Scrittura integrativa

Scrittura integrativa

in merito all’

Atto di nomina a responsabile del trattamento dei dati personali ai sensi dell´Art. 28 del regolamento (UE) 2016/679 (GDPR)

Il titolare del trattamento: Il responsabile del trattamento:

Limitis Srl

Xxx xxxxx Xxxxxx, 00x, 00000 Xxxxxx XX

P. IVA: 02548890215

(in seguito „cliente“) (in seguito „fornitore“)

1. OGGETTO DELL’ACCORDO

Oggetto di questo contratto è l’esecuzione delle seguenti attività:

• Web-Hosting e Server-Hosting sui server di proprietà del fornitore, per potere mettere a

disposizione del cliente questi strumenti tramite l’accesso Internet.

• Servizi E-mail e di posta elettronica certificata Pec

• Servizi WiFi

• Registrazione di domini

• Housing

• Office 365

• Servizi di Backup e Cloud

• Esecuzione di lavori di manutenzione e supporto per i servizi offerti dal fornitore per il mantenimento della sicurezza degli accessi Internet, della sicurezza dei dati e per la sicurezza sugli accessi esterni.

• Gestione, manutenzione e supporto dell´applicazione Web „Registro digitale“ attraverso l´utilizzo di server di proprietà del fornitore per mettere a disposizione del cliente questi strumenti con l´utilizzo dio internet.

La presente scrittura è da considerarsi integrativa rispetto all’atto di incarico convenuto tra le parti.

Nello specifico le seguenti categorie di dati personali sono oggetto del trattamento:

a) Tipologia di dati in base all`Art. 4 comma. 1, 13, 14,15 del GDPR

Cognome, Nome, denominazione sociale, indirizzo completo, codice fiscale, partita IVA, indirizzo e-mail, Logfiles, protocolli tecnici di dati, osservazioni, nome account, ruolo, stato account (attivo

/ bloccato), lingua, ultimo accesso, password, Google Authenticator

Esclusivamente per il servizio “Registro Digitale:”: Foto, data di nascita, classe, età, orario

scolastico, assenze, voti, consiglio di classe

b) Persone oggetto del trattamento in base all´Art. 4 comma 1 del GDPR Studenti e scolari, genitori, personale docente, clienti del cliente e suoi collaboratori.

c) Tipologia del trattamento in base all´Art. 4 comma 2 del GDPR

Ha luogo un salvataggio dei dati di cui sopra. Nell’ambito delle attività di Hosting ed esecuzione lavori non possiamo escludere un accesso anche temporanei ai dati oggetti del trattamento. Potrebbe succedere che per degli aggiornamenti tecnici abbia luogo una attualizzazione ma anche variazione, una lettura, una richiesta, un utilizzo, una pubblicazione attraverso la trasmissione, la diffusione o una qualsiasi altra forma di messa a disposizione o allineamenti dei dati di cui sopra.

2. DURATA DELL’ACCORDO

Il presente accordo è valido a tempo indeterminato e consente a entrambi le parti di recedere dal contratto entro i termini stabiliti e rispettando la durata contrattuale.

3. OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO

(1) Il fornitore si obbliga a trattare i dati ed i risultati del trattamento stesso esclusivamente nell’ambito degli accordi scritti intercorsi con il cliente. Nel caso in cui il fornitore sia obbligata a rendere accessibili per norma di legge – fintantoché in regola con le disposizioni di legge in vigore

- alle Autorità i dati del cliente, si obbliga a comunicarlo tempestivamente al cliente. Sempre per gli stessi motivi, è necessaria una specifica autorizzazione scritta del cliente per una elaborazione dei dati per utilizzi di tipo di verso o propri.

(2) Il fornitore dichiara altresì che tutte le persone da lei incaricate al trattamento dei dati del cliente abbiamo sottoscritto una conforme dichiarazione di riservatezza o che si siano vincolati

ad un obbligo di segretezza. In modo particolare, l’obbligo di segretezza per le persone convolte nel trattamento dei dati rimane in vigore anche dopo una eventuale interruzione del rapporto di lavoro.

(3) Il fornitore dichiara inoltre di avere dato luogo ad adempiere a tutti gli obblighi di legge derivanti dalla messa in sicurezza dei dati e di offrire la possibilità al cliente di effettuare debiti accertamenti in merito (ulteriori informazioni sono contenute nell´allegato1).

Le disposizioni di cui sopra del fornitore possono variare nel tempo e durante la durata del rapporto contrattuale a causa di aggiornamenti tecnici ed organizzativi ma che in alcun modo posso diminuire il livello di sicurezza garantito.

(4) Il fornitore si adopera affinché il cliente possa adempiere ai propri obblighi nei confronti dei diritti degli interessati nel rispetto delle tempistiche previste dalle leggi in vigore e lascia al cliente la divulgazione delle informazioni.

(5) Il fornitore si obbliga a coadiuvare il cliente per il rispetto degli obblighi di legge (rispetto degli obiettivi minimi di messa in sicurezza dei dati, denuncia di violazione della protezione dei dati personali alle Autorità competenti, comunicazione alle persone coinvolte nella violazione dei loro dati personali, consultazione preventiva).

