Nomina del Responsabile del Trattamento ex art. 28 REG UE 679/2016
Nomina del Responsabile del Trattamento ex art. 28 REG UE 679/2016
ASSISTEDIL (d’ora in poi anche Titolare del trattamento), nella persona del suo rappresentante legale pro tempore, in qualità di Titolare del trattamento dei dati personali, ai sensi e per gli effetti del Regolamento UE 2016/679 (GDPR o Regolamento)
PREMESSO CHE
1. in forza del conferimento di incarico professionale di cui il presente costituisce allegato, il Titolare del trattamento si avvale del supporto del fornitore (di seguito “Responsabile”), che fornisce il servizio oggetto dell’incarico professionale conferito (di seguito, i “Servizi”);
2. l’espletamento di tali Servizi comporta il trattamento di dati personali, come da definizione dell’art. 4 GDPR 2016/679;
3. tenuto conto dei requisiti di esperienza, di capacità e di affidabilità è stato individuato/a come idoneo Responsabile del trattamento dei dati relativi alle categorie di interessati e per le finalità infra indicate;
4. pertanto, con il presente accordo (di seguito, Accordo) Assistedil intende nominare il fornitore quale Responsabile del Trattamento dei dati personali, impartendogli le opportune istruzioni in merito;
5. il presente accordo costituisce necessaria integrazione del contratto di fornitura di servizi tra le parti sottoscrittrici;
6. per dati personali devono intendersi quelli di cui alla definizione dell’art.. 4, 1) del GDPR e così pure il trattamento è definito dal l’art. 4,
2) del medesimo Regolamento EU;
7. i dati personali trattati dal Responsabile per conto del Titolare saranno quelli comunicati dal Titolare per l’esecuzione del contratto di cui al punto 1;
8. nell’ambito dello svolgimento dei servizi, il Titolare trasmette al Responsabile le categorie di dati personali indicate nel presente accordo e/o ne consente l’accesso, affinché il Responsabile medesimo li tratti per l’esecuzione dei servizi.
Tutto ciò premesso, che costituisce parte integrante e sostanziale del presente accordo tra le Parti è
nominato
Responsabile del trattamento ai sensi dell’art. 28 del Reg. UE 679/2016 (GDPR) relativamente e limitatamente ai trattamenti effettuati, mediante strumenti elettronici o anche diversi, nell’ambito delle attività di fornitura dei servizi di cui alle premesse, in relazioni alle tipologie di dati e di interessati di seguito indicati:
TRATTAMENTO | Accreditamento Azienda |
DURATA | 12 mesi naturali consecutivi |
NATURA | Codice fiscale ed altri numeri di identificazione del personale Nominativo, indirizzi o altri elementi di identificazione personale (dati di contatto e mail, telefono, ecc..) |
FINALITA’ | Accreditamento Azienda |
TIPO DI DATI PERSONALI | Dati comuni |
CATEGORIE DI INTERESSATI | Lavoratori e soci dell’Azienda |
1. Definizioni
Oltre ai termini con iniziale maiuscola definiti in altre previsioni di questa Nomina, i termini di seguito elencati avranno il significato qui previsto siccome risulta dal Regolamento.
1.1. Data Breach. La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali trasmessi, conservati o comunque trattati.
1.2. Dato Personale. Qualsiasi informazione riguardante una persona fisica identificata o identificabile (“Interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
1.3. Titolare. Persona fisica o giuridica, autorità pubblica il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del Trattamento dei Dati Personali. Ai fini di questa Nomina, la Società è il Titolare.
1.4. Trattamento. Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
2. Tipo di Dati Personali
2.1. Nell’ambito dello svolgimento dei Servizi, il Titolare trasmette e/o dà accesso al Responsabile, alle categorie di Dati Personali di seguito elencate, esclusivamente affinché il Responsabile li tratti per l’esecuzione dei Servizi e secondo le istruzioni ricevute dal Titolare. Si specifica che tutti i Dati Personali che il Responsabile riceve dal Titolare, o cui il Responsabile ha accesso su autorizzazione del Titolare, o comunque trattati dal Responsabile per conto del Titolare, sono di seguito indicati come “Dati”.
2.2. Nell’ambito dell’esecuzione dei Servizi potrebbero essere trasmesse al Responsabile categorie particolari di Dati Personali, come definite dall’art. 9 comma 1 del Regolamento, relativamente ai quali il Titolare ha ricevuto specifico consenso, laddove richiesto o previsto da norme di legge o regolamento.
2.3. I Dati così come i supporti dati e tutte le copie degli stessi rimangono di esclusiva proprietà del Titolare e devono essere trattate per tutta la durata dell’incarico secondo le procedure di sicurezza.
3. Finalità del trattamento
3.1. Il Responsabile tratta i Dati esclusivamente per lo svolgimento dei Servizi oggetto dell’incarico ricevuto dal Titolare, come descritti nel Contratto di cui la presente costituisce parte integrante.
3.2. Il Responsabile è autorizzato a trattare i Dati solo nell'ambito dei Servizi e delle istruzioni del Titolare (ciò vale, in particolare, anche per la relativa rettifica, cancellazione o per la limitazione del Trattamento) e solo nella misura in cui il Trattamento è necessario per questo scopo, tranne quando il Responsabile è obbligato al Trattamento dal diritto dell'Unione o degli Stati membri; in tal caso, il Responsabile informerà il Titolare in merito a tali requisiti legali prima del Trattamento, a meno che la pertinente normativa non vieti tale informazione per rilevanti motivi di interesse pubblico (art. 28 comma 3, lettera a) del Regolamento).
4. Obblighi del Responsabile del Trattamento
4.1. Nell’ambito dei Trattamenti effettuati dal Responsabile sulla base del presente Accordo, il Responsabile è tenuto:
4.1.1. A rispettare le istruzioni impartite in qualsiasi momento dal Titolare riguardo il Trattamento dei Dati e le relative misure di sicurezza. Qualora il Responsabile ritenesse che un’istruzione del Titolare violi la legge applicabile sulla protezione dei dati, lo indicherà immediatamente al Titolare;
4.1.2. A dare seguito senza indugio alle richieste del Titolare di accesso, rettifica, cancellazione, limitazione del trattamento e portabilità dei Dati (per quei Dati trattati con mezzi automatizzati) e a dare al Titolare ogni supporto necessario affinché questo possa dare seguito alle richieste degli Interessati rispetto ai propri Dati Personali, in particolare rispetto all’esercizio dei diritti previsti dagli articoli da 15 a 22 del Regolamento;
4.1.3. Ad adottare le misure di natura tecnica e organizzativa previste dall’art. 32 GDPR che risultino opportune per la protezione e la sicurezza dei Dati, in particolare rispetto alla sicurezza, riservatezza, integrità e disponibilità di tali Dati;
4.1.4. A dare accesso ai Dati solamente a persone incariate o autorizzate che siano coinvolte nello svolgimento dei Servizi e che necessitino al fine di tale svolgimento;
4.1.5. A garantire che le persone all’interno della propria organizzazione che trattano i Dati siano state propriamente formate sulle buone pratiche e procedure per garantire la protezione di tali Dati e siano vincolate a mantenere la riservatezza sui Dati; che le medesime persone siano obbligate alla riservatezza;
4.1.6. A monitorare l’accadimento di Data Breach all’interno della propria organizzazione e comunque nell’esecuzione dei Servizi e/o i Trattamenti per conto del Titolare e ad informare immediatamente ed in modo completo il Titolare di tale Data Breach, in ogni caso non più tardi di 12 (dodici) ore dalla sua scoperta, ed a porre immediatamente in essere le misure necessarie o utili per rimediare al Data Breach o comunque contenerne gli effetti;
4.1.7. A non trasmettere i Dati e terzi ed in nessun caso a non trasmetterli al di fuori del territorio dell’Unione Europea;
4.1.8. A creare copie dei Dati solo ove strettamente necessario per lo svolgimento dei Servizi;
4.1.9. Ad informare immediatamente il Titolare se un'autorità di vigilanza si attiva nei confronti del Responsabile e se le relative attività possono influenzare il trattamento dei Dati.
4.1.10. Nel caso in cui un’autorità di vigilanza si attivi nei confronti del Titolare, il Responsabile dovrà assistere il Titolare nell'adempimento dei propri obblighi (in particolare per l'obbligo d'informazione e la tolleranza dei controlli) nei confronti dell'autorità di vigilanza (art. 31 del Regolamento).
4.1.11. A mettere a disposizione del Titolare le informazioni relative al Trattamento dei Dati che sono necessarie per l’adempimento da parte del Titolare degli obblighi di legge (tra cui, specificamente, le richieste degli Interessati o delle autorità e l'osservanza del proprio dovere di responsabilizzazione, secondo l'art. 5 comma 2 del Regolamento, come pure l'esecuzione di una valutazione dell'impatto sulla tutela dei dati ai sensi dell'art. 35 del Regolamento);
4.1.12. A permettere che il Titolare o un terzo da questo nominato svolga verifiche presso gli uffici del Responsabile sul rispetto delle previsioni della presente Nomina e della normativa applicabile, e a collaborare durante tali verifiche. Le verifiche di cui al presene punto dovranno comunque avvenire con modalità ragionevoli e che non arrechino un disturbo o danno sproporzionato alle attività del Responsabile.
4.2. Tutte le attività ed obblighi previsti a carico del Responsabile dalla presente Nomina non prevedono remunerazione oltre a quanto già pattuito per lo svolgimento dei Servizi.
5. Rapporti di Subappalto (sub-responsabili)
5.1. Il Responsabile è autorizzato ad avvalersi di terzi per lo svolgimento dei Trattamenti per conto del Titolare.
5.2. Il Responsabile si impegna a nominare tali terzi quali sub-responsabili del Trattamento, selezionandoli tra soggetti che forniscano garanzie sufficienti sulla protezione dei dati. Si impegna a monitorare i Trattamenti per conto del Titolare svolti dal sub-Responsabile, con pattuizione di obblighi del sub-Responsabile e diritti del Titolare di contenuto non inferiore a quelli previsti nella presente Nomina (in particolare, in merito alle misure minime di sicurezza, alla fornitura di informazioni e alla tolleranza dei controlli).
Il Responsabile si impegna inoltre a tenere costantemente monitorato e aggiornato l’elenco dei sub- responsabili incaricati, apportando modifiche riguardanti l’aggiunta o la sostituzione degli stessi. Tale elenco è messo a disposizione del Titolare che potrà così esercitare la facoltà di opporsi a tali nomine e/o modifiche.
6. Trattamento in Paesi Terzi
6.1. Il trattamento dei Dati ha luogo esclusivamente in Stati membri dell'Unione europea.
6.2. L’eventuale invio dei Dati in un Paese terzo, anche da parte di un sub-responsabile, richiede il preventivo consenso scritto del Titolare e può avvenire esclusivamente se sono rispettate le condizioni preliminari speciali degli artt. 44 ss. del Regolamento, escluso quando il Responsabile è obbligato, dal diritto dell'Unione o dei Paesi Membri cui è soggetto il Responsabile, al trattamento in Paesi Terzi; in tal caso, il Responsabile informerà il Titolare in merito a tali requisiti legali prima del trattamento, a meno che la pertinente normativa non vieti tale informazione a causa di un importante interesse pubblico (art. 28 comma 3, lett. a del Regolamento).
