Free Standard Templates

Explore a free library of open-source, peer-reviewed contract standards, adopted by thousands of business around the world and signed millions of times.

Explore Now
oneNDA-badge

CONTRATTO DI NOMINA DEL RESPONSABILE DEL TRATTAMENTO



CONTRATTO DI NOMINA DEL RESPONSABILE DEL TRATTAMENTO


Ai sensi del presente atto di nomina, il Titolare dei dati personali è il soggetto che ha aderito al contratto per la prestazione di servizi (xxxxx://xxx.xxxxxxx.xxx/xxxxx-xxx-xxxxxxxxxx/00000000) con Adriatica Sistemi Soc. Coop., Strada della Bonifica, 108/110, codice fiscale e P.IVA 01999590688 (congiuntamente, le “Parti”).


Il Titolare, in conformità alle prescrizioni di cui al Regolamento (UE) 2016/679 (di seguito “Regolamento”) intende, con il presente atto nominare Adriatica Sistemi Soc. Coop. come Responsabile esterno del Trattamento Dati (il “Responsabile”).


Premesso che


1. Le Parti hanno stipulato un contratto (“Contratto”) che ha ad oggetto la fornitura della licenza per l’utilizzo del software Webfatt.

2. Il Responsabile è tenuto a fornire al Titolare (di seguito, il “Servizio”):

1. Il software secondo i termini previsti nel Contratto

2. Uno spazio web per l’archiviazione dei dati inseriti nel gestionale Webfatt dall’utente stesso;

3. Su richiesta dell’utente un servizio di teleassistenza remota per la risoluzione di qualunque problematica inerente al software fornito;

3. Le attività specificate al punto 2) che precede comportano, o possono comportare [cfr. § 2(ii) e (iii)] , il trattamento (“Trattamento1) di dati personali (“Dati Personali” o “Dati2) ai sensi del Regolamento (UE) 2016/679, (di seguito “Regolamento”). Il Trattamento è, in particolare, individuato come segue:


Trattamento

durata del Trattamento

finalità del Trattamento

natura dei Dati Personali trattati

Categorie di Interessati 3

Fornitura del servizio di archiviazione dei dati inseriti tramite il software Webfatt su server remoto tramite connessione internet.

365gg dall’acquisto

Permettere al Titolare di archiviare i propri dati su un database web.

Dati di fatturazione, movimentazione magazzino, anagrafiche clienti e fornitori, anagrafiche articoli, scadenze pagamenti, gestione appuntamenti, diario presenze

dipendenti …

I dati possono appartenere al Titolare o ai clienti del Titolare

Accesso alla periferica dell’utente mediante il servizio di teleassistenza adottato

dal Responsabile

Il tempo strettamente necessario alla prestazione del servizio di assistenza.

Tentare di risolvere problematiche tecniche inerenti all’utilizzo del software.

Database e componenti (file) necessari al funzionamento del software Webfatt

I dati possono appartenere al Titolare o ai clienti del Titolare


4. L’art. 5 del Regolamento prevede che il Trattamento dei Dati Personali debba avvenire in stretta osservanza ai principi del trattamento ivi enunciati. In particolare, i Dati Personali debbano essere trattati in ossequio ai principi di:

- "Liceità, correttezza e trasparenza"; tale principio implica che il trattamento dei Dati debba essere effettuato in osservanza alle disposizioni di legge applicabili, in maniera corretta e secondo logiche di assoluta trasparenza nei confronti degli Interessati;

- "Limitazione di finalità"; tale principio implica che i Dati debbano essere raccolti e trattati per finalità determinate, esplicite e legittime e trattati in maniera compatibile con le finalità di trattamento perseguite;


1 Ai sensi dell’art. 4 punto 2) del Regolamento il trattamento è definito come: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

2 Ai sensi dell’art. 4 punto 1) del Regolamento il dato personale è: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

3 L’Interessato è la persona fisica cui appartengono i Dati Personali oggetto del Trattamento.


- "Minimizzazione dei Dati"; tale principio implica che i Dati trattati debbano essere adeguati, pertinenti e limitati a quanto necessario per le finalità di trattamento perseguite;

- "Esattezza"; i Xxxx Personali devono essere esatti e, in difetto di tale qualità, cancellati o corretti o aggiornati;

- "Limitazione della conservazione"; tale principio implica che i Dati debbano essere conservati per il periodo limitato e sufficiente a rispetto alle finalità di trattamento perseguite

- “Integrità e riservatezza”; i Dati Personali devono essere trattati in maniera tale da garantirne la sicurezza, ivi inclusa la protezione, mediante misure tecniche ed organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali;

