei rispettivi confronti a seguito dell’eventuale illiceità o non correttezza delle operazioni di trattamento che siano imputabili a fatto, comportamento od omissione dell’altro.
Appears in 1 contract
Responsabile esterno del trattamento dei dati. 1. Nell’ambito dell’attività oggetto Ai fini dell’esecuzione del contratto, l’appaltatore potrà venire a conoscenza e trattare dati comuni e sensibili relativi ai servizi offerti agli utenti della stazione appaltante.
2. L’appaltatore pertanto ai sensi dell’art. 29 del Codice in materia presente appalto la ditta dovrà effettuare operazioni di protezione trattamento dei dati personali, è nominato Responsabile del trattamento dei dati, personali per gli adempimenti previsti nel contratto, nei limiti e per la durata dello stessoconto dell’Azienda. In casi particolari, e previa accurata verifica delle relative condizioni, l’appaltatore potrà rivestire L’Azienda svolge il ruolo di Titolare del trattamento in relazione ai Dati Personali dalla stessa trattati, stabilendo autonomamente le finalità, le modalità ed i mezzi del trattamento.
3. I dati personali oggetto La ditta dovrà essere in possesso di adeguate competenze tecniche e know-how circa gli scopi e le modalità di trattamento dei Dati Personali, delle misure di sicurezza da adottare al fine di garantire la loro riservatezza, la completezza e l’integrità, nonché diretta e completa conoscenza delle norme che disciplinano la protezione degli stessi. La ditta verrà quindi nominata quale Responsabile del Trattamento ai sensi dell’art. 28 del GDPR, con l’incarico di effettuare le operazioni di trattamento sono strettamente necessari sui Dati Personali, di cui entrerà in possesso o ai quali ha comunque accesso, necessarie all’adempimento degli obblighi derivanti dal Contratto e di eventuali servizi accessori allo stesso. La ditta si assumerà e si impegnerà a procedere al trattamento dei Dati Personali attenendosi alle istruzioni ricevute dal Titolare attraverso la relativa nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore. L’incarico di effettuare le operazioni di trattamento sui Dati Personali al Responsabile potrà essere affidato per adempiere al contratto stesso.
4. L’appaltatorel’esclusiva ragione che il profilo professionale/societario, in qualità termini di proprietà, risorse umane, organizzative ed attrezzature, è stato ritenuto idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti, che possa sollevare incertezze sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta. Il trattamento deve essere svolto da parte del Responsabile in esecuzione del trattamento dei dativigente rapporto contrattuale con l’Azienda e per le finalità ad esso relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità. L’Azienda ha diritto di ottenere dal Responsabile tutte le informazioni relative alle misure organizzative e di sicurezza da questo adottate necessarie per dimostrare il rispetto delle istruzioni e degli obblighi affidati. La stessa Azienda, inoltre, ha il compito diritto di disporre - a propria cura e la responsabilità spese - verifiche a campione o specifiche attività di adempiere a quanto necessario per il rispetto delle disposizioni della normativa vigente audit in materia di ambito protezione dei dati personali (inclusi e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile. Nell’adempimento delle proprie obbligazioni il Fornitore, i provvedimenti suoi dipendenti ed ogni Subfornitore di cui il Fornitore si avvalga e che effettui il Trattamento di Dati Personali del Garante) e di osservare scrupolosamente quanto in essa previstoTitolare, si obbligano a rispettare il GDPR ed ogni altra istruzione impartita dall’Azienda, nonché le istruzioni impartite a tener conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo italiana, dal Titolare del trattamentoGruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati, inerenti il trattamento svolto. Il Responsabile esterno del trattamento dovrà assolvere, in particolare, i seguenti compiti, indicati a titolo esemplificativo e non esaustivo: - garantire la riservatezza delle informazioni, Fornitore si impegna ad effettuare il Trattamento soltanto dei documenti e degli atti, dei quali venga a conoscenza durante l’esecuzione della prestazione ed imporre l’obbligo di riservatezza a tutte le persone che, direttamente Dati Personali che siano necessari e/o indirettamente, per ragioni strumentali all’esecuzione del loro ufficio verranno a conoscenza di informazioni riservate; - utilizzare i dati solo per le finalità connesse allo svolgimento dell’attività oggetto del contratto, con divieto di qualsiasi altra diversa utilizzazioneContratto. Il Responsabile esterno non produce copie dei dati personali e non esegue nessun tipo Fornitore si impegna, sin dalla data di trattamento sottoscrizione del presente atto, a rendere disponibili ed a comunicare ai propri Subfornitori soltanto quei Dati Personali che non sia attinente allo scopo dei servizi offerti; non potrà, inoltre, diffondere, né comunicare, dati oltre ai casi previsti nel contratto o siano strettamente necessari per l’adempimento dello stessodelle obbligazioni di cui al presente Contratto o di obblighi di legge. Il Fornitore si impegna a cooperare con l’Azienda in qualsiasi momento al fine di assicurare il corretto trattamento