Atto di nomina a Responsabile del trattamento
Atto di nomina a Responsabile del trattamento
ai sensi dell’art. 28 del GDPR N. 2016/679
Tra
Toshiba Global Commerce Solutions Italia s.r.l.
con sede legale in Xxx xxxxx Xxxxxxxxx x. 00 - 00000 Xxxxxxx (XX) P. IVA/C.F. 07942380960 - REA MB 1892948
In qualità di Responsabile del trattamento per conto del Titolare (di seguito denominato il “Responsabile” o “Toshiba”)
e
……………………………………………………………………
……………………………………………………………………
……………………………………………………………………
……………………………………………………………………
Il Cliente, come identificato nel Master Customer Agreement e/o nel/ nei capitolati tecnici sottoscritto/i con Toshiba
In qualità di Titolare del Trattamento (nel seguito, il “Titolare” o il “Cliente”)
(Nel seguito, congiuntamente, le “Parti”)
1. Premesse.
1.1. Le Parti del presente Atto di nomina hanno sottoscritto un contratto (MCA - Master Customer Agreement e/o uno o più capitolati tecnici o Statement of Work) al fine di regolamentare i servizi che il Responsabile rende in favore del Titolare.
1.2. Al fine di assicurare la legittimità del trattamento dei Dati personali, le Parti s'impegnano a rispettare quanto riportato nel presente Atto di nomina.
1.3. Il presente Atto di nomina si applica ogniqualvolta il Responsabile, direttamente o indirettamente, ai fini dell’esecuzione del Contratto Principale tratta per conto del Cliente dati di cui quest’ultimo è Titolare del Trattamento.
1.4. Il presente Atto di nomina integra, e non sostituisce l’accordo di riservatezza eventualmente sottoscritto dalle
Parti.
1.5. Il presente Atto di nomina con i suoi allegati è parte integrante del Contratto Principale stipulato tra il Titolare e il Responsabile.
1.6. Il presente Xxxx di nomina sostituisce ogni altro atto, accordo, comunicazione o clausola contrattuale che le Parti hanno sottoscritto o comunque approvato in precedenza riguardo al Trattamento dei Dati personali.
1.7. Nel caso in cui le disposizioni in materia di protezione dei Dati personali contenute nel presente Atto di nomina dovessero essere in conflitto con il Contratto Principale, quanto stabilito nel presente Atto di nomina prevale.
1.8. Il presente Atto di nomina può essere modificato o integrato dalle Parti da un atto successivo in cui le Parti manifestino espressamente la volontà di modificarlo o integrarlo.
Codice fiscale e partita IVA n. 07942380960
REA MB 1892948 - Registro delle Imprese Milano
2. Premesse e Allegati.
2.1. Le Premesse e gli Allegati costituiscono parte sostanziale ed integrante del presente Atto di nomina.
3. Definizioni.
Ai fini del presente Atto di nomina, i termini impiegati avranno il significato attribuito dal Regolamento UE n. 2016/679 (GDPR). In particolare, si sottolinea che:
3.1. Atto di nomina o Atto indica il presente atto mediante cui il Titolare nomina Toshiba quale Responsabile dei dati dei Titolari;
3.2. Contratto Principale indica l’accordo commerciale (MCA- Master Customer Agreement, ivi compresi i relativi capitolati o Statement of Work), e ogni documento in esso allegato, che il Titolare ha sottoscritto con Toshiba;
3.3. Dati personali indicano qualsiasi informazione riguardante una persona fisica identificata o identificabile di cui il Cliente è Titolare, trattata dal Responsabile ai fini dell’esecuzione del Contratto Principale e del presente Atto di nomina;
3.4. Leggi sulla protezione dei dati indica tutte le leggi e i regolamenti, inclusi ma non limitati al Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 in materia di protezione delle persone fisiche con riguardo al Trattamento dei Dati personali, nonché alla libera circolazione dei dati (GDPR) e al Codice in materia di protezione dei Dati personali ex D.lgs. 196/2003 e successive modifiche (Codice Privacy) nonché provvedimenti di volta in volta in vigore che sono applicabili al Trattamento dei Dati personali effettuato in forza del Contratto Principale e del presente Atto di nomina.
