Tra

ADDENDUM AL CONTRATTO REP. /


NOMINA A RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI

Tra


l’ATS Sardegna con sede in Xxxxxxx, Xxx X. Xxxxx x. 00, Codice Fiscale 92005870909 Partita Iva 00935650903, nella persona del Direttore Generale e Legale Rappresentante Xxxx. Xxxxxx Xxxxxxx, nato a Quiliano (SV) il 16.12.1952, C.F. MRNFLV52T16H126Y


e


la   (1) con sede in Via , C.F.

        _, nella persona del Legale Rappresentante      _, nato a

         il       _, C.F.             _ dall’altra hanno convenuto e stipulato quanto segue.

Premesso

- che la          (1), nell’ambito dei servizi offerti all’ATS Sardegna, così come da contratto in essere, effettua attività che comportano il trattamento di dati personali di cui la stessa ATS risulta titolare;

- che l’art. 28, comma 1 del Regolamento UE n. 679/2016 - Regolamento Generale sulla Protezione dei Dati (di seguito denominato GDPR) - dispone “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”;

- che con deliberazione n. 535/2018 l’ATS Sardegna ha approvato il “Regolamento per la protezione dei dati Personali”, consultabile nel sito web dell’ATS, sezione Privacy, successivamente denominato “ Regolamento Aziendale”;


Tutto quanto sopra premesso, le parti come sopra costituite convengono quanto segue:


Articolo 1 - Nomina Responsabile del trattamento dei dati personali


L’ATS-SARDEGNA (di seguito denominata Titolare) nomina  Responsabile

del trattamento dei dati personali” (d’ora in poi “Responsabile”), con riferimento ai dati personali di cui lo stesso può venire a conoscenza nello svolgimento delle sue attività e limitatamente all’ambito dell’esercizio delle stesse;


Articolo 2 - Durata


La presente nomina sarà efficace per tutta la durata del contratto in essere e dovrà intendersi priva di effetti in caso di cessazione dello stesso.


Articolo 3 - Finalità del trattamento.


I dati che sono affidati al Responsabile, nell’ambito delle attività oggetto del contratto in essere, possono essere trattati solo per le finalità attinenti all’esecuzione del contratto.


Articolo 4 - Modalità del trattamento.


I dati potranno essere trattati su supporto cartaceo o digitale, in base alle attività svolte.

Articolo 5 - Tipo di dati personali e categorie di interessati


Saranno oggetto di trattamento i dati personali relativi alle categorie di interessati di seguito indicati (Ai fini della compilazione si veda l’Allegato 2)

- dati personali:

- categorie interessati:


Articolo 6 - Doveri e compiti del Responsabile


Il Responsabile, così come previsto dagli artt. 28, 32, 33, 34 e 35 del GDPR, si impegna a:


a) trattare i dati personali affidati soltanto su istruzione documentata dell’ATS, anche in caso di trasferimento di dati personali verso un paese terzo, salvo diversa disposizione normativa. In tal caso il Responsabile è comunque tenuto all’obbligo di informare il titolare. Sul punto si precisa che l’eventuale trasferimento dei dati personali verso paesi terzi extraeuropei e’ soggetto all’esplicita autorizzazione del Titolare;


b) garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;


c) adottare tutte le misure di sicurezza indicate dall’ATS e le ulteriori misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche;


d) assistere il titolare, tenendo conto della natura del trattamento, con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato e garantire il rispetto degli obblighi di legge, tenendo conto della natura del trattamento e delle informazioni a sua disposizione;


e) cancellare o restituire, su specifica indicazione dell’ATS, tutti i dati personali una volta conclusa la prestazione dei servizi relativi al trattamento e provvedere alla cancellazione delle copie esistenti, in qualunque formato esse siano, salvo che disposizioni normative vigenti ne prevedano la conservazione;


f) mettere a disposizione dell’ATS le informazioni necessarie per dimostrare il rispetto degli obblighi di legge e contribuire alle attività di controllo, revisione, comprese le ispezioni, realizzate dal Titolare del Trattamento o da altro soggetto da questi incaricato;


