ACCORDO SUL TRATTAMENTO DEI DATI PERSONALI
Modello di nomina a responsabile esterno
ACCORDO SUL TRATTAMENTO DEI DATI PERSONALI
[inserire la ragione sociale dell’Azienda], in persona del proprio rappresentante legale pro tempore, è il titolare del trattamento dei Suoi dati personali (il “Titolare”)
e
Trackysat Srl, in persona del proprio rappresentante legale pro tempore, (il “Responsabile”), tratta i dati per conto del Titolare. (di seguito “Parte” e collettivamente “Parti”)
Premesso che:
a) il Titolare e il Responsabile hanno stipulato un contratto (di seguito “Contratto”) avente ad oggetto l’erogazione di alcuni servizi di gestione degli automezzi aziendali adibiti esclusivamente all’uso lavorativo e connessi con la rilevazione sia dei dati del cronotachigrafo, sia con la geo-localizzazione degli automezzi dell’Azienda con il quale il Responsabile si è impegnato a prestare in favore del Titolare alcune delle attività necessarie a soddisfare le esigenze organizzative e produttive di sicurezza del lavoro ovvero finalità di tutela del patrimonio aziendale del Titolare stesso (di seguito “Servizi”);
b) il Titolare, prima di affidare al Responsabile lo svolgimento dei Servizi, ha valutato che quest’ultimo presenti garanzie sufficienti per mettere in atto misure tecniche e garantire una adeguata tutela dei dati trattati e dei diritti degli interessati;
c) con il presente accordo il Titolare intende nominare il Consorzio quale responsabile del trattamento dei dati personali ai sensi dell’art. 28 del Regolamento, nonché fornirgli le istruzioni necessarie per le operazioni di trattamento (di seguito “Accordo”).
Tutto ciò premesso, le Parti concordano e stipulano quanto segue.
1. Definizioni
Ai fini del presente Accordo, valgono le definizioni del Contratto, ove applicabili, e le seguenti definizioni:
per “Dati personali” si intendono tutte le informazioni relative ad una persona fisica, identificata o identificabile (l’“Interessato”) che il Responsabile tratta per conto del Titolare allo scopo di fornire i Servizi;
per “Legge applicabile” si intende il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (il “Regolamento” o “GDPR”), nonché qualsiasi altra normativa o atto avente forza normativa in materia di protezione dei dati personali applicabile in Italia, ivi compresi i provvedimenti del Garante;
per “Garante” si intende l’Autorità di cui all’art. 51 del Regolamento, che svolge le funzioni indicate nel successivo art. 57, GDPR;
per “Misure di sicurezza” si intendono le misure minime di sicurezza indicate dall’art. 32, GDPR e nei provvedimenti del Garante.
2. Nomina
Con la sottoscrizione del presente Accordo, il Titolare nomina, Trackysat che accetta, Responsabile ai sensi dell’art. 28 del Regolamento al fine dell’esecuzione del rapporto contrattuale in essere tra le Parti.
3. Operazioni di trattamento, tipologia di dati personali e categorie di interessati
3.1 Il presente Accordo si riferisce a tutte le operazioni di trattamento connesse alla fornitura dei Servizi (“Operazioni di trattamento”).
3.2 Le Operazioni di trattamento saranno funzionali allo svolgimento delle attività indicate nel Contratto nonché a tutte le ulteriori attività che il Titolare dovesse richiedere al Responsabile nell’ambito del Contratto.
3.3 Le Operazioni di trattamento avranno ad oggetto i dati personali comuni.
4. Obblighi del Responsabile
Fermo restando ogni altro obbligo previsto dalla normativa applicabile, il Responsabile si impegna a:
a. trattare i Dati personali esclusivamente per le finalità indicate nel presente Accordo, nonché per le finalità ulteriori che il Titolare dovesse eventualmente e successivamente indicare, e comunque esclusivamente per l’esecuzione del Contratto;
b. trattare i Dati personali in piena conformità alle istruzioni qui fornite da parte del Titolare ovvero, di quelle ulteriori che lo stesso dovesse, in futuro, ritenere opportuno fornire per la migliore e più efficiente esecuzione delle attività; le ulteriori istruzioni che dovessero essere fornite dal Titolare, saranno rese al Responsabile per iscritto o trasmesse al Responsabile a mezzo posta elettronica certificata;
c. garantire che tutte le persone agenti sotto la propria autorità alle quali sia consentito di accedere o anche trattare i Dati personali abbiano sottoscritto idoneo impegno, o siano altrimenti comunque adeguatamente vincolate, a mantenere totale riservatezza rispetto a tali dati e che, a tal fine, gli stessi agiscano sotto il costante controllo del Responsabile ed in conformità alle istruzioni da quest’ultimo fornite;
d. non consentire a terzi l’accesso ai Dati personali, se non in presenza di adeguati presupposti di liceità per tali ulteriori trattamenti;
e. tenere i Dati personali separati dai dati detenuti per conto di altri soggetti;
