EX ART. 28 DEL REGOLAMENTO UE 679/2016 TRA
ATTO DI NOMINA A RESPONSABILE ESTERNO DEL TRATTAMENTO dei DATI PERSONALI
EX ART. 28 DEL REGOLAMENTO UE 679/2016 TRA
l’ISTITUTO COMPRENSIVO “VALLI DEL MEDUNA COSA ARZINO”, in persona del Dirigente Scolastico legale rappresentante pro tempore, con sede in TRAVESIO Via ROMA, 12/A - C.F. 81018050930
- TITOLARE DEL TRATTAMENTO -
e
Dott. PIO DE ANGELIS (MEDICO DEL LAVORO), C.F.: DNGPIO58M01H501M, con Studio in Maniago (33085)
via X.Xxxxxxxx, n. 20
- RESPONSABILE DEL TRATTAMENTO -
Premesso che
- ai sensi dell'art. 4 del GDPR 679/2016 per trattamento dai dati personali si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
- tra il Titolare e il Responsabile è in corso un rapporto di prestazione d’opera professionale al fine di svolgere l’attività di sorveglianza sanitaria obbligatoria del personale, ottemperando agli obblighi di legge come definiti dal D.Lgs.81/08 - Testo Unico in materia di salute e sicurezza del lavoro e tale rapporto comporta il trattamento di dati personali da parte di quest’ultimo per conto del Titolare avente ad oggetto lo svolgimento da parte del Responsabile di attività quali:
• accertamenti preventivi sull’idoneità del lavoratore dipendente alla mansione specifica;
• accertamenti periodici per controllare lo stato di salute del dipendente ed esprimere il giudizio di idoneità alla mansione specifica;
- ai sensi dell’art. 28 Reg. UE 679/2016 il Responsabile è designato dal Titolare qualora il trattamento sia eseguito per conto di quest’ultimo ed il soggetto nominato possieda adeguati requisiti di esperienza, capacità, professionalità ed affidabilità e presti garanzie sufficienti per porre in essere misure tecniche ed organizzative tali da soddisfare i requisiti richiesti dal Regolamento stesso, compreso il profilo relativo alla sicurezza;
- con il presente atto l’ISTITUTO COMPRENSIVO “VALLI DEL MEDUNA COSA ARZINO” intende dunque
procedere alla nomina del dott. PIO DE ANGELIS a Responsabile del trattamento, impartendogli dettagliate istruzioni in merito;
Tutto ciò premesso le Parti ut supra
convengono e stipulano quanto segue
1. PREMESSE
Le premesse formano parte integrante e sostanziale del presente atto.
2. OGGETTO
Il presente atto disciplina il trattamento effettuato dal Responsabile per conto del Titolare nell’ambito del rapporto tra gli stessi intercorrente di cui alle premesse, ai sensi dell’articolo 28 del Regolamento Europeo 679/2016. La nomina si riferisce, nello specifico, al trattamento delle “categorie particolari di dati personali” (art. 9, comma 1 del Regolamento) dei dipendenti del Titolare, avente carattere obbligatorio con riferimento alle finalità di medicina del lavoro.
3. NATURA E LA FINALITÀ DEL TRATTAMENTO
Il trattamento avverrà in relazione alle esigenze contrattuali di cui al rapporto principale e ai conseguenti adempimenti degli obblighi legali e fiscali, come per legge e, in particolare per una efficace gestione del rapporto professionale in essere tra Responsabile e Titolare di cui alle premesse.
4. TIPO DI DATI PERSONALI
I dati trattati dal Responsabile per conto del Titolare saranno i dati comuni (dati anagrafici, dati di contatto, ecc.) ed in particolare i dati appartenenti alla categoria dei dati particolari ex art. 9 GDPR (c.d. “dati sensibili”, ad esempio referti medici, dati inerenti l’attività lavorativa svolta e di carriera, o all’appartenenza sindacale, ecc.), dati giudiziari ex art. 10 GDPR.
5. CATEGORIE DI INTERESSATI:
Gli interessati saranno tutti i lavoratori dell’organizzazione sulla base dei protocolli di rischio in rapporto alle attività svolte e altri soggetti, persone fisiche, i cui dati saranno trattati nell’ambito del rapporto intercorrente tra il Titolare e il Responsabile.
