DATA PROCESSING AGREEMENT: ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI
DATA PROCESSING AGREEMENT: ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI
(ex art.28 Reg. UE 2016/679) TRA
Il presente accordo è concluso tra il Fornitore ed il Cliente, come di seguito definiti.
Il soggetto indicato nel Contratto quale Cliente (di seguito "Titolare del trattamento" o "Cliente" "Titolare")
e
Il soggetto indicato nel Contratto quale Fornitore (di seguito "Responsabile del trattamento" o "Fornitore" o "Responsabile")
di seguito congiuntamente le “Parti”
PREMESSO CHE
a) Il presente Accordo per il trattamento dei dati personali (di seguito anche DPA), unitamente al documento “Condizioni generali di contratto” (reperibile al seguente link ) e all’ “Offerta tecnica commerciale” costituiscono parte integrante del Contratto (di seguito, il “Contratto”) relativo alla fornitura, in modalità Saas, del software H-DOCS e dei servizi connessi (di seguito, i “Servizi”), il tutto meglio specificato nel citato documento “Condizioni generali di contratto”);
b) Per tali ragioni, tutte le definizioni e le condizioni previste nei documenti sopra citati si intendono qui espressamente richiamate e sono a tutti gli effetti efficaci tra le Parti, si rimanda dunque, per le definizioni ai due documenti anzidetti: “Condizioni generali di contratto” e “Offerta tecnica commerciale”. Allo stesso modo, il presente Accordo rappresenta una parte integrante e sostanziale dei documenti sopra citati, che tutti insieme costituiscono il Contratto;
c) Nell’ambito delle attività oggetto del Contratto, il Fornitore potrà eseguire operazioni di trattamento di dati personali per conto del Cliente, come meglio descritte nell'Allegato A al presente Accordo (di seguito "Accordo");
d) il Fornitore è dotato di una struttura, di un modello organizzativo, di competenze e conoscenze tecniche sufficienti a mettere in atto misure tecniche ed organizzative adeguate affinché le operazioni di trattamento compiute per le finalità di cui al Contratto, soddisfino i requisiti del Regolamento generale europeo sulla protezione dei dati 2016/679 (nel seguito "Regolamento" o “GDPR”) e della normativa nazionale e sovranazionale di riferimento;
e) ai fini del presente Accordo il Cliente agisce quale Titolare del trattamento in relazione ai dati personali riferiti al personale dipendente e/o ai collaboratori e/o a consulenti della propria organizzazione (di seguito, gli “Interessati”) e il Fornitore agisce quale Responsabile del trattamento con riguardo alle medesime categorie di dati personali. Qualora il Cliente svolga attività di trattamento per conto di altro Titolare (quale può essere una delle società del gruppo ovvero società esterne), il Cliente agirà come Responsabile del trattamento e nominerà il Fornitore quale ulteriore Responsabile del trattamento (Sub-Responsabile) alle stesse condizioni descritte nel presente Accordo;
f) il Cliente ha preso visione ed accettato il documento “Offerta tecnica commerciale”, nel quale è espressamente indicato che l’applicativo H-DOCS e i Servizi connessi sono realizzati mediante il ricorso a Tecnologia e Contenuti di Terze Parti ed avvalendosi di una Infrastruttura di Terze Parti;
g) per le ipotesi in cui i sopra citati Xxxxx compiano, in tutto o in parte, operazioni di trattamento di dati personali di titolarità del Cliente, essi assumeranno il ruolo di Sub-Responsabili, come verrà dettagliato nel prosieguo del presente Accordo;
h) a far data dalla sottoscrizione del Contratto, il presente Accordo sostituisce qualsiasi precedente accordo sul trattamento dei dati personali tra il Cliente e il Fornitore, che pertanto si intende qui revocato.