dei Dati Personali e si impegna a fornire alla stessa Azienda tutte le informazioni o i documenti, che potranno essere richiesti da quest’ultima per l’adempimento degli obblighi di legge e per comprovare l’adozione di misure tecniche e organizzative adeguate, entro 15 giorni dalla richiesta formulata dall’Azienda a mezzo posta elettronica. Il Fornitore si obbliga, nei limiti dei propri poteri, al rispetto delle norme che disciplinano il Trattamento dei Dati Personali, ivi incluse le regole stabilite dall’Autorità di Controllo, nonché a garantire che i propri dipendenti ed ogni soggetto della cui cooperazione esso si avvalga rispettino tali norme. In nessun caso il Responsabile esterno acquisisce la proprietà intellettuale di dati e informazioni trattati nell’ambito di svolgimento del contratto; - adottare preventive misure di sicurezza atte ad eliminare o, comunque, a ridurre al minimo, qualsiasi rischio di distruzione o perdita, anche accidentale, dei dati personali trattati, di accesso non autorizzato o di trattamento non consentito o non conforme, nel rispetto delle disposizioni contenute nell’art. 31 del D.Lgs. 30 giugno 2003, n. 196; - adottare e rispettare tutte le misure di sicurezza previste dagli articoli 33, 34, 35 e 36 del D.Lgs. 30 giugno 2003, n. 196, che configurano il livello minimo di protezione richiesto in relazione ai rischi indicati nell’art. 31 e analiticamente specificate nell’allegato B (“Disciplinare tecnico in materia di misure minime di sicurezza”) del citato decreto. Qualora, ai sensi delle norme concernenti le misure minime di sicurezza, risulti necessario un adeguamento delle stesseparticolare, il Responsabile esterno provvede, nei termini si impegna a rispettare gli obblighi ed istruzioni di legge, al relativo adeguamento, senza alcun costo per la stazione appaltante; - individuare, per iscritto, le persone Incaricate del trattamento e fornire loro le istruzioni relative alle operazioni da compiere, affinché il trattamento avvenga in conformità alla legge, per gli scopi e le finalità previste in contratto e nel rispetto delle misure minime di sicurezza idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito, previste dal Codice e delle disposizioni impartite dal Titolare. Vigilare sulla corretta osservanza delle istruzioni impartite; - rispettare le istruzioni e le procedure in materia di privacy, adottate dall’Azienda ULSS per garantire la sicurezza dei dati personali; in particolare, qualora gli Incaricati del Responsabile esterno accedano, per esigenze di servizio, alle sedi o al sistema informativo del Titolare, il Responsabile esterno risponderà di eventuali violazioni ai sensi dell’art. 2049 del codice civile; - provvedere alla formazione degli Incaricati del trattamento; - verificare annualmente lo stato di applicazione del D.Lgs. 30 giugno 2003, n. 196; - adempiere agli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione dei dati personali anche dopo che l’incarico è stato portato a termine o revocato; - comunicare, tempestivamente, al Titolare, le eventuali richieste degli interessati all’accesso, alla rettifica, all’integrazione, alla cancellazione dei propri dati, ai sensi dell’art. 7 (diritto di accesso ai dati personali ed altri diritti) del D.Lgs. 30 giugno 2003, n. 196; - avvisare, tempestivamente, il Titolare qualora ricevesse ispezioni o richieste di informazioni, documenti od altro, da parte del Garante, in merito ai trattamenti effettuati per la stazione appaltante; - fornire al Titolare, a semplice richiesta e secondo le modalità indicate da quest’ultimo, i dati e le informazioni necessari per consentire, allo stesso, di svolgere una tempestiva difesa in eventuali procedure instaurate davanti al Garante o all’Autorità Giudiziaria e relative al trattamento dei dati personali connessi all’esecuzione del contratto in vigore tra le parti; - consentire che il Titolare – come imposto dalla normativa – effettui verifiche periodiche in relazione al rispetto delle presenti disposizioni; - comunicare al Titolare, del trattamento qualsiasi disfunzione possa in qualche modo compromettere la sicurezza dei dati. Si precisa che tale nomina sarà valida per il tempo necessario ad eseguire le operazioni affidate dal Titolare e si considererà revocata a completamento dell’incarico. All’atto della cessazione delle operazioni di trattamento, il Responsabile esterno dovrà restituire tutti i dati personali del Titolare, a quest’ultimo, e provvedere ad eliminare definitivamente dal proprio sistema informativo, e dagli archivi cartacei, i medesimi dati o copie degli stessi, dandone conferma per iscritto al Titolare. Il Titolare e il Responsabile esterno si mantengono vicendevolmente indenni per qualsiasi danno, incluse le spese legali, che possa derivare da pretese, avanzate nei rispettivi confronti a seguito dell’eventuale illiceità o non correttezza delle operazioni di trattamento che siano imputabili a fatto, comportamento od omissione dell’altro.elencati:
Appears in 1 contract
Samples: Capitolato Speciale d'Appalto
Responsabile esterno del trattamento dei dati. 1. Nell’ambito dell’attività oggetto Ai fini dell’esecuzione del contratto, l’appaltatore potrà venire a conoscenza e trattare dati comuni e sensibili relativi ai servizi offerti agli utenti della stazione appaltante.
