ACCORDO NOMINA RESPONSABILE AL TRATTAMENTO DEI DATI
ACCORDO NOMINA RESPONSABILE AL TRATTAMENTO DEI DATI
Questo accordo di nomina del responsabile esterno al trattamento dati (l'addendum") è efficace a far data dal 1 luglio 2021, tra PLATEFORM SRL, Xxx Xxxxxx Xxxxx 000/0, 00000 Xxxxxxx (XX), partita IVA 03953561200, di seguito definito "il Responsabile" e il cliente, di seguito definito “il Titolare”, così come specificato sugli accordi contrattuali (il "Contratto") che regolano il rapporto commerciale e la fornitura del servizio.
Il presente documento integra il Contratto e gli altri eventuali accordi in essere tra le parti, senza modificarli.
PREMESSE
Nel "Contratto" e/o nelle “Condizioni generali” il Responsabile si impegna a fornire al Titolare una piattaforma software e servizi di gestione dell’accesso a Internet per ospiti e clienti di luoghi aperti al pubblico. Il Contratto Principale disciplina il rapporto contrattuale tra le Parti e descrive, in maniera analitica, i servizi che dovranno essere forniti dal Responsabile del trattamento.
I servizi che dovranno essere forniti dal Responsabile del trattamento in conformità al Contratto Principale (di seguito, i “Servizi”) richiedono il trattamento dei dati personali per conto del cliente (di seguito, il “Trattamento dei dati”). Pertanto, il cliente agisce come Titolare del trattamento e PLATEFORM SRL come la società che si occupa del Trattamento dei dati su indicazione del Titolare (di seguito, il “Responsabile del trattamento”).
Il presente Contratto, quale Allegato al Contratto Principale, stabilisce gli obblighi in materia di protezione dei dati delle Parti relativamente al Trattamento dei dati. In caso di discrepanze tra le disposizioni in materia di trattamento dei dati personali del presente Contratto e quelle del Contratto Principale prevarranno le disposizioni del presente Contratto.
Nel caso il Titolare abbia sottoposto al Responsabile una formulazione diversa dell’addendum relativo alla nomina a responsabile esterno e lo stesso sia stato sottoscritto da entrambe le parti, lo stesso è da considerarsi valido e sostitutivo del presente.
Al fine di garantire idonee misure in materia di tutela della privacy e dei dati personali degli interessati, le parti convengono e si danno reciprocamente atto di essere vincolate ai termini e alle condizioni di cui al presente Contratto e agli Allegati dello stesso come segue:
1. OGGETTO E DURATA DELL’INCARICO OGGETTO
L’oggetto dell’incarico risulta dal Contratto di Servizio Wi-Fi già in essere tra le parti, a cui
si fa riferimento nel presente Contratto (di seguito, il “Contratto di Servizi”).
DURATA DELL’INCARICO
La durata dell’incarico (“Durata”) è pari alla durata del Contratto di Servizi.
CONVALIDA DEL CONTENUTO DELL’INCARICO: NATURA DEI DATI
I dati personali oggetto di trattamento consisteranno in informazioni anagrafiche e di contatto relative agli utenti del/dei sistemi di accesso a Internet (di seguito “Interessati al trattamento” o “Interessati”) collocati presso la/le attività commerciali gestite dal Titolare.
In via esemplificativa, tali dati potranno riguardare: cognome, nome, e-mail, numero di telefono, struttura soggiorno, data di accesso, periodi di utilizzo del servizio, quantità di dati scaricati, MAC address del dispositivo utilizzato per la connessione, account social (Facebook, Google, Twitter, LinkedIn) collegato ed eventuali altri dati relativi all'adempimento delle obbligazioni derivanti dagli incarichi assegnati, o dalla Legge.
In nessun caso la raccolta riguarderà il c.d. “contenuto delle comunicazioni” e/o altri dati di carattere sensibile.
2. MISURE TECNICHE E ORGANIZZATIVE
1) Il Responsabile del trattamento si impegna a mettere in pratica le misure tecniche e organizzative richieste ai sensi dell’Articolo 32 del Regolamento Generale sulla Protezione dei Dati (“GDPR”), contestualmente all’inizio del trattamento dei dati, a far data dall’entrata in vigore del Regolamento stesso.
2) Qualora eventuali modifiche normative o tecniche richiedano un adattamento delle misure, il Responsabile del trattamento dovrà attuarle e dare evidenza di tale adattamento al Titolare.
3) Le misure tecniche e organizzative dovranno essere mantenute costantemente aggiornate, risultando tecnicamente all’avanguardia, affinché il livello di sicurezza dei dati raccolti non scenda al di sotto del livello originariamente determinato. Le modifiche sostanziali che hanno un impatto su integrità, riservatezza o disponibilità dei Dati dovranno essere comunicate al Titolare del trattamento ed essere oggetto di eventuali ulteriori integrazioni al presente accordo. Le misure che richiedono solo modifiche tecniche o organizzative marginali e che non incidono negativamente su integrità, riservatezza e disponibilità dei dati potranno essere attuate dal Responsabile del trattamento senza consultare il Titolare.
3. TUTELA DEI DIRITTI DEGLI INTERESSATI
1) Il Responsabile del trattamento dovrà correggere, cancellare o limitare i Dati sottoposti a trattamento per conto del Titolare solo in conformità alle istruzioni del Titolare. Se al Responsabile del trattamento viene richiesto direttamente da un interessato di correggere o cancellare i propri Dati, il Responsabile inoltrerà immediatamente tale richiesta al Titolare.
2) Il Responsabile del trattamento dovrà collaborare con il Titolare nel caso in cui un interessato eserciti i propri diritti ai sensi della normativa applicabile in materia di protezione dati; ciò include, in particolare, l’assistenza in relazione all’evasione delle richieste con riferimento alla tutela dei diritti degli interessati per mezzo di misure tecniche e organizzative adeguate.
4. CONTROLLI E ALTRI OBBLIGHI DEL RESPONSABILE
Il Responsabile del trattamento assicura la propria conformità ai seguenti obblighi:
1) Nomina per iscritto di un Responsabile della Protezione Dati, ove previsto per legge.
2) Tutte le persone che possono accedere ai Dati personali del Titolare del trattamento nell’ambito dell’incarico dovranno impegnarsi a mantenere la riservatezza e dovranno essere istruite in merito ai particolari obblighi in materia di protezione dei dati derivanti dal presente incarico nonché agli impegni esistenti relativamente alle istruzioni e alla finalità del Trattamento dei dati.
3) Il Responsabile del trattamento si impegna a prestare assistenza al Titolare del trattamento in occasione di eventuali controlli e richieste da parte delle autorità di controllo.
4) In generale, il Responsabile si impegna ad adottare tutte le misure di sicurezza previste dal Reg. (UE) 2016/679
5. CONTROLLI E OBBLIGHI DEL TITOLARE
Il Titolare del trattamento assicura la propria conformità ai seguenti obblighi e dichiara di:
1) Raccogliere e trattare i dati personali in modo lecito e compatibilmente alla salvaguardia dei diritti degli interessati.
2) assicurarsi che nella procedura di raccolta dei dati personali siano soddisfatti i necessari requisiti di legge (ad esempio inserendo apposite informative redatte in conformità con le norme vigenti e raccogliendo le dichiarazioni di consenso al trattamento per tutte le finalità per le quali i dati raccolti saranno utilizzati) così da permettere al Responsabile di fornire i servizi concordati in modo da non violare alcuna norma di legge.
3) che le istruzioni fornite al Responsabile per il trattamento dei dati sono a norma di legge e che il trattamento dei dati da parte del Responsabile non causerà la violazione di alcuna legge, regolamento o norma applicabile, incluse le leggi applicabili sulla protezione dei dati.
6. SUBAPPALTO
1) Il Responsabile del trattamento si impegna a selezionare attentamente i
subappaltatori e assicurarsi prima dell’incarico che gli stessi siano in grado di rispettare il Contratto stipulato tra il Titolare e il Responsabile del trattamento. In particolare, il Responsabile del trattamento dovrà controllare preventivamente e su base regolare che il subappaltatore abbia adottato le misure tecniche e organizzative per la protezione dei dati personali ai sensi dell’Articolo 32 GDPR.
2) In caso di subappalto, il subappaltatore dovrà garantire i medesimi diritti di controllo e di verifica di cui al presente Contratto. Ciò include altresì il diritto del Titolare di ottenere dal Responsabile del trattamento, su richiesta scritta, informazioni in merito alla sostanza del contratto e all’adempimento degli obblighi nell’ambito del rapporto di subappalto.
3) Se il subappaltatore si trova in un paese al di fuori dell’Unione Europea (“UE”) o dello Spazio Economico Europeo (“SEE”), si applica l’Articolo 7 del Contratto.
7. TRASFERIMENTO DI DATI VERSO PAESI TERZI
Il trattamento dei Dati da parte del Responsabile del trattamento è limitato all’area dell’UE e del SEE. Il trasferimento dei Dati a un ricevente con sede legale al di fuori del SEE da parte del Responsabile del trattamento sarà consentito solo se conforme ai requisiti dell’Articolo 44 e ss. del GDPR.
8. NOTIFICA DI VIOLAZIONI DA PARTE DEL RESPONSABILE
1) Il Responsabile del trattamento dovrà immediatamente notificare al Titolare qualsiasi violazione, o sospetta violazione, delle disposizioni per la protezione dei Dati del Titolare (in particolare del GDPR) o delle disposizioni del presente Contratto compiute dallo stesso, dai suoi dipendenti o da subappaltatori assunti dallo stesso.