Tanto premesso, le Parti
CONVENGONO E STIPULANO QUANTO SEGUE
1. OGGETTO
1.1. Le premesse costituiscono parte integrante e sostanziale del presente atto;
1.2. Oggetto del presente Accordo è la definizione delle modalità e dei termini con cui il Fornitore si impegna ad effettuare “per conto” del Cliente le attività e le operazioni di trattamento dei dati di carattere personale, ai soli fini dell’esecuzione del Contratto e della prestazione dei Servizi, come meglio descritto nell’Allegato A;
1.3. Con il presente atto, pertanto, il Fornitore è nominato dalla società Titolare, quale Responsabile del trattamento dei dati a carattere personale, con esclusivo e limitato riferimento alle operazioni di trattamento necessarie all'esecuzione del Contratto e alla prestazione dei Servizi;
1.4. Nel quadro delle loro relazioni contrattuali, le Parti si impegnano a rispettare la regolamentazione vigente ed applicabile al trattamento dei dati a carattere personale tra cui, in particolare, il Regolamento UE n. 679/2016 (GDPR), il d.lgs 196/2003 (Codice Privacy) ed ogni altra previsione normativa e/o regolamentare vigente in materia.
2. OBBLIGHI DEL TITOLARE DEL TRATTAMENTO
2.1. Il Titolare del trattamento si impegna a:
a) fornire al Responsabile i soli dati personali necessari all’esecuzione del Contratto ed alla prestazione dei
Servizi;
b) documentare per iscritto le ulteriori istruzioni riguardanti il trattamento dei dati da parte del Fornitore, ad eventuale integrazione di quanto qui previsto;
c) vigilare, in anticipo e durante la durata di tutto il trattamento, sul rispetto degli obblighi previsti dal Regolamento europeo sulla protezione dei dati da parte del Responsabile del trattamento;
d) supervisionare il trattamento, compresi gli audit da parte del Responsabile del trattamento;
e) garantire che i dati personali oggetto di trattamento siano esatti, aggiornati e che il trattamento sia fondato
su una delle condizioni di liceità previste dall’art. 6 GDPR;
3. OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO
3.1. Nell'eseguire le operazioni di trattamento dei dati personali, come meglio descritto nell’Allegato A, il Responsabile
dichiara e garantisce quanto segue:
a) di rispettare i principi e adempiere agli obblighi previsti dalla normativa nazionale e sovranazionale vigente in materia, nonché, nello specifico, i principi di liceità, correttezza, trasparenza, limitazione, minimizzazione, esattezza, integrità e riservatezza;
b) di trattare i dati personali con esclusivo e limitato riferimento a quanto necessario all'esecuzione del Contratto ed alla prestazione dei Servizi;
c) di trattare i dati personali esclusivamente su istruzione documentata del Titolare, anche in caso di trasferimento di dati verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il Responsabile; in tal caso il Responsabile informa il Titolare circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
d) informare il Titolare del trattamento dell’eventualità in cui un’istruzione ricevuta dal Titolare del trattamento costituisca una violazione del regolamento europeo sulla protezione dei dati personali o di tutte le altre disposizioni delle leggi dell’Unione o delle leggi nazionali in materia. Una volta informato, se il Titolare del trattamento non rimuove l’istruzione illecita, il Titolare si impegna a manlevare e tenere indenne il Responsabile del trattamento da ogni eventuale danno, spesa, costo, sanzione amministrativa o richiesta di risarcimento subita dal Responsabile a seguito di una violazione dei dati personali causata dall’istruzione illecita;
e) di garantire che le persone autorizzate al trattamento dei dati si impegnino alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
f) di identificare e designare per iscritto, in conformità a quanto previsto dal Provvedimento dell’Autorità Garante del 27 novembre 2008, così come modificato in base al provvedimento del 25 giugno 2009, gli amministratori di sistema, previa valutazione in ordine alle caratteristiche di capacità, affidabilità ed esperienza dei soggetti designati, fornendo loro specifiche istruzioni, sempre sulla base di quanto prescritto nei Provvedimenti citati;
g) tenuto conto della natura del trattamento, di assistere il Titolare con misure tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III. Il Titolare del trattamento con la stipula del presente contratto approva le misure di sicurezza tecniche e organizzative descritte nell’Allegato C quali proprie istruzioni al trattamento;
h) di assistere il Titolare nel rispetto degli obblighi di cui agli artt. da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile;
i) di impegnarsi a mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente accordo. Il Responsabile del trattamento consente al Titolare del trattamento o a soggetto da egli delegato di condurre attività di audit presso la propria sede. In tali casi, il Titolare del trattamento ha l’obbligo di concordare con il Responsabile del trattamento la data in cui effettuare l’attività ispettiva e/o l’audit, con preavviso di almeno 60 giorni, con indicazione delle attività di ispezione da condurre e le bancadati interessate. Il Titolare del trattamento si impegna a condurre l’ispezione e/o l’audit esclusivamente per quanto strettamente necessario a verificare il rispetto delle misure di sicurezza previste nel presente contratto, durante il normale orario di lavoro e secondo modalità idonee a non disturbare irragionevolmente la normale attività del Responsabile del trattamento. Ogni costo relativo all’attività ispettiva e/o audit sarà a carico del Titolare.
