PREMESSA
Spett.le ASSOCIATO/INCARICATO DEL CAF
OGGETTO: ACCORDO DI NOMINA A RESPONSABILE ESTERNO DEL TRATTAMENTO AI SENSI DELL’ART. 28 REG. 679/16 SULLA PROTEZIONE DEI DATI PERSONALI (GDPR)
PREMESSA
Lei, in qualità di Associato CGN ovvero Legale Rappresentante del sostituto d’imposta firmatario del/dei contratti di servizio (di seguito anche “Associato”), svolge attività di assistenza fiscale per conto di CAF CGN spa.
Tale attività comporta trattamenti di dati per conto di CAF CGN spa che − ai sensi dell’art. 28 Reg. 679/16 − necessitano di specifiche condizioni contrattuali ed istruzioni di seguito riportate.
La presente modifica del contratto di servizi costituisce adeguamento della previgente nomina a responsabile esterno del trattamento, che si intende sostituita dalla presente per tutte le parti incompatibili (le istruzioni già impartite ai Responsabili rimangono in vigore e si sommano a quelle riportate nel presente documento).
INFORMAZIONI OBBLIGATORIE
Materia disciplinata: | attività di assistenza fiscale per conto di CAF CGN spa |
Durata del trattamento: | Fino a cessazione del contratto di servizio |
Natura e finalità del trattamento: | Rendere il servizio oggetto del contratto stesso, in particolare attività di assistenza fiscale, quale la dichiarazione 730, dichiarazioni ISEE, dichiarazione RED e dichiarazione di Responsabilità (modelli ICRIC − ICLAV − ACCAS/PS), IMU−TASI ed ogni altra attività che il CAF CGN SPA potrà erogare direttamente ovvero tramite il Professionista |
Tipologia di dati personali: | Dati personali, dati particolari (art.9), dati giudiziari, dati idonei a rivelare lo stato di salute |
Categorie di interessati: | Persone giuridiche e persone fisiche |
Obblighi e diritti del TITOLARE e del RESPONSABILE trattamento:
1. Oggetto del trattamento
L’attività ed i Servizi di assistenza fiscale da Lei svolti per conto di CAF CGN spa (di seguito anche TITOLARE) comportano il trattamento di dati personali anche particolari e sanitari. Per disciplinare questi trattamenti, è nominato RESPONSABILE ESTERNO del trattamento dei dati personali ai sensi dell’art. 28 del Reg. 679/16 sulla protezione dei dati personali (di seguito “RESPONSABILE”) del TITOLARE. Il trattamento potrà riguardare solamente le tipologie di documenti / dati / banche dati / o fascicoli indispensabili per rendere il Servizio di assistenza fiscale o il servizio oggetto del contratto, che saranno messi a disposizione del Titolare mediante (TRASMISSIONE, VPN, CLOUD) o forniti / raccolti direttamente presso l’interessato. Ogni trattamento potrà essere effettuato solamente per le finalità di adempimento del contratto. Per ogni ulteriore informazione sul trattamento dei dati personali oggetto del presente atto si rinvia alla pagina dedicata xxx.xxx.xx/xxxxxxx.
2. Durata dei trattamenti
Ogni trattamento dei dati succitati, da effettuarsi solamente in conformità alle finalità sopra riportate, dovrà essere limitato al tempo necessario a dare esecuzione al presente contratto. Al termine delle operazioni di trattamento affidate, nonché all’atto della cessazione per qualsiasi causa del trattamento da parte del RESPONSABILE, quest’ultimo sarà tenuto a restituire al TITOLARE i dati personali oggetti del trattamento
oppure a provvedere, previo avviso scritto, alla loro integrale distruzione salvo i casi in cui la conservazione dei dati sia richiesta da norme di legge.
In entrambi i casi il RESPONSABILE provvederà a rilasciare al TITOLARE apposita dichiarazione per iscritto contenente l’attestazione che presso il RESPONSABILE non esista alcuna copia dei dati personali e delle informazioni di titolarità del TITOLARE. Il TITOLARE si riserva il diritto di effettuare controlli e verifiche volte ad accertare la veridicità della dichiarazione. La presente nomina avrà efficacia fintanto che il contratto richiamato in premessa avrà efficacia, salvi gli specifici obblighi che per loro natura sono destinati a permanere. Qualora il rapporto tra le parti venisse meno o perdesse efficacia per qualsiasi motivo o i servizi del RESPONSABILE non fossero più erogati, anche il presente contratto verrà automaticamente meno senza bisogno di comunicazioni o revoche, ed il RESPONSABILE non sarà più legittimato a trattare i dati del Titolare.
3. Istruzioni documentate art. 28 comma III Reg. 679/16
Si richiamano quali parti integranti del presente contratto, tutte le istruzioni fornite al RESPONSABILE, mediante documenti, circolari telematiche, corsi di formazione anche in modalità e−learning, mail ed altri strumenti di comunicazione, sulla modalità di trattamento dei dati di assistenza fiscale.
In aggiunta a ciò, nello svolgimento del Vostro incarico, in merito ai trattamenti che dovranno essere effettuati, si dovrà dare scrupolosa applicazione alle disposizioni previste dal Reg. Ue 679/16, in particolare:
− Adottare presso le proprie strutture di trattamento le misure organizzative, fisiche, procedurali e logiche sulla sicurezza nei trattamenti con particolare riferimento a quanto specificato nell’art. 32 del Regolamento. Il RESPONSABILE, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, deve assicurarsi che le misure di sicurezza predisposte ed adottate siano adeguate a garantire un livello di sicurezza adeguato al rischio, in particolare contro:
a) distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati;
b) trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento.