5. In ossequio al principio di “responsabilizzazione” di cui all’art. 5 comma 2 del Regolamento, il Titolare è tenuto a garantire che il Trattamento avvenga in ossequio ai principi elencati al punto 4 che precede e deve essere in grado di dimostrarlo, anche qualora esso Titolare non effettui direttamente il Trattamento;

6. L'ambito di trattamento assegnato al Responsabile è limitato a quanto strettamente necessario per permettere che le operazioni di cui ai punti 1) e 2) che precedono abbiano luogo;

7. Il Responsabile si impegna a procedere al Trattamento dei Dati Personali attenendosi rigorosamente alle istruzioni impartite dal Titolare mediante il presente contratto di nomina finalizzate a rendere tale Trattamento aderente ai principi enunciati dal Regolamento e, in generale, alle disposizioni in esso contenute;

8. Il Titolare ritiene che il Responsabile del Trattamento presenti garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il Trattamento avvenga in ossequio alle norme presenti nel Regolamento e garantisca la tutela dei diritti dell’Interessato.


Tutto ciò premesso, il Titolare, in conformità alle prescrizioni di cui al, intende, con il presente atto, nominare Aruba Business S.r.l. e Netsons S.r.l. come Responsabili Esterni del Trattamento Dati, ai sensi e per gli effetti di cui all’art. 28 del Regolamento.


Istruzioni sul trattamento


1. Oggetto del presente accordo


1.1. Il Presente accordo ha per oggetto la nomina del Responsabile ed il conferimento allo stesso delle istruzioni relative al Trattamento dei Dati Personali ai sensi e per gli effetti di cui all’art. 28 del Regolamento.


1.2. Le operazioni nell’ambito delle quali il Trattamento di Dati Personali è individuato sono quelle evidenziate ai punti 1) e 2) di cui alle Premesse del presente atto. Il Responsabile ha l’obbligo di compiere esclusivamente le operazioni di Trattamento necessarie per la fornitura del Servizio come ivi individuato.


2. Misure di sicurezza


2.1 Nell’ambito di trattamento individuato al paragrafo 1.2 che precede, il Responsabile ha l’obbligo di verificare l’adozione, l’applicazione, il funzionamento ed il rispetto delle misure di sicurezza individuate ai sensi dell’art. 32 del Regolamento.


2.2 Il Responsabile tratterà i Dati Personali in modo tale da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, degli stessi nonché di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità del trattamento. A tal fine, il Responsabile è tenuto ad adottare tutte le misure di sicurezza idonee a salvaguardare la riservatezza, l’integrità e la completezza dei Dati oggetto del Trattamento, tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.


2.3 Il Responsabile è tenuto, in particolare, ad assicurarsi che tali misure di sicurezza siano idonee a ridurre al minimo i rischi di:

- Distruzione o perdita intenzionale o accidentale dei dati;

- Accesso non autorizzato;

- Trattamento non consentito;

- Trattamento non conforme alle finalità dello stesso

nonché per minimizzare gli ulteriori ed eventuali rischi che il Responsabile dovesse individuare con riferimento al Trattamento.


2.4 Al Responsabile è concessa la facoltà, sempre nell’ambito del Trattamento individuato nel presente documento, di procedere all’adozione di eventuali ed ulteriori misure di sicurezza che esso riterrà opportune per proteggere i Dati Personali con particolare riferimento alla protezione da rischi di intrusione ad opera di programmi diretti a danneggiare o interrompere il funzionamento dei sistemi informatici, anche in considerazione dello stato di avanzamento della tecnica nel settore.

A tal fine, il Responsabile sarà tenuto a comunicare preventivamente le proprie proposte al Titolare che si riserva il diritto di non aderire alla proposta formulata dal Responsabile.


2.5 Qualora il Responsabile dovesse utilizzare strumenti tecnici di terzi fornitori per l’erogazione del Servizio, il Responsabile avrà cura di cura di comunicarlo preventivamente al Titolare in modo da permettere a quest’ultimo di opporsi al Trattamento dei Dati Personali da parte di tali terzi fornitori.


2.6 Il Responsabile è tenuto ad osservare ed a fare osservare ai propri dipendenti e a chiunque altro (consulenti, subappaltatori, ecc.) sia deputato ad effettuare le operazioni connesse al Trattamento le misure di sicurezza adottate e, in generale, le prescrizioni contenute nel presente atto.


2.7 Il Responsabile s’impegna a mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di legge e per consentire ed agevolare le attività di revisione ed ispezione realizzate dal Titolare o da altro soggetto da questi incaricato.