2. L’appaltatore pertanto ai sensi dell’art. 29 del Codice in materia presente appalto la ditta dovrà effettuare operazioni di protezione trattamento dei dati personali, è nominato Responsabile del trattamento dei dati, personali per gli adempimenti previsti nel contratto, nei limiti e per la durata dello stessoconto dell’Azienda. In casi particolari, e previa accurata verifica delle relative condizioni, l’appaltatore potrà rivestire L’Azienda svolge il ruolo di Titolare del trattamento in relazione ai Dati Personali dalla stessa trattati, stabilendo autonomamente le finalità, le modalità ed i mezzi del trattamento.
3. I La ditta dovrà essere in possesso di adeguate competenze tecniche e know-how circa gli scopi e le modalità di trattamento dei Dati Personali, delle misure di sicurezza da adottare al fine di garantire la loro riservatezza, la completezza e l’integrità, nonché diretta e completa conoscenza delle norme che disciplinano la protezione degli stessi. La ditta verrà quindi nominata quale Responsabile del Trattamento ai sensi dell’art. 28 del GDPR, con l’incarico di effettuare le operazioni di trattamento sui Dati Personali, di cui entrerà in possesso o ai quali ha comunque accesso, necessarie all’adempimento degli obblighi derivanti dal Contratto e di eventuali servizi accessori allo stesso. La ditta si assumerà e si impegnerà a procedere al trattamento dei Dati Personali attenendosi alle istruzioni ricevute dal Titolare attraverso la relativa nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore. L’incarico di effettuare le operazioni di trattamento sui Dati Personali al Responsabile potrà essere affidato per l’esclusiva ragione che il profilo professionale/societario, in termini di proprietà, risorse umane, organizzative ed attrezzature, è stato ritenuto idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti, che possa sollevare incertezze sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta. Il trattamento deve essere svolto da parte del Responsabile in esecuzione del vigente rapporto contrattuale con l’Azienda e per le finalità ad esso relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità. L’Azienda ha diritto di ottenere dal Responsabile tutte le informazioni relative alle misure organizzative e di sicurezza da questo adottate necessarie per dimostrare il rispetto delle istruzioni e degli obblighi affidati. La stessa Azienda, inoltre, ha il diritto di disporre - a propria cura e spese - verifiche a campione o specifiche attività di audit in ambito protezione dei dati personali oggetto e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile. Nell’adempimento delle proprie obbligazioni il Fornitore, i suoi dipendenti ed ogni Subfornitore di cui il Fornitore si avvalga e che effettui il Trattamento di Dati Personali del Titolare, si obbligano a rispettare il GDPR ed ogni altra istruzione impartita dall’Azienda, nonché a tener conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo italiana, dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati, inerenti il trattamento sono svolto. Il Fornitore si impegna ad effettuare il Trattamento soltanto dei Dati Personali che siano necessari e/o strumentali all’esecuzione del Contratto. Il Fornitore si impegna, sin dalla data di sottoscrizione del presente atto, a rendere disponibili ed a comunicare ai propri Subfornitori soltanto quei Dati Personali che siano strettamente necessari per adempiere l’adempimento delle obbligazioni di cui al contratto stesso.
