ATTO DI NOMINA A RESPONSABILE ESTERNO DEL TRATTAMENTO Art. 28, Regolamento (UE) 2016/679 (GDPR)



ALLEGATO 3F

ATTO DI NOMINA A

RESPONSABILE ESTERNO DEL TRATTAMENTO

Art. 28, Regolamento (UE) 2016/679 (GDPR)


Considerato che:

  • con deliberazione del Direttore Generale / Determinazione del Direttore dell’ U.O./Servizio ………………………. n. …….. del ………………., a seguito di ( es. : gara a procedura ristretta, ecc.), tra l’AZIENDA USL DELLA ROMAGNA e la Ditta/ Società ………………………………………… è stato stipulato / prorogato/ rinnovato / ecc. il contratto/convenzione relativo a ………..……………………………………………………………………..………..;

  • nella esecuzione del suddetto rapporto contrattuale/convenzionale e nel compimento degli atti conseguenti, la suddetta Ditta / Società compie necessariamente operazioni di trattamento di dati personali per conto della AZIENDA USL DELLA ROMAGNA,Titolare del trattamento;

  • l'ambito del trattamento e i dati che ne sono oggetto sono meglio specificati nell'Allegato 1 “Ambito del trattamento”, parte integrante del presente Atto;

  • il presente atto di nomina costituisce parte integrante del contratto/convenzione sopracitato stipulato/ prorogato/ rinnovato/ ecc. fra l’AZIENDA USL DELLA ROMAGNA e la ditta/Soc. ____________________________


Tutto ciò premesso, al fine di provvedere alla corretta gestione degli adempimenti previsti dal GDPR,


tra

L’AZIENDA USL DELLA ROMAGNA con sede in Ravenna Via ________________ codice fiscale /P.I. ____________ in persona del Direttore dell’U.O,/Servizio ________________ dott. _______________nominato “Responsabile Interno del trattamento dei dati” con delibera n. 275 del 25/7/2018 del Direttore Generale (nel seguito Titolare)

e

La Ditta/ Società con sede in Ravenna Via ________________ codice fiscale /P.I. ____________ in personale del legale rappresentante _______________________ (nel seguito Responsabile esterno)


si conviene e si stipula quanto segue


  1. Nomina del Responsabile del trattamento

Con il presente Atto si nomina la Ditta / Società………………………………….……… Responsabile esterno del trattamento dei dati personali, per quanto sia necessario alla corretta esecuzione del rapporto contrattuale/convenzionale indicato in premessa.


  1. Obblighi e compiti del Responsabile del trattamento

La Ditta / Società…………………………………………………….……Responsabile esterno del trattamento, tratta i dati personali per conto del Titolare del trattamento solo ed esclusivamente ai fini della esecuzione dei servizi oggetto del contratto/convenzione, nel rispetto della normativa vigente in materia di protezione dei dati personali, nonché delle istruzioni impartite dal Titolare nel presente Atto o in atti successivi.

Ogni trattamento di dati personali da parte del Responsabile esterno deve avvenire nel rispetto dei principi, dei limiti e delle modalità di cui all’art. 5 del GDPR e nel pieno rispetto di tutte le disposizioni normative sulla protezione dei dati applicabili.

Il Responsabile esterno riconosce espressamente che i dati personali trattati ai fini dell’esecuzione del contratto/convenzione hanno natura riservata e confidenziale. Pertanto il Responsabile esterno si impegna ad utilizzare i dati personali esclusivamente ai fini dell’esecuzione del contratto/convenzione e nei limiti del presente atto di nomina, nonché a mantenere i dati personali strettamente confidenziali e a non divulgarli o trasferirli, in tutti o in parte, in qualsiasi modo, salvo autorizzazione scritta del Titolare e secondo le disposizioni di cui al punto “altri Responsabili (Sub–responsabili)” o salvo sia obbligato in forza delle leggi a cui il Responsabile esterno è soggetto.