2) Il Responsabile del trattamento dovrà documentare tali incidenti, chiarirli tempestivamente e risolverli. Egli terrà il Titolare informato sugli sviluppi fino a quando la questione non sarà risolta.
3) Nel caso in cui la violazione rappresenti un rischio per i diritti e la libertà degli interessati ai sensi dell’Articolo 34 GDPR, il Responsabile del trattamento assisterà pienamente il Titolare nel chiarire l’incidente e nella corrispondente notifica all’autorità garante per la protezione dei dati o agli interessati.
9. AUTORITÀ’ DEL TITOLARE DEL TRATTAMENTO
1) I Dati potranno essere trattati solo in conformità agli accordi contrattuali e alle istruzioni impartite dal Titolare del trattamento. Ai sensi dell’incarico come descritto nel Presente Contratto il Titolare ha la facoltà generale di impartire istruzioni in merito a natura, entità e modalità del Trattamento. Le modifiche all’oggetto e alle modalità del trattamento dovranno essere concordate congiuntamente e documentate. Il Responsabile del trattamento potrà trasmettere informazioni a terzi o agli interessati esclusivamente con il preventivo consenso scritto del Titolare.
2) Le istruzioni verbali dovranno essere confermate per iscritto o a mezzo e-mail dal Titolare del trattamento. Il Responsabile del trattamento non dovrà utilizzare i Dati per scopi diversi e in particolare non potrà trasferirli a terze parti. Non dovranno essere effettuate copie o duplicati all’insaputa del Titolare del trattamento. Ciò non si applica ai backup di sicurezza necessari a garantire il corretto trattamento, nonché ai Dati necessari ad assolvere gli obblighi legali di conservazione.
3) Il Responsabile del trattamento dovrà tempestivamente informare il Titolare se ritiene che qualsiasi delle istruzioni possa dare origine a una violazione delle disposizioni in materia di Protezione dei Dati Personali. Il Responsabile del trattamento potrà sospendere l’esecuzione delle istruzioni fintanto che le stesse non siano confermate o modificate per iscritto dalla persona autorizzata dal Titolare.
10. CANCELLAZIONE DEI DATI E RESTITUZIONE DEI SUPPORTI DEI DATI Dopo il completamento del lavoro contrattuale o anticipatamente, se così richiesto dal Titolare – comunque non oltre la risoluzione del Contratto di Servizi – il Responsabile del trattamento dovrà restituire al Titolare tutti i documenti in suo possesso, i risultati del trattamento o dell’utilizzo nonché i file di dati relativi al rapporto contrattuale ovvero procedere alla loro cancellazione in conformità alla normativa applicabile in materia di
protezione dei dati. Lo stesso vale per i materiali di prova e di scarto.
11. RESPONSABILITÀ’
1) Il Responsabile e il Titolare del trattamento sono responsabili nei casi in cui i dati siano trattati in maniere illecita o scorretta ai sensi della normativa in materia di protezione dei dati, nella misura in cui non siano esonerati da tale responsabilità ai sensi dell’Articolo 82 GDPR. Qualora gli interessati presentino una richiesta di risarcimento danni nei confronti del Titolare, quest’ultimo ha il diritto – ai sensi dell’Articolo 82 GDPR – di rivalersi sul Responsabile se egli non ha adempiuto gli obblighi del GDPR specificatamente diretti ai Responsabili del trattamento o ha agito in modo difforme o
contrario rispetto alle legittime istruzione del Titolare. Lo stesso vale per il Responsabile del trattamento, in caso di rivendicazioni avanzate nei confronti dello stesso da un interessato, per il danno cagionato dal trattamento effettuato dal Titolare che violi le prescrizioni del GDPR.
2) Né il Responsabile del trattamento né eventuali subappaltatori potranno essere ritenuti responsabili per qualsivoglia richiesta di risarcimento danni avanzata da parte del Titolare o da altri soggetti, che derivi da azioni ovvero omissioni del Responsabile stesso, quando queste risultino relative all’ottemperanza a istruzioni ricevute dal Titolare o a pratiche di sicurezza approvate dal Titolare.
3) Il Responsabile al trattamento non ha la possibilità di verificare che la raccolta dei dati personali operata dal Titolare mediante le opzioni offerte dal sistema avvenga in conformità con le Leggi e i regolamenti vigenti. Pertanto, il Responsabile del trattamento non potrà essere ritenuto responsabile di eventuali violazioni causate da errata raccolta e/o utilizzo dei dati da parte del Titolare e dovrà essere mantenuto indenne da qualsivoglia richiesta di risarcimento danni da parte del Titolare o di terzi, relativa a raccolta o utilizzo improprio dei dati da parte del Titolare.