3. Soggetti Autorizzati al Trattamento


3.1 Il Responsabile s’impegna a non diffondere i Dati Personali ed a non metterli a disposizione di terzi, direttamente o indirettamente, salve le ipotesi in cui ciò sia necessario per adempiere ad obblighi di legge o previsti dal presente atto di nomina.


3.2 In particolare, il Responsabile garantisce che i Dati Personali saranno trattati esclusivamente da persone autorizzate (di seguito, “Soggetti Autorizzati”) a compiere le operazioni legate all’ambito di Trattamento individuato nel presente accordo, fornendo agli stessi adeguate istruzioni in forza delle quali i Soggetti Autorizzati:


a) dovranno impegnarsi alla riservatezza ove non abbiano per legge o altro contratto stipulato con il Responsabile un adeguato obbligo legale di riservatezza già in essere;

b) dovranno operare con metodologie e strumenti di lavoro idonei all’acquisizione esatta dei Dati Personali, all’eventuale loro aggiornamento, alla loro conservazione e alla gestione secondo i principi di cui all’art. 5 del Regolamento di ogni fase dell’attività del Trattamento;

c) non potranno eseguire operazioni di trattamento per fini ulteriori al perseguimento delle finalità del Trattamento come individuate al punto 2) nelle premesse del presente contratto, e comunque eccedenti i compiti loro assegnati e non oltre il tempo stabilito per ogni operazione connessa al Trattamento;

d) avranno accesso ai Dati Personali solo attraverso password o codici di accesso, o in ogni caso misure di “strong authentication”, fermo restando l’obbligo di adottare tutte le misure di sicurezza adeguate al caso, ove il Trattamenti dei Dati Personali dovesse essere effettuato attraverso l’uso di sistemi informatici e telematici.


3.3 I Soggetti Autorizzati hanno parimenti l’obbligo di non diffondere i Dati Personali e non metterli a disposizione di terzi, direttamente o indirettamente, salve le ipotesi in cui ciò sia necessario per adempiere ad obblighi di legge o previsti dal presente atto di nomina o siano espressamente autorizzati dal Responsabile stesso.


3.4 Il Responsabile s’impegna a fornire ai Soggetti Autorizzati precise istruzioni operative, anche sotto il profilo delle misure di sicurezza, tenuto anche conto della natura dei Dati Trattati e di eventuali situazioni organizzative/ambientali particolari, nonché dei rischi connessi al Trattamento.


4. Rapporti con l’Autorità Garante e con gli Interessati


4.1 Il Responsabile – previe specifiche istruzioni impartite in questo senso dal Titolare – s’impegna a rispondere ad ogni richiesta dell’Autorità Garante relativamente all’ambito di competenza individuato nel presente atto quali, in via meramente esemplificativa ma non esaustiva, fornire informazioni o delucidazioni sul Trattamento; consentire lo svolgimento di controlli e adempiere tempestivamente ai provvedimenti eventualmente emanati dall’Autorità medesima.


4.2 Il Responsabile s’impegna, sempre con riferimento all’ambito del Trattamento individuato ai punti 1) e 2) in premessa, a cooperare pienamente con il Titolare al fine di rendere disponibili, nel più breve tempo possibile, le informazioni in proprio possesso per permettere al Titolare di dare seguito alle richieste degli Interessati, anche con riferimento alle richieste formulate per l’esercizio dei diritti di cui agli artt. 12 e ss. del Regolamento.


5. Notificazione di una violazione dei Dati Personali al Titolare e cooperazione in caso di notificazione del Titolare


5.1 Ai sensi dell’art. 33 comma 2 del Regolamento, il Responsabile sarà tenuto a notificare al Titolare, appena ne venga a conoscenza e, in ogni caso, senza ingiustificato ritardo ogni violazione dei Dati Personali (data breach) di cui venga a conoscenza nel perimetro del Trattamento oggetto del presente accordo.


5.2 Il Responsabile s’impegna, inoltre, a fornire la più ampia cooperazione al Titolare ed a condividere con quest’ultimo qualsivoglia informazione in proprio possesso nel caso in cui il Titolare sia tenuto a notificare una violazione dei Dati Personali al Garante ai sensi degli artt. 33 e ss. del Regolamento.


6. Cooperazione durante la procedura di valutazione d’impatto sulla protezione dei dati e in caso di consultazione preventiva dell’autorità garante


6.1 Il Responsabile s’impegna a fornire la più ampia cooperazione al Titolare ed a condividere con quest’ultimo qualsivoglia informazione in proprio possesso nel caso in cui il Titolare sia tenuto ad effettuare una valutazione d’impatto preventivo ai sensi degli artt. 35 e ss. del Regolamento.