6. MODALITA’ DEL TRATTAMENTO
6.1. Il Responsabile tratterà i dati personali soltanto su istruzione documentata del Titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il Responsabile del trattamento; in tal caso, il Responsabile del trattamento informa il Titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
6.2. Il Responsabile potrà individuare e nominare per iscritto gli incaricati del trattamento (c.d. persone
autorizzate al trattamento) impartendo loro le idonee istruzioni e vigilandone il rispetto. In particolare il Responsabile dovrà garantire che tali persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza. Inoltre il Responsabile garantirà che le persone autorizzate al trattamento dei dati personali siano state designate per iscritto e adeguatamente istruite, nonché che si siano impegnate alla riservatezza o che abbiano un obbligo legale di riservatezza;
6.3. il Responsabile dovrà rispettare e far rispettare agli autorizzati al trattamento e agli altri soggetti che per qualsivoglia motivo entreranno in contatto con i trattamenti di dati personali di pertinenza del suo Ufficio le misure di sicurezza già attuate o che verranno in futuro predisposte ai sensi della normativa applicabile in materia di protezione dei dati personali. Il Responsabile dovrà inoltre verificare con cadenza almeno annuale che i profili di accesso assegnati agli autorizzati al trattamento siano adeguati e non eccedenti le esigenze della mansione o della Unità Organizzativa/operativa cui gli stessi sono stati assegnati;
6.4. il Responsabile del trattamento si impegna a mantenere strettamente riservate le informazioni ed i
documenti di cui abbia avuto conoscenza in ragione dell’esecuzione del presente contratto;
6.5. è fatto divieto al Responsabile ed ai suoi incaricati di estrarre copia dei dati personali contenuti nelle banche dati cartacee e informatiche e/o nella documentazione del Titolare, per effettuare qualunque operazione di trattamento diversa da quelle autorizzate o previste nell’ambito del rapporto professionale in essere tra Responsabile e Titolare di cui alle premesse.
7. DURATA DEL TRATTAMENTO
Ogni trattamento dei dati succitati, da effettuarsi solamente in conformità alle finalità sopra riportate, dovrà essere limitato al tempo necessario a dare esecuzione al rapporto intercorrente tra Titolare e Responsabile di cui alle premesse, salvi gli specifici obblighi che per loro natura sono destinati a permanere. Qualora il rapporto tra le parti venisse meno o perdesse efficacia per qualsiasi motivo o i servizi del Responsabile non fossero più erogati, anche il presente contratto verrà automaticamente meno senza bisogno di comunicazioni o revoche e il Responsabile non sarà più legittimato a trattare i dati per conto del Titolare.
Al termine delle operazioni di trattamento affidate, nonché all’atto della cessazione per qualsiasi causa del trattamento da parte del Responsabile, quest’ultimo sarà tenuto a cancellare o restituire, a seconda delle istruzioni ricevute, al Titolare i dati personali oggetti del trattamento, salvo i casi in cui la conservazione dei dati sia richiesta dal diritto dell’Unione Europea o da norme di legge nazionale.
In entrambi i casi il Responsabile provvederà a rilasciare al Titolare apposita dichiarazione per iscritto contenente l'attestazione che presso il Responsabile non esiste alcuna copia dei dati personali e delle
informazioni di titolarità del Titolare.
8. DIRITTI E OBBLIGHI DEL TITOLARE DEL TRATTAMENTO
Il Titolare del trattamento ha diritto di richiedere in qualsiasi momento tutte le informazioni nonché di eseguire verifiche necessarie al fine di assicurarsi che il Responsabile del trattamento rispetti gli obblighi di cui al presente Accordo, impartendo tutte le istruzioni riguardanti il trattamento dei Dati Personali oggetto dell’Accordo stesso.
9. DIRITTI E OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO
Il nominato Responsabile del trattamento ha il dovere di compiere tutto quanto necessario per il rispetto delle vigenti disposizioni di legge in materia di trattamento dei dati personali nelle attività operate nell’ambito del proprio incarico. In particolare:
9.1. il trattamento dei Dati personali è realizzato dal Responsabile esclusivamente nell’adempimento delle
proprie obbligazioni nascenti dall’Incarico professionale assunto;
9.2. il Responsabile si impegna a fornire al Titolare qualsiasi informazione necessaria per il rispetto degli obblighi della normativa sulla privacy;
9.3. il Responsabile si impegna a mettere in atto le misure tecniche ed organizzative richieste ai sensi dell’art. 32 GDPR in modo che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti degli interessati. In particolare, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Responsabile del trattamento, così come il Titolare del trattamento, mette in atto misure tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la
resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in
caso di incidente tecnico o fisico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure
tecniche ed organizzative al fine di garantire la sicurezza del trattamento.
Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo, dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, perdita, modifica, divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. E’ cura del Responsabile contribuire alla periodica valutazione del livello di adeguatezza complessivo della
sicurezza, riguardo alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati, alle specifiche caratteristiche dei trattamenti realizzati sotto la propria responsabilità;
9.4. Il Responsabile rispetterà le condizioni previste ai paragrafi 2 e 4 dell’art. 28 del Regolamento UE 679/2016 per ricorrere a un altro responsabile del trattamento, ovvero non potrà ricorrere ad altro Responsabile, c.d. sub Responsabile, senza previa autorizzazione scritta, specifica o generale del Titolare del trattamento. Nel caso di autorizzazione generale, il Responsabile del trattamento informerà il Titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al Titolare del trattamento l’opportunità di opporsi a tali modifiche;
9.5. Il Responsabile assisterà il Titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato come previsto agli articoli da 15 a 21 del Reg. 679/2016 UE;
9.6. Il Responsabile tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento dovrà assistere il Titolare nel processo di valutazione d’impatto sulla protezione dei dati (DPIA – Data Protection Impact Assessment) di cui all’art. 35 del Regolamento, nonché nella eventuale fase di consultazione preventiva con l’Autorità di controllo ai sensi dell’art. 36 del Regolamento, qualora la valutazione d’impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal Titolare per attenuare il rischio;
9.7. il Responsabile sarà, inoltre, tenuto a comunicare tempestivamente al Titolare istanze degli interessati, contestazioni, ispezioni o richieste dell'Autorità di Controllo e dalle Autorità Giudiziarie, ed ogni altra notizia rilevante in relazione al trattamento dei dati personali.
10. ISTRUZIONI FORNITE DAL TITOLARE
Nell’espletamento del suo incarico il Responsabile del trattamento dovrà attenersi alle disposizioni vigenti previste dalla legislazione in materia di igiene e sicurezza nei luoghi di lavoro ed avrà la responsabilità di compiere le operazioni di trattamento sotto elencate, con l’avvertimento che dovrà operare con la massima riservatezza e discrezione, nel rispetto dei principi del Regolamento 679/2016 in materia di “privacy e data protection” e con particolare attenzione al mantenimento delle misure di sicurezza adottate, con l’impegno di segnalare immediatamente e senza ritardo ogni problematica e violazione dei dati personali al Titolare.
In particolare:
1) i dati personali per i quali viene conferito l’incarico potranno essere trattati con il supporto di mezzi
cartacei, informatici o telematici per effettuare, in conformità alle norme di legge, la sorveglianza
sanitaria prevista dalla normativa cogente, avendo cura che l’accesso agli stessi sia consentito solo
a soggetti autorizzati;
2) ferme restando le comunicazioni agli organi sanitari di controllo competenti eseguite in adempimento di specifici obblighi di legge, i soli giudizi di idoneità verranno comunicati per iscritto al datore di lavoro ed allo stesso dipendente interessato;
3) tutti i dati predetti verranno conservati sotto l’esclusiva e diretta responsabilità del medico competente mediante l’istituzione di una cartella sanitaria e di rischio custodita presso lo stesso. Il medico competente si coordinerà con la scuola per l’individuazione e l’applicazione delle necessarie misure di sicurezza atte a garantire la riservatezza ed integrità dei dati;
4) il medico competente dovrà garantire al dipendente interessato tutti i diritti previsti dal Regolamento 2016/679 e i diritti di informazione previsti dalle norme sull’igiene e la sicurezza nei luoghi di lavoro;
5) i dati della cartella sanitaria, dopo la risoluzione del rapporto di lavoro, dovranno essere consegnati in copia al dipendente e, nei casi in cui vi è esposizione ad agenti cancerogeni, consegnati in originale all’ente competente;
6) vigilare l’accesso agli uffici per evitare accessi non autorizzati alle stanze adibite ad archivi;
7) per i dati conservati in supporti informatici, utilizzare sempre un sistema di autorizzazione/autenticazione personale e non lasciare incustodito lo strumento informatico durante una sessione di trattamento, né lasciare la documentazione cartacea visibile a chiunque;
8) verificare che i documenti cartacei contenenti dati personali non rimangano incustoditi, ma riposti e chiusi ove previsto dal Responsabile stesso;
9) individuare, nominare e incaricare per iscritto, un “Custode delle Password” qualora vi siano più
incaricati del trattamento effettuato con mezzi informatici;
10) individuare, nominare e incaricare per iscritto, gli “Amministratori di Sistema”;
11) redigere ed aggiornare, ad ogni variazione, l’elenco dei sistemi di elaborazione connessi in rete pubblica, nonché l’elenco delle tipologie dei trattamenti effettuati;
12) con l’ausilio degli “Amministratori di Sistema” attribuire ad ogni “Utente” (USER) o incaricato un “Codice identificativo personale” (USER–ID) per l’utilizzazione dell’elaboratore, che deve essere individuabile e non riutilizzabile;
13) autorizzare i singoli incaricati del trattamento e della manutenzione, nel caso di trattamento di dati sensibili, qualora si utilizzino elaboratori accessibili in rete; per gli stessi dati, qualora il trattamento sia effettuato tramite elaboratori accessibili in rete disponibili al pubblico, saranno oggetto di
autorizzazione anche gli strumenti da utilizzare;
14) verificare, con l’ausilio degli “Amministratori di Sistema”, con cadenza almeno semestrale, l’efficacia dei programmi di protezione antivirus, nonché definire le modalità di accesso ai locali.
