Accordo sull'elaborazione
Accordo sull'elaborazione
Il sottoscritto:
1. xxxxxxxxx.xxxx
Nel prosieguo indicato come: Controllore
e
2. associazione culturale xxxxxxxxx.xxxx Nel prosieguo indicato come: Processore
Nel prosieguo indicato comunemente come: Parti;
LADDOVE:
Nella misura in cui il Contraente tratta i Dati personali per conto del Cliente nell'ambito del Contratto, il Cliente si qualifica come il Controllore del Trattamento dei Dati Personali e il Contraente come il Processore, ai sensi dell'articolo 4 (7) e (8) della Regolamentazione;
Le Parti del presente Accordo sull'Elaborazione dei Dati, ai sensi dell'Articolo 28, paragrafo 3, del Regolamento, desiderano registrare i loro accordi sul trattamento dei dati personali.
Convengono quanto segue:
1. Definizioni
I seguenti termini usati in questo Accordo di Elaborazione Dati hanno il significato di seguito indicato:
1.1 Accordo
L'accordo tra il Controllore ed il Processore.
1.2 Interessato
La persona a cui si riferiscono i Dati Personali
1.3 Accordo per l'elaborazione dei dati
Questo accordo inclusi i considerando e gli allegati.
1.4 Dati Personali
Qualsiasi informazione relativa ad una identificata o identificabile persona naturale che il Processore processa per conto del Controllore nell'ambito dell'Accordo.
1.5 Violazione Dati Personali
Una violazione della sicurezza che accidentalmente o illegalmente risulta nella distruzione, perdita, alterazione o condivisione non autorizzata o l'accesso a dati personali trasmessi, conservati o processati diversamente.
1.6 Elaborazione
Qualsiasi operazione o insieme di operazioni relative ai Dati personali nell'ambito dell'Accordo, eseguite mediante processi automatizzati o in altro modo, come la raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o alterazione, recupero, consultazione, uso, divulgazione mediante trasmissione, diffusione o messa a disposizione in altri modi, allineamento o combinazione, limitazione, cancellazione o distruzione.
1.7 Regolamento
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GDPR)
2. Oggetto del presente Accordo sull'elaborazione dei dati
2.1
Il presente Accordo sul trattamento dei dati regola il trattamento dei dati personali da parte del Processore nell'ambito di applicazione del Contratto.
2.2
La natura e lo scopo del Processo, il tipo di Dati Personali, e la categoria dei Soggetti dei Dati sono riportati nell'Allegato 1.
2.3
Il Processore garantisce l'attuazione di adeguate misure tecniche e organizzative, in modo che il Trattamento rispetti i requisiti del Regolamento e sia garantita la protezione dei diritti dell'interessato.
2.4
Il Processore garantisce la conformità ai requisiti della legislazione e dei regolamenti applicabili relativi al trattamento dei Dati personali.
2.5
I dati personali da processare secondo le istruzioni del Controllore devono rimanere di proprietà del Controllore.
3. Entrata in vigore e durata
3.1
Questo Accordo entrerà in vigore alla data in cui è stato firmato dalle Parti.
3.2
Il presente Accordo sul trattamento dei dati termina dopo e nella misura in cui il Processore ha cancellato o restituito tutti i Dati personali in conformità con l'Articolo 10.
3.3
Nessuna delle Parti può terminare questo Accordo per l'Elaborazione dei Dati prematuramente
3.4
Le parti possono modificare solo il presente accordo per mutuo consenso.
4. Ambito dell'autorità di elaborazione del processore
4.1
Il Processore deve trattare i Dati Personali esclusivamente sulla base delle istruzioni scritte del Controllore, salvo in caso di deroga alle disposizioni di legge applicabili al Processore.
4.2
Se, a giudizio del Processore, un'istruzione di cui al primo paragrafo è in conflitto con un regolamento statutario sulla protezione dei dati, ne informa il Controllore prima di Processarlo, a meno che una regolamentazione legale non vieti tale notifica.