j) mantenere il Registro di tutte le attività di trattamento svolte per conto del Titolare.
4. AUTORIZZAZIONE PER I SUB-RESPONSABILI
4.1. Come anticipato alle lettere f) e g) delle premesse, il Cliente prende atto ed accetta che il Fornitore per l’esecuzione del Contratto e la fornitura dei relativi Servizi si avvalga di soggetti terzi che pongono in essere tutte o parte delle operazioni di trattamento dei dati personali svolte per conto del Titolare ("Sub-Responsabile"). L’elenco di detti soggetti terzi, con l’indicazione delle attività di trattamento già affidate è contenuto nell’allegato B al presente documento;
4.2. Nel caso in cui il Fornitore ritenga necessario, o anche solo opportuno, ricorrere ad ulteriori soggetti terzi delegando loro, in tutto o in parte, le operazioni di trattamento di dati svolte per conto del Titolare, questi si impegna ad informare il Titolare di eventuali aggiunte e/o la sostituzioni di Responsabili del trattamento (rispetto a quanto previsto dall’allegato B), dando al Titolare la possibilità di opporsi a tali modifiche mediante comunicazione scritta da far pervenire entro 15 giorni dall’avvenuta comunicazione, ai Recapiti per le Comunicazioni indicati nel Contratto;
4.3. Se il Cliente non si oppone entro tale termine, il Sub-Responsabile si intenderà autorizzato al trattamento dei dati del Cliente;
4.4. In caso di opposizione da parte del Titolare, il Responsabile farà quanto ragionevolmente possibile per proseguire l’esecuzione del Contratto e la prestazione dei relativi Servizi, senza avvalersi del Sub-Responsabile non approvato dal Titolare. Ove il Responsabile ritenga di non poter eseguire le prestazioni contrattuali senza l’intervento di quel terzo, entrambe le Parti avranno possibilità di recedere dal contratto, senza che tale recesso possa comportare una responsabilità di una parte nei confronti dell’altra, fermo in ogni caso il diritto del Responsabile a ricevere la corresponsione degli importi maturati sino alla data di efficacia del recesso.
4.5. In tutti i casi in cui il Responsabile ricorre ad un Sub-Responsabile, il primo si impegna a:
a) avvalersi di soggetti che garantiscano il possesso di specifiche competenze ed esperienza, al fine di porre in essere le misure tecniche e/o organizzative adeguate, in modo che il trattamento soddisfi i requisiti previsti dalla normativa vigente in materia;
b) vincolare il Sub-Responsabile con apposito atto scritto;
4.6. Alla data di sottoscrizione del presente Accordo il Titolare autorizza i Sub-Responsabili elencati nell'Allegato B al presente atto. Detto elenco sarà tenuto costantemente aggiornato a cura del Responsabile e messo a disposizione del Titolare su richiesta di quest'ultimo.
5. DURATA – CESSAZIONE E DISPOSIZIONI IN MATERIA DI CANCELLAZIONE E RESTITUZIONE DEI DATI
5.1. L’efficacia del presente Accordo decorre dalla data di sottoscrizione del Contratto e terminerà con la cessazione del medesimo ovvero alla revoca del presente Accordo, ciò comporterà la necessaria interruzione dei Servizi (o porzione dei Servizi) ed il connesso trattamento dei dati personali;
5.2. All'atto della cessazione del presente Accordo il Responsabile dovrà cancellare i dati personali in suo possesso, secondo quanto disposto dall’art.17 delle Condizioni generali di contratto, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione;
5.3. Resta inteso che il Fornitore non risponde di eventuali termini di conservazione ulteriori contenuti nelle policy delle
terze parti di cui il Fornitore si avvale. In proposito, come indicato nell’allegato B, si rimanda ai singoli DPA.
6. MISURE DI SICUREZZA DEL FORNITORE
6.1. Con riferimento alle operazioni di trattamento dei dati personali necessarie ai fini dell’esecuzione del Contratto e
della prestazione dei Servizi, il Responsabile si obbliga a mantenere le misure di sicurezza elencate all'Allegato C;
6.2. qualora il Cliente richieda al Fornitore di adottare misure aggiuntive rispetto a quelle descritte nel presente Accordo, quest’ultimo si riserverà il diritto di valutarne la fattibilità e potrà applicare costi aggiuntivi a carico del Cliente per operare le citate implementazioni. Se le istruzioni proposte sono considerate ulteriori rispetto al livello di rischio individuato dal Responsabile del trattamento, o la loro applicazione richiede uno sforzo eccessivo rispetto all’organizzazione del Responsabile del trattamento, il Titolare del trattamento tiene il Responsabile esente da ogni costo o spesa necessari per l’applicazione delle istruzioni aggiuntive.
6.3. Qualora il Fornitore ritenga di non adottare le misure di cui agli articoli 6.1, 6.2 del presente accordo, egli avrà diritto a recedere dal contratto senza che insorga in capo al Cliente alcun diritto a rimborsi e/o risarcimenti;
6.4. come anticipato, il Cliente prende atto ed accetta che il Fornitore non sarà responsabile dell’applicazione delle misure di sicurezza adottate da terze parti o delle modalità di funzionamento del prodotto derivanti dall’integrazione effettuata da questi soggetti;
6.5. il Fornitore, tuttavia, ha fatto ricorso a terze parti di primario rilievo e di elevata garanzia in termini di sicurezza, esperienza e capacità, ed il Cliente con la sottoscrizione del Contratto riconosce dette caratteristiche.
7. MISURE DI SICUREZZA DEL CLIENTE
7.1. Xxxxx restando gli obblighi di cui all’art.6, il Cliente riconosce ed accetta che, nella fruizione dei Servizi, rimane responsabilità esclusiva del Cliente l’adozione di adeguate misure di sicurezza, in relazione alla fruizione dei Servizi oggetto del Contratto, da parte del proprio personale o di coloro che sono autorizzati dal Titolare ad accedere ai medesimi;
7.2. A tal fine, restano validi gli obblighi e gli impegni assunti dal Cliente con la sottoscrizione del Contratto e meglio
descritti all’art. 6 e ss del documento “Condizioni generali di contratto”.
8. RESPONSABILITÀ E MANLEVA
8.1. Xxxxxxxx parte è responsabile per l’adempimento dei propri obblighi previsti dal presente Accordo e/o dalle
legislazioni vigenti in materia;
8.2. il Titolare del trattamento si impegna a manlevare e tenere indenne il Responsabile del trattamento da ogni eventuale danno, spesa, costo, sanzione amministrativa o richiesta di risarcimento subita dal responsabile e causata dalla mancata comunicazione, da parte del Titolare del trattamento, di ogni modifica, rettifica dei dati personali, modifica o cessazione delle condizioni di liceità del trattamento, nonché causata dall’inadempimento dovuto dalla mancata comunicazione di ogni richiesta di revoca del consenso, opposizione o istanza volta a esercitare uno dei diritti riconosciuti dall’ordinamento da parte dell’interessato;
8.3. fatti salvi gli inderogabili limiti di legge, il Fornitore sarà tenuto a risarcire il Cliente in caso di violazioni del presente Accordo, nei limiti massimi convenuti nel contratto;
8.4. L'eventuale nullità parziale o totale di una o più clausole del presente contratto non inficia la validità delle restanti pattuizioni. In tale eventualità le parti si accorderanno per sostituire le clausole nulle con pattuizioni valide di contenuto equivalente o simile e comunque atte a permettere il conseguimento degli scopi contrattuali, salvo non si tratti di clausole essenziali.