11. DATA BREACH (violazione di dati personali)
In caso dovesse verificarsi un data breach, il Responsabile dovrà:
- senza giustificato ritardo, e comunque entro e non oltre le 24 ore dopo essere venuto a conoscenza del data breach, informare il Titolare fornendo quanti più dettagli conosciuti al momento della comunicazione includendo, se possibile, la descrizione della natura della violazione, e aggiornare regolarmente il Titolare comunicando ogni altra ulteriore informazione attinente al breach;
- implementare ogni e qualsivoglia misura necessaria a ripristinare la sicurezza dei sistemi, dei file e delle informazioni compromesse;
- modificare le relative policy, procedure e prassi per evitare il riverificarsi di simili eventi.
Nell’ipotesi di breach, il Titolare potrà a sua discrezione decidere se notificare ai soggetti interessati coinvolti o a qualsiasi Autorità competente, a meno che tale comunicazione non sia richiesta al Responsabile dalla legge.
Il Responsabile si impegna a fornire la necessaria assistenza al Titolare per consentire a quest’ultimo di
procedere entro i termini di legge ad adempire alle prescrizioni normative in caso di breach.
12. REGISTRO CATEGORIE DI ATTIVITÀ DI TRATTAMENTO
Ai sensi dell’art. 30 comma II, il Responsabile si impegna a redigere, conservare ed eventualmente esibire al Titolare, un registro di tutte le categorie di attività relative al trattamento svolte per suo conto, evidenziando:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1 del Regolamento.
13. RESPONSABILITA’
Il Responsabile terrà indenne il Titolare da ogni danno, incluse le spese legali, dovesse allo stesso essere arrecato, anche indirettamente, da azioni od omissioni dello stesso Responsabile o da soggetti autorizzati ed istruiti al trattamento dal Responsabile medesimo.
14. FORO ESCLUSIVO
Tutte le controversie che dovessero insorgere tra le Parti in relazione alla validità, interpretazione ed esecuzione del presente Contratto saranno devolute alla giurisdizione esclusiva del Tribunale di PORDENONE.
15. VARIE
Eventuali modifiche al presente Accordo dovranno essere apportate per iscritto e potranno essere modificate solo attraverso una dichiarazione scritta concordata tra le Parti.
L’invalidità, anche parziale, di una o più delle clausole del presente Accordo non pregiudica la validità delle
restanti clausole.
Con il presente Accordo le Parti intendono espressamente revocare e sostituire ogni altro contratto o accordo tra esse esistente, relativo al trattamento dei dati personali.
Il presente atto si intende accettato mediante sottoscrizione del medesimo. Il soggetto che accetta il presente atto dichiara altresì di essere il titolare del contratto ovvero d'aver ricevuto idonei poteri di rappresentanza per manifestare la volontà.
Resta inteso che il presente contratto non comporta alcun diritto del Responsabile ad uno specifico compenso e/o indennità e/o rimborso derivante dal medesimo, compresi costi di riproduzione o messa a disposizione di documenti inerenti il Reg. 679/16.
*********
AI sensi e per gli effetti del REG. UE 679/2016 e del D. Lgs n. 196/2003 come modificato dal D. Lgs. n. 101/2018, la Scuola e il Professionista, per quanto possa occorrere e quali titolari di propri dati personali, dichiarano di essere informati che, i dati personali che li riguardano, reciprocamente comunicati in occasione delle procedure di perfezionamento dell’incarico, sono suscettibili di trattamento da parte di ciascuno di essi.
Il trattamento dei dati personali è finalizzato esclusivamente al rispetto delle clausole contrattuali, della normativa fiscale e degli altri obblighi di legge inerenti alla stipulazione e alla gestione del presente contratto. Le Parti garantiscono reciprocamente che i dati personali saranno trattati per le finalità suindicate, secondo principi di correttezza, liceità e trasparenza e con la tutela della riservatezza e dei diritti
delle medesime. I dati stessi saranno conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti e successivamente trattati.
Data
Per accettazione dell'incarico
Il Responsabile ESTERNO del Trattamento
Dott. PIO DE ANGELIS
Il Dirigente Scolastico dell’ISTITUTO COMPRENSIVO
VALLI DEL MEDUNA-COSA-ARZINO Xxxx. XXXXXX XXXX
(firma)
(firma)