(6) Il fornitore è obbligato al termine della validità contrattuale a distruggere ogni tipo di trattamento di dati eseguito ed i dati stessi in suo possesso su incarico del cliente e nel rispetto della normativa europea e nazione vigente al momento e fintantoché non sussista un obbligo alla conservazione.

4. OBBLIGHI DI COMUNICAZIONE DEL RESPONSABILE DEL TRATTAMENTO DEI DATI IN CAS DI VIOLAZIONE DELLA PROTEIONE DI DATI PERSONALI

Il fornitore comunica al cliente malfunzionamenti, violazioni del fornitore o di persone per cui debba rispondere così come per violazioni delle norme in tema di diritto alla privacy e degli accordi contrattuali ed in ogni caso il sospetto in merito a violazioni della tutela della privacy o a incorrettezze nella gestione del trattamento dei dati personali. Tutto ciò con particolare riferimento ad eventuali dichiarazioni o comunicazioni obbligatorie pendenti sul cliente. Il fornitore assicura al cliente il debito supporto nell’adempimento dei propri obblighi.

5. OBBLIGHI DEL CLIENTE

Nel rispetto di quanto previsto dall´Art. 6 comma 1 del GDPR per quanto concerne la valutazione

dell’ammissibilità al trattamento e ai disposti degli Artt. 12 – 22 del GDPR in merito

alla tutela dei diritti delle persone coinvolte nel trattamento, il cliente risulta essere l’unica

responsabile.

Cambiamenti dell’oggetto del trattamento dei dati concordato e della procedura di variazione degli stessi devono essere trovati in comune accordo tra le parti e riportati nella forma scritta oppure in un documento in un documento in formato elettronico.

Spetta al cliente la possibilità di potersi accertare prima del trattamento o in qualsiasi altro momento ritenuto opportuno o necessario di poter verificare la correttezza delle misure tecnico-organizzative messe in essere dal fornitore così come ogni ulteriore obbligo contrattualizzato con il presente accordo.

Il fornitore si obbliga ad informare tempestivamente il cliente nel caso in cui dovesse rilevare delle

incorrettezze o errori nell’esecuzione delle attività concordate.

Il cliente è obbligato a trattare confidenzialmente tutte le conoscenze acquisite sui segreti commerciali e sulle misure di sicurezza dei dati del fornitore nell'ambito della relazione contrattuale. Questo obbligo rimane valido anche dopo la risoluzione del presente contratto.

6. AVENTI DIRITTO AD EMANARE ORDINI DEL CLIENTE E A RICERVLI DEL CONTRAENETE

Gli aventi diritto ad emanare ordini del cliente sono:

(Nome, Cognome, Funzione, Indirizzo E-Mail)

(Nome, Cognome, Funzione, Indirizzo E-Mail)

(Nome, Cognome, Funzione, Indirizzo E-Mail)

(Nome, Cognome, Funzione, Indirizzo E-Mail)

(Nome, Cognome, Funzione, Indirizzo E-Mail)

Gli aventi diritto a ricevere ordini del fornitore sono:

Xxxxxxx Xxxxx, Limitis srl, xxxx@xxxxxxx.xxx Xxxxxx Xxxxxx, Limitis srl, xxxxxxx@xxxxxxx.xxx Xxxxxxxxx Xxxxxx, xxxxxxx@xxxxxxxxxxxxxxxxx.xx

Per ordini di tipo generale si può utilizzare il seguente indirizzo: E-Mail: xxxxxxx@xxxxxxx.xxx

In caso di cambiamento o di una assenza a lungo termine delle persone di contatto sopra indicate, il partner contrattuale deve essere informato immediatamente e in linea di principio per iscritto o per posta elettronica in merito alla nomina dei successori o dei rappresentanti temporanei. Le istruzioni devono essere conservate per il loro periodo di validità e successivamente per tre anni.

7. LUOGO DEL TRATTAMENTO DEI DATI

Le elaborazioni dati oggetto di questo contratto avvengono esclusivamente all’interno del territorio della UE o dello SEE.

8. SUB-RESPONSABILI DEL TRATTAMENTO

Il fornitore è autorizzato a nominare le seguenti società come sub-responsabili del trattamento dei dati personali:

Untis GmbH Xxxxxxxxxxxxxx 00

0000 Xxxxxxxxx – Österreich

Il fornitore Limitis srl, così come il sub-responsabile del trattamento dei dati Untis GmbH sono individualmente autorizzate a nominare come ulteriori sub-responsabili del trattamento le seguenti aziende:

• Xxxx Xxxxxx, Xxx Xxxxx Xxxxx, 0X - 00000 Xxxxxx

• Xxxxxx Xxxxxx, Xxx Xxxxxx, 0 - 00000 Xxxxxx

• Xxxxxxxx Xxxxxxxxxx, Xxx Xxxxxxx, 000 - 00000 Xxxxxx

Eventuali modifiche previste del subappaltatore o dei subappaltatori devono essere notificate per iscritto al cliente in tempo utile, in modo che possa essere in grado di opporsi. Il fornitore conclude gli accordi necessari con il sub-incaricato ai sensi dell'articolo 28, comma 4, del GDPR. Nel fare ciò, deve essere garantito che il subappaltatore adempia agli stessi obblighi del fornitore ai sensi ed in base al contenuto del presente accordo.

