ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI DATA PROCESSING AGREEMENT
ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI DATA PROCESSING AGREEMENT
(EX ART. 28 DEL REGOLAMENTO (UE) 2016/679)
INTEGRAZIONE CONFERIMENTO DI INCARICO PROFESSIONALE
tra
Il soggetto indicato nel Contratto quale Cliente – di seguito anche “Titolare del Trattamento” o solo “Titolare”
e
il Fornitore, Studio OZPMP con sede legale in Vigevano (PV), 27029, Corso Cavour, 118 - Codice Fiscale | P.IVA 01935220184
– nella persona del Xxxx. Xxxxxxx Xxxxxxx - di seguito anche “Responsabile del Trattamento” o solo “Responsabile”
Premesse e definizioni
a) Il Titolare del Trattamento ed il Responsabile del Trattamento (entrambe collettivamente definite anche “Parti”) hanno sottoscritto un mandato professionale (“Contratto”) la cui esecuzione comporta il trattamento di dati personali da parte del Responsabile per conto del Titolare;
b) il Responsabile possiede adeguati requisiti di esperienza, capacità e affidabilità sufficienti per mettere in atto misure tecniche e organizzative adeguate e per svolgere il ruolo di responsabile esterno del trattamento dei dati personali;
c) con la presente scrittura le Parti intendono regolamentare i rispettivi obblighi nell’ambito del trattamento di cui alla precedente lettera a) (“Trattamento”), in particolare vincolando il Responsabile del trattamento al Titolare del trattamento e stipulando la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento;
d) se nella presente scrittura sono utilizzati termini a cui il Regolamento (UE) 2016/679 (“GDPR”) attribuisce una definizione, a tali termini andrà dato tale specifico significato, fermo che quanto indicato nella presente scrittura non modifica o interferisce con le definizioni di cui al Contratto, che rimangono quindi inalterate; se non diversamente indicato, per “Dati Personali” ed “Interessati” devono intendersi rispettivamente i dati personali trattati dal Responsabile per conto del Titolare ed i soggetti a cui si riferiscono tali dati. Per “Dati trasmessi” (e quindi i collegati termini quali trasmissione dei dati ecc.) devono intendersi dati personali trattati dal Responsabile per conto del Titolare da quest’ultimo direttamente comunicati o che terzi o gli Interessati hanno trasmesso al Responsabile su indicazione del Titolare;
e) la presente scrittura integra il Contratto in relazione allo scopo di cui al precedente punto c) delle premesse, rimanendo per il resto inalterato il contenuto del Contratto medesimo;
f) le parti si impegnano a non modificare le clausole se non per aggiungere o aggiornare informazioni negli allegati; ciò non impedisce alle parti di includere le clausole contrattuali tipo stabilite nelle presenti clausole in un contratto più ampio o di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano, direttamente o indirettamente, le presenti clausole o ledano i diritti o le libertà fondamentali degli interessati.
Articolo 1 – Definizione del ruolo e descrizione del trattamento
1.1- Lo Studio OZPMP assume la qualifica di responsabile del trattamento, e ad essa sono affidate tutte ed esclusivamente– le operazioni di trattamento dei dati personali necessarie per dare esecuzione all’incarico. La finalità del trattamento è quella di fornire consulenza in ambito di materia del lavoro, inclusa l’elaborazione dei cedolini paga e di tutti gli adempimenti connessi all’amministrazione del personale dipendente e collaboratore.
1.2 – Le operazioni di trattamento riguardano i dati personali e rientranti nelle particolari categorie inerenti alle persone fisiche lavoratori dipendenti (ed eventuali coniugi, figli, familiari a carico), collaboratori, amministratori, professionisti, lavoratori autonomi e comunque in generale dati di persone fisiche assoggettate a ritenuta fiscale da includere nella dichiarazione dei sostituti d’imposta, e sono effettuate utilizzando supporti sia cartacei che di tipo informatico.
