RESPONSABILI PER IL TRATTAMENTO - ADDENDUM
Mod. 07 - Rev. 0.1 – Deliberazione del Commissario Straordinario n° 692 del 06 11 2019
RESPONSABILI PER IL TRATTAMENTO - ADDENDUM
Allegato "…."
Il presente allegato è parte integrale e sostanziale del contratto di ....... tra [nome titolare], di seguito altresì denominato "titolare" e [nome responsabile], di seguito altresì denominato "responsabile", definendo gli obblighi e i diritti del titolare del trattamento in conformità all'art. 28 del Reg. EU 679/2016 (GDPR).
1. [nome titolare] ricorre a [nome responsabile] in quanto presenta garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento dei dati personali detenuti da [nome titolare] soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell'interessato. Questo è motivo essenziale del contratto.
2. Il responsabile è autorizzato e si obbliga a trattare i dati personali detenuti dal titolare, limitatamente alle attività strettamente necessarie e connesse all'adempimento del contratto, che ne definisce la materia disciplinata, la durata del trattamento, la natura e la finalità del trattamento.
Nella tabella "A" in coda a questo addendum sono definiti: il tipo di dati personali e le categorie di interessati.
3. Il responsabile tratta i dati personali rispettando le istruzioni documentate fornitegli dal titolare del trattamento.
4. Il responsabile garantisce di affidare il trattamento a sole persone specificamente autorizzate al trattamento dei dati personali che si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
5. Il responsabile si obbliga a rispettare ed eventualmente adottare tutte le misure tecniche e/o organizzative di protezione dei dati personali eventualmente richiestegli dal titolare ai sensi dell'articolo 32 GDPR.
6. Il responsabile si obbliga a non ricorrere a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento si obbliga ad informare il titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l'opportunità di opporsi a tali modifiche. Nella tabella "B" in coda a questo addendum sono indicati i subresponsabili dei quali [nome responsabile] dichiara, sin da ora, di avvalersi nel trattamento dei dati personali in oggetto e che [nome titolare] espressamente approva. [nome responsabile], dichiara altresì di applicare ai subresponsabili le specifiche disposizioni previste da questo documento e si obbliga a comunicare al titolare ogni modifica rispetto all'elenco dei subresponsabili.
7. Nel caso in cui il responsabile ricorresse a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento si obbliga, sin da ora, ad imporre, mediante un contratto o un altro atto giuridico, gli stessi obblighi in materia di protezione dei dati contenuti in questo addendum, prevedendo, in particolare, garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR. Qualora l'altro
responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, [nome responsabile] conserva nei confronti di [nome titolare] l'intera responsabilità dell'adempimento degli obblighi di quello.
8. Il responsabile si obbliga ad assistere il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III.
9. Il responsabile, tenendo conto della natura del trattamento e delle informazioni a propria disposizione, si obbliga ad assistere il titolare:
9.1. nel proteggere adeguatamente i dati personali degli interessati come prescritto dall'art. 32 GDPR;
9.2. nel comunicare al titolare tempestivamente ogni violazione che possa avere impatto sui dati personali, con specifico riferimento a quelli dei pazienti, di cui sia venuto a conoscenza. Tale comunicazione deve essere fatta secondo le istruzioni impartite dal titolare e comunque in tempo utile a rispettare il termine di 72 ore per la notifica all'autorità di controllo;
9.3. nel compiere la valutazione preliminare d'impatto sulla protezione dei dati inerente ad attività di trattamento che fossero di competenza del responsabile e, qualora occorrente, la consultazione preventiva presso l'Autorità di controllo.
10. Il responsabile, su scelta del titolare del trattamento, si obbliga a cancellare o restituirgli tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento ed a cancellare le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati.
11. Il responsabile si obbliga a mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al GDPR e acconsente e contribuisce alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
12. Il responsabile informa immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi il GDPR o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati.
TABELLA "A"
Categorie di interessati | Tipologie di dati personali |
Utenti (dipendenti delle aziende e degli enti che hanno sottoscritto l’accordo) | |
TABELLA "B"
Subresponsabile | Attività di trattamento subdelegate |
... il ...