Il Responsabile esterno del trattamento, operando nell’ambito dei suddetti principi, deve attenersi ai seguenti compiti, con riferimento rispettivamente a:

  • persone preposte allo svolgimento di operazioni di trattamento sui dati personali:

  • garantisce competenze ed affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali (di seguito anche incaricati) effettuati per conto dell’Azienda.

  • assicura che gli incaricati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica attribuendo loro specifici compiti e funzioni ed impartendo adeguate informazioni ed istruzioni; consegnando all’Azienda le evidenze di tali compiti. Al fine di garantire un trattamento corretto, lecito e sicuro, si adopera per rendere effettive le suddette istruzioni, vigilando sul loro operato, vincolando i proprio incaricato alla riservatezza su tutte le informazioni acquisite nello svolgimento delle loro attività, anche successivamente alla cessazione del rapporto di lavoro/collaborazione con la Ditta stessa. In ogni caso il Fornitore è direttamente ritenuto responsabile per qualsiasi divulgazione di dati personali dovesse realizzarsi ad opera di tali soggetti.

  • si impegna a limitare l’accesso ai dati personali al solo personale che esegue le attività necessarie ai fini dell’esecuzione del contratto.



  • registro delle attività di trattamento:

  • identifica e censisce i trattamenti di dati personali, le banche dati e gli archivi gestiti con supporti informatici e/o cartacei necessari all’espletamento delle attività oggetto del contratto/convenzione al fine di predisporre il registro delle attività di trattamento svolte per conto della Azienda AUSL Romagna Titolare, da esibire, in caso di ispezione della Autorità Garante, e contenente almeno le seguenti informazioni:

  1. il nome e i dati di contatto del Responsabile esterno, del Titolare del trattamento per conto del quale il Responsabile esterno agisce e, ove applicabile, del Responsabile della protezione dei dati (DPO);

  2. le categorie dei trattamenti effettuati per conto del Titolare;

  3. se del caso, i trasferimenti di dati personali verso paesi terzi, compresa l'identificazione del paese terzo e la relativa documentazione di garanzia;

  4. la descrizione generale delle misure di sicurezza tecniche ed organizzative applicate a protezione dei dati.


  • obblighi di sicurezza:

  • conserva i dati personali garantendo la separazione di tipo logico dai dati personali trattati per conto di terze parti o per proprio conto.

  • adotta e mantiene le misure tecniche e organizzative adeguate per proteggere la sicurezza, la riservatezza e l'integrità dei dati personali tenendo conto dei rischi di varia probabilità e gravità (di distruzione o perdita, di modifica, di divulgazione non autorizzata o di accesso accidentale o illegale a dati trasmessi, conservati o comunque trattati) dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento; ed in particolare, laddove il trattamento comporti trasmissioni di dati su una rete, da qualsiasi altra forma illecita di trattamento.

  • definisce una politica di sicurezza per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e servizi afferenti il trattamento dei dati

  • si impegna ad utilizzare strumenti, applicazioni e/o servizi che rispettino i principi di protezione dei dati personali fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default) e in linea con tale principio, tratta, per impostazione predefinita, esclusivamente quei dati personali necessari per ogni specifica finalità del trattamento.

  • assicura la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati in caso di incidente fisico o tecnico.

  • definisce una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative applicate.

  • ulteriori misure di sicurezza sono individuate in relazione allo specifico trattamento di dati da parte del fornitore.


  • data breach:

  • comunica al Titolare del trattamento, senza ingiustificato ritardo dopo esserne venuto a conoscenza, e comunque entro 24 ore dalla conoscenza del fatto, qualsiasi evento che possa comportare una violazione, anche accidentale, dei dati personali oggetto di trattamento, fornendo tutte le informazioni disponibili sull’evento e prestando la necessaria collaborazione al Titolare in relazione all'adempimento degli obblighi sullo stesso gravanti di notifica delle suddette violazioni alla Autorità Garante e/o di comunicazione delle stesse agli interessati; a tal fine il Responsabile esterno porrà in essere per quanto compatibile con il contesto e la natura della violazione, la procedura in fase di predisposizione dal Titolare del trattamento che verrà successivamente messa a disposizione.