Tipologia di dati trattati | Finalità del trattamento | Base giuridica | Categoria di Interessati |
Dati personali di natura | Consulenza del lavoro ed | Art.6, par.1, lett.b) del | Lavoratori azienda cliente |
anagrafica, identificativa, di | elaborazioni relative gestione | GDPR | e loro familiari |
contatto, quali nome, cognome, | del personale | ||
codice fiscale, dati relativi | |||
all’assunzione/cessazione, dati | |||
relativi a qualifica, mansione e | |||
carriera, retribuzione, produttività, | |||
provvedimenti disciplinari etc. | |||
Dati particolari relativi alla salute, | Consulenza del lavoro ed | Art.9, par.2, lett.b) del | Lavoratori azienda cliente |
adesione a organizzazioni | elaborazioni relative alla | GDPR | e loro familiari |
sindacali, opinioni politiche, | gestione del personale | ||
opinioni religiose etc. | |||
Dati personali di natura | Finalità di attivazione e | Art.6, par.1, lett.b) del | Lavoratori azienda cliente |
anagrafica, identificativa, di | gestione del servizio di notifica | GDPR | e loro familiari |
contatto, quali nome, cognome, | tramite e-mail e per la finalità | ||
codice fiscale, e-mail, id utente e | di consultazione della | ||
password. La password viene | documentazione inerente al | ||
impostata direttamente | rapporto di lavoro, quale a | ||
dall’interessato/a seguendo la | titolo esemplificativo, ma non | ||
procedura di attivazione e non | esaustivo, cedolini paga, CU | ||
può essere trattata dal Titolare | etc. attraverso il portale web | ||
del Trattamento ma solo | dedicato | ||
attraverso un’apposita | |||
procedura di recupero gestita | |||
direttamente dal portale web. |
Qualora nello svolgimento del rapporto si rendesse necessario il trattamento di altri dati personali riferiti a diverse categorie di interessati, i dettagli dei trattamenti, in particolare le categorie di dati personali, le finalità del trattamento e la durata per le quali i dati personali sono trattati per conto del titolare del trattamento, saranno specificati in un ulteriore accordo.
1.3 – Il Responsabile del trattamento è tenuto a trattare i dati personali nel rispetto dei principi e delle disposizioni del GDPR, della normativa sulla protezione dei dati personali in genere e dei provvedimenti della competente Autorità di Controllo, e, comunque, attenendosi alle istruzioni scritte del Titolare del trattamento.
1.4 – Il Responsabile provvede inoltre a dare esecuzione agli obblighi che il GDPR e comunque la normativa, nonché i provvedimenti della competente Autorità di Controllo, pongono direttamente a suo carico.
Articolo 2 – Dichiarazioni e Garanzie del Titolare
Il Titolare dichiara che i Dati personali che ha trasmesso e che trasmetterà al Responsabile sono pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati, nonché che essi sono raccolti e trasmessi rispettando ogni prescrizione della normativa applicabile. Si precisa che rimane a carico del Titolare l’onere di individuare la base giuridica del trattamento dei Dati personali.
Articolo 3 – Obblighi, dichiarazioni e Garanzie del Responsabile
3.1 – Fermo quanto sopra e le disposizioni di cui ai successivi articoli, il Responsabile si impegna, dichiara e garantisce che:
- i dati personali oggetto di Trattamento saranno costituiti esclusivamente dai dati comunicati dal Titolare. Il Responsabile non potrà utilizzare nessuna diversa forma di acquisizione dei dati personali predetti;
- per gli obblighi di propria pertinenza, effettuerà il trattamento dei dati personali nel rispetto delle finalità e modalità decisi dal Titolare.
Articolo 4 – Misure di sicurezza e sicurezza del trattamento
4.1 – Il Responsabile adotta le misure di sicurezza e salvaguardia della riservatezza dei Dati personali, adeguate a ridurre al minimo i rischi di distruzione o perdita intenzionale o accidentale dei dati, di accesso non autorizzato, di trattamento non consentito e di trattamento non conforme alle finalità dichiarate. Nel valutare l'adeguato livello di sicurezza, le parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli interessati.