4presente Contratto o di obblighi di legge. L’appaltatore, Il Fornitore si impegna a cooperare con l’Azienda in qualità qualsiasi momento al fine di Responsabile del assicurare il corretto trattamento dei datiDati Personali e si impegna a fornire alla stessa Azienda tutte le informazioni o i documenti, ha che potranno essere richiesti da quest’ultima per l’adempimento degli obblighi di legge e per comprovare l’adozione di misure tecniche e organizzative adeguate, entro 15 giorni dalla richiesta formulata dall’Azienda a mezzo posta elettronica. Il Fornitore si obbliga, nei limiti dei propri poteri, al rispetto delle norme che disciplinano il compito Trattamento dei Dati Personali, ivi incluse le regole stabilite dall’Autorità di Controllo, nonché a garantire che i propri dipendenti ed ogni soggetto della cui cooperazione esso si avvalga rispettino tali norme. In particolare, il Responsabile si impegna a rispettare gli obblighi ed istruzioni di seguito elencati: ✓ adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la responsabilità disponibilità dei dati personali trattati, tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità di adempiere Controllo inerenti ai Trattamenti svolti dal Responsabile, ovvero dal Gruppo di Lavoro Articolo 29 e dall’istituendo Comitato Europeo per la protezione dei dati; ✓ non trasferire i Dati Personali trattati per conto dell’Azienda al di fuori dell’usuale luogo di lavoro, a quanto necessario meno che tale trasferimento non sia autorizzato dalle competenti pubbliche autorità, anche regolamentari e di vigilanza, o dall’Azienda stessa; ✓ fornire all’Azienda una descrizione dettagliata delle misure fisiche, tecniche ed organizzative applicate al Trattamento dei Dati Personali; ✓ impiegare sistemi di cifratura per il tutti i Dati Personali memorizzati su dispositivi di archiviazione digitali o elettronici, come computer portatili, CD, dischetti, driver portatili, nastri magnetici o dispositivi similari: i Dati Personali dovranno essere cifrati nel rispetto delle disposizioni della normativa vigente italiana ed europea in materia di protezione dei dati personali (inclusi i provvedimenti del Garante) e dovrà compiere ogni ragionevole sforzo per assicurare l’aggiornamento degli standard di cifratura in modo da tenere il passo dello sviluppo tecnologico e dei rischi ad esso connaturati, includendo ogni richiesta o indicazione emanata da qualsiasi pubblica autorità competente, anche regolamentare e di osservare scrupolosamente quanto in essa previsto, nonché le istruzioni impartite dal Titolare del trattamento. Il Responsabile esterno del trattamento dovrà assolvere, in particolare, i seguenti compiti, indicati a titolo esemplificativo vigilanza; ✓ istituire e non esaustivo: - garantire la riservatezza mantenere il registro delle informazioni, dei documenti e degli atti, dei quali venga a conoscenza durante l’esecuzione della prestazione ed imporre l’obbligo di riservatezza a tutte le persone che, direttamente e/o indirettamente, per ragioni del loro ufficio verranno a conoscenza di informazioni riservate; - utilizzare i dati solo per le finalità connesse allo svolgimento dell’attività oggetto del contratto, con divieto di qualsiasi altra diversa utilizzazione. Il Responsabile esterno non produce copie dei dati personali e non esegue nessun tipo attività di trattamento che non sia attinente allo scopo dei servizi offerti; non potrà, inoltre, diffondere, né comunicare, dati oltre ai casi previsti nel contratto o necessari per l’adempimento dello stesso. In nessun caso il Responsabile esterno acquisisce la proprietà intellettuale di dati e informazioni trattati nell’ambito di svolgimento del contratto; - adottare preventive misure di sicurezza atte ad eliminare o, comunque, a ridurre al minimo, qualsiasi rischio di distruzione o perdita, anche accidentale, dei dati personali trattati, di accesso non autorizzato o di trattamento non consentito o non conforme, nel rispetto delle disposizioni contenute nell’art. 31 del D.Lgs. 30 giugno 2003, n. 196; - adottare e rispettare tutte le misure di sicurezza previste dagli articoli 33, 34, 35 e 36 del D.Lgs. 30 giugno 2003, n. 196, che configurano il livello minimo di protezione richiesto in relazione ai rischi indicati nell’art. 31 e analiticamente specificate nell’allegato B (“Disciplinare tecnico in materia di misure minime di sicurezza”) del citato decreto. Qualora, ai sensi delle norme concernenti le misure minime di sicurezza, risulti necessario un adeguamento delle stesse, il Responsabile esterno provvede, nei termini di legge, al relativo adeguamento, senza alcun costo per la stazione appaltante; - individuare, per iscritto, le persone Incaricate del trattamento e fornire loro le istruzioni relative alle operazioni da compiere, affinché il trattamento avvenga in conformità alla legge, per gli scopi e le finalità previste in contratto e nel rispetto delle misure minime di sicurezza idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito, previste dal Codice e delle disposizioni impartite dal Titolare. Vigilare sulla corretta osservanza delle istruzioni impartite; - rispettare le istruzioni e le procedure in materia di privacy, adottate dall’Azienda ULSS per garantire la sicurezza dei dati personali; in particolare, qualora gli Incaricati del Responsabile esterno accedano, per esigenze di servizio, alle sedi o al sistema informativo del Titolare, il Responsabile esterno risponderà di eventuali violazioni ai sensi dell’art. 2049 30 del codice civileGDPR e metterlo a disposizione del Titolare ogniqualvolta richiesto; ✓ comunicare all’Azienda il nominativo ed i recapiti di contatto del proprio responsabile della protezione dei dati, se designato ai sensi degli artt. 37 e ss. del GDPR; ✓ assistere la stessa Azienda, relativamente ai Dati Personali oggetto di trattamento, nel garantire – ove applicabili - provvedere il rispetto degli obblighi relativi:
(i) alla formazione degli Incaricati sicurezza del trattamento; - verificare annualmente lo stato ;
(ii) alla notifica di applicazione del D.Lgs. 30 giugno 2003, n. 196; - adempiere agli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione una violazione dei dati personali anche dopo che l’incarico è stato portato a termine o revocato; - comunicare, tempestivamente, al Titolare, le eventuali richieste degli interessati all’accesso, alla rettifica, all’integrazione, alla cancellazione dei propri dati, Dati Personali all'Autorità di controllo ai sensi dell’art. 7 33 del GDPR;
(diritto iii) alla comunicazione di accesso una violazione dei Dati Personali all'interessato ai sensi dell’art. 34 del GDPR;
(iv) alla valutazione d'impatto sulla protezione dei Dati Personali ai sensi dell’art. 35 del GDPR;
(v) alla consultazione preventiva ai sensi dell’art. 36 del GDPR. La ditta dovrà, inoltre, rispettare le seguenti prescrizioni:
1) In caso di violazione dei dati personali consistente nella violazione di sicurezza, che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali ed altri diritti) del D.Lgstrasmessi, conservati o comunque trattati e tali da mettere a rischio i diritti e le libertà degli individui i cui dati personali sono trattati dal Responsabile per conto dell’Azienda (c.d. 30 giugno 2003, n. 196; - avvisare, tempestivamentedata breach), il Titolare qualora ricevesse ispezioni o richieste di informazioni, documenti od altro, da parte del Garante, Responsabile deve: • informare l’Azienda tempestivamente e in merito ai trattamenti effettuati per la stazione appaltante; - fornire ogni caso al Titolare, a semplice richiesta massimo entro e secondo le modalità indicate da quest’ultimo, i dati e le informazioni necessari per consentire, allo stessonon oltre 24 ore dalla scoperta dell’evento, di svolgere una tempestiva difesa in eventuali procedure instaurate davanti al Garante o all’Autorità Giudiziaria e relative al trattamento ogni violazione dei dati personali connessi all’esecuzione del contratto in vigore tra trattati per conto dell’Azienda che presenti un rischio per i diritti e le parti; - consentire che il Titolare – come imposto dalla normativa – effettui verifiche periodiche in relazione al rispetto libertà delle presenti disposizioni; - comunicare al Titolare, del trattamento qualsiasi disfunzione possa in qualche modo compromettere la sicurezza dei dati. Si precisa che tale nomina sarà valida per il tempo necessario ad eseguire le operazioni affidate dal Titolare persone fisiche e si considererà revocata a completamento dell’incarico. All’atto della cessazione delle operazioni di trattamento, il Responsabile esterno dovrà restituire fornire tutti i dettagli completi della violazione subita: in particolare, fornendo una descrizione della natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni dei dati in questione, l’impatto della violazione dei dati personali del Titolare, a quest’ultimo, sull’Azienda e provvedere ad eliminare definitivamente dal proprio sistema informativo, sugli interessati coinvolti e dagli archivi cartacei, le misure adottate per mitigare i medesimi dati o copie degli stessi, dandone conferma rischi; • fornire assistenza all’Azienda per iscritto al Titolarefar fronte alla violazione e alle sue conseguenze soprattutto in capo agli interessati coinvolti. Il Titolare Responsabile si attiverà per mitigare gli effetti delle violazioni, proponendo tempestive azioni correttive all’Azienda ed attuando tempestivamente tutte le azioni correttive approvate e/o richieste dalla stessa. La ditta dovrà identificare e il Responsabile esterno si mantengono vicendevolmente indenni per qualsiasi danno, incluse designare le spese legali, che possa derivare da pretese, avanzate nei rispettivi confronti a seguito dell’eventuale illiceità o non correttezza delle persone autorizzate ad effettuare operazioni di trattamento che siano imputabili sui dati di titolarità dell’Azienda, individuando l’ambito autorizzativo consentito ai sensi dell’art. 29 del GDPR e provvedendo alla relativa formazione ed a fattofornire le relative istruzioni.
2) Adozione della documentazione in materia di protezione dei dati personali prevista dalla normativa italiana ed europea e relative procedure concerneti le adeguate misure tecniche e organizzative.
3) In caso di ricevimento di istanze provenienti dagli interessati, comportamento od omissione dell’altrofinalizzate all’esercizio dei propri diritti, la ditta deve: • dare tempestiva comunicazione scritta al titolare; • coordinarsi, per quanto di propria competenza, con le funzioni aziendali designate dal titolare per gestire le relazioni con gli interessati; • assistere e supportare il titolate del trattamento con misure tecniche e organizzative adeguate, al fine di soddisfare l’obbligo dell’Azienda di dare seguito alle richieste per l’esercizio dei diritti degli interessati.
