GIOVANI, FAMIGLIE, SCUOLA”
“DISCIPLINA DEI TRATTAMENTI DI DATI PERSONALI DA PARTE DEL RESPONSABILE AI SENSI DELL’ART. 28 DEL REG. 679/16 IN MATERIA DI PROTEZIONE DEI DATI PERSONALI”
Al contratto n........ del avente ad oggetto "Gestione del servizio “IL PIG SI FA IN 4: MINORI,
GIOVANI, FAMIGLIE, SCUOLA”
Fra: COMUNE DI Udine di seguito (TITOLARE)
E affidatario del Servizio di seguito (RESPONSABILE)
PREMESSO CHE
- Il Contratto, di cui il presente atto costituisce Allegato e che si considera parte integrante dello stesso, disciplina i rapporti in merito al trattamento di dati personali nel contesto dell'affidamento del servizio "Il PIG si fa in 4: minori, giovani, famiglie, scuola" di competenza del COMUNE DI UDINE, che è stato affidato alla ditta ...................
- nell’ottica della responsabilizzazione, l’art. 28 del Reg. 679/16 “Regolamento in materia di protezione dei dati personali” (di seguito GDPR) dispone che il trattamento di dati da parte di un soggetto affidatario di un servizio per conto del Titolare, comporta la necessità di disciplinare con apposito contratto i reciproci rapporti in merito alle modalità e le responsabilità del trattamento di tali dati;
- il Responsabile deve procedere al trattamento secondo le istruzioni impartite dal Titolare per iscritto con il presente contratto e con eventuali accordi successivi;
- è intenzione del Titolare consentire l’accesso sia al Responsabile che alle persone autorizzate al trattamento per i soli dati personali la cui conoscenza è necessaria all’adempimento degli obblighi previsti dal contratto succitato.
TANTO PREMESSO
Il Titolare e il Responsabile del trattamento disciplinano il reciproco rapporto di “responsabilità” di cui all’art. 28 del GDPR secondo le condizioni contrattuali e le istruzioni di seguito riportate, che vengono accettate con la firma in calce.
INFORMAZIONI OBBLIGATORIE (tabella n. 1)
materia disciplinata | Trattamento contratto "Il PIG si fa in 4: minori, giovani, famiglie, scuola" affidamento determinazione dirigenziale n. ................ – contratto n. ........... |
durata del trattamento: | La durata dei trattamenti sarà limitata al tempo necessario a dare esecuzione al contratto, salvo l’archiviazione di dati, informazioni, file, log necessari per precostituire prova dell’esatto adempimento delle obbligazioni (fino allo spirare dei termini di prescrizione dei diritti nascenti dal contratto o dei diritti per responsabilità extracontrattuali correlate al contratto) e per norma di legge. |
natura e finalità del trattamento: | Esecuzione degli obblighi contrattuali per la gestione del progetto "Il PIG si fa in 4: minori, giovani, famiglie, scuola" |
tipo di dati personali: | personali, particolari, informazioni sui beneficiari ricavabili dall’oggetto della prestazione, informazioni necessarie alla verifica del rispetto degli obblighi di legge connessi alla prevenzione Covid, ecc. |
categorie di interessati: | fornitori, collaboratori, cittadini / utenti dei servizi |
1. Oggetto del trattamento
Il presente atto disciplina tutti i dati e i documenti che il Responsabile tratterà per adempiere agli obblighi derivanti dal contratto richiamato in premessa, nonché da norme di legge e regolamento correlate. Tali dati possono riguardare dipendenti e collaboratori, fornitori, aziende, utenti del Titolare, e possono essere dati comuni oppure dati ex art. 9 e 10 del Reg. 679/16. Il Titolare si impegna ad informare tali soggetti che i loro dati personali potranno essere trattati dal Responsabile per rendere il servizio e per finalità connesse alla gestione dello stesso.
I trattamenti saranno effettuati solamente per le finalità di adempimento del contratto sopra citato.
Per ogni trattamento effettuato il Responsabile si impegna a porre in essere le misure di sicurezza previste dalla normativa vigente in materia di protezione dei dati personali e di non agire per finalità illecite.
Per ogni ulteriore informazione sul trattamento dei dati personali oggetto del presente atto si rinvia alla pagina dedicata del sito web del Titolare.
