PRIVACY AGREEMENT E DESIGNAZIONE DEL RESPONSABILE DEL TRATTAMENTO
PRIVACY AGREEMENT E DESIGNAZIONE DEL RESPONSABILE DEL TRATTAMENTO
per la fornitura del servizio “REGEL-LA SCUOLA DIGITALE”, Conservazione digitale e dell’attività di Controllo Remoto,
Supporto Remoto e Accesso Remoto eseguito da Xxxxx srl
1. OGGETTO
Centro Provinciale Istruzione Adulti Alba 2 con sede in Xxxxx Xxxxxxx Xxxxxxx, 00/X - 00000 Xxxx (XX), Cod Mec. CNMM162004, in persona del legale rappresentante Xxxx. Xxxxxxx Xxxxxxxxxxx (“Ente” o “Titolare del trattamento”) affida a XXXXX S.r.l. con sede legale in via Martiri della Libertà, 18 – Xxxxx Xxxxx (XX) 00000, P.IVA 02092110036 e C.F. 02092110036, nella persona del suo legale rappresentante, (in seguito denominata anche solo “Responsabile” e congiuntamente all’Ente “Parti”), che accetta, l’incarico di effettuare le operazioni di trattamento sui dati personali di cui entra in possesso o a cui ha comunque accesso, necessarie all’adempimento degli obblighi derivanti dal contratto di servizi “REGEL” ed eventuali Servizi accessori.
Con il presente Accordo, pertanto, il Responsabile si impegna a svolgere il trattamento elettronico dei dati di titolarità dell’Ente, limitatamente alla fornitura dei Servizi informatici e telematici sopra elencati e oggetto di contratto, nel pieno rispetto delle previsioni normative ad esso applicabili di cui al Codice Privacy (D.Lgs. 196/2003, di seguito anche solo “Codice”) e al Regolamento generale sulla protezione dei dati n. 2016/679 (“Regolamento”), nonché tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità Garante per la protezione dei dati personali inerenti al trattamento svolto.
2. NATURA E FINALITÀ DEL TRATTAMENTO
Il trattamento deve essere svolto da parte del Responsabile in esecuzione del vigente rapporto contrattuale con l’Ente e per le finalità ad esso relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità. In ogni caso, il trattamento dovrà avvenire in modo da garantire la sicurezza, la riservatezza e l’integrità dei dati di titolarità dell’Ente. Il Titolare del trattamento determinerà le finalità e le modalità da osservare per l’esecuzione dei trattamenti dei dati personali.
I dati personali trattati per le finalità di cui al contratto dei servizi REGEL saranno archiviati nel sistema di conservazione digitale di
XXXXX SRL (nella sua qualità “Responsabile del trattamento”).
3. DURATA DEL TRATTAMENTO
Il presente Accordo è produttivo di effetti per tutta la durata del rapporto contrattuale in essere tra le Parti e, pertanto, alla cessazione definitiva di questo rapporto lo stesso decadrà con effetto immediato.
Il trattamento, pertanto, deve avere una durata non superiore a quella necessaria agli scopi per i quali i dati personali sono stati raccolti. Tali dati, inoltre, devono essere conservati nei sistemi del Responsabile in una forma che consenta l'identificazione degli interessati per un periodo di tempo non superiore a quello in precedenza indicato.
In caso di cessazione dei rapporti in essere tra le Parti il Responsabile si impegna a interrompere ogni trattamento dei dati e provvederà alla cancellazione dei dati personali trattati in nome e per conto del titolare dai propri sistemi nonché manterrà a disposizione dell’Ente i dati personali per l'estrazione per il periodo di 30 (trenta) giorni successivi alla cessazione del contratto, fatto salvo il caso in cui si verifichino circostanze autonome e ulteriori che giustifichino la continuazione del trattamento dei dati da parte del Responsabile, con modalità limitate e per il periodo di tempo a ciò strettamente necessario.
4. TIPO DI DATI PERSONALI E CATEGORIE DI INTERESSATI
Il trattamento dei dati personali, in riferimento ai Servizi affidati, riguarda dati di natura comune, categorie particolari di dati e/o relativi a condanne penali e reati (a titolo esemplificativo e non esaustivo: origine razziale o etnica, opinioni politiche, convinzioni religiose, appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute, o alla vita sessuale o all’orientamento sessuale della persona o dati relativi a provvedimenti o procedimenti giudiziari) delle seguenti categorie di interessati: personale scolastico, genitori/tutori (compreso parenti, affini o conviventi), alunni/studenti e utenti dei servizi in genere.
