Accordo incarico Responsabile (esterno) del trattamento dei dati



ACCORDO CON RESPONSABILE ESTERNO

DEL TRATTAMENTO DEI DATI

MOD 03

Pag. 5 di 5


Accordo incarico Responsabile (esterno) del trattamento dei dati

ai sensi dell’art. 28 del Regolamento Europeo 2016/679 (in seguito anche “GDPR”)

tra

l’Associazione PRO LOCO “________________________________________” (C.F. ______________; tel. _________________; fax _________________; mail ____________________), con sede in __________________________, Titolare del trattamento ai sensi dell’art. 4 comma 1 n. 7 GDPR, in persona del Presidente e legale rappresentante _________________

e

____________________________________ (C.F. _________________ - P.I. ______________), con sede in ___________, in persona del legale rappresentante ___________, Responsabile del trattamento ai sensi dell’art. 28 GDPR

[Oppure, in caso di persona fisica]

____________________________________ (C.F. _________________ - P.I. ______________), con sede in ___________, Responsabile del trattamento ai sensi dell’art. 28 GDPR

premesso che

  • in forza del contratto/incarico stipulato in data ________________ (di seguito denominato il “Contratto”), il Titolare del trattamento si avvale di ____________________________, per i servizi di ___________________________ (di seguito, i “Servizi”);

  • l’espletamento dei Servizi comporta un trattamento di dati personali, come definiti all’art. 4 comma 1 GDPR, che ______________________ deve svolgere per conto del Titolare;

  • il GDPR e il Codice impongono una serie di obblighi e vincoli al trattamento di dati personali da parte del Titolare, che anche il Responsabile è tenuto a rispettare;

  • che _________________________________ dichiara di offrire garanzie sufficienti in ordine all’adozione di misure tecniche e organizzative adeguate per far sì che il trattamento dei dati sia conforme alle disposizioni del GDPR e sia idoneo alla tutela dei diritti dell’interessato;

  • che con il presente accordo (di seguito l’”Accordo”) il Titolare del trattamento intende dunque procedere alla nomina di _____________________________ quale Responsabile del trattamento, impartendogli dettagliate istruzioni in relazione al trattamento dei dati.

Tutto ciò premesso si

conviene quanto segue

  1. Nomina a Responsabile del trattamento

Con il presente Accordo il Titolare del trattamento _________________________ nomina, ai sensi dell’art. 28 GDPR, _____________________________________ quale Responsabile del trattamento dei dati, in relazione ai tutti i trattamenti di dati che sono necessari allo svolgimento dei Servizi di cui al Contratto.

  1. Caratteristiche del trattamento

Il trattamento è consentito per tutto il tempo necessario all’esecuzione dei Servizi oggetto del Contratto ed è necessario in particolare al perseguimento delle seguenti finalità:

  • ________________________;

  • ________________________;

  • ___________________.

Il trattamento potrà avere ad oggetto dati personali comuni e, ove necessario, dati personali “particolari”, e potrà essere svolto in via cartaceo o informatica.

  1. Obblighi del Responsabile del trattamento

Il Responsabile del trattamento è tenuto, ai sensi dell’art. 28 terzo comma GDPR, a:

    1. trattare i dati personali trasmessi dal Titolare o comunque acquisiti in relazione al Servizio da svolgere in corrispondenza alle istruzioni del Titolare e agli obblighi previsti dal presente Accordo, informando comunque immediatamente il Titolare qualora, a suo parere, un’istruzione impartita violi il GDPR o la normativa italiana sulla protezione dei dati;

    2. individuare e nominare per iscritto le persone autorizzate al trattamento all’interno della propria struttura (“Autorizzati/Incaricati”) e garantire che si impegnino alla riservatezza dei dati o abbiano un adeguato obbligo legale di riservatezza e si impegnino altresì all’adozione delle misure di sicurezza adottate e al rispetto dei principi del trattamento dei dati di cui al Capo II del GDPR;

    3. adottare e descrivere al Titolare tutte le misure di sicurezza richieste dall’art. 32 GDPR, ritenute idonee al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;

    4. informare il Titolare della nomina di propri Responsabili al trattamento (“sub-Responsabili”) nonché della loro successiva sostituzione con nuovi Responsabili, al fine di permettere al Titolare di valutare l’idoneità degli stessi ed eventualmente opporsi alla nomina o sostituzione. In caso di nomina autorizzata di altro Responsabile, a individuare le specifiche attività di trattamento del Responsabile e a stipulare con il Responsabile apposito contratto con il quale il Responsabile assuma, in relazione ai trattamenti svolti, gli stessi obblighi previsti nel presente Accordo;

    5. collaborare con il Titolare, con misure tecniche e organizzative adeguate, ove possibile, al fine di soddisfare l’obbligo del Titolare di dare seguito alle richieste per l’esercizio dei diritti dell’interessato descritti negli artt. da 15 a 22 GDPR, con le modalità di cui all’art. 12 GDPR e le tempistiche indicate nell’art. 12 terzo comma GDPR. A tal fine, il Responsabile trasmette le eventuali richieste degli interessati, all’indirizzo mail del Titolare ____________________ entro 24 ore dal ricevimento della richiesta;

    6. in relazione al trattamento svolto, assistere e collaborare con il Titolare ai fini del rispetto degli obblighi imposti al Titolare dagli artt. da 33 a 36 GDPR, ed in particolare:

  • informare il Titolare, senza ingiustificato ritardo, e comunque al più tardi entro 24 ore dal momento in cui ne è venuto a conoscenza, all’indirizzo mail del Titolare ______________ di ogni violazione di dati personali, al fine di permettere al Titolare la notifica al Garante per la Protezione dei Dati Personali ai sensi dell’art. 33 GDPR e, se del caso, la comunicazione all’interessato ai sensi dell’art. 43 GDPR, fornendo tutte le informazioni sulla predetta violazione che siano a sua conoscenza tra quelle indicate dall’art. 33 comma 3 GDPR;

  • assistere e collaborare con il Titolare nel processo di eventuale valutazione d’impatto sulla protezione dei dati (“DPIA – Data Protection Impact Assessment”) di cui all’art. 35 GDPR, nonché nella eventuale fase di consultazione preventiva con l’Autorità di controllo ai sensi dell’art. 36 GDPR, qualora la valutazione d’impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal Titolare per attenuare il rischio;

    1. cancellare o restituire tutti i dati personali una volta cessata in via definitiva l’esecuzione dei Servizi e cancellare le copie esistenti secondo le istruzioni ricevute dal Titolare, salvo che la conservazione dei dati sia prevista dal diritto dell’Unione o dalla normativa italiana;

    2. mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto, da parte del Responsabile, degli obblighi di cui al presente Accordo e contribuire alle attività di revisione, comprese le ispezioni, poste in essere dal Titolare.

Il Responsabile del trattamento è tenuto, ove sussistano le condizioni di cui all’art. 30 comma 5 GDPR, alla redazione e al costante aggiornamento di un “Registro delle attività di trattamento” svolte per conto del Titolare, in forma scritta, anche in formato elettronico, da tenere a disposizione in ogni momento del Titolare, con il contenuto di cui all’art. 30 comma2 GDPR.

Il Responsabile del trattamento è altresì tenuto:

  • ove compia una autonoma valutazione d’impatto sulla protezione dei dati (“DPIA Data Protection Impact Assessment”) di cui all’art. 35 GDPR in relazione ai propri servizi, prodotti, asset che coinvolgano i trattamenti compiuti per conto del Titolare, a comunicare tempestivamente al Titolare il report finale della DPIA svolta;

  • ad informare tempestivamente il Titolare qualora intenda avvalersi di servizi “Cloud” per il trattamento dei dati personali, assicurandosi altresì che i dati stessi vengano conservati all’interno dell’Unione Europea.

Il Responsabile si impegna altresì a valutare, ai fini della dimostrazione della propria idoneità all’incarico, l’adesione ad eventuali codici di condotta o ad un meccanismo di certificazione approvati ai sensi dell’art. 40 e 42 GDPR.

  1. Principi del trattamento dei dati

Il Responsabile del trattamento è tenuto, in relazione a tutti i trattamenti svolti per conto del Titolare, al rispetto dei principi di cui al Capo II del GDPR, nonché a consentire al Titolare di poter dimostrarne il rispetto nei confronti degli interessati e del Garante per la Protezione dei dati personali.

A titolo esemplificativo e non esaustivo si precisa che i dati:

  • devono essere trattati in modo lecito, corretto e trasparente;

  • devono essere raccolti solo per le finalità del trattamento, svolto dal Responsabile, che siano determinate, esplicite e legittime;

  • devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità;

  • devono essere esatti e se necessario aggiornati;

  • devono essere conservati per un periodo non superiore a quello necessario al raggiungimento delle finalità del trattamento. Trascorso detto periodo i dati vanno resi anonimi o cancellati;

  • se comuni vanno trattati nei casi indicati all’art. 6 GDPR;

  • se “particolari” vanno trattati nei casi indicati dall’art. 9 e 10 GDPR.

Il Responsabile è altresì tenuto al rispetto degli obblighi di informativa all’interessato ai sensi dell’art. 13 comma 2 GDPR e di acquisizione del consenso nei casi previsti dall’art. 7, 8, 9 e 10 GDPR, nonché a garantire all’interessato, in relazione ai trattamenti svolti per conto del Titolare, l’esercizio dei diritti previsti dagli artt. 15, 16, 17, 18, 20, 21 GDPR.

Il Responsabile è comunque tenuto e ha il potere di svolgere ogni incombenza connessa all’esecuzione dell’incarico di cui al presente Accordo che sia necessaria o opportuna per l’esercizio dei compiti indicati nel presente Accordo.

  1. Disposizioni generali e finali

Le Parti dichiarano di aver letto e pienamente compreso il contenuto del presente Accordo e di esprimere pienamente, con la sottoscrizione, il loro consenso. Eventuali modifiche al presente Accordo, se del caso anche mediante l’inserimento di “clausole tipo” di cui all’art. 28 comma 6 GDPR, dovranno essere apportate esclusivamente per iscritto.

L’invalidità, anche parziale, di una o più delle clausole del presente Accordo non pregiudica la validità delle restanti clausole.

L’incarico di Responsabile del trattamento dei dati è di carattere fiduciario e non è quindi suscettibile di delega, salva la nomina di sub-responsabili ai sensi del presente Accordo. L’incarico di Responsabile del Trattamento cessa automaticamente alla scadenza o alla cessazione del Contratto e/o del Servizi affidati, salvi gli obblighi attinenti al trattamento dei dati da considerarsi esistenti anche successivamente alla cessazione del rapporto.

Per tutto quanto non espressamente previsto nel presente atto, si rinvia alle disposizioni in materia di protezione dei dati personali di cui al GDPR e al D.Lgs. n. 196 del 29.7.2003 (Codice in materia di protezione dei dati personali).



Per accettazione dell'incarico

Il Responsabile del trattamento

__________________________



______________________

Il Titolare

Associazione Pro Loco _________________

Il Presidente ___________________




______________________




Document Metadata

Filed: May 10th, 2019