3.5. Responsabile del Trattamento o Responsabile indica l’entità che tratta Dati personali per conto del Titolare del Trattamento ai sensi dell’Art. 28 del GDPR, in questo caso Toshiba;
3.6. Responsabile Terzo indica le società terze indicate all’allegato 3 di cui il Responsabile si avvale per l’esecuzione
dei Servizi e che trattano Dati Personali;
3.7. SEE indica il territorio dell’Unione Europea e dei Paesi parte dello Spazio Economico Europeo;
3.8. Servizi indicano le attività che il Responsabile eroga in favore del Titolare del Trattamento in esecuzione del Contratto Principale sottoscritto tra le parti;
3.9. Titolare del Trattamento o Titolare indica l'entità che determina le finalità e i mezzi di Trattamento dei Dati personali legittimamente acquisiti dagli interessati, in questo caso il Cliente;
3.10. Trasferimento indica il trasferimento al di fuori dello Spazio Economico Europeo dei Dati personali effettuato ai
fini dell’esecuzione del Contratto Principale;
3.11. Trattamento indica qualsiasi operazione o insieme di operazioni, compiute con o senza l’'ausilio di processi
automatizzati, e applicate a Dati personali o insiemi di Dati personali, come la raccolta, la registrazione,
l’organizzazione, la strutturazione, la conservazione, l’’adattamento o la modifica, l’estrazione, la consultazione, l’’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il
raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
3.12. Violazione dei Dati personali indica una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati personali trasmessi, conservati o trattati in altro modo.
4. Oggetto e durata dell’Atto.
4.1. L’oggetto del presente Atto di nomina riguarda il Trattamento dei Dati personali indispensabile all'esecuzione dei
Servizi.
4.2. La durata del presente Atto di nomina corrisponde alla durata dei Servizi che saranno resi dal Responsabile nei confronti del Titolare.
5. Dettagli del Trattamento.
5.1. Natura e modalità di elaborazione dei Dati personali oggetto del Trattamento sono specificate all’allegato 1.
6. Autorizzazione al Trattamento da parte di Responsabili Terzi.
6.1. Il Titolare riconosce, accetta ed acconsente che, esclusivamente per procedere alla fornitura dei Servizi e nel rispetto di quanto stabilito nel presente Atto, i Dati Personali potrebbero essere Trattati dal Responsabile o Responsabili Terzi indicati all’allegato 3.
Fermo quanto precede, il Responsabile è autorizzato dal Cliente a servirsi dei Responsabili Xxxxx riportati
nell’elenco di cui all’allegato 3. Sarà cura del Titolare provvedere ad aggiornare la lista dei soggetti terzi di cui si
avvale mediante pubblicazione della lista aggiornata sul proprio sito web.
6.2. Nell’ambito della gestione dei Responsabili terzi di cui il Responsabile si avvale, quest’ultimo si impegna a:
• stipulare accordi con i Responsabili Terzi che contengano gli stessi obblighi previsti dal presente Atto per quanto riguarda il Trattamento dei Dati Personali;
• esercitare adeguati controlli nel selezionare i Responsabili Terzi e rimanere Responsabile, nei limiti di quanto previsto nel presente Atto, per l’adempimento degli obblighi contenuti nel presente Atto di nomina da parte dei Responsabili Terzi coinvolti;
• fornire, su richiesta scritta del Titolare, adeguate informazioni in merito alle azioni ed alle misure che il Responsabile ed i Responsabili Terzi hanno intrapreso per assicurare il rispetto delle previsioni del presente Atto.
7. Obblighi del Titolare.
7.1. Il Titolare è consapevole e accetta che per beneficiare del Servizio reso dal Responsabile, è tenuto a consentire a
quest’ultimo e/o ai Responsabili Terzi il Trattamento dei Dati Personali di cui è Titolare.
7.2. Il Titolare assicura e garantisce di aver raccolto e di trattare i Dati personali nel pieno rispetto delle Leggi sulla
protezione dei dati e che sussiste un’idonea base giuridica (ad es., consenso dell’Interessato, legittimo interesse, autorizzazione dalla competente Autorità di Controllo ecc.) per procedere al Trattamento e alla trasmissione dei Dati Personali al Responsabile come parte della fornitura del Servizio. Inoltre, il Titolare dichiara di aver fornito agli interessati idonea informativa ai sensi dell’art. 13 del GDPR e, ove necessario, di aver raccolto il consenso degli interessati secondo le modalità previste dalle Leggi sulla protezione dei dati.