g) a non delegare ad altri soggetti anche solo una parte del trattamento dei dati personali senza previa e specifica autorizzazione scritta da parte del Titolare. Nel caso in cui il Responsabile del trattamento ricorra, previa specifica autorizzazione, a un sub-responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto dell’ATS, al Responsabile del trattamento sono imposti, mediante un contratto, gli stessi obblighi a cui è stato sottoposto il Responsabile, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento UE. Qualora il sub-responsabile del trattamento ometta di adempiere i propri obblighi in materia di protezione dei dati, il Responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi del sub-responsabile;


h) ad informare senza ingiustificato ritardo il titolare del trattamento in caso di violazione dei dati personali, dopo esserne venuto a conoscenza;

i) assicurare l’assistenza al titolare del trattamento ai fini degli adempimenti di cui all’artt. 33, 34 e 35 e 36 del Regolamento UE;


l) mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di legge nonché consentire le attività di verifica (Audit) realizzate dal titolare o da terzi incaricati dal titolare, al fine di accertare l’osservazione delle presenti modalità di trattamento dei dati e il rispetto delle norme di legge.


I Responsabili e gli eventuali Sub-Responsabili del trattamento dei dati personali in conformità alle disposizioni di cui al Regolamento ATS citato in premessa si impegnano altresì:


- a ottemperare alle disposizioni di cui all’art. 27 del Regolamento Aziendale;


- a designare, in forma scritta gli Incaricati del trattamento dei dati personali, nell’ambito della propria struttura e per i trattamenti di dati di propria competenza, secondo livelli differenziati e profili omogenei; tale documento deve essere conservato presso la sede legale dello stesso Responsabile e dell’eventuale sub-responsabile e trasmesso via mail al Data Protection Officer che provvederà a conservarlo;


- ad adottare le misure di sicurezza dei dati personali, in base alle indicazioni impartite dall’ATS Sardegna e esplicitate nei 2 documenti allegati al presente nonché con successive eventuali disposizioni operative;


- a curare la diffusione delle norme, delle linee guida e di ogni altra disposizione impartita dall’ATS Sardegna fra i propri Incaricati del trattamento dei dati;


- ad adottare ulteriori istruzioni interne e indicazioni di comportamento per il proprio personale per i pazienti e per visitatori alle proprie strutture;


- a collaborare con il Data Protection Officer dell’ATS Sardegna nelle attività di verifica di applicazione delle misure di protezione dei dati personali oggetto di trattamento autorizzato;


- a verificare l’esattezza, l’aggiornamento, la pertinenza e la congruità dei dati, in rapporto all’attività svolta;


- ad effettuare, limitatamente all’ambito e agli aspetti di competenza, l’analisi dei rischi che incombono nei trattamenti dei dati e nella conservazione dei medesimi;

- a verificare periodicamente il corretto trattamento dei dati personali da parte degli Incaricati del trattamento e ne documentano gli esiti e registrano ogni anomalia di trattamento dei dati oggetto di affidamento;

- a segnalare al Data Protection Officer l’inizio o la cessazione di trattamenti di dati personali e della cancellazione di dati personali, al fine di permettere l’aggiornamento del Registro delle attività di trattamento dei dati personali;

- a trasmettere al Data Protection Officer entro il 31 gennaio di ogni anno una relazione sulle misure di sicurezza adottate, sulle modalità di trattamento dei dati e sulle eventuali criticità residue al 31 dicembre dell’anno precedente.

Si evidenzia che il mancato rispetto da parte del Responsabile del trattamento delle misure di sicurezza adeguate a contenere o prevenire rischi che possono riguardare i dati oggetto dell’affidamento può costituire titolo per la rescissione del rapporto sottostante e per la richiesta del risarcimento del danno.

Articolo 7 - Disposizioni finali


Per quanto non espressamente previsto si rimanda alle previsioni del GDPR nonche’ al Regolamento Aziendale in materia di protezione dei dati.

Il presente addendum costituisce parte integrante del contratto principale, la cui disciplina e’ da intendersi qui integralmente richiamata.


Il Responsabile esterno del Trattamento Il Titolare del Trattamento

ll Rappresentante legale del Il Direttore Generale ATS

Dott. Xxxx. Xxxxxx Xxxxxxx

Document Metadata

Filed: May 9th, 2019