4.2 – Il Responsabile si impegna in ogni caso all’adeguamento dei propri sistemi alle misure di sicurezza tecniche ed organizzative per garantire un livello di sicurezza adeguato al rischio, come previsto dal GDPR all’art. 32, ed a verificarne periodicamente il rispetto.
Articolo 5 – Soggetti Autorizzati e Sub-Responsabili del trattamento
5.1 – Il Responsabile, nell’ambito della propria struttura, individua le persone fisiche autorizzate al trattamento e, contestualmente, fornisce a ciascun autorizzato alle operazioni di trattamento istruzioni circa le modalità del trattamento medesimo, in ottemperanza a quanto disposto dall’art. 28 del GDPR.
5.2 – Il Responsabile organizza le proprie attività e predispone la formazione e l’istruzione del proprio personale in modo compatibile e funzionale all’esecuzione del Contratto ed alle prescrizioni del GDPR, in generale della normativa relativa alla protezione dei dati personali ed ai provvedimenti dell’Autorità di Controllo. A titolo esemplificativo e non esaustivo, il Responsabile, nel designare per iscritto le persone autorizzate al trattamento, prescrive che esse abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati; verifica, inoltre, che le stesse applichino tutte le disposizioni in materia di sicurezza relativa alla custodia delle parole chiave (trattamenti elettronici) e che conservino in luogo sicuro i supporti non informatici contenenti atti o documenti con categorie particolari di dati o la loro riproduzione, adottando contenitori con serratura (trattamenti cartacei di dati appartenenti a particolari categorie o comunque comportanti maggiore rischiosità).
5.3 – Il Responsabile vincola, anche per il tempo successivo alla cessazione del loro rapporto con il Responsabile medesimo, i soggetti autorizzati alle attività di trattamento alla riservatezza in relazione alle operazioni dagli stessi eseguite, ed in ogni caso ai Dati personali di cui essi dovessero comunque venire a conoscenza o in possesso.
5.4 – Il Responsabile potrà ricorrere a propria volta ad ulteriori responsabili del trattamento (“Sub-Responsabili”) esclusivamente previa autorizzazione scritta del Titolare ai sensi di quanto disposto dall’art. 28 paragrafo 2 del GDPR. In questo contesto, comunichiamo che lo Studio si avvale di Sub-Responsabili, quali gestori di piattaforme software per l’elaborazione dei dati/piattaforme in cloud.
5.5 - Nel caso di verificarsi dell’ipotesi cui al precedente articolo 5.4, il Responsabile medesimo dovrà selezionare i Sub- responsabili tra soggetti che, per esperienza, capacità e affidabilità, forniscano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti di cui alla normativa applicabile e garantisca la tutela dei diritti degli Interessati. Il Responsabile si impegna altresì a stipulare con i Sub-responsabili specifici contratti, o altri atti giuridici, aventi il contenuto minimo di cui all’art. 28 paragrafo 3 GDPR, che prescrivano analiticamente i compiti ed obblighi di questi ultimi ed impongano a tali soggetti di rispettare i medesimi obblighi, con riferimento alla disciplina sulla protezione dei dati personali, imposti dal Titolare al Responsabile ai sensi della normativa e degli applicabili provvedimenti della competente Autorità di Controllo, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente atto ed in ogni caso in modo tale che il trattamento soddisfi i requisiti del GDPR (art. 28 paragrafo 4, GDPR). Il Responsabile mantiene verso il Titolare l’intera responsabilità – ferma comunque un’azione diretta del Titolare verso i Sub-responsabili, che saranno responsabili in solido con il Responsabile verso il Titolare – per inadempimenti dei Sub-responsabili agli obblighi in materia di protezione dei dati; per quanto occorrer possa, quindi, il Responsabile si impegna espressamente a risarcire, manlevare e tenere indenne il Titolare da qualsiasi danno, pretesa, risarcimento, sanzione e/o comunque pregiudizio che possa derivare al Titolare medesimo dalla mancata osservanza di tali obblighi e, in generale, dalla violazione della applicabile normativa sulla tutela dei dati personali da parte dei Sub-Responsabili nominati dal Responsabile, quand’anche con il consenso, anche specifico, del Titolare.
