ACCORDO EX ART. 28 REGOLAMENTO UE 2016/679 NOMINA A RESPONSABILE ESTERNO
ACCORDO EX ART. 28 REGOLAMENTO UE 2016/679 NOMINA A RESPONSABILE ESTERNO
Ad integrazione del contratto delle Condizioni di Vendita SW nella rivendita del servizio 802.Wave
(di seguito “Contratto”) concluso tra
il Cliente o Reseller, di cui alla definizione inserita nelle Condizioni di Vendita SW di Allnet (di seguito “Titolare”),
e
ALLNET.ITALIA S.p.a.,C.F. e P. IVA 00884761206, con sede in Xxxxxxxxxxx xx Xxxx (XX), Xxx Xxxxxx x. 0 (di seguito "Responsabile” o “Allnet”)
(entrambe, di seguito, congiuntamente denominate anche le “Parti”)
avente ad oggetto il trattamento dei dati personali da parte del Responsabile del trattamento per conto del Titolare del trattamento, a norma dell'articolo 28, paragrafo 3, del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati – di seguito anche “GDPR”).
Premesse
Il presente atto di Nomina (di seguito “Nomina”) disciplina gli obblighi delle Parti in materia di protezione dei dati personali, oggetto di trattamento eseguito da Allnet per conto del Titolare del trattamento e descritti in dettaglio nel testo del Contratto. Le disposizioni della presente Nomina si applicano a tutte le attività associate al Contratto, nel cui ambito i dipendenti o i collaboratori del Fornitore trattano i dati personali forniti dal Titolare (di seguito i "Dati") per conto dello stesso in qualità di Responsabile del trattamento.
Art. 1 Oggetto e specificazioni dell’atto di nomina del Responsabile
L’oggetto e tutte le disposizioni relative al tipo e alle finalità del trattamento dei dati sono quelli indicati e disciplinati dal Contratto e dalla presente Nomina ed in particolare:
NATURA DEI DATI | FINALITÀ E BASE GIURIDICA | CATEGORIE DI SOGGETTI INTERESSATI |
Dati identificativi e di contatto, tipologia di device utilizzato, durate e modalità di utilizzo del wi-fi, localizzazione dell’uso del wi-fi | Ottimizzazione, gestione e manutenzione dei servizi oggetto del Contratto | Clienti, visitatori, utenti autorizzati all’uso del servizio dal Cliente |
Art. 2 Ambito di applicazione e responsabilità
2.1 Il Responsabile si obbliga al trattamento dei Dati oggetto della presente Nomina per conto del Titolare. Tale trattamento deve includere tutte le attività indicate nel Contratto, da eseguirsi nel rispetto della normativa vigente e delle disposizioni del Contratto stesso.
2.2 Il Titolare potrà modificare e/o emendare e/o ridefinire le istruzioni impartite al Responsabile nel presente atto di Nomina dandone comunicazione per iscritto (anche in formato elettronico) al Punto di Contatto indicato dal Responsabile.
Art. 3 Obblighi del Responsabile del trattamento
3.1 Salvo i casi espressamente consentiti dall'articolo 28, paragrafo 3, lettera a) del GDPR, il Responsabile tratta i Dati degli Interessati solo nell'ambito delle disposizioni della presente Nomina e delle condizioni impartite dal Titolare in esecuzione del Contratto. Qualora il Responsabile ritenga che un'istruzione impartitagli costituisca violazione di una legge vigente, dovrà darne immediata informazione scritta al Titolare. Il Responsabile avrà il diritto di sospendere l’esecuzione di tale istruzione fino a quando il Titolare non confermi o modifichi per iscritto l’anzidetta istruzione.
3.2 Nell'ambito del proprio settore di competenza, il Responsabile si obbliga a predisporre la propria organizzazione interna in modo da soddisfare le specifiche esigenze di protezione dei Dati. Pertanto, il Responsabile dà atto di aver adottato misure tecniche e organizzative idonee a garantire un'adeguata protezione dei Dati forniti dal Titolare, che soddisfino i requisiti dell'articolo 32 GDPR e successive modifiche e integrazioni. In particolare, il Responsabile si obbliga ad adottare misure tecnico-organizzative che assicurino la riservatezza, l'integrità, la disponibilità e la resilienza nel tempo di sistemi e servizi di trattamento.
Il Titolare conferma di aver verificato la conformità delle misure adottate dal Responsabile ai requisiti previsti dall’art. 32 del Regolamento Eu 2016/679 e si impegna per quanto di sua competenza affinché anche la propria organizzazione adotti le predette misure tecnico-organizzative per garantire un effettivo livello di sicurezza adeguato al rischio.
Il Responsabile si riserva il diritto di modificare le misure e le salvaguardie attuate, a condizione che il livello di sicurezza non sia inferiore a quello concordato e accettato dal Titolare e che venga mantenuta nel tempo un adeguata protezione dei Dati, anche attuando una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
In caso di trattamento di dati di cui alle categorie previste dall’art. 9 GDPR, il Responsabile si obbliga al rispetto di tutte le misure ivi previste per garantire la loro sicurezza e riservatezza anche mediante l’adozione di ulteriori cautele, quali la separata conservazione degli stessi e la nomina di un professionista ai sensi dell’art. 9, comma 3 GDPR.