9. MISCELLANEA
9.1. Le premesse e gli Allegati costituiscono parte integrante ed essenziale del presente Accordo;
9.2. A far data dalla sottoscrizione del Contratto, qualsiasi precedente accordo, intesa, negoziato o trattativa sul trattamento dei dati personali tra le Parti si intende revocato e sostituito dal presente Accordo.
9.3. Qualora vi sia incongruenza tra i termini dell'Accordo e una qualsiasi delle previsioni di cui al Contratto, prevarrà quanto indicato nel presente Accordo.
ALLEGATO A
DETTAGLI SULLE ATTIVITÀ DI TRATTAMENTO DEI DATI PERSONALI
Il presente Allegato contiene i dettagli relativi alle attività di trattamento di dati personali effettuate dal Fornitore ai fini dell'esecuzione del Contratto e della prestazione dei Servizi aventi ad oggetto la fornitura in modalità Saas del software H-DOCS e dei servizi connessi (per maggiori informazioni sull’oggetto delle prestazioni, si rinvia al documento “Condizioni generali di contratto” reperibile al seguente link.
Nell’ambito di dette attività si riportano i principali dettagli relativi al trattamento dei dati personali:
Categorie di dati personali trattati | Nominativi ed indirizzi e-mail |
Categorie di Interessati/individui cui i dati personali si riferiscono | dipendenti/collaboratori/consulenti delle aziende clienti |
Operazioni di trattamento consentite | Raccolta, registrazione, organizzazione, conservazione, estrazione, uso, cancellazione o distruzione |
Finalità del trattamento | Esecuzione del Contratto e delle prestazioni di Servizi |
Periodo di conservazione | Fino alla cessazione del Contratto |
ALLEGATO B
Elenco dei Sub-Responsabili approvati e autorizzati al momento della sottoscrizione del Contratto
Elenco Sub-Responsabile | Attività affidata | Dati cui ha accesso |
Emm&mmE Informatica S.r.l. C.F/P.IVA 04577140488 | Manutenzione infrastruttura Azure | Nominativi e indirizzi email |
VARGroup spa (c.f./p.iva 03301640482) | Rivenditore Microsoft e fornitura account aziendale Azure | Nominativi e indirizzi email |
Microsoft | Messa a disposizione Infrastruttura Azure | Nominativi e indirizzi email |
ALLEGATO C MISURE DI SICUREZZA
In aggiunta alle misure di sicurezza previste nell'Accordo, il Responsabile si impegna ad applicare anche le misure tecniche e organizzative di sicurezza di seguito riportate, rimandando invece alle misure di sicurezza tecniche ed organizzative adottate dalle terze parti cui sono affidati specifici segmenti di attività, come indicato nell’allegato B.