8. Obblighi del Responsabile.
8.1. Il Responsabile s'impegna a osservare e attuare ogni ulteriore istruzione ricevuta dal Titolare contenuta nel presente Atto e/o trasmesse successivamente in forma scritta a cura dello stesso.
8.2. Il Responsabile s’impegna ad assicurare la conformità del Trattamento alle disposizioni di cui al presente Atto di
nomina e alle Leggi sulla protezione dei dati.
8.3. Il Responsabile non tratterà Dati personali al di fuori delle attività necessarie all’esecuzione dei Servizi, fatto salvo il caso in cui è chiamato a eseguire un ordine ricevuto dalle autorità. In quest’ultimo caso, il Responsabile
s’impegna a darne immediata comunicazione al Titolare, tranne che l’ordine non ne inibisca la comunicazione.
8.4. Il Responsabile ha designato un Responsabile per la protezione dei dati raggiungibile al seguente indirizzo mail
8.5. Nell’esecuzione delle attività di Trattamento, il Responsabile s’impegna a collaborare con il Titolare, con il Garante della protezione dei dati o con altre autorità di controllo italiana, di altro Stato membro del SEE o Istituzione europea, limitatamente alla porzione di Trattamento allo stesso affidato.
8.6. Nel caso in cui il Titolare sia soggetto ad accertamenti da parte del Garante della Protezione dei dati o da parte di altre autorità di controllo, il Responsabile s’impegna a collaborare e garantire il supporto limitatamente alla porzione di Trattamento ad esso affidato.
8.7. Il Responsabile è tenuto ad implementare politiche e procedure di sicurezza per la gestione degli incidenti al fine di garantire la corretta esecuzione degli adempimenti richiesti dalla Legge sulla protezione dei dati in materia di Violazioni dei Dati personali. Il Responsabile è tenuto ad informare senza ingiustificato ritardo il Titolare del Trattamento di eventuali Violazioni dei Dati personali subite da parte dello stesso Responsabile. La notifica dovrà includere le informazioni di cui all'articolo 28 (3) del GDPR. In caso di Violazione di Dati personali relativa ai Dati Personali oggetto di Trattamento da parte del Responsabile, quest’ultimo si impegna a collaborare con il Titolare per indagare: la natura, le categorie ed il numero approssimativo di Interessati coinvolti, le categorie ed il numero approssimativo di Dati Personali coinvolti e le probabili conseguenze di tale violazione con modalità
commisurate alla serietà ed al suo impatto complessivo sul Titolare e sull’erogazione del Servizio previsto dal Contratto Principale e dal presente Atto di nomina.
8.8. Il Responsabile s’impegna a garantire un livello di protezione adeguato tramite l'adozione di misure tecniche e organizzative che tengano conto delle circostanze, dei costi di implementazione, delle finalità, delle categorie di Dati personali oggetto di Trattamento, della probabilità dei rischi e degli impatti per gli interessati. Allo stato, le misure tecniche organizzative adottate dal Responsabile sono state specificate nell’Allegato 2 del presente Atto di nomina.
8.9. Il Responsabile, su richiesta scritta del Titolare, è tenuto a fornire una assistenza ragionevole al Titolare e al fine di consentire allo stesso di adempiere alle obbligazioni di cui agli artt. 35 o 36 del GDPR e/o da disposizioni di altre Leggi sulla protezione dei dati. In ogni caso, tenendo conto della natura del Trattamento e delle informazioni a disposizione del Responsabile, tale assistenza sarà resa in favore del Titolare del Trattamento esclusivamente in relazione al Trattamento dei Dati personali effettuato da parte del Responsabile in esecuzione del Contratto Principale e nei limiti delle attività di sua competenza.
8.10. Tenendo conto della natura del Trattamento, il Responsabile si impegna ad assistere il Titolare con misure
tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare di dare seguito alle richieste effettuate da parte degli interessati per l’esercizio dei diritti ad essi riconosciuti dalle Leggi sulla protezione dei dati.