3.3 Il Responsabile si obbliga a cooperare con il Titolare nell'adempimento delle richieste e dei reclami degli Interessati come specificato nel capitolo III del GDPR, nonché nell'adempimento degli obblighi elencati negli articoli 33-36 GDPR e successive modifiche e integrazioni.
3.4 Il Responsabile garantisce che tutti i propri dipendenti, collaboratori o altri soggetti autorizzati coinvolti nel trattamento dei Dati, effettuino tale trattamento solo ed esclusivamente nell’ambito delle finalità e delle istruzioni ricevute. Il Responsabile garantisce inoltre che tutti i propri dipendenti, collaboratori o altri soggetti autorizzati al trattamento dei Dati per conto del Titolare siano strettamente vincolati alla riservatezza o ad un adeguato obbligo legale di riservatezza, anche successivamente all’estinzione del rapporto intrattenuto con il Responsabile, in relazione alle operazioni di trattamento da esse eseguite.
3.5 Il Responsabile si impegna a rispettare tutte le misure indicate nei provvedimenti del Garante del 27/11/2008 e 25/06/2009 in relazione agli adempimenti imposti per gli Amministratori di Sistema, provvedendo a individuare i soggetti autorizzati che, in base alle loro specifiche capacità e/o conoscenza tecniche, potranno avere permessi e/o accessi o credenziali di livello superiore, conservando l’elenco dei loro nominativi in apposito registro. Il Responsabile provvederà a conservare e a tracciare i log di accesso di questi soggetti e si impegna con cadenza annuale ad una revisione ed aggiornamento delle credenziali fornite e dell’attività svolta dagli stessi.
3.6 Il Responsabile si obbliga ad informare immediatamente il Titolare, qualora venga a conoscenza di violazioni dei Dati personali. Il Responsabile, in coordinamento con il Titolare, si impegna altresì ad attuare tutte le più idonee misure che garantiscano la sicurezza dei Dati e, al contempo, mitighino le potenziali conseguenze negative per gli Interessati.
3.7 Il Responsabile è tenuto all’adempimento degli obblighi di cui all'articolo 32, paragrafo 1 GDPR e successive modifiche e integrazioni.
3.8 Il Responsabile è tenuto a fornire al Titolare un Punto di Contatto cui rivolgersi per qualsiasi questione relativa alla protezione dei Dati che consegua o sia in qualche modo connesso al Contratto o alla presente Nomina.
3.9 In caso di specifica richiesta del Titolare, compatibilmente con le istruzioni da questo impartite, il Responsabile provvederà alla correzione ovvero alla cancellazione dei Dati oggetto del trattamento, salvo i casi in cui tale richiesta non risulti incompatibile con obblighi di legge o contrattuali.
3.10 Al termine del trattamento dei Dati, ovvero alla cessazione del Contratto e su istruzione del Titolare, il Responsabile cancellerà definitivamente o restituirà al Titolare tutti i Dati, i supporti informatici ed eventuali altri materiali che contengano i predetti Dati o informazioni rilevanti sugli stessi, ivi compresi i Dati trattati in formato cartaceo. Nel caso dovessero insorgere costi aggiuntivi nella consegna o nella cancellazione dei Dati, dovuti a divergenze tra le istruzioni impartite e l’adempimento alle stesse, tali costi saranno a carico del Titolare.
3.11 Nell’eventualità in cui l'Interessato agisca nei confronti del Titolare per il risarcimento del danno ai sensi dell'articolo 82 GDPR e successive modifiche e integrazioni, il Responsabile si impegna a sostenere, per quanto possibile, la difesa del Titolare.
Art. 4 Obblighi del Titolare del trattamento
4.1 Il Titolare è tenuto ad informare immediatamente e in modo completo il Responsabile non appena riscontri errori e/o irregolarità nel trattamento dei Dati effettuati da quest’ultimo.
4.2 Gli obblighi informativi ex art 13 GDPR nei confronti degli Interessati, anche in merito al contenuto della presente nomina, sono posti in capo al Titolare
4.3 Nell’eventualità in cui l'Interessato agisca nei confronti del Responsabile per il risarcimento del danno ai sensi dell'articolo 82 GDPR e successive modifiche e integrazioni, il Titolare si impegna a sostenere, per quanto possibile, la difesa del Responsabile.
Art. 5 Richieste dell’Interessato
La risposta all’esercizio dei diritti ex artt. 15-22 GDPR da parte degli Interessati costituisce un obbligo del Titolare. Ove l'Interessato intenda esercitare i suddetti diritti e ne faccia richiesta al Responsabile, anche tramite il Punto di Contatto di cui al par. 3.8, quest’ultimo dovrà immediatamente inoltrare la richiesta dell'Interessato al Titolare. Le Parti si obbligano a supportare e collaborare in buona fede tra loro, per quanto possibile, nel fornire adeguata risposta alle richieste degli Interessati entro 30 giorni dalla richiesta, salve particolari richieste che impongano un termine maggiore, previa comunicazione all’Interessato.