AREE DI SICUREZZA | ID | MISURE DI SICUREZZA PER LA PROTEZIONE DEI DATI PERSONALI |
1. NETWORK E SISTEMI DI SICUREZZA | 1.1 | Firewall e router web devono essere configurati sui servizi cloud al fine di limitare il traffico, in entrata e in uscita, da reti e sistemi "non attendibili" verso l’applicativo, abilitando unicamente protocolli di connessione crittografati. E’ necessario altresì negare tutto il resto del traffico diretto verso l’ambiente che tratta Dati Personali, che dovrà essere accessibile unicamente dall’applicativo stesso. Qualsiasi servizio o traffico non autorizzato deve essere bloccato. |
1.2 | Devono essere utilizzati template di configurazione sicuri (tramite hardening) per gli asset utilizzati (es. database, applicazioni, sistemi operativi) che trattano Dati Personali in modo da lasciare disponibili solo i servizi strettamente necessari per le attività previste. | |
1.3 | I Dati Personali devono essere protetti contro il rischio di intrusione e malware mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. | |
1.4 | Gli aggiornamenti periodici del software devono essere effettuati almeno ogni 6 mesi (es. patching dei sistemi operativi dei client e dei server e degli applicativi di base) e le patch critiche di sicurezza devono essere installate tempestivamente. | |
2. SICUREZZA DEI DATI | 2.1 | Il periodo di conservazione dei dati personali deve essere limitato nella misura necessaria richiesta da ogni singolo servizio erogato, nel rispetto degli obblighi legali e/o regolamentari vigenti, ma comunque legati al singolo tenant aziendale. |
2.2 | Per la cancellazione dei Dati Personali non più necessari al singolo servizio erogato e per la dismissione degli asset ICT devono essere messe in atto procedure di pulizia manuale sicura ed irreversibile a livello database, al fine di rimuovere tutti i Dati Personali e/o sovrascrivere in modo sicuro e non reversibile. | |
2.3 | Il numero degli archivi di Dati Personali (database, file, copie, archivi) deve essere ridotto al minimo, evitando inutili duplicazioni, e tenendo conto dei necessari backup. | |
2.4 | ||
2.5 | Devono essere utilizzati strumenti di sicurezza per monitorare e controllare il flusso di Dati Personali attraverso gli endpoint e verso le reti esterne. | |
2.6 | La crittografia dei database/archivi di dati deve essere basata su una classificazione appropriata degli asset in ambito, in base al livello di criticità. Il Responsabile (e/o i Sub-Responsabili), in mancanza di una specifica richiesta del Titolare, decide se implementare o meno la crittografia e con quale granularità |
applicarla (ad esempio a livello di database/files o di tabella) e la applica ogni volta che il Titolare ne faccia richiesta. | ||
2.7 | I Dati Personali non devono essere copiati su supporti rimovibili, ad eccezione dei supporti espressamente autorizzati dal Responsabile per attività specifiche. | |
2.8 | I dipendenti devono essere adeguatamente istruiti e formati sulle corrette regole di condotta da adottare per la protezione dei Dati Personali contenuti nei documenti cartacei (es. in caso di allontanamento dalla postazione di lavoro assicurarsi che nessuno possa accedere alle informazioni riservate, proteggere i documenti originali e le fotocopie da furto o uso non autorizzato, conservare la documentazione in cassetti e armadi chiusi alla fine della sessione di lavoro). | |
3. DISPONIBILITA’ DEI DATI | 3.1 | Devono essere messe in atto procedure adeguate per garantire la disponibilità dei Dati Personali (come diritto dell'interessato) in modo tempestivo. Le procedure di backup devono garantire copie dei Dati Personali almeno settimanalmente. |
4. IDENTITY AND ACCESS MANAGEMENT | 4.1 | L'autorizzazione ad accedere all’applicativo e ai vari componenti di esso contenenti Dati Personali deve essere fornita secondo i principi del "need to know" e del “least privilege”. |
4.2 | Le policy e le procedure devono essere implementate per garantire la corretta identificazione degli utenti e degli amministratori che accedono alle componenti di sistema e al sistema stesso che gestiscono i Dati Personali. A ogni utente deve essere assegnato un nome utente prima di consentire l’accesso ai sistemi di autenticazione e ai Dati Personali. | |
4.3 | Gli accessi amministrativi remoti individuali ai sistemi che gestiscono i Dati Personali sono protetti mediante un meccanismo di autenticazione mediante password. | |
4.4 | Le password per i sistemi e i dispositivi che gestiscono Dati Personali devono essere complesse (almeno 12 caratteri e ad esempio una combinazione di lettere maiuscole o minuscole, numeri e caratteri speciali). | |