Ogni trattamento potrà essere effettuato solamente per le finalità di adempimento del contratto richiamato in premessa. I danni provocati a terzi derivanti dal trattamento dei dati personali affidati dal Titolare al Responsabile, saranno a carico di quest’ultimo qualora egli non provi di aver agito in conformità alle direttive ed istruzioni impartite con il presente documento.
2. Durata dei trattamenti
Ogni trattamento dei dati succitati, da effettuarsi solamente in conformità alle finalità sopra riportate, dovrà essere limitato al tempo necessario a dare esecuzione al contratto richiamato in premessa. Al termine delle operazioni di trattamento affidate, nonché all’atto della cessazione per
qualsiasi causa del trattamento da parte del Responsabile, quest’ultimo a discrezione del Titolare sarà tenuto a restituire al Titolare i dati personali oggetti del trattamento oppure a provvedere alla loro integrale distruzione salvo i casi in cui la conservazione dei dati sia richiesta da norme di legge od altri fini (contabili, fiscali, ecc.).
In entrambi i casi il Responsabile provvederà a rilasciare al Titolare apposita dichiarazione per iscritto contenente l’attestazione che presso il Responsabile non esista alcuna copia dei dati personali e delle informazioni di titolarità del Titolare. Il Titolare si riserva il diritto di effettuare controlli e verifiche volte ad accertare la veridicità della dichiarazione. La presente nomina avrà efficacia fintanto che il contratto richiamato in premessa avrà efficacia, salvi gli specifici obblighi che per loro natura sono destinati a permanere. Qualora il rapporto tra le parti venisse meno o perdesse efficacia per qualsiasi motivo o i servizi del Responsabile non fossero più erogati, anche il presente contratto verrà automaticamente meno senza bisogno di comunicazioni o revoche, ed il Responsabile non sarà più legittimato a trattare i dati del Titolare.
3. Istruzioni documentate art. 28 comma III GDPR
Nello svolgimento del Vostro incarico, in merito ai trattamenti che dovranno essere effettuati, si dovrà dare scrupolosa applicazione alle disposizioni previste dal Reg. Ue 679/16, in particolare:
• Adottare presso la Vostra società le misure organizzative, fisiche, procedurali e logiche sulla sicurezza nei trattamenti con particolare riferimento a quanto specificato nell’art. 32 del Regolamento. Il Responsabile, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, deve assicurarsi che le misure di sicurezza predisposte ed adottate siano adeguate a garantire un livello di sicurezza adeguato al rischio, in particolare contro:
a) distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati;
b) trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento.
• Individuare, verificare e, se del caso, aggiornare le persone fisiche incaricate a trattare i dati in relazione a ciascuna area di trattamento;
• Formare periodicamente, eventualmente anche per iscritto, i propri dipendenti e collaboratori sulle corrette modalità di trattamento dei dati personali e delle informazioni acquisite nell’esecuzione dell’incarico.
• Vigilare - anche secondo le prassi istituite ed in accordo con il Titolare - che gli incaricati al trattamento dei dati personali della Vostra società si attengano alle procedure di volta in volta indicate specificatamente, sia oralmente che per iscritto, in relazione ai diversi trattamenti necessari ad adempiere al contratto richiamato in premessa;
• Vigilare che nelle causali e/o oggetto di bonifici e atti di disposizione di danaro a favore di persone fisiche non siano riportate informazioni inerenti lo stato di salute, legge 104, la condizione socioeconomica o altre informazioni contenenti dati particolari (art. 9 Reg. 679 /16). In tali casi avvisare il Titolare e rimuovere preventivamente l’informazione, in modo che non siano lesi i diritti di riservatezza degli interessati.
• Assistere il Titolare nel garantire il rispetto degli obblighi relativi alla valutazione d’impatto sulla protezione dei dati nonché alla eventuale consultazione preventiva all’Autorità di Controllo;
• Se richiesto, assistere il Titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare le eventuali richieste per l'esercizio dei diritti dell'interessato di cui agli articoli 13 – 22 del Regolamento;
• Se richiesto, mettere a disposizione del titolare del trattamento il VS “registro dei trattamenti” inerente le attività di trattamento affidatevi, nonché tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del Regolamento, contribuendo altresì alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del trattamento o da un altro soggetto da questi incaricato;
• Se richiesto, assistere il Titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del Regolamento, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento;
• Comunicare ogni eventuale trasferimento di dati e informazioni all’estero, anche per fini tecnici connessi ai servizi di Providing e backup utilizzati in azienda.