  • valutazione di impatto:

  • fornisce tutte le informazioni e tutti gli elementi utili al Titolare per la effettuazione, da parte di quest'ultimo, della valutazione di impatto sulla protezione dei dati, nonché della eventuale consultazione preventiva alla Autorità Garante ai sensi degli artt. 35 e 36 del GDPR;

  • con riferimento in particolare agli esiti dell’analisi dei rischi effettuata dall’Azienda sui trattamenti di dati personali cui concorre il Fornitore, lo stesso assicura massima cooperazione e assistenza al fine di dare effettività alle azioni di mitigazione eventualmente previste dal Titolare per affrontare possibili rischi identificati.


  • amministratori di sistema (se necessario in base al fornitore che si sta nominando):

conformemente al Provvedimento della Autorità Garante del 27 novembre 2008, in tema di amministratori di sistema, si impegna a:

  • fornire al Titolare, nel caso di servizi di amministrazione di sistema forniti in insourcing, l’elenco con gli estremi identificativi delle persone fisiche che espleteranno, nell’ambito dell’incarico affidato funzioni di amministratori di sistema unitamente all’attestazione delle conoscenze, dell’esperienza, della capacità e dell’affidabilità degli stessi soggetti, i quali devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza

  • designare quali amministratori di sistema le figure professionali individuate quali Amministratori di sistema, dedicate alla gestione e alla manutenzione di impianti di elaborazione o di loro componenti con cui vengono effettuati trattamenti di dati personali;

  • predisporre e conservare l’elenco contenente gli estremi identificativi delle persone fisiche qualificate quali amministratori di sistema e le funzioni ad essi attribuite;

  • comunicare periodicamente al Titolare l’elenco aggiornato degli amministratori dei sistemi;

  • verificare annualmente l'operato degli amministratori di sistema, informando il Titolare circa le risultanze di tale verifica;

  • mantenere i file di log previsti in conformità a quanto previsto nel suddetto provvedimento.


  • Audit:

  • si rende disponibile a specifici audit in tema di privacy e sicurezza informatica da parte del Titolare, consentendo, pertanto, all’Azienda USL della Romagna l’accesso ai propri locali e ai locali di qualsiasi Sub-Responsabile eventualmente nominato, ai computer e altri sistemi informativi, ad atti, documenti e a quanto ragionevolmente richiesto per verificare che il Fornitore, e/o i suoi Sub-fornitori, rispettino gli obblighi derivanti dalla normativa in materia di protezione dei dati personali e, quindi, da questo accordo.

L’esperimento di tali audit da parte del Titolare o suo delegato non deve avere ad oggetto dati di terze parti, informazioni sottoposte ad obblighi di riservatezza degli interessi commerciali. Nel caso in cui l’audit fornisca:

  1. evidenze di violazioni gravi, quali ad esempio quelle indicate all’art. 83 comma 4 lett. a), l’Azienda può chiedere una cospicua riduzione del prezzo;

  2. evidenze di violazioni alla normativa in materia di protezione dei dati personali e al presente Accordo, quali ad esempio quelle indicate all’art. 83 comma 5 (con esclusione della lett. e) l’Azienda può risolvere il Contratto o chiedere una cospicua riduzione del prezzo.

Il rifiuto del Fornitore di consentire l’audit all’Azienda USL della Romagna comporta la risoluzione del contratto.


  • istanze degli interessati:

  • collabora con il Titolare per fornire tempestivamente tutte le informazioni necessarie e/o i documenti utili al fine di soddisfare l'obbligo del Titolare del trattamento di dare seguito alle richieste degli interessati di cui al Capo III del GDPR (ad es.: esercizio dei diritti di accesso, rettifica, limitazione, opposizione al trattamento dei dati);

  • collabora con il Data Protection Office (DPO) del titolare del trattamento, provvedendo a fornire ogni informazione dal medesimo richiesta;

  • qualora il trattamento dei dati personali oggetto del contratto/convenzione comporti la raccolta di dati personali da parte del Responsabile del trattamento, questi provvede, al rilascio della relativa informativa ai soggetti interessati;

  • affigge, inoltre, i cartelli contenenti l’informativa in tutti i luoghi ad accesso pubblico, con precisazione che l’informazione resa attraverso la cartellonistica integra, ma non sostituisce l’obbligo di informativa in forma orale o scritta.


  • rapporti con le Autorità:

  • provvede ad informare immediatamente il Titolare del trattamento di ogni richiesta, ordine ovvero attività di controllo da parte dell’Autorità Garante per la protezione dei dati personali o dell’Autorità Giudiziaria e coadiuva il Titolare stesso nella difesa in caso di procedimenti dinanzi dalla suddette Autorità che riguardino il trattamento dei dati oggetto del contratto. A tal fine il Responsabile esterno fornisce, in esecuzione del contratto e, quindi, gratuitamente, tutta la dovuta assistenza all’Ente per garantire che la stessa possa rispondere a tali istanze o comunicazioni nei termini temporali previsti dalla normativa e dai regolamentari applicabili.


  • ulteriori obblighi:

  • mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla normativa in materia di protezione dei dati personali e/o delle istruzioni del Titolare di cui al presente Atto di designazione.

si impegna altresì a:

  • effettuare almeno annualmente un rendiconto in ordine all’esecuzione delle istruzioni ricevute dal

Titolare (e agli adempimenti eseguiti) ed alle conseguenti risultanze;

  • collaborare, se richiesto dal Titolare, con gli altri Responsabili esterni del trattamento, al fine di armonizzare e coordinare l’intero processo di trattamento dei dati personali;

  • realizzare quant’altro sia ragionevolmente utile e/o necessario al fine di garantire l’adempimento degli obblighi previsti dalla normativa applicabile in materia di protezione dei dati, nei limiti dei compiti affidati con il presente Atto di designazione;

  • informare prontamente il Titolare di ogni questione rilevante ai fini di legge, in particolar modo, a titolo esemplificativo e non esaustivo, nei casi in cui abbia notizia, in qualsiasi modo, che il trattamento dei dati personali violi la normativa in materia di protezione dei dati personali o presenti comunque rischi specifici per i diritti, le libertà fondamentali e/o la dignità dell’interessato o qualora, a suo parere, un'istruzione violi la normativa, nazionale o comunitaria, relativa alla protezione dei dati oppure qualora il Responsabile esterno sia soggetto ad obblighi di legge che gli rendono illecito o impossibile agire secondo le istruzioni ricevute dal Titolare e/o conformarsi alla normativa o a provvedimenti dell’Autorità di Controllo.

Come sancito dal GDPR, qualora il Responsabile esterno del trattamento determini autonomamente le finalità e i mezzi di trattamento in violazione del GDPR medesimo, sarà considerato Titolare del trattamento, assumendone i conseguenti oneri, rischi e responsabilità.


  • Trasferimento e trattamento di dati personali fuori dall’area economica europea:


  • Il Responsabile esterno del trattamento ___________________________________( Indicare nominativo o ragione sociale ) dichiara che non trasferisce e tratta dati personali fuori dall’ Area economica europea


Oppure


  • Il Responsabile esterno del trattamento ___________________________________( Indicare nominativo o ragione sociale ) dichiara che trasferisce e tratta dati personali fuori dall’ Area economica europea. In tale fattispecie il trasferimento dei dati avviene nel rispetto delle seguenti condizioni (spuntare la casella):


Trasferimento in base ad una Decisione di Adeguatezza (art 45)

  • Decisione di adeguatezza _______________________________________________( indicare la Decisione)

Trasferimento in base a garanzie adeguate senza autorizzazione dell’autorità competente (art. 46)

  • norme vincolanti d'impresa in conformità appositamente approvate (indicare l’autorità)

  • clausole tipo di protezione dei dati adottate dalla Commissione

  • clausole tipo di protezione dei dati adottate da un'autorità di controllo e approvate dalla Commissione

  • codice di condotta approvato a norma dell'articolo 40, unitamente all'impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati; o

  • meccanismo di certificazione approvato a norma dell'articolo 42, unitamente all'impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.

  • clausole contrattuali tra il titolare del trattamento o il responsabile esterno del trattamento e il titolare del trattamento, il responsabile esterno del trattamento o il destinatario dei dati personali nel paese terzo o nell'organizzazione internazionale che siano state appositamente autorizzate dall’Autorità di controllo competente

  • ____________________________________________________________(indicare eventuali altre modalità)


  • altri Responsabili (Sub–responsabili):

  • per l'esecuzione di specifiche attività di trattamento per conto del Titolare e solamente previa autorizzazione scritta, specifica o generale del Titolare stesso, il Responsabile esterno del trattamento può ricorrere ad altro responsabile (c.d. Sub-responsabile del trattamento); quando ciò avvenga il Responsabile esterno si obbliga ad imporre per iscritto a tale Sub-responsabile, mediante atto giuridico vincolante, gli stessi obblighi in materia di protezione dei dati personali cui è soggetto il Responsabile esterno stesso, in particolare in relazione agli obblighi in materia di sicurezza. In particolare, nel caso in cui il Responsabile esterno ricorra a un Sub-responsabile stabilito in un Paese extra-UE, sarà suo onere adottare adeguati strumenti per legittimare il trasferimento ai sensi degli artt. 44 e ss. del Regolamento.

Il Titolare ha il diritto di chiedere al Responsabile esterno del trattamento:

  • il rilascio di copia degli accordi stipulati tra Responsabile esterno e Sub-responsabile (omettendo le sole informazioni strettamente confidenziali e gli accordi economici, se del caso);

  • di sottoporre ad audit i propri Sub-responsabili o comunque fornire conferma che tale audit sono stati condotti per dimostrare la conformità dei Sub-responsabili alla normativa in materia di protezione dei dati personali, nonché agli obblighi di cui al presente Atto.

Il Responsabile esterno si impegna espressamente ad informare il Titolare di eventuali modifiche riguardanti l’aggiunta o la sostituzione di eventuali Sub-responsabili del trattamento, dandogli così l’opportunità di opporsi a tali modifiche. Il Responsabile esterno non può ricorrere ai Sub-responsabili nei cui confronti il Titolare abbia manifestato la sua opposizione.

Qualora il Sub-responsabile ometta di adempiere ai propri obblighi, il Responsabile esterno conserva nei confronti del Titolare del trattamento l’intera responsabilità dell’inadempimento degli obblighi del Sub-responsabile. In tutti i casi, il Fornitore si assume la responsabilità nei confronti dell’Azienda per qualsiasi violazione od omissione realizzati da un Sub-Responsabile o da altri terzi soggetti incaricati dallo stesso, indipendentemente dal fatto che il Fornitore abbia o meno rispettato i propri obblighi contrattuali, ivi comprese le conseguenze patrimoniali derivanti da tali violazioni od omissioni.


  • responsabile della protezione dei dati (DPO):

  • Il Responsabile esterno comunica al Titolare il nome e i dati di contatto (indirizzo e- mail, n° telefonico ) del proprio responsabile della protezione dei dati (DPO), ove designato.