6.2 Il Responsabile s’impegna, inoltre, per il Trattamento di propria competenza, a cooperare con il Garante o altra autorità nazionale di controllo competente e a mettere a disposizione di quest’ultima qualsivoglia informazione in proprio possesso e offrire la più ampia cooperazione per agevolare l’autorità nell’espletamento delle proprie funzioni nel corso della consultazione preventiva di cui all’art. 36 del Regolamento.


7. Obbligo di tenuta dei registri del Trattamento


Il Responsabile del trattamento s’impegna a tenere un registro di tutte le categorie di attività relative al Trattamento svolte per conto del Titolare ai sensi dell’art. 30 comma 5.


8. Trasferimento dati all’estero


8.2. Il Responsabile s’impegna a non effettuare alcun trasferimento di Dati Personali all’estero (i.e. al di fuori del territorio dello EEA) se non su istruzione documentata e specifica del Titolare.


8.3 Qualora la base giuridica del trasferimento effettuato dal Responsabile dovesse essere richiesto dal

diritto dell’Unione o nazionale cui è soggetto esso responsabile, quest’ultimo dovrà informare il Titolare di tale obbligo giuridico prima del trattamento del trattamento, salvo che il diritto applicabile espressamente vieti tale informazione per rilevanti motivi di interesse pubblico.


9. Autorizzazione generale alla nomina di altri responsabili


9.1 Il Titolare autorizza fin d’ora il Responsabile a ricorrere a terzi responsabili del trattamento.


9.2 Resta inteso che, qualora il Responsabile dovesse effettuare qualsivoglia modifica alle nomine effettuate (e.g. nominare nuovi responsabili o effettuare sostituzioni tra i responsabili già nominati), dovrà aver cura di darne previo avviso al Titolare, in un termine congruo e comunque precedente alla nomina, al fine di permettere a quest’ultimo di opporsi a tali nomine.


9.3 In ogni caso e ferme restando le disposizioni che precedono, il Responsabile è tenuto a fare osservare ai sub-responsabili, mediante la sottoscrizione di un apposito contratto o altro atto giuridico vincolante ai sensi della normativa applicabile, le prescrizioni contenute nel presente atto, avendo cura, in particolare, di prevedere garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti di legge.


10. Responsabilità contrattuale, manleva e conseguenze dell’inadempimento del Responsabile


10.1 Il Responsabile s’impegna a tenere il Titolare indenne e manlevato per qualsivoglia pretesa, ivi incluse le spese legali, che possa derivare da azioni di qualunque tipo avanzate nei confronti del Titolare a seguito dell’eventuale illiceità o non correttezza delle operazioni di Trattamento imputabili ad atto, fatto, comportamento, omissione e/o inadempimento contrattuale del Responsabile.


10.2 La responsabilità contrattuale del Responsabile rimane ferma anche qualora il Responsabile abbia fatto ricorso a terzi responsabili del trattamento, nominati secondo le modalità e nei limiti previsti nel paragrafo 9 del presente accordo. In particolare, qualora uno di tali terzi responsabili dovesse omettere di

adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile conserverà intatta nei confronti del Titolare l'intera responsabilità dell'adempimento degli obblighi del terzo responsabile, ai sensi dell’art. 28 comma 4 del Regolamento.


10.3 Il Responsabile è consapevole del fatto che, qualora dovesse violare le norme applicabili in materia di protezione dei dati personali, ivi incluse le norme di cui ai provvedimenti vincolanti emessi dalle autorità competenti, determinando le finalità e i mezzi del trattamento, esso Responsabile sarà considerato alla stregua di un titolare del trattamento effettuato.


11. Durata e cessazione del rapporto


11.1 La presente nomina decorre dalla data di stipulazione del Contratto ed è valida fino alla cessazione dei rapporti in essere, ovvero fino a che il Responsabile fornirà il Servizio al Titolare.


11.2 In caso di cessazione, per qualsiasi motivo occorsa, della presente nomina, il Responsabile è tenuto a restituire o cancellare i Dati Personali oggetto del Trattamento, attenendosi rigorosamente alle istruzioni impartite in questo senso dal Titolare.


12. Legge applicabile e foro competente


12.1 Il presente accordo è governato dalla legge italiana.


12.2 Qualsiasi controversia inerente l’interpretazione, l’esecuzione o, in ogni caso, nascente o derivata dalle obbligazioni sorte con il presente accordo sarà di competenza esclusiva del foro di Pescara.

Document Metadata

Filed: May 24th, 2019