        , xx                    Xxxxxx, lí 18.05.2020

Per il dliente: Per il fornitore:

Firmato digitalmente da

XXXXXXX XXXXX

CN = XXXXX XXXXXXX

[Nome e funzione] Xxxxxxx Xxxxx, CEO

Limitis Srl

Allegato 1 – Disposizioni tecnico- organizzative

.

1. RISERVATEZZA

• Controllo degli ingressi:

Il luogo di ubicazione dei server utilizzati per la gestione delle applicazioni web è il centro di elaborazione dati situato a Bolzano e denominato “b.Cube”. Il centro elaborazione dati garantisce un controllo degli accessi con l’ausilio di apparecchiature per il controllo degli accessi e di un sistema di monitoraggio, di porte ad accesso controllato, di un impianto di videosorveglianza e di personale di sorveglianza. Inoltre, è attivo un sistema di identificazione a più livelli per le persone autorizzate all’accesso (tessera ID, verifica impronta digitale).

L’accesso fisico alla sala server avviene attraverso un armadio-server situato all’interno dell’area sottoposta a controlli all’interno dell’edificio.

• Controllo degli accessi:

Solamente collaboratori selezionati e i cui nominativi sono stati preventivamente comunicati al centro di elaborazione dati hanno acceso ai server, sui quali sono installati gli applicativi web. Anche per questo motivo i server vengono gestiti e manutenuti esclusivamente da personale qualificato di Limitis srl. I sistemi server sono raggiungibili da remoto tramite Internet solo attraverso una connessione protetta SSH. L’autenticazione avviene attraverso certificati, che corrispondono agli attuali standard qualitativi migliori sul mercato e che vengono anche costantemente aggiornati per il mantenimento degli standard qualitativi.

• Controllo degli accessi remoti:

Le applicazioni web dispongono di accessi protetti da parole d’ordine. Il sistema di accesso controllato permette di limitare gli accessi e di creare dei livelli di accesso. Un Firewall dedicato protegge i server da accessi indesiderati e non autorizzati. Gli esercenti del centro di elaborazione dati non sono autorizzati ad accedere alle sale server del fornitore.

• Controllo dell’elaborazione dati:

Tutti i dati rilevanti vengono protetti durante i processi di elaborazione dati da appositi protocolli e misure di messa in sicurezza (come ad esempio la codifica dei dati).

2. INTEGRITÁ DIE DATI

• Controllo della diffusione:

Grazie all’utilizzo di appositi controlli di codifica e di trasmissione viene esclusa la possibilità che i dati posano essere oggetto di variazione durante i processi di trasmissione e durante le operazioni di salvataggio.

Per garantire il controllo ed evitare una diffusione non autorizzata di tutti i trattamenti di dati personali, i processi vengono sottoposti durante la fase di trasmissione nei casi sopra indicati, ad una connessione protetta https in base agli standard qualitativi più aggiornati.

• Controllo degli ingressi:

Il cambiamento di dati personali viene tenuto sotto controllo da apposite limitazioni sugli accessi, vale a dire che è perseguibile da adeguate misure di sicurezza.

Ogni accesso al sistema viene protocollato e tutti i dati necessari alla tracciabilità vengono messi in sicurezza. Anche i tentativi di accesso non andati a buon fine così come tutte le movimentazioni dei dati. Questo sia per quanto riguarda il contenuto dei dati ma anche sull´ identificativo che ha provveduto ad apportare le modifiche al dato.

3. DISPONIBILITÁ E RESISTENZA

• Controlli sulla disponibilità:

La disponibilità e la stabilità die sistemi sono garantite da disposizioni tecnico-organizzative:

o Strategie di Backup (online/offline; on-site/off-site)

o Piano di emergenza

o Erogazione di corrente senza interruzioni (USV, aggregato Diesel)

o Sistemi Firewall in base agli standard qualitativi più aggiornati

o Protezione Distributed Denial of Service (DDoS)

o Standardizzazione delle procedure in caso di sostituzione di collaboratori dedicati

Dischi con mirroring nei rispettivi server, replica delle banche dati su un secondo server e backup giornalieri proteggono i dati da distruzioni o perdite casuali (vedi anche punto 4.1). In ogni caso viene data la possibilità al cliente di eseguire in qualsiasi momento un ulteriore backup personale.

• Ripristino die dati:

Un veloce ripristino die dati è permesso da una segmentazione die dati, per cui nel caso di errori possono essere ripristinate anche solo singole sezioni.

• Tempi di cancellazione:

Al termine del rapporto contrattuale i dati vengono cancellati dopo una franchigia temporale di tre mesi Durante il periodo contrattuale la cancellazione dei dati avrá luogo in base alle disposizioni fornite dal cliente.