5. NOMINA DI SUB-RESPONSABILI
II Titolare del trattamento autorizza il Responsabile ad avvalersi di Sub-responsabili per l’espletamento dell’incarico ricevuto. Pertanto il Titolare autorizza, sin d’ora, il Responsabile a designare quali Sub-responsabili i soggetti indicati dell’allegato 1.
Il Responsabile si impegna, in ogni caso, a comunicare al Titolare con cadenza annuale, il nominativo dei soggetti terzi nominati Sub- responsabili che presentino garanzie idonee a rispettare i requisiti del Regolamento citato, del presente atto di designazione ed a garantire la tutela dei diritti degli Interessati.
Il Responsabile prende atto e riconosce di essere responsabile anche relativamente ai trattamenti dei dati personali posti in essere dal Sub- responsabile, salvo quanto previsto dall’art. 82, comma 3 del Regolamento.
Il responsabile si impegna a nominare il Sub-responsabile del trattamento nel rispetto di quanto previsto dell’articolo 28 G.D.P.R.,
vincolandolo, mediante un contratto, agli stessi obblighi imposti dal titolare in forza del presente contratto di nomina.
6. OBBLIGHI E DIRITTI DEL TITOLARE DEL TRATTAMENTO
L’Ente ha diritto di ottenere dal Responsabile tutte le informazioni (relative alle misure organizzative e di sicurezza) necessarie per dimostrare il rispetto delle istruzioni e degli obblighi affidati allo stesso o derivanti dalla normativa italiana ed europea, al fine di consentire e contribuire alle attività di revisione (comprese le ispezioni) realizzate dallo stesso Ente o da un altro soggetto da questi incaricato.
L’Ente ha il diritto di disporre - a propria cura e spese - verifiche a campione o specifiche attività di audit in ambito privacy e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile.
L’Ente deve fornire al Responsabile dati personali esatti e aggiornati nonché si deve impegnare a comunicare ogni eventuale modifica o rettifica dei dati.
L’Ente garantisce che ogni trattamento effettuato dal Responsabile è fondato sulle condizioni di liceità del trattamento ai sensi degli articoli 6 e 9 del Regolamento citato e che qualora la condizione di liceità consista nel consenso dell’Interessato l’Ente ha provveduto ad acquisire il consenso.
7. ISTRUZIONI DEL TITOLARE E OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO
Il Responsabile del trattamento, in forza del presente Accordo e della designazione conferitagli, in riferimento alle pattuizioni contrattuali convenute, nelle attività di trattamento poste in essere su dati di titolarità dell’Ente è tenuto al rispetto dei seguenti compiti e istruzioni:
a) adottare ogni misura idonea allo scrupoloso rispetto del Codice e del Regolamento citati, nonché tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità Garante per la protezione dei dati personali inerenti ai trattamenti svolti dal Responsabile;
b) gestire i sistemi informatici, nel quale risiedono i dati dell’Ente, adottando tutte le misure di sicurezza richieste ai sensi
dell’art. 32 del Regolamento;
c) adottare adeguati sistemi di protezione (programmi antivirus, firewall ed altri strumenti software o hardware) atti a garantire la massima sicurezza, utilizzando le conoscenze acquisite in base al progresso tecnico software e hardware, verificandone l’installazione, l’aggiornamento e il funzionamento degli stessi;
d) predisporre e implementare le eventuali ulteriori misure minime di sicurezza per il trattamento informatico di categorie particolari di dati personali o dati relativi a condanne penali e reati per la conseguente tutela degli strumenti elettronici;
e) svolgere il trattamento in esecuzione dei rapporti contrattuali in essere e per le finalità a essi relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità, con particolare attenzione allo scopo per il quale il relativo trattamento è stato delegato; in ogni caso, il trattamento dovrà avvenire in modo da garantire la sicurezza, la riservatezza
e l’integrità dei dati di titolarità dell’Ente ed è fatto esplicito divieto al Responsabile di utilizzare tali dati per scopi o finalità diversi da quelli sopraindicati;
f) provvedere alla gestione, monitoraggio, messa in sicurezza e aggiornamento dei propri sistemi informativi, sui quali sono
presenti dati personali di titolarità dell’Ente;
g) garantire idonee procedure di back-up e disaster recovery, assicurando un salvataggio con frequenza almeno giornaliera delle basi dati e degli altri dati critici di configurazione e supporto utili alla fruizione delle basi dati stesse. I relativi supporti di salvataggio (backup) sono da conservarsi in modo fisicamente sicuro in sede diversa da quella di custodia dei dati, in modo da assicurare la loro fruibilità anche in caso di evento disastroso (incendio, evento idrogeologico, atto di forza, furto) presso il luogo di custodia;
h) mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 del Regolamento citato nonchè consentire e contribuire alle attività di revisione, comprese le ispezioni realizzate dal Titolare;
i) assistere l’Ente nel garantire, ove applicabile ai Servizi espletati, il rispetto degli obblighi di “Sicurezza”, “Notifica” di una violazione dei dati personali (data breaches), “Valutazione d’impatto sulla protezione dei dati” e “Consultazione preventiva” (ai sensi e per gli effetti degli articoli da 32 a 36 del citato Regolamento), tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento;
j) interagire con il Garante per la protezione dei dati personali, in caso di richiesta di informazioni o effettuazione di controlli e accessi da parte dello stesso;
k) supportare e assistere il Titolare, con misure tecniche e organizzative adeguate, al fine di soddisfare l’obbligo di dare seguito alle richieste per l’esercizio dei diritti degli interessati (negli ambiti e nel contesto, ovviamente, del ruolo ricoperto e in cui opera il Responsabile);
l) informare prontamente il Titolare di tutte le questioni rilevanti ai fini di legge, e dare tempestiva notizia al medesimo di
richieste che dovessero pervenirgli da parte dell’Autorità Garante e/o da parte degli interessati;
m) assistere il Titolare affinchè possa dare seguito alle richieste di esercizio dei diritti da parte degli interessati;
n) adottare politiche interne e meccanismi atti a garantire e dimostrare il rispetto della privacy e predisporre, a richiesta del Titolare, rapporti scritti o audit in merito agli adempimenti eseguiti ai fini di legge;
o) coordinarsi con eventuali altri responsabili del trattamento nominati dal Titolare, con riferimento a determinati servizi e alle attività di trattamento poste in essere in adempimento degli accordi contrattuali, nonché per l’applicazione delle misure di sicurezza in ambito privacy;
p) per il periodo di trattamento, custodire i dati medesimi in ambiente sicuro e protetto con criteri di sicurezza e di separazione
tali da non consentire l’accesso ai dati a persone non autorizzate al trattamento;
q) rispettare il divieto di comunicazione e diffusione dei dati personali oggetto di trattamento, fatti salvi eventuali obblighi di legge a cui il Responsabile debba sottostare in ragione della propria attività; in tali eventualità è fatto espresso obbligo al Responsabile di informare tempestivamente in proposito il Titolare;
r) adibire a qualsiasi trattamento dei dati personali esclusivamente persone autorizzate, che operino sotto la diretta autorità del Responsabile e a tal proposito formate e istruite (anche per iscritto) dal medesimo, acquisendo dalle stesse uno specifico impegno alla riservatezza, nonché vigilare sulla puntuale applicazione delle istruzioni impartite;
s) circoscrivere gli ambiti di trattamento dei dati personali ai paesi facenti parte dell’Unione Europea, con espresso divieto di trasferirli in paesi extra UE che non garantiscano un livello adeguato di tutela;
8. LEGGE APPLICABILE E FORO COMPETENTE
Il presente atto di nomina è regolato dalla legge italiana.
Per ogni e qualsiasi controversia connessa con l’interpretazione e l’esecuzione del presente atto di nomina sarà esclusivamente competente il foro di Novara.
Il Responsabile, nella sua qualità di persona giuridica, prende atto che l’incarico è affidato per l’esclusiva ragione che il profilo societario, in termini di proprietà, risorse umane, organizzative ed attrezzature, è stato ritenuto idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti, che possa sollevare incertezze sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta.
Il Responsabile, con la sottoscrizione del presente Accordo, accetta tutti i termini di cui sopra, conferma la diretta e approfondita conoscenza degli obblighi che si assume in relazione al dettato normativo vigente e si impegna a procedere al trattamento dei dati attenendosi alle presenti istruzioni ricevute dal Titolare o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore.
Vi preghiamo di restituirci la presente firmata digitalmente per accettazione. Prato Sesia, 11/02/2020 |
Per accettazione il Responsabile Xxxxxx Xxxxxxxx (Legale rappresentante Xxxxx S.r.l.) (firma apposta digitalmente) |
Per accettazione il Titolare Xxxxxxx Xxxxxxxxxxx (Dirigente Scolastico) (firma apposta digitalmente) |
Si allega – Elenco dei Sub-responsabili autorizzati dal Titolare.
L’allegato è disponibile online al seguente indirizzo: xxxxx://xxx.xxxxx.xx/xxxxxxxxx-xxxxxxx/