7. Durata del Trattamento, Cessazione del Contratto e Cancellazione dei Dati
7.1. Il presente accordo con la nomina a Responsabile è efficace per tutto il periodo in cui il Responsabile tratta Dati per conto del Titolare, come previsto del contratto di prestazione di servizi. La nomina si intenderà automaticamente risolta nel momento in cui, per qualsiasi motivo, il Responsabile non trattasse più Dati per conto del Titolare. Il Titolare può revocare la nomina in qualsiasi momento, facendone comunicazione scritta al Responsabile.
7.2. In ogni caso di revoca, recesso o comunque di cessazione del presente accordo e della Nomina, il Responsabile dovrà:
7.2.1. cancellare o restituire – nonché procurare la cancellazione o restituzione da parte di tutti i sub- Responsabili, a scelta del Titolare - tutti i Dati e le loro copie (nonché tutta la documentazione di cui è entrato in possesso nel contesto dello svolgimento dei Servizi, tutti i risultati del trattamento e di utilizzo e gli insiemi di Dati), se non sussiste un obbligo di memorizzare i Dati in conformità con il diritto dell'Unione o il diritto degli Stati membri (art. 28 comma 1, lett. g del Regolamento);
7.2.2. consegnare al Titolare una dichiarazione scritta che attesti l’avvenuta restituzione o cancellazione, secondo la scelta del Titolare, di tutti i Dati e le loro copie.
7.3. In qualsiasi caso di conservazione o trattamento dei Dati successivo alla revoca o cessazione della Nomina per adempiere ad obblighi di legge o per altri motivi legittimi, gli obblighi del Responsabile previsti da questa Nomina permangono fino alla cessazione di tutti i Trattamenti.
8. Responsabilità Civile
8.1. Il Responsabile tiene indenne il Titolare, nonché tutti i suoi dipendenti, collaboratori, soci e amministratori, da qualsiasi danno o pregiudizio (incluse le spese legali sostenute per la difesa in giudizio) che questi dovessero subire quale conseguenza di un inadempimento da parte del Responsabile alle previsioni di questa Nomina e/o alle previsioni del Regolamento e delle altre disposizioni di legge o regolamentari applicabili.
8.2. Il Responsabile rimane direttamente responsabile nei confronti del Titolare per inadempimenti da parte dei suoi sub-Responsabili, tenendo indenne il Titolare, nonché tutti i suoi dipendenti, collaboratori, soci e amministratori, da qualsiasi danno o pregiudizio (incluse le spese legali sostenute per la difesa in giudizio) che questi dovessero subire quale conseguenza di tale inadempimento.
9. Disposizioni Finali, Modifiche, Forma di Comunicazione, Scelta della Legge Applicabile, Foro Competente
9.1. Modifiche al presente accordo sono effettuate soltanto per iscritto tra le parti.
9.2. Le comunicazioni tra le parti nell’ambito della presente Nomina, incluse le istruzioni impartite dal Titolare al Responsabile, potranno avvenire anche a mezzo e-mail agli indirizzi indicati nel presente accordo o comunicati per iscritto dalle Parti.
9.3. La presente Nomina è regolata dalla legge italiana e per qualsiasi controversia derivante da questa Nomina, inclusa la sua esistenza, interpretazione ed adempimento, è esclusivamente competente il Tribunale di Rovigo.
9.4. Per quanto qui non espressamente modificato, rimane pienamente valido ed efficace tra le parti l’accordo già in essere per la prestazione dei Servizi.
9.5. I dati di contatto per eventuali comunicazioni sono i seguenti: Assistedil : email xxxx@xxxxxxxxxx.xx – xxx@xxxxxxxxxx.xx -
PEC xxxxxxxxxx.XX00@xxxxxxx.xxxxxxxxxx.xx//
, lì
Il titolare del trattamento ASSISTEDIL
Letto confermato sottoscritto
Responsabile del trattamento
Ai sensi degli artt. 1341 c.c. si sottoscrive espressamente: Clausola 9.3 foro competente
Il titolare del trattamento ASSISTEDIL
Responsabile del trattamento