  • Il Titolare comunica con la presente i riferimenti del proprio DPO:

Xxxxxxxx Goriziano

Tel. 0544/286553

E-mail : xxxxxxxxx.xxxxxxxx@xxxxxxxxxxx.xx

PEC: xxxxxxx@xxx.xxxxxxxxxxx.xx



3. Condizioni della nomina

Il Responsabile esterno si impegna a mantenere indenne il Titolare da ogni danno, costo od onere di qualsiasi genere e natura, nonché da ogni contestazione, azione o pretesa avanzate nei confronti del Titolare da parte degli interessati e/o di qualsiasi altro soggetto e/o Autorità derivanti da eventuali inadempimenti del presente Atto da parte del Responsabile esterno stesso (o di eventuali suoi Sub-responsabili) o inosservanze delle istruzioni di cui al presente Atto o di ulteriori istruzioni eventualmente trasmesse per iscritto dal Titolare.

Pertanto, le sanzioni amministrative pecuniarie previste dall'art. 83 per violazioni del GDPR si applicano anche in capo al Responsabile esterno del trattamento.

Resta fermo, in ogni caso, che la responsabilità penale per l’eventuale uso non corretto dei dati oggetto di tutela è a carico della singola persona cui l’uso illegittimo sia imputabile.

Resta inteso, inoltre, che la presente designazione non comporta alcun diritto per il Responsabile esterno a uno specifico compenso, indennità o rimborso per l’attività svolta in qualità di Responsabile esterno, ulteriore rispetto a quanto già previsto nel contratto/convenzione stipulato con il Titolare, indicato al presente Atto.


4. Durata

Il presente atto di designazione è in vigore parallelamente al contratto e produce effetti dal momento di sottoscrizione ed è condizionato, per oggetto e per durata, al rapporto contrattuale/ convenzionale in corso tra l’Azienda …………………………………………..e la Ditta/ Società………………………………………….……. ; si intenderà revocato di diritto alla scadenza del rapporto o alla risoluzione, per qualsiasi causa, dello stesso.

La nomina si intende comunque estesa ad eventuali futuri contratti aventi ad oggetto servizi analoghi o prestazioni sanitarie ulteriori e che comportino un trattamento di dati personali da parte della Ditta / Società_________________ , in nome e per conto dell’AUSL della Romagna, Titolare.

Resta fermo che, anche successivamente alla cessazione o alla revoca del contratto/convenzione, il Responsabile esterno dovrà mantenere la massima riservatezza sui dati e le informazioni relative al Titolare delle quali sia venuto a conoscenza nell’adempimento delle sue obbligazioni.


5. Restituzione e cancellazione dei dati

All’atto della conclusione o della revoca del contratto, su richiesta, o in qualsiasi altro momento per sopravvenute necessità, la Ditta / Società ……………………………….…………. dovrà interrompere ogni operazione di trattamento dei dati personali e dovrà provvedere, a scelta del Titolare, all’immediata restituzione dei dati allo stesso, comprese tutte le eventuali copie di backup e tutta la documentazione cartacea, oppure alla loro integrale cancellazione, in entrambi i casi rilasciando contestualmente attestazione scritta che presso il Responsabile esterno del trattamento non ne esiste alcuna copia.

In caso di richiesta scritta del Titolare, il Responsabile esterno è tenuto a indicare le modalità tecniche e le procedure utilizzate per la cancellazione/distruzione.


6. Clausola di salvaguardia

Per quanto non espressamente previsto nel presente atto di designazione, si rinvia alle disposizioni generali vigenti in materia di protezione di dati personali, nonché alle disposizioni di cui al contratto / convenzione stipulato tra le parti, sopra individuato. Si precisa altresì che qualora l’adozione del decreto legislativo 10 agosto 2018, n. 101 o successive disposizioni normative in materia di adeguamento al GDPR incidano sulla figura del Responsabile del trattamento, la presente nomina sarà integrata a cura del Titolare.


7. Diritto applicabile e giurisdizione

Il presente Atto di nomina è regolato dalla legge Italiana.