Appears in 1 contract
Samples: Fornitura in Service Di Un Sistema Laser a Femtosecondi Per Chirurgia Della Cataratta
Responsabile esterno del trattamento dei dati. 1. Nell’ambito dell’attività oggetto Ai fini dell’esecuzione del contratto, l’appaltatore potrà venire a conoscenza e trattare dati comuni e sensibili relativi ai servizi offerti agli utenti della stazione appaltante.
2. L’appaltatore pertanto ai sensi dell’art. 29 del Codice in materia presente appalto la ditta dovrà effettuare operazioni di protezione trattamento dei dati personali, è nominato Responsabile del trattamento dei dati, personali per gli adempimenti previsti nel contratto, nei limiti e per la durata dello stessoconto dell’Azienda. In casi particolari, e previa accurata verifica delle relative condizioni, l’appaltatore potrà rivestire L’Azienda svolge il ruolo di Titolare del trattamento in relazione ai Dati Personali dalla stessa trattati, stabilendo autonomamente le finalità, le modalità ed i mezzi del trattamento. La ditta dovrà essere in possesso di adeguate competenze tecniche e know-how circa gli scopi e le modalità di trattamento dei Dati Personali, delle misure di sicurezza da adottare al fine di garantire la loro riservatezza, la completezza e l’integrità, nonché diretta e completa conoscenza delle norme che disciplinano la protezione degli stessi. La ditta verrà quindi nominata quale Responsabile del Trattamento ai sensi dell’art. 28 del GDPR, con l’incarico di effettuare le operazioni di trattamento sui Dati Personali, di cui entrerà in possesso o ai quali ha comunque accesso, necessarie all’adempimento degli obblighi derivanti dal Contratto e di eventuali servizi accessori allo stesso. La ditta si assumerà e si impegnerà a procedere al trattamento dei Dati Personali attenendosi alle istruzioni ricevute dal Titolare attraverso la relativa nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore. L’incarico di effettuare le operazioni di trattamento sui Dati Personali al Responsabile potrà essere affidato per l’esclusiva ragione che il profilo professionale/societario, in termini di proprietà, risorse umane, organizzative ed attrezzature, è stato ritenuto idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti, che possa sollevare incertezze sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta. Il trattamento deve essere svolto da parte del Responsabile in esecuzione del vigente rapporto contrattuale con l’Azienda e per le finalità ad esso relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità.
3L’Azienda ha diritto di ottenere dal Responsabile tutte le informazioni relative alle misure organizzative e di sicurezza da questo adottate necessarie per dimostrare il rispetto delle istruzioni e degli obblighi affidati. I La stessa Azienda, inoltre, ha il diritto di disporre - a propria cura e spese - verifiche a campione o specifiche attività di audit in ambito protezione dei dati personali oggetto e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile. Nell’adempimento delle proprie obbligazioni il Fornitore, i suoi dipendenti ed ogni Subfornitore di cui il Fornitore si avvalga e che effettui il Trattamento di Dati Personali del Titolare, si obbligano a rispettare il GDPR ed ogni altra istruzione impartita dall’Azienda, nonché a tener conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo italiana, dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati, inerenti il trattamento sono svolto. Il Fornitore si impegna ad effettuare il Trattamento soltanto dei Dati Personali che siano necessari e/o strumentali all’esecuzione del Contratto. Il Fornitore si impegna, sin dalla data di sottoscrizione del presente atto, a rendere disponibili ed a comunicare ai propri Subfornitori soltanto quei Dati Personali che siano strettamente necessari per adempiere l’adempimento delle obbligazioni di cui al contratto stesso.