9. Modalità di comunicazione delle istruzioni del Titolare.
9.1. Il Titolare è tenuto a impartire al Responsabile istruzioni scritte sul Trattamento dei Dati personali. Nel caso in cui il Titolare impartisca al Responsabile istruzioni in forma orale, dovrà confermare le stesse per iscritto senza indugio alcuno e comunque non oltre 2 (due) giorni dalla comunicazione orale.
9.2. Il Responsabile è tenuto a informare senza indebito ritardo il Titolare qualora giudichi che le istruzioni ricevute violino il GDPR. In tal caso, il Responsabile avrà la facoltà di sospendere l’esecuzione delle istruzioni ricevute fino a quando il Titolare le confermi e/o le modifichi per iscritto.
10. Poteri di controllo del Titolare.
10.1. Il Responsabile s’impegna a mettere il Titolare in condizione di verificare la conformità del Trattamento dei Dati personali agli obblighi previsti dall’Atto di Nomina e dalle Leggi sulla protezione dei dati.
10.2. Il Responsabile s’impegna, su richiesta scritta del Titolare e mediante la compilazione di questionari e/o trasmissione di documentazione, a mettere a disposizione di quest’ultimo, ove ciò fosse possibile senza pregiudicare la riservatezza di eventuali informazioni riservate e/o confidenziali del Responsabile e/o del
Responsabile Terzo, le informazioni che gli verranno richieste per dimostrare l'adozione delle misure tecniche e organizzative.
11. Trasferimenti di Dati personali al di fuori dello Spazio Economico Europeo.
11.1. Il Trattamento dei dati sarà principalmente condotto all’interno dello Spazio Economico Europeo (SEE). Tuttavia, qualora ai fini dell’esecuzione del Contratto Principale si rendesse necessario Trasferire i Dati personali al di fuori dello Spazio Economico Europeo, tale Trasferimento sarà effettuato nel pieno rispetto delle disposizioni di cui agli artt. 44 e ss. del GDPR.
12. Responsabilità.
12.1. La responsabilità di ciascuna Parte derivante da o correlata alla presente Nomina è soggetta alle limitazioni di cui al Contratto Principale.
13. Obblighi di riservatezza.
13.1. Al fine di assicurare la riservatezza dei Dati personali, il Responsabile garantisce che il personale impegnato nel Trattamento dei Dati personali ai sensi del Contratto Principale è informato circa la natura riservata di tali Dati personali e ha ricevuto una formazione adeguata sulle proprie responsabilità. Il Responsabile garantisce, altresì, di aver formalmente incaricato ai sensi dell’art. 29 del GDPR e dell’art. 2 quaterdecies del D.lgs. 196/2003 ss.mm.ii. il personale impegnato nel Trattamento dei Dati personali di cui al Contratto Principale. Resta inteso che gli obblighi di cui al presente articolo restano in vigore anche dopo la scadenza o la cessazione per qualsivoglia motivo del rapporto di lavoro e/o collaborazione tra il personale impegnato nel Trattamento dei Dati personali e il Responsabile.
14. Termine e risoluzione.
14.1. Alla cessazione del Contratto Principale per qualsivoglia causa, il Responsabile si impegna, su richiesta scritta del Titolare, a cancellare o restituire tutti i Dati Personali al Titolare del Trattamento. La cancellazione dovrà avvenire entro trenta (30) giorni dalla ricezione della relativa richiesta. La restituzione deve essere accompagnata dalla distruzione di tutte le copie esistenti nei sistemi informativi del Responsabile. Il Responsabile, una volta restituiti o cancellati i Dati personali secondo le istruzioni ricevute dal Titolare, sarà sollevato da ogni obbligo contrattuale con il Titolare in merito al trattamento dei Dati personali restituiti o cancellati. Resta fermo il diritto del Responsabile di conservare una copia dei Dati personali per i soli fini e secondo le modalità e tempistiche
previste dalle Leggi applicabili, e dalla normativa di volta in volta applicabile, al fine di consentire l’esercizio dei propri diritti in caso di contestazioni e/o reclami proposti nonché di tutelare i propri diritti e/o interessi in sede giudiziale e/o stragiudiziale.
