ACCORDO DI NOMINA A RESP. TRATTAMENTO DATI PERSONALI CON INCARICO DI ADS
ACCORDO DI NOMINA A RESP. TRATTAMENTO DATI PERSONALI CON INCARICO DI ADS
Oggetto: Accordo di Nomina a Responsabile del trattamento dei dati personali (ai sensi dell’art. 28 del Regolamento UE 2016/679 e del D.lgs. 101/2018) con incarico di Amministratore di Sistema
Con il presente accordo, la società SIFO, i cui dati sono elencati di seguito:
Ragione sociale | SIFO - Società Italiana di Farmacia Ospedaliera e dei Servizi Farmaceutici delle Aziende Sanitarie | C.F. | 80200570150 |
Indirizzo | Xxx X. Xxxxxx 00, 00000 Xxxxxx | P.I. | 12208170154 |
TEL | +39 00.0000000 | ||
PEC | FAX | +39 00.00000000 |
- Nella persona del legale rappresentante;
- Come previsto dal Regolamento UE 2016/679 (di seguito “GDPR”) e dalla normativa nazionale in materia (D.lgs. 196/2003 come modificato e integrato dal D.lgs. 101/2018);
- In riferimento ai contratti di prestazione di servizi in essere fra la scrivente società e… (di seguito
“contratti principali”):
o Contratto n. ……………………..
o Offerta del …………………….. .
o etc.
Premesso che:
a) Ai sensi dell’art. 4 n. 7 GDPR, con il termine “titolare del trattamento” si intende: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”;
b) Ai sensi dell’art. 4 n. 8 GDPR, con il termine “responsabile del trattamento” si intende: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”;
c) Sifo, in qualità di Titolare del trattamento, effettua il trattamento di dati personali, intendendosi ai sensi dell’art. 4 n. 2 GDPR, con il termine trattamento: “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l'estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o distruzione” (di seguito “il Trattamento”);
d) Le attività di Trattamento inerenti e funzionali all’esecuzione dei servizi di cui ai contratti principali rientrano nell’ambito delle tipologie di Trattamento dei dati personali di cui sub c);
e) ………… possiede i requisiti di esperienza, capacità e affidabilità necessari per assolvere la funzione di Responsabile e adotta le misure tecniche e organizzative adeguate all’esecuzione del presente incarico; fornisce inoltre idonee garanzie del pieno rispetto delle disposizioni vigenti in materia di trattamento dei dati personali, ivi compreso il profilo della sicurezza in relazione alle finalità e modalità delle operazioni di trattamento;
f) In relazione a tale nomina, ai sensi dell’art. 28 del GDPR, le parti intendono regolare con il presente atto i loro reciproci rapporti in tema di trattamento dei dati personali effettuato dal Responsabile per conto del Titolare;
ACCORDO DI NOMINA A RESP. TRATTAMENTO DATI PERSONALI CON INCARICO DI ADS
g) Le premesse e gli allegati costituiscono parte integrante e sostanziale del presente accordo.
Tutto ciò premesso, con la presente, la scrivente, in qualità di Titolare del Trattamento dei dati personali
NOMINA
Ragione sociale | C.F. | ||
Indirizzo | |||
TEL | |||
PEC | FAX |
Responsabile del Trattamento dei dati personali, ai sensi e per gli effetti dell’art. 28 del GDPR, nell’ambito di tutte le operazioni di Trattamento di cui alle premesse c) e d), affidandole i compiti e le responsabilità di cui alla Normativa Privacy, come descritte in particolare nei seguenti punti.
1. OGGETTO D ELL ’ACC ORDO
Oggetto del presente accordo è il conferimento da parte del Titolare del trattamento della nomina e del contestuale incarico di Responsabile del trattamento dei dati personali a e la regolazione dei reciproci rapporti in tema di trattamento dei
dati personali effettuato dal Responsabile per conto del Titolare.
In particolare, il presente atto autorizza il Responsabile a trattare i dati personali:
- limitatamente e con esclusivo riferimento ai trattamenti necessari e funzionali all’esecuzione delle attività di cui ai contratti principali;
- secondo le istruzioni di seguito descritte e quelle che il Titolare dovesse impartire successivamente.
2. FINALITÀ DEL TRATTAMENTO
Le finalità del trattamento oggetto del presente accordo sono quelle attinenti all’esercizio dell’attività lavorativa di cui ai contratti principali in essere fra Titolare e Responsabile, indicati in intestazione ( ).
Il Responsabile non elaborerà o utilizzerà i dati personali per scopi diversi da quelli stabiliti nel presente accordo.
3. TIPO DI DATI PERSONALI TRATTATI E CATEGORIE DI INTERESSATI
I dati personali trattati dal Responsabile per conto del Titolare in forza del presente accordo sono dati personali comuni. A titolo di esempio:
Nome e cognome
Luogo e data di nascita Codice fiscale
Indirizzo di residenza Indirizzo e-mail
ACCORDO DI NOMINA A RESP. TRATTAMENTO DATI PERSONALI CON INCARICO DI ADS
Genere
Informazioni relative al pagamento della quota associativa
Le categorie di interessati coinvolti dal trattamento sono:
gli utenti/persone fisiche associate a Sifo, i cui dati personali sono contenuti nelle applicazioni gestite dal Responsabile; gli utenti/persone fisiche non associate i cui dati personali sono contenuti nelle applicazioni gestite dal Responsabile (a
titolo di esempio: utenti non associati che intendono partecipare agli eventi organizzati dalla Società); i dipendenti, o comunque collaboratori, del Titolare.
Qualora, in via eccezionale, dovessero essere trattati dati particolari ai sensi degli articoli 9 e 10 del GDPR, il Responsabile adotterà tutte le cautele previste dalla vigente normativa in materia per la loro protezione.
4. AMMINISTRATORI DI SISTEMA (ADS)
Per dare esecuzione al presente incarico individua e nomina, nell’ambito della propria organizzazione, le persone
fisiche (dipendenti o collaboratori) munite dei necessari requisiti di esperienza, capacità ed affidabilità, cui attribuire le mansioni di Amministratore di Sistema, definendone gli ambiti di operatività. A tali soggetti può fornire l’accesso ai dati personali trattati per conto del Titolare, nei termini e nel rispetto del Provvedimento Generale del Garante della privacy del 27. 11.2008, come modificato dal successivo Provvedimento del 25.06.2009.
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, sono riportati in un documento interno che …………… mantiene aggiornato e disponibile, a richiesta dell’Autorità o del Titolare.
5. OBBLIGHI E DIRITTI DEL TITOLARE DEL TRATTAMENTO
Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche, il Titolare è tenuto a mettere in atto misure tecniche e organizzative in materia di protezione dei dati che siano adeguate - e costantemente aggiornate - per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente alla Normativa Privacy vigente.
In particolare, sin dalla progettazione dei mezzi del trattamento, il Titolare deve attuare misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di tutelare i diritti degli interessati, nonché al fine di garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
Il Titolare è responsabile dell'ottenimento di consensi e/o autorizzazioni o comunque della garanzia di una appropriata base giuridica dei trattamenti effettuati, oltre a dover fornire agli interessati l’informativa prevista dal Regolamento Europeo.
Il Titolare è responsabile della qualità, della pertinenza e dell’affidabilità dei dati personali trattati.
In particolare, nell’ambito del rapporto intercorrente tra Titolare e Responsabile, il Titolare avrà diritto di verificare tramite attività di audit e ispezioni, direttamente o tramite altro soggetto a tale scopo incaricato:
a) che il Responsabile presenti per tutta la durata della presente nomina garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate con riferimento alle operazioni di trattamento eseguite;
b) che il Responsabile tratti i dati personali secondo le istruzioni impartite dal Titolare ai sensi del presente atto di nomina o secondo le indicazioni di volta in volta impartite, nonché secondo le disposizioni della Normativa Privacy vigente.
6. ONERI DEL RESPONSABILE (ART. 28 GDPR)
Nella sua qualità di Responsabile, è tenuta a:
a) trattare i dati personali solo su istruzione documentata del Titolare;
b) informare immediatamente il Titolare qualora ritenga che un’istruzione da costui ricevuta violi la Normativa Privacy vigente;
ACCORDO DI NOMINA A RESP. TRATTAMENTO DATI PERSONALI CON INCARICO DI ADS
c) trattare i dati nel rispetto dei principi di liceità, correttezza, trasparenza, esclusivamente per le finalità specificate e nell’ambito delle attività connesse all’esecuzione delle istruzioni impartite dal Titolare;
d) adottare le misure richieste ai sensi dell'articolo 32 (elencate al punto 7 del presente accordo);
e) tenendo conto della natura del trattamento, assistere il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui agli articoli 15-22 GDPR;
f) assistere il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 GDPR, tenendo conto della natura del trattamento e delle informazioni a sua disposizione;
g) mettere a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi derivanti dal suo ruolo di Responsabile, nonché consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato.
h) in coordinamento con il Titolare, rispondere a qualsiasi richiesta dell’Autorità Xxxxxxx e consentire alla stessa, e ai propri rappresentanti, tutti i controlli e gli accessi che dovessero rendersi opportuni e/o necessari;
i) unitamente agli eventuali Incaricati (punto 8 del presente accordo), rispettare il divieto di comunicazione e diffusione dei dati personali di cui verrà a conoscenza in attuazione delle operazioni di trattamento, anche una volta cessato il presente incarico, senza limiti temporali;
j) comunicare senza ritardo al Titolare le informazioni e i documenti relativi a eventi significativi per la protezione dei dati personali, violazioni, malfunzionamenti o anomalie che riguardano i sistemi IT e/o gli archivi, anche cartacei, contenenti dati personali ovvero relativi a cambi organizzativi idonei a impattare sul sistema di gestione dei dati personali;
Tali obblighi si riferiscono alle attività di trattamento di dati personali effettuate dal Responsabile per conto del Titolare limitatamente ai trattamenti necessari e funzionali all’esecuzione dei contratti principali.