− Individuare, verificare e, se del caso, aggiornare le persone fisiche incaricate a trattare i dati in relazione a ciascuna area di trattamento;
− In nome e per conto del TITOLARE, fornire agli interessati tutte le informazioni previste dall’art. 13 del Reg. 679/16 secondo modello di informativa messo a disposizione sulla Piattaforma CGN o all’interno dei Servizi oggetto di trattamento, assicurandosi che l’interessato la sottoscriva;
− redigere, conservare ed eventualmente esibire al TITOLARE, un registro di tutte le categorie di attività relative al trattamento svolte per suo conto, ai sensi dell’art. 30 comma 2 GDPR;
− Vigilare che gli incaricati al trattamento dei dati personali della Vostra Azienda si attengano a procedure e policy di sicurezza informatica predefinite, in particolare sull’uso degli “strumenti elettronici”;
− Assistere il TITOLARE nel garantire il rispetto degli obblighi relativi alla valutazione d’impatto sulla protezione dei dati nonché alla eventuale consultazione preventiva all’Autorità di Controllo;
− Se richiesto, assistere il TITOLARE del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare le eventuali richieste per l'esercizio dei diritti dell'interessato di cui agli articoli 13 − 22 del Regolamento;
− Se richiesto, assistere il TITOLARE del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del Regolamento, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
− Comunicare ogni eventuale trasferimento di dati e informazioni all’estero, anche per fini tecnici connessi ai servizi di providing e backup utilizzati in azienda.
L’Associato si impegna altresì ad osservare e fare osservare ai propri dipendenti, incaricati e collaboratori, il segreto nei confronti di chiunque, per quanto riguarda fatti, informazioni, dati e atti di cui vengano a conoscenza nell'espletamento dell’incarico ricevuto. A tal fine il RESPONSABILE si impegna a non cedere, non
consegnare, non copiare, non riprodurre, non comunicare, non divulgare, non rendere disponibili in qualsiasi modo o a qualsiasi titolo a terzi, le informazioni acquisite nell'esecuzione del servizio, salvo quanto previsto dall’articolo precedente.
4. Xxxxxxxx prestate dal RESPONSABILE
Il RESPONSABILE si impegna a comunicare tempestivamente il cambiamento sopravvenuto dei requisiti di idoneità professionale manifestati al TITOLARE al momento dell’incarico conferito.
Oltre alle istruzioni già impartite, il RESPONSABILE garantisce che i dati saranno custoditi e controllati in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di loro distribuzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità del contratto.
Se tale garanzia è fornita anche per il tramite di sub fornitori di servizi informatici (hosting provider, prestatori di servizi Cloud e simili), il RESPONSABILE si impegna a comunicare tempestivamente ogni mutamento di tali fornitori.
I dati oggetto di incarico dovranno essere trattati o comunque utilizzati dalla vostra società esclusivamente al fine di adempiere alle obbligazioni che le derivano dal contratto. Conseguentemente i dati non saranno:
1) utilizzati in proprio e comunque per finalità diverse dall'esecuzione del contratto;
2) oggetto di cessione o di concessione d'uso a terzi, totale o parziale, a qualsiasi titolo;
3) duplicati o riprodotti, in proprio, per finalità diverse del contratto.
5. Gestione dei dati conferita a sub-responsabili
È vietato senza il consenso del Titolare affidare a terzi sub−responsabili il compimento dell’attività di trattamento di dati personali particolari derivanti dall’assistenza fiscale oggetto del contratto di Servizi.
6. Obblighi di collaborazione
Il RESPONSABILE mette a disposizione del TITOLARE tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente atto e della normativa applicabile, consentendo e contribuendo alle attività di revisione, comprese le ispezioni, realizzate dal TITOLARE o da un altro soggetto da questi incaricato. A tale scopo il RESPONSABILE riconosce al TITOLARE, e agli incaricati dal medesimo, il diritto di accedere ai locali di sua pertinenza ove hanno svolgimento le operazioni di trattamento o dove sono custoditi dati o documentazione relativa al presente contratto. In ogni caso il TITOLARE si impegna per sé e per i terzi incaricati da quest’ultimo, a che le informazioni raccolte durante le operazioni di verifica siano utilizzate solo per tali finalità. Il RESPONSABILE sarà, inoltre, tenuto a comunicare tempestivamente al Titolare istanze degli interessati, contestazioni, ispezioni o richieste dell’Autorità di Controllo e dalle Autorità Giudiziarie, ed ogni altra notizia rilevante in relazione al trattamento dei dati personali.
Resta inteso che il presente contratto non comporta alcun diritto del RESPONSABILE ad uno specifico compenso e/o indennità e/o rimborso derivante dal medesimo, compresi costi di riproduzione o messa a disposizione di documenti inerenti il Reg. 679/16.
7. Accettazione dell’accordo
Il presente atto si intende accettato spuntando l’apposita casella di “presa visione e accettazione” disponibile nell’apposita sezione personale legata alla Piattaforma CGN utilizzata. Il soggetto che accetta il presente atto dichiara altresì di essere il titolare del contratto ovvero d’aver ricevuto idonei poteri di rappresentanza per manifestare la volontà.