14.2. Il presente Atto di nomina produce effetti fino alla scadenza naturale del Contratto Principale e/o alla sua
cessazione/risoluzione per qualsiasi ragione essa abbia luogo. Ciò premesso, l’eventuale cessazione del presente
Atto di nomina non avrà alcun effetto sui diritti o le responsabilità maturati da entrambe le Parti e non avrà alcun
effetto sull’entrata in vigore o sulla prosecuzione dell’efficacia di qualsiasi clausola del presente Atto di nomina la quale, per espresso riferimento o in forza di legge, si intenda acquistare efficacia o proseguire nell’efficacia anche successivamente alla cessazione.
15. Legge applicabile e Tribunale competente.
15.1. Il presente Atto di Nomina è regolamentato dalla normativa italiana.
15.2. Ogni controversia nascente dal presente Atto di nomina o ad esso relativa, incluse le controversie relative
all’interpretazione, applicazione e/o esecuzione dello stesso, sarà di competenza esclusiva del Foro di Milano.
ALLEGATO 1 - Dettagli sul Trattamento di Dati personali
L'allegato 1 comprende le informazioni relative al Trattamento dei Dati personali effettuato dal Responsabile su istruzione del Titolare.
Oggetto e durata del Trattamento dei Dati personali | Natura e finalità del Trattamento dei Dati personali | Tipologie di Dati personali da trattare | Le categorie degli interessati a cui fanno riferimento i Dati personali |
(Il presente elenco è stato predisposto a titolo indicativo e non esaustivo; Si prega di confermare e/o integrare i trattamenti sottoindicati) | (Il presente elenco è stato predisposto a titolo indicativo e non esaustivo; Si prega di confermare e/o integrare le tipologie di dati sottoindicati) | (Il presente elenco è stato predisposto a titolo indicativo e non esaustivo; Si prega di confermare e/o integrare le categorie di interessati sottoindicate) | |
Natura: Servizio di Service desk support- segreteria tecnica per conto di altro titolare | Dati personali (ad ed. nome, cognome, x. di telefono) | Dipendenti di aziende sub-responsabili ai quali il servizio è ulteriormente demandato | |
Finalità: perseguimento dell’attività aziendale consistente nell’offerta di prodotti, servizi e soluzioni informatiche | Dati biometrici (registrazione della voce dei dipendenti e dei chiamanti) | Utenti di negozio e di sede (dipendenti del cliente finale) in relazione alle informazioni personali fornite nell’ambito del servizio. | |
Natura: Servizio di help-desk support di soluzioni software di proprietà Konvergence per conto di altro titolare | |||
Finalità: Finalità basate su consenso dell’interessato: in relazione ai dati personali trasmessi telefonicamente o tramite comunicazione e-mail in fase di apertura e/o gestione dei ticket registrati sui sistemi deputati allo scopo; Finalità basate sul legittimo interesse del responsabile: in relazione alla registrazione dei dati di gestione delle segnalazioni da parte dei soggetti ufficialmente preposti al servizio (anche ulteriori responsabili); in relazione alla registrazione delle conversazioni tra l’addetto al call center e l’utente del servizio al fine di verificare la qualità del servizio offerto | Dati personali (ad ed. nome, cognome, x. di telefono) Dati biometrici (registrazione della voce dei dipendenti e dei chiamanti) | Dipendenti di aziende sub-responsabili ai quali il servizio è ulteriormente demandato Utenti di negozio e di sede (dipendenti del cliente finale) in relazione alle informazioni personali fornite nell’ambito del servizio. | |
Natura: Servizio di help-desk support di soluzioni software non di proprietà per conto di altro titolare | Dati personali (ad ed. nome, cognome, x. di telefono) | Dipendenti di aziende sub-responsabili ai quali il servizio è ulteriormente demandato | |
Finalità: Finalità basate su consenso dell’interessato: in relazione ai dati personali trasmessi telefonicamente o tramite comunicazione e-mail in fase di apertura e/o gestione dei | Dati biometrici (registrazione della voce dei dipendenti e dei chiamanti) | Utenti di negozio e di sede (dipendenti del cliente finale) in relazione alle informazioni personali fornite nell’ambito del servizio. |
Oggetto e durata del Trattamento dei Dati personali | Natura e finalità del Trattamento dei Dati personali | Tipologie di Dati personali da trattare | Le categorie degli interessati a cui fanno riferimento i Dati personali |