A tal fine, le attività svolte per conto del Titolare sono elencate negli Allegati 1 e 2, che costituiscono parte integrante del presente accordo.
7. MISURE DI SICUREZZA
1. Il Responsabile collaborerà con il Titolare affinché siano adottate tutte le misure richieste ai sensi dell’articolo 32 del GDPR, nonché siano messe in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza idoneo ai rischi presentati dal trattamento dei dati per le finalità di cui al punto 2 del presente accordo.
2. In particolare, il Responsabile dovrà valutare, relativamente al trattamento dei dati per le finalità di cui al punto 2 del presente accordo, l’adeguato livello di sicurezza, tenendo conto in special modo dei rischi presentati dal trattamento che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati, e assicurarsi che le misure di sicurezza adottate siano idonee a ridurre al minimo tali rischi.
8. INCARICATI AL TRATTAMENTO
Il Responsabile è tenuto a:
- nominare per iscritto i soggetti autorizzati ad accedere, sotto la sua autorità, ai dati personali e a compiere operazioni di trattamento (di seguito “Incaricati”);
- vigilare sul rispetto delle istruzioni impartite agli Incaricati;
- garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano vincolate per mezzo di un adeguato obbligo legale di riservatezza;
- assicurare che venga erogata opportuna formazione a chiunque agisca sotto la sua autorità e tratti dati personali.
9. COMUNICAZIONI DAL RESPONSABILE AL TITOLARE
Il Responsabile è tenuto a informare tempestivamente il Titolare, in forma scritta, al verificarsi delle seguenti circostanze:
a) Istanze degli interessati;
b) Xxxxxxxxx, controlli, visite ispettive da parte dell’Autorità Garante per la Protezione dei Dati Personali (in tal caso dovrà essere trasmesso altresì il verbale rilasciato dal Garante al termine della visita nonché tutta la documentazione a supporto);
c) Eventuali violazioni delle istruzioni impartite agli Incaricati o degli obblighi imposti ad altri responsabili in materia di protezione dei dati per l’esecuzione di specifiche attività di trattamento;
d) Qualsiasi situazione di pericolo per la riservatezza, completezza o integrità dei dati che possa comportare la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso accidentale o illegale a dati personali;
e) Modifiche organizzative e dell’attività svolta che possano avere conseguenze sulla tipologia di dati trattati o sulle relative modalità o finalità del trattamento.
10. DURATA
Il presente accordo è stipulato in dipendenza dei contratti principali indicati in intestazione. Per tale ragione, esso rimarrà in vigore fino a quando almeno uno dei citati contratti principali sarà vigente, sciogliendosi dunque il vincolo contrattuale originato dal presente accordo di nomina allo scadere dell’ultimo contratto principale.
Esso può altresì essere revocato in qualsiasi momento senza preavviso da parte del Titolare, ogniqualvolta intervengano eventi o modifiche organizzative interne alla società, nuove operazioni di trattamento che presentano rischi diversi o ulteriori o modifiche legislative.
Al momento della cessazione/revoca, il Responsabile sarà tenuto – previa richiesta del Titolare – a cancellare o restituire allo stesso i dati personali trattati e cancellarne le copie eventualmente esistenti, a meno che la normativa nazionale o europea vigente preveda la conservazione dei dati.
11. COMPENSI
Al meglio delle sue capacità e in riferimento al presente accordo, …………. potrà assistere il Titolare nell'affrontare richieste e reclami degli interessati nell’esercizio dei diritti previsti dagli articoli da 15 a 22 del GDPR e nel rispetto degli obblighi specificati negli articoli da 32 a 36 del regolamento stesso.
Le spese delle attività di verifica e controllo sono a carico del Titolare. …………... ha diritto di richiedere un
rimborso delle eventuali spese sostenute per fornire assistenza all'esecuzione delle verifiche, comprese le ispezioni, fornendo adeguata documentazione.
Xxxxxx Xxxxx Xxxxxxxxx – per SIFO
Il Responsabile sottoscrive il presente documento in segno di integrale accettazione degli impegni e degli obblighi assunti, con riferimento al trattamento dei dati personali svolto per conto del Titolare.
Milano, ……………….
Nome Cognome – per ……………………..
ELENCO DEGLI ALLEGATI:
1. ALLEGATO 1 “ ALL. 1 - SIFO CONTRATTO ASSISTENZA ATTIVITÀ ADS”
2. ALLEGATO 2 “ALL. 2 - SIFO APPLICAZIONI ATTIVITÀ ADS”