4. Garanzie prestate dal Responsabile
Il Responsabile garantisce che i dati saranno custoditi e controllati in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di loro distribuzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità del contratto.
Tali dati dovranno essere trattati o comunque utilizzati dalla vostra società esclusivamente al fine di adempiere alle obbligazioni che le derivano dal contratto. Conseguentemente i dati non saranno:
1) utilizzati in proprio e comunque per finalità diverse dall'esecuzione del contratto;
2) oggetto di cessione o di concessione d'uso a terzi, totale o parziale, a qualsiasi titolo;
3) duplicati o riprodotti, in proprio, per finalità diverse del contratto.
5. Gestione subappalti
Con il presente contratto, il Titolare conferisce autorizzazione scritta generale al Responsabile a poter ricorrere a eventuali ulteriori responsabili del trattamento nella prestazione del Servizio, salvo divieti di subappalto previsti dalla normativa o dal contratto di cui il presente atto costituisce parte integrante. Nel caso in cui il Responsabile faccia effettivo ricorso a sub-responsabili, egli si impegna a selezionare sub-responsabili tra soggetti che per esperienza, capacità e affidabilità forniscano garanzie sufficienti in merito a trattamenti effettuati in applicazione della normativa pro tempore vigente e che garantiscano la tutela dei diritti degli interessati.
Il Responsabile si impegna altresì a stipulare specifici contratti, o altri atti giuridici, con i sub- responsabili a mezzo dei quali il Responsabile descriva analiticamente i loro compiti e imponga a tali soggetti di rispettare i medesimi obblighi, con particolare riferimento alla disciplina sulla protezione dei dati personali.
I danni provocati a terzi derivanti dal trattamento dei dati personali affidati dal Responsabile a sub- responsabili o sub-fornitori saranno a carico esclusivo del Responsabile che accetta, con la firma del
presente documento, di manlevare e tenere indenne il Titolare da qualsiasi danno, pretesa, risarcimento, e/o sanzione.
Il Responsabile informa il Titolare di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al Titolare del trattamento l'opportunità di opporsi a tali modifiche.
6. Ulteriori garanzie
La Vostra società si impegna altresì ad osservare e fare osservare ai propri dipendenti, incaricati e collaboratori, il segreto nei confronti di chiunque, per quanto riguarda fatti, informazioni, dati e atti di cui vengano a conoscenza nell'espletamento dell’incarico ricevuto. A tal fine il Responsabile si impegna a non cedere, non consegnare, non copiare, non riprodurre, non comunicare, non divulgare, non rendere disponibili in qualsiasi modo o a qualsiasi titolo a terzi, le informazioni acquisite nell'esecuzione del servizio, salvo quanto previsto dall’articolo precedente.
Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente contratto e della normativa applicabile, consentendo e contribuendo alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato. A tale scopo il Responsabile riconosce al Titolare, e agli incaricati dal medesimo, il diritto di accedere ai locali di sua pertinenza ove hanno svolgimento le operazioni di trattamento o dove sono custoditi dati o documentazione relativa al presente contratto. In ogni caso il Titolare si impegna per sé e per i terzi incaricati da quest’ultimo, a che le informazioni raccolte durante le operazioni di verifica siano utilizzate solo per tali finalità. Il Responsabile sarà, inoltre, tenuto a comunicare tempestivamente al Titolare istanze degli interessati, contestazioni, ispezioni o richieste dell’Autorità di Controllo e dalle Autorità Giudiziarie, ed ogni altra notizia rilevante in relazione al trattamento dei dati personali.
Resta inteso che il presente contratto non comporta alcun diritto del Responsabile ad uno specifico compenso e/o indennità e/o rimborso derivante dal medesimo.
7. Foro Competente
Questo accordo è stipulato e governato dalle leggi italiane. Ogni e qualsiasi controversia relativa all’esecuzione e all’interpretazione di esso sarà devoluta alla competenza del Foro di Treviso ad esclusione di ogni altro foro anche concorrente.
Data
Per Il Titolare del trattamento Il Responsabile del trattamento
del Comune di Udine della ditta