Articolo 6 - Trasferimenti internazionali
6.1- Qualunque trasferimento di dati verso un paese terzo o un'organizzazione internazionale da parte del responsabile del trattamento è effettuato soltanto su istruzione documentata del titolare del trattamento o per adempiere a un requisito specifico a norma del diritto dell'Unione o degli Stati membri cui è soggetto il responsabile del trattamento, e nel rispetto del capo V del regolamento (UE) 2016/679;
6.2- Il titolare del trattamento conviene che, qualora il responsabile del trattamento ricorra a un sub-responsabile del trattamento conformemente all’articolo 5 per l'esecuzione di specifiche attività di trattamento (per conto del titolare del trattamento) e tali attività di trattamento comportino il trasferimento di dati personali ai sensi del capo V del regolamento (UE) 2016/679, il responsabile del trattamento e il sub-responsabile del trattamento possono garantire il rispetto del capo V del regolamento (UE) 2016/679 utilizzando le clausole contrattuali tipo adottate dalla Commissione conformemente all'articolo 46, paragrafo 2, del regolamento (UE) 2016/679, purché le condizioni per l'uso di tali clausole contrattuali tipo siano soddisfatte.
Articolo 7 – Assistenza al Titolare
7.1- Il Responsabile si impegna ad assistere il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare del trattamento di dare seguito alle richieste per l’esercizio da parte degli Interessati dei diritti di cui al capo III del GDPR. In particolare, nel caso in cui il Responsabile riceva, anche per il tramite di un suo Incaricato, richieste riconducibili all’esercizio dei diritti dell’Interessato di cui al Capo III del GDPR, provvede a:
•informare senza ritardo il Titolare, allegando copia della richiesta;
•attenersi alle istruzioni operative che riceve in merito dal Titolare;
•fare in modo di assicurare che le operazioni di ricerca delle informazioni, di cui è in possesso, siano rapide e complete.
7.2 - Il Responsabile si impegna ad assistere il Titolare nel garantire il rispetto degli obblighi di cui alla sezione 3 “Valutazione d’impatto sulla protezione dei dati e consultazione preventiva” agli artt. da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a propria disposizione.
Articolo 8 - Segnalazione delle violazioni
8.1 - Per quanto concerne qualsivoglia violazione (effettiva o potenziale) di Dati personali relativa al Servizio o alla presente Nomina che coinvolga il Responsabile (o un Sub-responsabile del trattamento), il Responsabile dovrà:
(a) segnalare al Titolare senza indugio la violazione dal momento in cui abbia conoscenza della medesima a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche; e
(b) fornire al Titolare non appena possibile (ma in ogni caso al più tardi entro 24 ore dal momento in cui si sia appreso dell’esistenza della suddetta violazione) tutte le specifiche che il Titolare possa ragionevolmente richiedere in merito:
✓ alla natura della violazione, comprese le tipologie e il numero approssimativo di Interessati e dati personali archiviati coinvolti;
✓ a qualsivoglia indagine riguardante la suddetta violazione;
✓ alle probabili conseguenze derivanti dalla violazione; e
✓ a qualsivoglia misura adottata o raccomandata dal Responsabile per porre rimedio alla violazione, comprese quelle volte a contenere le eventuali conseguenze negative derivanti da tale violazione e quelle volte a prevenire il ripresentarsi della stessa violazione o di violazioni simili.
Tuttavia, qualora il Responsabile ritenga ragionevolmente che non sia possibile fornire le suddette specifiche nel termine previsto, lo stesso sarà tenuto – prima della scadenza del termine in questione – ad indicare al Titolare i motivi del ritardo e il termine entro cui ritenga di poter fornire le relative specifiche (che potranno anche essere fornite scaglionate nel tempo) e a tenere periodicamente aggiornato il Titolare sul punto; nonché fornire al Titolare la collaborazione e l’assistenza necessarie in merito a qualsivoglia rimedio giurisdizionale da adottare, compresa qualsivoglia segnalazione alle persone fisiche i cui Dati personali siano coinvolti nella violazione (previa autorizzazione da parte del Titolare).