ticket registrati sui sistemi deputati allo scopo; Finalità basate sul legittimo interesse del responsabile: in relazione alla registrazione dei dati di gestione delle segnalazioni da parte dei soggetti ufficialmente preposti al servizio (anche ulteriori responsabili); in relazione alla registrazione delle conversazioni tra l’addetto al call center e l’utente del servizio al fine di verificare la qualità del servizio offerto | |||
Natura: Sviluppo e manutenzione “Kiara cloud” Finalità: Finalità basate su consenso dell’interessato: in relazione ai dati personali forniti direttamente dall’interessato – azienda/persona fisica – al Titolare ai fini del servizio di fatturazione; Finalità basate sul legittimo interesse del responsabile: monitoraggio dati di accesso al DB al fine di controllare eventuali attività anomale di accesso ed eseguire manutenzione ed aggiornamento | Dati personali (ad ed. nome, cognome, x. di telefono) | Consumatori Utenti di negozio e di sede con permessi di accesso al DB | |
Natura: Assistenza e manutenzione “Kpay” Finalità: Finalità basate su consenso dell’interessato: in relazione ai dati personali forniti direttamente dall’interessato cliente finale in fase di utilizzo del servizio; Finalità basate sul legittimo interesse del responsabile: monitoraggio dati di accesso al DB al fine di controllare eventuali attività anomale di accesso ed eseguire manutenzione ed aggiornamento | Dati personali (ad ed. nome, cognome, x. di telefono) | Consumatori Utenti di sede o di negozio con limitati e circoscritti permessi di accesso al DB (conformemente alle Certificazioni indicate) Incaricati Konvergence o di ulteriori Responsabili con limitati e circoscritti permessi di accesso al DB (conformemente alle Certificazioni indicate) | |
Natura: Assistenza e manutenzione “Kloy” Finalità: Finalità basate su consenso dell’interessato: in relazione ai dati personali forniti direttamente dall’interessato | Dati personali (ad ed. nome, cognome, x. di telefono) | Clienti finali del Titolare (consumatori) che usufruiscono del servizio; Utenti di sede e di negozio con permessi di accesso al DB; Incaricati Konvergence |
Oggetto e durata del Trattamento dei Dati personali | Natura e finalità del Trattamento dei Dati personali | Tipologie di Dati personali da trattare | Le categorie degli interessati a cui fanno riferimento i Dati personali |
cliente finale (consumatore) in fase di fruizione del servizio; Finalità basate sul legittimo interesse del responsabile: monitoraggio dati di accesso al DB al fine di controllare eventuali attività anomale di accesso ed eseguire manutenzione ed aggiornamento | |||
Natura: Assistenza e manutenzione “Kwallet” Finalità: Finalità basate su consenso dell’interessato: in relazione ai dati di geolocalizzazione è richiesto il consenso dell’interessato mediante sottoscrizione di apposita nota informativa. | Dati personali (posizione geografica) | Clienti finali del Titolare che usufruiscono del servizio (consumatori); | |
Natura: Servizio di assistenza hardware on site Finalità: Finalità basate su consenso dell’interessato: in relazione ai dati personali comunicati direttamente dal personale di sede o di negozio coinvolto nell’attività di assistenza; Finalità basate sul legittimo interesse del responsabile: in relazione alla registrazione dei dati di gestione delle segnalazioni da parte dei soggetti incaricati al servizio di assistenza in considerazione dell’interesse del Titolare ad offrire un servizio tempestivo e di qualità. | Dati personali (ad ed. nome, cognome, x. di telefono) | Personale di Konvergence incaricato al servizio di assistenza onsite; Utenti di negozio e di sede (dipendenti del cliente finale) in relazione alle informazioni personali fornite nell’ambito del servizio. | |
Natura: Servizio di ritiro e distruzione dei supporti HW guasti Finalità: Finalità basate sul legittimo interesse del responsabile: in relazione ai dati registrati sui supporti e riferibili ai clienti finali come raccolti unicamente per attività di gestione del servizio ed escludendo qualsiasi successiva estrazione dei dati per attività di profilazione. | Dati personali (ad ed. nome, cognome, x. di telefono) | Clienti finali o dipendenti dei pdv o di sede in relazione ai dati personali conservati sui supporti HW. |
ALLEGATO 2 - Misure tecniche organizzative
Misure applicate ai laptop e alle workstation.
• Obbligo di utilizzo della password di accensione del laptop (BIOS/UEFI).