Per tutte le controversie derivanti da o in connessione con il presente Atto di nomina il Foro Competente esclusivo sarà il Tribunale della sede legale l’AUSL della Romagna.



Il presente documento è redatto e sottoscritto in unico originale digitale e trasmesso alla Ditta / Società ………………………………………………… per la sottoscrizione per accettazione.


Il Direttore dell’U.O. Servizio _____________

dell’AUSL della Romagna

dott. __________________________________

________________________________________

ACCETTAZIONE DELLA NOMINA



Il legale rappresentante della Ditta / Società ……………………………..nella sua qualità di Responsabile esterno del trattamento dei dati di cui in premessa:


  • accetta la nomina;


  • si impegna a procedere al trattamento dei dati personali attenendosi alle disposizioni di cui alla normativa in materia di protezione dei dati personali ed alle istruzioni impartite dal Titolare, Azienda…………………., nel presente Atto o in atti successivi;

  • dichiara di aver ricevuto ed esaminato i compiti e le istruzioni sopra indicate;



Il Responsabile esterno del trattamento dott. ______________________

________________________________





ALLEGATO 1 Ambito del trattamento (art. 28, paragrafo 3, GDPR)

Il presente allegato costituisce parte integrante dell'Atto di nomina della Ditta / Società ………………………….quale Responsabile esterno del trattamento da parte del Titolare - Azienda USL della Romagna e definisce in particolare:


  1. Oggetto, natura e finalità del trattamento


  1. Categorie di interessati


  1. Tipo di dati personali oggetto di trattamento



Oggetto e durata del Trattamento dei Dati personali

L’oggetto e la durata del Trattamento dei Dati personali sono stabiliti nel Contratto e nel presente Atto di nomina.


Natura e finalità del Trattamento dei Dati personali

(Il presente elenco è da considerarsi a titolo puramente esemplificativo r non esaustivo)

  • Marketing

  • Profilazione

  • Libro Paga

  • Erogazione di servizi di manutenzione IT

  • Altro (specificare) ____________

  • Altro (specificare) ____________

  • Altro (specificare)__________________________________________________________________




Le categorie degli interessati a cui fanno riferimento i Dati personali

(Il presente elenco è da considerarsi a titolo puramente esemplificativo e non esaustivo)

  • Pazienti

  • Dipendenti di Titolare

  • Clienti di Titolare

  • Consulenti di Titolare

  • Fornitori di Titolare

  • Altro (specificare) _______________________________________________________________

  • Altro (specificare)_______________________________________________________________

  • Altri dati (specificare)__________________________________________________________________





Tipologie di Dati personali da trattare

(Il presente elenco è da considerarsi a titolo puramente esemplificativo e non esaustivo)

  • dati anagrafici dei pazienti

  • dati relativi alla salute

  • dati genetici

  • dati biometrici

  • dati contenuti in cartelle cliniche

  • dati anagrafici dei lavoratori

  • dati anagrafici dei familiari, se presenti detrazioni di figli/coniuge a carico e assegni nucleo familiare

  • documenti di identità (carta di identità e codice fiscale principalmente)

  • permessi di soggiorno

  • residenze e/o domicilio

  • dati retributivi

  • dati relativi alla disabilità del dipendente

  • certificati medici

  • certificati di infortuni

  • certificati di gravidanza

  • domande di congedo obbligatorio e facoltativo

  • dati bancari

  • iscrizioni ai sindacati

  • iscrizioni ai fondi pensionistici complementari

  • pignoramenti

  • cessioni del quinto

  • permessi lutti

  • permessi elettorali

  • dati anagrafici dei fornitori

  • indirizzi mail

  • abitudini di consumo

  • dati carta di credito

  • Altri dati (specificare) __________________________________________________________________

  • Altri dati (specificare)__________________________________________________________________

  • Altri dati (specificare)__________________________________________________________________


9


Document Metadata

Filed: October 11th, 2018