Art. 6 Opzioni per la documentazione relativa all’attività di trattamento
6.1 Il Responsabile documenterà la propria attività ai fini probatori, così da poter fornire dimostrazione della conformità del trattamento dei Dati alle istruzioni e agli obblighi concordati con il Titolare in esecuzione della presente Nomina e delle obbligazioni di cui al Contratto.
6.2 Qualora si rendessero necessarie ispezioni da parte del Titolare o di un auditor o altro soggetto da questi incaricato, le stesse dovranno essere effettuate durante l’orario di lavoro senza interferire con le attività del Responsabile. Tali ispezioni potranno avvenire solo con congruo preavviso e/o alla sottoscrizione di un ulteriore accordo di riservatezza inerente ai Dati di altri Utenti Finali e delle misure tecnico-organizzative adottate dal Responsabile.
6.3 Nel caso in cui si verifichino ispezioni o controlli da parte delle competenti autorità di controllo, presso il Titolare ovvero presso il Responsabile, le Parti saranno tenute alla massima collaborazione, onde poter assicurare un’efficace risposta come pure la dimostrazione della conformità di tutte le attività inerenti al trattamento dei Dati svolte.
Art. 7 Sub-responsabili
7.1 Il Responsabile potrà avvalersi di Sub-responsabili del trattamento, qualora fosse necessario avvalersi di infrastrutture, tecnologie e servizi tecnici messi a disposizione da soggetti terzi specializzati ed in particolare si avvarrà dei servizi forniti da:
Sub-responsabile | Security Measures (annex 2) |
Cloud4Wi inc. | xxxxx://xxxxx0xx.xxxxxxx.xxx/xx/xx-xx/xxxxxxxx/000000000000- Data-Processing-Agreement-DPA- |
7.2 Il rapporto giuridico instaurato tra il Responsabile e i propri Sub-responsabili, seppur totalmente distinto da quello intercorrente tra il Titolare e il Responsabile, rispetterà il contenuto della presente Nomina e delle obbligazioni previste Contratto. Pertanto, il Responsabile si impegna affinché nell’accordo concluso con i Sub-responsabili non vi siano disposizioni che si pongano o possano astrattamente porsi in contrasto con quelle contenute nei predetti documenti. In ogni caso, il Responsabile si impegna a concludere con i Sub-responsabili un accordo che garantisca un livello adeguato di protezione dei Dati e di sicurezza delle informazioni ad essi correlate.
7.3 Il Responsabile è comunque tenuto a garantire che i propri obblighi in materia di protezione dei dati derivanti dal Contratto, nonché dal presente atto di Nomina, siano validi e vincolanti anche per i Sub-responsabili.
Art. 8 Ulteriori obblighi di informazione
8.1 Nell’eventualità in cui i Dati trattati dal Responsabile siano coinvolti in provvedimenti dell’Autorità giudiziaria quali il sequestro, la confisca, ovvero in procedure fallimentari o concorsuali, ovvero subiscano conseguenze che possano comprometterne la sicurezza, è obbligo del Responsabile darne immediata comunicazione scritta al Titolare.
8.2 I dati potranno essere trattati anche al di fuori dello Spazio economico europeo (SEE). In tali casi il Responsabile ha richiesto ai suoi fornitori misure di salvaguardia per garantire un adeguato livello di protezione dei dati come le clausole contrattuali standard per il trasferimento dei dati personali approvate dalla Commissione europea (art. 46 GDPR).
.
Art. 9 Obbligatorietà della forma scritta
9.1 Qualsiasi modifica della presente Nomina e/o di uno dei suoi componenti sarà valida e vincolante solo se risultante da atto scritto o da comunicazione effettuata in forma scritta, anche in formato elettronico.
9.2 1 In caso di contrasto, le disposizioni contenute nel presente atto di Nomina prevalgono sulle norme del Contratto. Qualora singole disposizioni del presente atto di nomina risultino invalide o inapplicabili, la validità e l'applicabilità delle altre disposizioni ivi contenute rimangono impregiudicate.
Art. 10 Durata
La durata della presente Nomina coincide con quella prevista dal Contratto, salvo il caso in cui le disposizioni del presente documento non comportino ulteriori obblighi (anche di legge) che esigano il prolungamento dell'attività.
Art. 11 Responsabilità e risarcimento del danno
Il Titolare e il Responsabile sono responsabili nei confronti dell'Interessato ai sensi dell'articolo 82 GDPR e successive modifiche e integrazioni.
Art. 12 Legge applicabile e controversie
12.1 La presente Nomina è regolata dalla legge italiana, con esclusione delle norme di conflitto tra leggi. Per qualsivoglia controversia derivante dall’esecuzione o dall’interpretazione della presente Nomina, sarà competente in via esclusiva il Foro di Bologna.