4.5 | Le risorse di sistema e il diritto di accesso devono essere assegnati in modo univoco ad ogni user account. | |
4.6 | Per ogni utente la password deve essere generata al momento della creazione dell’utente e cambiata a cura dell’utente al primo accesso. | |
4.7 | Tutti gli accessi ai database contenenti Dati Personali devono essere protetti / controllati al fine di garantire i principi di “need to know”, “least privilege” e la tracciabilità. I profili di autorizzazione sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. | |
4.8 | I diritti di accesso ai Dati Personali degli utenti devono essere rivisti a intervalli regolari e, in ogni caso, almeno una volta all'anno, secondo il corretto processo di Identity and Access Management. | |
5. LOGGING E MONITORAGGIO | 5.1 | L'accesso a livello amministrativo a sistemi contenenti Dati Personali deve essere monitorato e loggato al fine di tracciare con precisione il collegamento tra l'accesso e l'utente che accede ai Dati Personali. Inoltre il monitoraggio deve |
essere effettuato al fine di prevention e detection di minacce alla sicurezza dei Dati Personali. | ||
5.2 | Il Responsabile (e/o i Sub-Responsabili), a seguito di richiesta del Titolare, ha il dovere di fornire i log degli accessi a livello amministrativo per il trattamento dei Dati Personali. | |
6. ORGANIZZAZIONE E SICUREZZA DELLE PERSONE | 6.1 | Devono essere messe in atto procedure adeguate per garantire la disponibilità continua di Dati Personali; il personale di back up deve essere identificato per garantire la continuità del servizio all'interessato che desidera accedere ai propri Dati Personali. |
6.2 | È necessario attuare un programma formale di sensibilizzazione sulla sicurezza per rendere consapevole tutto il personale delle politiche e procedure relative alla sicurezza dei Dati Personali. Il Responsabile applica dettagliate policy e disciplinari, ai quali tutta l’utenza con accesso ai sistemi informativi ha l’obbligo di conformarsi e che sono finalizzate a garantire comportamenti idonei ad assicurare il rispetto dei principi di riservatezza, disponibilità ed integrità dei dati nell’utilizzo delle risorse informatiche. | |
6.3 | Devono essere stipulati chiari accordi contrattuali con eventuali sub-fornitori dei servizi, al fine di pattuire la loro responsabilità in merito alla sicurezza dei Dati Personali che elaborano / memorizzano / trasmettono per conto del Titolare. Tali accordi devono riflettere almeno le istruzioni e misure indicate in questo documento. Gli interventi di assistenza sono regolamentati allo scopo di garantire l’esecuzione delle sole attività previste contrattualmente e impedire il trattamento eccessivo di dati personali la cui titolarità è in capo al Cliente o all’Utente Finale. | |
6.4 | Le responsabilità e i doveri dei dipendenti relative alla riservatezza dei Dati Personali devono essere chiaramente esplicitate come valevoli anche dopo la cessazione o il cambio di impiego. | |
7. DATA PROTECTION BY DESIGN | 7.1 | I processi di gestione delle modifiche ICT devono essere integrati con controlli e requisiti di sicurezza appropriati, al fine di garantire la protezione continua del software / applicazioni ICT in vigore subito dopo modifiche rilevanti. |
7.2 | Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati | |
8. VIOLAZIONE DEI DATI PERSONALI | 8.1 | I processi e gli strumenti per la gestione degli incidenti devono essere correttamente implementati e/o migliorati al fine di consentire il rilevamento e la classificazione delle violazioni dei Dati Personali in modo che siano correttamente comunicati al Titolare affinché possano provvedere entro i termini stabiliti. |
8.2 | Deve essere creato e mantenuto aggiornato uno specifico registro delle violazioni dei Dati Personali. | |
8.3 | Il Responsabile (e/o i Sub-Responsabili) ha realizzato una specifica procedura di Incident Management allo scopo di garantire il ripristino delle normali operazioni di servizio nel più breve tempo possibile, garantendo il mantenimento dei livelli migliori di servizio. Il Responsabile (e/o i Sub-Responsabili) ha implementato un’apposita procedura finalizzata alla gestione degli eventi e degli incidenti con |
un potenziale impatto sui dati personali che definisce ruoli e responsabilità, il processo di rilevazione (presunto o accertato), l’applicazione delle azioni di contrasto, la risposta e il contenimento dell’incidente / violazione nonché le modalità attraverso le quali effettuare le comunicazioni delle violazioni di dati personali al Cliente |