• Obbligo di utilizzo della password di protezione del disco fisso.
• Obbligo di cifratura dell'intero disco fisso (PGP e BitLocker).
• Backup dei dati del PC e simulazione periodica di recupero.
• Utilizzo di un account non amministrativo per il normale uso.
• Utilizzo di password complesse con scadenza a 180 gg.
• Obbligo di mantenere antivirus e firewall attivi e aggiornati.
• Obbligo di mantenere aggiornamenti di Windows attivati e applicati.
• Obbligo di cifratura del traffico Lotus Notes.
• Impostazione screensaver a quindici minuti con password al ripristino.
• Vietato l’uso di Adobe Flash Player.
Norme comportamentali nell’uso del personal computer.
• È consentito l’utilizzo esclusivo di applicazioni licenziate che arrivano da canali ufficiali.
• Limitare la divulgazione di dati personali attraverso le mail.
• Usare prudenza nell'apertura di allegati.
• Navigazione in Internet prudente.
• Divieto di uso di sistemi Cloud non aziendali.
• Utilizzo di protocolli cifrati (https, ftp, ssh, sftp, imaps, ecc.…).
• Divieto di condivisione della propria password personale.
• Divieto di usare la mail per l'invio di software / database / password.
• Divieto di lasciare incustodito il proprio PC (specialmente durante i viaggi).
• È proibito l'uso di software di file sharing e peer to peer.
• Riportare immediatamente qualsiasi furto/smarrimento e fare denuncia alle autorità.
• Criptare gli archivi e le repliche locali di Lotus Notes.
• Nelle applicazioni di controllo remoto del PC, è abilitata l’autorizzazione alla connessione.
• Se il PC è usato anche da altri (familiari) deve essere creato un account separato e limitato.
• Divieto di monitorare la rete attraverso sniffer (se non esplicitamente autorizzati).
• Divieto di eseguire test di sicurezza su sistemi interni o internet (se non esplicitamente autorizzati).
• Divieto di utilizzo di credenziali condivise nel trattamento dei dati personali.
Politiche su cellulari, tablet e dispositivi mobili.
• Obbligo di cifratura della memoria interna del dispositivo.
• Obbligo di PIN o password all’accesso con limite di dieci tentativi.
• Obbligo di denuncia immediata alle autorità in caso di furto/smarrimento.
Misure per i supporti elettronici rimovibili (USB, DVD, CDROM).
• Devono essere soggetti a custodia e protezione fisica.
• Devono essere cifrati e/o permette un accesso coperto da password.
Misure per posto di lavoro e i documenti cartacei.
• Mantenere gli armadi e le cassettiere chiuse a chiave.
• Pulizia periodica di armadi e cassettiere.
• Distruzione immediata dei documenti cartacei non più necessari.
• Non esibire sui muri (o altre superfici) rubriche o elenchi di dati personali.
• Non lasciare stampe incustodite.
Misure applicate all’infrastruttura.
• Accesso fisico ai locali regolamentato da un tesserino personale.
• Sistema di assegnazione centralizzato delle utenze e delle autorizzazioni (strategia UGDLA).
• Partizione e segregazioni delle reti di dati.
ALLEGATO 3 - Elenco dei Responsabili Terzi autorizzati dal Titolare
Toshiba Global Commerce Solutions Italy S.r.l. che agisce in qualità di Responsabile potrebbe servirsi dei seguenti Responsabili Terzi (siano essi collegati o meno al Responsabile).
La seguente tabella individua i Responsabili Terzi impiegati dal Responsabile nel paese rilevante.
Responsabili Terzi | Paese/i in cui vengono trattati i Dati personali e finalità | (indicare: dettagli di contatto del Data Protection Officer o del Responsabile delle questioni in materia di privacy) |
In caso di modifiche all'elenco di cui sopra, il Titolare verrà informato attraverso un nuovo Allegato 3 in modo tale che possa opporsi all'impiego di nuovi Responsabili Terzi.
Il nuovo Allegato 3 sarà implicitamente accettato dal Titolare se questi non si oppone entro 10 giorni dalla ricezione del nuovo Allegato 3.
L'elenco dei Sub-responsabili di cui sopra è stato approvato dal Titolare al momento di sottoscrizione del Contratto Principale.