4presente Contratto o di obblighi di legge. L’appaltatore, Il Fornitore si impegna a cooperare con l’Azienda in qualità qualsiasi momento al fine di Responsabile del assicurare il corretto trattamento dei datiDati Personali e si impegna a fornire alla stessa Azienda tutte le informazioni o i documenti, ha che potranno essere richiesti da quest’ultima per l’adempimento degli obblighi di legge e per comprovare l’adozione di misure tecniche e organizzative adeguate, entro 15 giorni dalla richiesta formulata dall’Azienda a mezzo posta elettronica. Il Fornitore si obbliga, nei limiti dei propri poteri, al rispetto delle norme che disciplinano il compito Trattamento dei Dati Personali, ivi incluse le regole stabilite dall’Autorità di Controllo, nonché a garantire che i propri dipendenti ed ogni soggetto della cui cooperazione esso si avvalga rispettino tali norme. In particolare, il Responsabile si impegna a rispettare gli obblighi ed istruzioni di seguito elencati:adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la responsabilità disponibilità dei dati personali trattati, tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità di adempiere Controllo inerenti ai Trattamenti svolti dal Responsabile, ovvero dal Gruppo di Lavoro Articolo 29 e dall’istituendo Comitato Europeo per la protezione dei dati; non trasferire i Dati Personali trattati per conto dell’Azienda al di fuori dell’usuale luogo di lavoro, a quanto necessario meno che tale trasferimento non sia autorizzato dalle competenti pubbliche autorità, anche regolamentari e di vigilanza, o dall’Azienda stessa; fornire all’Azienda una descrizione dettagliata delle misure fisiche, tecniche ed organizzative applicate al Trattamento dei Dati Personali; impiegare sistemi di cifratura per il tutti i Dati Personali memorizzati su dispositivi di archiviazione digitali o elettronici, come computer portatili, CD, dischetti, driver portatili, nastri magnetici o dispositivi similari: i Dati Personali dovranno essere cifrati nel rispetto delle disposizioni della normativa vigente italiana ed europea in materia di protezione dei dati personali (inclusi i provvedimenti del Garante) e dovrà compiere ogni ragionevole sforzo per assicurare l’aggiornamento degli standard di cifratura in modo da tenere il passo dello sviluppo tecnologico e dei rischi ad esso connaturati, includendo ogni richiesta o indicazione emanata da qualsiasi pubblica autorità competente, anche regolamentare e di osservare scrupolosamente quanto in essa previsto, nonché le istruzioni impartite dal Titolare del trattamento. Il Responsabile esterno del trattamento dovrà assolvere, in particolare, i seguenti compiti, indicati a titolo esemplificativo vigilanza; istituire e non esaustivo: - garantire la riservatezza mantenere il registro delle informazioni, dei documenti e degli atti, dei quali venga a conoscenza durante l’esecuzione della prestazione ed imporre l’obbligo di riservatezza a tutte le persone che, direttamente e/o indirettamente, per ragioni del loro ufficio verranno a conoscenza di informazioni riservate; - utilizzare i dati solo per le finalità connesse allo svolgimento dell’attività oggetto del contratto, con divieto di qualsiasi altra diversa utilizzazione. Il Responsabile esterno non produce copie dei dati personali e non esegue nessun tipo attività di trattamento che non sia attinente allo scopo dei servizi offerti; non potrà, inoltre, diffondere, né comunicare, dati oltre ai casi previsti nel contratto o necessari per l’adempimento dello stesso. In nessun caso il Responsabile esterno acquisisce la proprietà intellettuale di dati e informazioni trattati nell’ambito di svolgimento del contratto; - adottare preventive misure di sicurezza atte ad eliminare o, comunque, a ridurre al minimo, qualsiasi rischio di distruzione o perdita, anche accidentale, dei dati personali trattati, di accesso non autorizzato o di trattamento non consentito o non conforme, nel rispetto delle disposizioni contenute nell’art. 31 del D.Lgs. 30 giugno 2003, n. 196; - adottare e rispettare tutte le misure di sicurezza previste dagli articoli 33, 34, 35 e 36 del D.Lgs. 30 giugno 2003, n. 196, che configurano il livello minimo di protezione richiesto in relazione ai rischi indicati nell’art. 31 e analiticamente specificate nell’allegato B (“Disciplinare tecnico in materia di misure minime di sicurezza”) del citato decreto. Qualora, ai sensi delle norme concernenti le misure minime di sicurezza, risulti necessario un adeguamento delle stesse, il Responsabile esterno provvede, nei termini di legge, al relativo adeguamento, senza alcun costo per la stazione appaltante; - individuare, per iscritto, le persone Incaricate del trattamento e fornire loro le istruzioni relative alle operazioni da compiere, affinché il trattamento avvenga in conformità alla legge, per gli scopi e le finalità previste in contratto e nel rispetto delle misure minime di sicurezza idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito, previste dal Codice e delle disposizioni impartite dal Titolare. Vigilare sulla corretta osservanza delle istruzioni impartite; - rispettare le istruzioni e le procedure in materia di privacy, adottate dall’Azienda ULSS per garantire la sicurezza dei dati personali; in particolare, qualora gli Incaricati del Responsabile esterno accedano, per esigenze di servizio, alle sedi o al sistema informativo del Titolare, il Responsabile