4.3
Se il Processore deve provvedere Dati Personali sulla base di una disposizione statutaria, deve
informare il Controllore senza ritardi, e se possibile, prima di provvedere i dati.
4.4
Il Processore non ha controllo sui scopi e motivi dell'Elaborazione dei Dati Personali.
5. Sicurezza dell'Elaborazione
5.1
Il Processore cercherà di attuare adeguate misure tecniche e organizzative per quanto riguarda le operazioni di elaborazione dei dati personali da eseguire, contro la perdita o qualsiasi forma di trattamento illecito (come la divulgazione non autorizzata, il deterioramento, l'alterazione o la trasmissione di dati personali).
5.2
Le parti riconoscono che per garantire un adeguato livello di sicurezza possono essere necessarie ulteriori misure di sicurezza da attuare in qualsiasi momento. Il Processore deve garantire un livello di sicurezza adeguato al rischio. Se e nella misura in cui il Controllore lo richiede espressamente per iscritto, il Processore dovrà attuare misure aggiuntive in merito alla sicurezza dei Dati Personali.
5.3
Il Processore non deve trattare i Dati Personali al di fuori dell'Unione Europea, a meno che il Controllore non abbia dato un esplicito consenso scritto a tale scopo e soggetto a obblighi statutari derogatori.
5.4
Il Processore deve informare il Controllore senza irragionevole ritardo non appena sarà venuto a conoscenza di un trattamento illecito dei Dati Personali o di eventuali violazioni delle misure di sicurezza come riportato nel primo e secondo paragrafo.
5.5
Il Processore deve assistere il Controllore nel rispetto degli obblighi presenti negli Articoli 32 fino al 36 del Regolamento.
6. Obbligo di riservatezza del personale del Processore
6.1
I Dati Personali sono di natura riservata. Il Processore non utilizzerà questi dati per scopi diversi da quelli per i quali è stato acquisito, anche se è stato convertito in un formato tale da non poter essere ricondotto agli interessati.
6.2
Su richiesta del Controllore, il Processore dovrà dimostrare che il suo personale si è impegnato a rispettare la riservatezza. I dati personali saranno comunicati solo a quei dipendenti e/o a terze parti che devono necessariamente prendere conoscenza dei Dati personali.
6.3
Questo obbligo di riservatezza non si applica se il Controllore ha espresso il consenso a divulgare i dati a terzi, se la divulgazione dei dati a terzi è logicamente necessaria data la natura della cessione e l'esecuzione di questo Accordo di Trattamento dei Dati, o se c'è un obbligo legale di divulgare i dati a terzi.
7. Sub-processore
7.1
Nell'ambito di applicazione dell'Accordo, il Processore potrebbe utilizzare terze parti a patto che il Controllore venga informati in anticipo; il Controllore può terminare l'Accordo se non riesce ad accettare l'uso di una specifica terza parte.
7.2
In tutti i casi, il Processore deve assicurarsi che queste terze parti assumano, per iscritto, almeno le stesse obbligazioni sulle quali il Controllore ed il Processore hanno trovato accordo.
7.3
Il Processore è responsabile del corretto rispetto degli obblighi previsti dal presente Accordo sull'Elaborazione dei Dati da parte di queste terze parti e, in caso di errori da parte di queste terze parti, è responsabile come se fosse in errore.
8. Assistenza a causa dei diritti del Soggetto dei Dati
8.1
Nel caso in cui un soggetto interessato invii una richiesta al Processore per esercitare i suoi diritti legali, il Processore inoltrerà la richiesta al Controllore e il Controllore dovrà gestire ulteriormente la richiesta. Il Processore può informare l'interessato di conseguenza.
8.2
Il Processore, per quelle che sono le sue competenze, deve fornire assistenza al Controllore per adempiere all'obbligo di quest'ultimo di rispondere alle richieste del Soggetto interessato di esercitare i suoi diritti stabiliti nel Capitolo III del Regolamento.