f. adottare idonea procedura di gestione delle violazioni della sicurezza da cui derivino, accidentalmente o in modo illecito, la distruzione, la perdita, la divulgazione non autorizzata o l’accesso ai Dati personali o, in alternativa, conformarsi e dare adeguata attuazione alla corrispondente policy che dovesse essere trasmessa da parte del Titolare, prestando in ogni caso la massima collaborazione nei confronti dello stesso al fine di eliminare o quantomeno ridurre al minimo gli impatti derivanti da eventi di questo tipo;
g. fermo l’obbligo di notificare senza ingiustificato ritardo al Titolare e, comunque, entro e non oltre 4 ore ogni possibile evento qualificabile come violazione dei dati personali ai sensi della Legge applicabile, ad informare prontamente il Titolare riguardo a qualsiasi ulteriore evento, fatto o circostanza, prevedibile o meno, da cui possa derivare un rischio elevato per i diritti e le libertà fondamentali degli interessati coinvolti nelle Operazioni di trattamento;
h. collaborare con il Titolare, limitatamente ai trattamenti relativi ai Dati personali, nell’assolvimento degli obblighi di:
i) notifica delle violazioni di dati al Garante o ad altre autorità di controllo competenti e, laddove richiesto in ragione dell’elevato livello di rischio per i diritti e le libertà degli interessati, anche a questi ultimi;
ii) se necessario, esecuzione di idonea valutazione di impatto sulla protezione dei dati, oltre che nello svolgimento delle procedure di consultazione preventiva con il Garante o le altre autorità competenti;
i. al ricorrere dei presupposti, predisporre e mantenere costantemente aggiornato, in formato elettronico o cartaceo, un registro di tutte le Operazioni di trattamento svolte ai fini dell’esecuzione dell’Accordo, contenente in particolare:
i) i propri dati di contatto, oltre a quelli del Titolare e, ove applicabile, del proprio responsabile della protezione dei dati;
ii) le categorie dei trattamenti effettuati per conto del Titolare;
iii) una descrizione generale delle misure di sicurezza tecniche e organizzative adottate in conformità al presente atto di nomina e, più in generale, alla normativa applicabile;
j. mettere il Titolare al corrente, riguardo a qualsiasi richiesta di esercizio di diritti che il Responsabile dovesse ricevere da parte degli Interessati entro un termine massimo di 24 ore dal ricevimento della stessa;
k. segnalare al Titolare se le istruzioni ricevute comportano una violazione della Legge applicabile;
l. prestare al Titolare ogni necessaria collaborazione nell’assolvimento di richieste che dovessero pervenire dal Garante o da altre autorità competenti o in relazione a procedure o ispezioni che dovessero essere avviate nei confronti del Titolare, dando altresì immediata esecuzione alle istruzioni ricevute e fornendo copia di ogni documento richiesto.
6. Restituzione e distruzione dei dati personali
È espressamente convenuto tra le Parti che alla data di cessazione del presente Accordo il Responsabile restituirà al Titolare i Dati personali trattati in considerazione dello svolgimento Servizi, nonché ogni copia degli stessi.
7. Sicurezza dei dati
Il Responsabile si impegna ad adottare misure tecniche e organizzative adeguate a garantire un idoneo livello di sicurezza in riferimento ai Dati personali e ad adottare ogni misura necessaria a prevenire, o quantomeno minimizzare, ogni rischio ragionevolmente prevedibile connesso alla distruzione, alla perdita, alla modifica, alla divulgazione non autorizzata o all’accesso, in modo accidentale o illegale, ai dati ricevuti. In particolare, il Responsabile si impegna ad adottare misure di sicurezza conformi all’art. 32 del Regolamento oltre a quelle, eventualmente, ulteriori che il Titolare gli chiedesse di adottare in relazione a specifiche Operazioni del trattamento.
8. Audit
8.1 Il Responsabile si impegna a fornire al Titolare, su richieste, relazioni e report che attestino l’adempimento degli obblighi gravanti sul Responsabile stesso ai sensi del presente Accordo, con particolare riguardo alle misure di sicurezza adottate.
8.2 Il Responsabile si impegna a consentire al Titolare o a soggetti terzi da questo delegati, con modalità e tempi da concordarsi, l’accesso ad uffici, dispositivi, sistemi e documenti informatici propri e dei propri subappaltatori, qualora risulti necessario per verificare l’osservanza, da parte del Responsabile, degli obblighi pattuiti.
9. Durata
9.1 L’Accordo produrrà i suoi effetti a partire da di stipula del Contratto (“la Data”).
9.2 L’Accordo sostituisce ogni precedente atto di nomina ai sensi del D.Lgs. 196/2003 e sarà vincolante per le Parti a partire dalla Data e rimarrà in vigore fino alla cessazione del Contratto, indipendentemente dalla causa di detta cessazione o, comunque, alla data di cessazione del trattamento dei Dati personali se, per qualsiasi ragione, successiva alla cessazione dell’efficacia del Contratto.
10. Legge applicabile e Foro competente
Il presente Accordo è regolato dalla legge italiana.
Tutte le controversie derivanti dal presente Accordo, comprese quelle relative alla sua validità, interpretazione, esecuzione e risoluzione, che dovessero insorgere tra le Parti saranno deferite alla competenza del Tribunale di [•].
Luogo, data
Il Titolare Il Responsabile
_