8.2 – Il Titolare si riserva il diritto di notificare la violazione all’autorità di controllo entro 72 ore (ex Art. 33 GDPR), e, qualsivoglia comunicazione proveniente dal Responsabile.
Articolo 9 – Ispezioni e Controlli
9.1 – Il Responsabile si impegna a mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 del GDPR e consente e contribuisce alle attività di revisione, comprese le ispezioni realizzate dal Titolare.
9.2 – In particolare il Titolare ha facoltà di effettuare in ogni momento controlli ed ispezioni nei luoghi dove hanno svolgimento le operazioni di trattamento o dove sono custoditi i dati personali o la documentazione relativi al presente atto. I suddetti controlli potranno essere effettuati esclusivamente da personale qualificato del Titolare.
9.3 – Il Titolare notifica per iscritto al Responsabile, con almeno 7 (sette) giorni di preavviso, la data ed il nominativo delle persone che, per suo conto, effettueranno le operazioni di ispezione e revisione.
Articolo 10 – Corrispettivo e Responsabilità
10.1 – La presente scrittura o comunque il ruolo di responsabile del trattamento dei dati personali non comporta alcun diritto del Responsabile a compenso e/o indennità e/o rimborso.
10.2 – La Parte che violi i propri obblighi di cui alla presente scrittura o comunque gli obblighi connessi alla normativa sulla tutela dei dati personali, sarà tenuta a risarcire, manlevare e tenere indenne l’altra Parte da qualsiasi danno, pretesa, risarcimento, sanzione e/o comunque pregiudizio che possa derivare a quest’ultima da tale violazione.
Articolo 11 – Comunicazioni
11.1 – Ogni comunicazione da effettuare ai fini del presente incarico dovrà essere inviata a: per il Responsabile:
Studio OZPMP Xxxxx Xxxxxx, 000
00000 Xxxxxxxx (XX)
Codice Fiscale | P.IVA 00000000000 Tel. x00 0000 00000
11.2 – Eventuali modifiche dei dati di cui al precedente comma dovranno essere tempestivamente segnalate.
Articolo 12 - Inosservanza delle clausole, decorrenza, risoluzione e durata
12.1 - Fatte salve le disposizioni del regolamento (UE) 2016/679, qualora il responsabile del trattamento violi gli obblighi che gli incombono a norma delle presenti clausole, il titolare del trattamento può dare istruzione al responsabile del trattamento di sospendere il trattamento dei dati personali fino a quando quest'ultimo non rispetti le presenti clausole o non sia risolto il contratto. Il responsabile del trattamento informa prontamente il titolare del trattamento qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole;
12.2 – il titolare del trattamento ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali conformemente alle presenti clausole qualora:
1)il trattamento dei dati personali da parte del responsabile del trattamento sia stato sospeso dal titolare del trattamento in conformità della lettera a) e il rispetto delle presenti clausole non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;
2)il responsabile del trattamento violi in modo sostanziale o persistente le presenti clausole o gli obblighi che gli incombono a norma del regolamento (UE) 2016/679;
3) il responsabile del trattamento non rispetti una decisione vincolante di un organo giurisdizionale competente o della o delle autorità di controllo competenti per quanto riguarda i suoi obblighi in conformità delle presenti clausole o del regolamento (UE) 2016/679;
4) a seguito della risoluzione del contratto il responsabile del trattamento, a scelta del titolare del trattamento, cancella tutti i dati personali trattati per conto del titolare del trattamento e certifica a quest'ultimo di averlo fatto, oppure restituisce al titolare del trattamento tutti i dati personali e cancella le copie esistenti, a meno che il diritto dell'Unione o dello Stato membro non richieda la conservazione dei dati personali. Finché i dati non sono cancellati o restituiti, il responsabile del trattamento continua ad assicurare il rispetto delle presenti clausole.
Vigevano,
Il Responsabile del trattamento Studio OZPMP