esterno risponderà di eventuali violazioni ai sensi dell’art. 2049 30 del codice civileGDPR e metterlo a disposizione del Titolare ogniqualvolta richiesto; comunicare all’Azienda il nominativo ed i recapiti di contatto del proprio responsabile della protezione dei dati, se designato ai sensi degli artt. 37 e ss. del GDPR; assistere la stessa Azienda, relativamente ai Dati Personali oggetto di trattamento, nel garantire – ove applicabili - provvedere il rispetto degli obblighi relativi: alla formazione degli Incaricati sicurezza del trattamento; - verificare annualmente lo stato alla notifica di applicazione del D.Lgs. 30 giugno 2003, n. 196; - adempiere agli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione una violazione dei dati personali anche dopo che l’incarico è stato portato a termine o revocato; - comunicare, tempestivamente, al Titolare, le eventuali richieste degli interessati all’accesso, alla rettifica, all’integrazione, alla cancellazione dei propri dati, Dati Personali all'Autorità di controllo ai sensi dell’art. 7 (diritto 33 del GDPR; alla comunicazione di accesso una violazione dei Dati Personali all'interessato ai sensi dell’art. 34 del GDPR; alla valutazione d'impatto sulla protezione dei Dati Personali ai sensi dell’art. 35 del GDPR; alla consultazione preventiva ai sensi dell’art. 36 del GDPR. La ditta dovrà, inoltre, rispettare le seguenti prescrizioni: In caso di violazione dei dati personali consistente nella violazione di sicurezza, che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali ed altri diritti) del D.Lgstrasmessi, conservati o comunque trattati e tali da mettere a rischio i diritti e le libertà degli individui i cui dati personali sono trattati dal Responsabile per conto dell’Azienda (c.d. 30 giugno 2003, n. 196; - avvisare, tempestivamentedata breach), il Titolare qualora ricevesse ispezioni o richieste di informazioni, documenti od altro, da parte del Garante, Responsabile deve: informare l’Azienda tempestivamente e in merito ai trattamenti effettuati per la stazione appaltante; - fornire ogni caso al Titolare, a semplice richiesta massimo entro e secondo le modalità indicate da quest’ultimo, i dati e le informazioni necessari per consentire, allo stessonon oltre 24 ore dalla scoperta dell’evento, di svolgere una tempestiva difesa in eventuali procedure instaurate davanti al Garante o all’Autorità Giudiziaria e relative al trattamento ogni violazione dei dati personali connessi all’esecuzione del contratto in vigore tra trattati per conto dell’Azienda che presenti un rischio per i diritti e le parti; - consentire che il Titolare – come imposto dalla normativa – effettui verifiche periodiche in relazione al rispetto libertà delle presenti disposizioni; - comunicare al Titolare, del trattamento qualsiasi disfunzione possa in qualche modo compromettere la sicurezza dei dati. Si precisa che tale nomina sarà valida per il tempo necessario ad eseguire le operazioni affidate dal Titolare persone fisiche e si considererà revocata a completamento dell’incarico. All’atto della cessazione delle operazioni di trattamento, il Responsabile esterno dovrà restituire fornire tutti i dettagli completi della violazione subita: in particolare, fornendo una descrizione della natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni dei dati in questione, l’impatto della violazione dei dati personali del Titolare, a quest’ultimo, sull’Azienda e provvedere ad eliminare definitivamente dal proprio sistema informativo, sugli interessati coinvolti e dagli archivi cartacei, le misure adottate per mitigare i medesimi dati o copie degli stessi, dandone conferma rischi; fornire assistenza all’Azienda per iscritto al Titolarefar fronte alla violazione e alle sue conseguenze soprattutto in capo agli interessati coinvolti. Il Titolare Responsabile si attiverà per mitigare gli effetti delle violazioni, proponendo tempestive azioni correttive all’Azienda ed attuando tempestivamente tutte le azioni correttive approvate e/o richieste dalla stessa. La ditta dovrà identificare e il Responsabile esterno si mantengono vicendevolmente indenni per qualsiasi danno, incluse designare le spese legali, che possa derivare da pretese, avanzate nei rispettivi confronti a seguito dell’eventuale illiceità o non correttezza delle persone autorizzate ad effettuare operazioni di trattamento che siano imputabili sui dati di titolarità dell’Azienda, individuando l’ambito autorizzativo consentito ai sensi dell’art. 29 del GDPR e provvedendo alla relativa formazione ed a fattofornire le relative istruzioni. Adozione della documentazione in materia di protezione dei dati personali prevista dalla normativa italiana ed europea e relative procedure concernenti le adeguate misure tecniche e organizzative. In caso di ricevimento di istanze provenienti dagli interessati, comportamento od omissione dell’altrofinalizzate all’esercizio dei propri diritti, la ditta deve: dare tempestiva comunicazione scritta al titolare; coordinarsi, per quanto di propria competenza, con le funzioni aziendali designate dal titolare per gestire le relazioni con gli interessati; assistere e supportare il titolate del trattamento con misure tecniche e organizzative adeguate, al fine di soddisfare l’obbligo dell’Azienda di dare seguito alle richieste per l’esercizio dei diritti degli interessati.
Appears in 1 contract
Samples: Capitolato Speciale d'Appalto