9. Violazione Dati Personali
9.1
Il Processore deve informare il Controllore senza irragionevole ritardo, non appena viene a conoscenza di una violazione dei dati personali.
9.2
Informazioni che devono per forza essere fornite dal Processore includono: La natura della violazione dei dati personali
I dati personali ed il soggetto dei dati
Conseguenze tipiche di una Violazione di Dati Personali
Misure proposte o implementate dal Processore per rimediare alla Violazione di Dati Personali, incluso, dove adeguato, misure per mitigare i suoi possibili effetti negativi.
9.3
Il Processore deve informare anche il Controllore di ulteriori sviluppi relativi alla Violazione dei Dati Personali dopo aver segnalato la violazione ai sensi del primo paragrafo.
9.4
Ciascuna parte sopporterà le proprie spese relative alla relazione all'autorità di controllo competente e all'Interessato.
9.5
Ai sensi dell'articolo 33, paragrafo 5 del GDPR, Il Processore documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Su richiesta, il Processore deve provvedere al Controllore l'accesso a questa informazione.
10. Restituzione di dati personali
10.1
Dopo la scadenza dell'Accordo, il Processore deve, a discrezione del Controllore, provvedere alla restituzione di tutti i Dati Personali al Controllore oppure alla cancellazione di tutti i Dati Personali. Il Processore deve rimuovere tutte le copie, salvo dove diversamente previsto dalla legge.
11. Obbligo di divulgare informazioni e audit
11.1
Il Controllore deve avere il diritto di condurre audit per verificare la conformità con tutti i punti dell'Accordo sull'Elaborazione dei Dati e tutto ciò direttamente collegato ad esso. Tale verifica ha luogo solo dopo che il Controllore ha richiesto analoghe relazioni di controllo dal Processore, le ha esaminate e ha presentato argomenti ragionevoli per giustificare un audit avviato dal Controllore.
11.2
Such an audit may be carried out once every calendar year, and more often in the event of a concrete suspicion of abuse. The Controller shall communicate the audit to the Processor in advance, with due observance of a minimum period of two weeks.
11.3
I risultati relativi all'audit concluso saranno valutate dalle Parti in consultazione congiunta e, in base alla valutazione, implementati (o no) dalla parte o in congiunta da entrambe le Parti.
11.4
I costi dell'audit come descritto nel paragrafo 1 sono a carico del controllore dei dati.
12. Altri Termini e Condizioni
12.1
Il Processore sarà responsabile nei confronti del Controllore per tutte le conseguenze della violazione del presente Accordo sull'Elaborazione dei Dati e dovrà manlevare il Controllore da tutte le pretese di terzi, incluse eventuali penali, nella misura attribuibile al Processore.
Annesso 1: L'elaborazione dei Dati Personali
Scopo dell'elaborazione
iscrizione come soci dell'associazione culturale con scadenza annuale ultimo giorno dell'anno
Dati Personali
Nell'ambito di applicazione dell'accordo, il Processore deve processare i seguenti (speciali) dati personali seguendo le istruzioni del Controllore:
Nome Indirizzo Città Numero di telefono Indirizzo email
Categorie interessati
I dati personali dei seguenti gruppi di persone saranno processati: Clienti
Visitatori sito web
Categorie interessati
Il Controllore dovrà assicurare che le finalità, i dati personali e le categorie di soggetti di cui al presente Allegato 1 siano completi e corretti, e dovrà indennizzare il Processore contro eventuali difetti e reclami derivanti da una errata rappresentazione da parte del Controllore.
Annesso 2: Coinvolgimento di terze parti e/o sub- processori
Il Controllore ha dato il permesso al Processore di ingaggiare le seguenti terze parti e/o sub- processore/i:
Questo accordo ha effetto quando tutte le parti lo hanno firmato e la sua data è la data accanto a [o sotto] la firma dell'ultimo firmatario per firmarlo.
Data:
Controllore:
Per:
Fornitore di Servizio:
Per: