Variazione ed integrazione del contratto avente ad oggetto il servizio offerto da Postel S.p.A. meglio indicato nell’Allegato 1

A mezzo PEC: xxxx@xxx.xxxxxx.xx

Spett.le Postel S.p.A.

Xxxxx Xxxxxx, 000

00000 - Xxxx

Variazione ed integrazione del contratto avente ad oggetto il servizio offerto da Postel S.p.A. meglio indicato nell’Allegato 1

Accordo sul trattamento dei dati personali (art. 28 del Regolamento UE 679/ 2016)

In relazione al Regolamento EU 679/ 2016 in materia di protezione dei dati personali (General Data Protection Regulation – GDPR), si comunica che, per quanto riguarda le attività di trattamento dei dati personali connesse alla fornitura del/i servizio/i di cui al contratto/i in essere (di seguito il “Contratto/i), indicati nell’Allegato 1, tali attività sono svolte dalla Vostra Società, Postel S.p.A. (in seguito “Fornitore”) per conto della Nostra Società, quale Titolare del trattamento, e pertanto la Vostra Società assume il ruolo di Responsabile del medesimo trattamento ai sensi di quanto previsto dagli artt. 4, punto 8) e 28 del GDPR.

Si dà atto, in particolare, che la fornitura del/i servizio/i predetto/i comporta il trattamento dei dati personali descritto nell’Allegato 1.

Con la sottoscrizione della presente, Postel, in qualità di Fornitore, è nominata Responsabile del trattamento e conferma di presentare garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti previsti dal GDPR e garantisca la tutela dei diritti e libertà fondamentali ed inviolabili degli interessati.

Xxxxx gli obblighi che le disposizioni del GDPR pongono direttamente a carico del Responsabile del trattamento, Postel si impegna inoltre ad osservare e, a far osservare, gli obblighi indicati nell’Allegato 2, che costituisce parte integrante della presente.

Le Parti si impegnano a tenersi reciprocamente indenni e manlevate per ogni danno, onere, costo, spesa e/o pretesa di terzi eventualmente derivante dalla violazione delle vigenti disposizioni normative in materia di protezione dei dati personali, che risulti imputabile a ciascuna Parte, ossia al Titolare, da un lato, e al Fornitore quale Responsabile, dall’altro, quest’ultimo anche in relazione alle attività di trattamento di dati personali svolte dagli eventuali ulteriori responsabili autorizzati (sub-responsabili).

Ai sensi di quanto previsto all’ art. 30, paragrafo 2, lett. a) del GDPR, i dati di contatto del Titolare, da poter indicare nel Registro dei Trattamenti, sono i seguenti

RAGIONE SOCIALE       INDIRIZZO         TELEFONO     

MAIL GENERICA     

PEC      

SITO WEB      

Il Titolare si obbliga a comunicare eventuali variazioni/modifiche dei predetti dati di contatto, mediante PEC da inviare al seguente indirizzo: xxxx@xxx.xxxxxx.xx

Allegato 1

Descrizione del trattamento dei dati personali connesso alla fornitura dei servizi offerti da Postel S.p.A.

Natura e finalità del Trattamento

I dati personali saranno trattati per le attività di Mass Printing/ Gestione Elettronica Documentale/ Direct Marketing.

Nel dettaglio, la finalità del trattamento è legata all’esecuzione del/i servizio/i di:

🞎 stampa, imbustamento e postalizzazione

🞎 conservazione (esempio: conservazione digitale, data certa digitale, fatturazione elettronica)

🞎 invio PEC

🞎 archiviazione (esempio: archiviazione elettronica, archiviazione fisica)

🞎 direct marketing mediante posta cartacea e/o sistemi digitali

🞎 normalizzazione e deduplica per direct marketing

🞎 profilazione per direct marketing

🞎 geolocalizzazione per direct marketing

Modalità del trattamento

🞎 automatizzato

🞎 cartaceo

Categorie di Interessati

I dati personali trattati riguardano le seguenti categorie di interessati:

🞎 dipendenti

🞎 clienti

🞎 potenziali clienti

🞎 fornitori

🞎 utenti

🞎 Altro (specificare)      

Tipologia di Dati Personali

I trattamenti effettuati dal Fornitore per conto del Titolare del trattamento riguardano le seguenti categorie di dati personali:

🗹 Dati personali (nome, cognome, codice fiscale, dati bancari, dati retributivi, ecc.)

🞎 Particolari tipologie di dati personali (art. 9 del GDPR: dati idonei a rilevare lo stato di salute, la vita sessuale, l’origine razziale o etnica, le opinioni politiche, l’appartenenza sindacale, le convinzioni filosofiche o religiose, la vita o l’orientamento sessuale, dati genetici, dati biometrici)

🞎 Dati relativi a condanne penali e/o reati (art. 10 del GDPR)

Durata del trattamento

Il presente atto ha la medesima durata ed efficacia del/i Contratto/i intercorrente/i fra Postel e la Nostra Società; pertanto, al momento della cessazione del/i Contratto/i cesserà anche il presente accordo, fermo restando che, anche successivamente al temine del/i Contratto/i, Postel garantisce la massima riservatezza sui dati personali e le informazioni relative al cliente delle quali sia venuto a conoscenza durante l’adempimento delle proprie obbligazioni.

Allegato 2

Obblighi assunti dal Fornitore, quale Responsabile del trattamento dei dati personali, connesso alla erogazione del/i servizio/i indicati nell’Allegato 1 (art. 28 del GDPR)

Il Fornitore, in qualità di Responsabile del trattamento, si impegna a:

a. trattare i dati personali comunicati o resi disponibili dal Titolare, o comunque acquisiti nel corso dell’esecuzione del/i Contratto/i esclusivamente ai fini della fornitura delle prestazioni e dei Servizi oggetto del Contratto stesso;

b. trattare i dati personali soltanto sulla base delle documentate istruzioni fornite dal Titolare, anche in caso di eventuale trasferimento di dati personali verso soggetti stabiliti in Paesi al di fuori della UE, che potrà essere effettuato solo previa autorizzazione del Titolare medesimo e sulla base delle relative istruzioni, adottando le adeguate garanzie secondo la vigente normativa europea e nazionale di riferimento e le indicazioni del Titolare e di cui andrà mantenuta adeguata documentazione da fornire, ove richiesto, al Titolare medesimo;

c. non divulgare o rendere noti a terzi i dati personali acquisiti in relazione alla fornitura dei Servizi di cui al Contratto ed adottare le misure necessarie per assicurare la massima riservatezza dei dati acquisiti ed utilizzati nello svolgimento delle attività previste dal/i Contratto/i;

d. adottare le misure adeguate e necessarie per assicurare la massima sicurezza, ai sensi dell’art. 32 del GDPR, dei dati acquisiti ed utilizzati nello svolgimento delle attività previste dal/i Contratto/i, come meglio riportato al successivo punto 1;

e. individuare le persone autorizzate al trattamento dei dati personali, ivi compresi gli amministratori di sistema, che operano sotto l’autorità del medesimo Responsabile, nonché adottare le misure volte a (i) garantire l’assunzione da parte di tali persone di idonei obblighi di riservatezza in ordine ai dati personali trattati, (ii) fornire loro adeguate e documentate istruzioni circa il rispetto, in particolare, delle misure per la sicurezza dei dati e (iii) vigilare sulla osservanza, da parte delle persone autorizzate, delle istruzioni impartite per il trattamento dei dati personali e delle vigenti disposizioni normative in materia di protezione dei dati personali;

f. adottare tutte le misure richieste nei provvedimenti del Garante in tema amministratori di sistema fino alla loro eventuale modifica, sostituzione ed abrogazione come meglio indicato al successivo punto 2;

g. assicurare, per quanto di competenza in relazione alla fornitura dei Servizi oggetto del/i Contratto/i, il corretto adempimento degli obblighi previsti dalle disposizioni del GDPR, secondo le modalità, procedure e modulistiche via via indicate dal Titolare;

h. assistere il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al Capo III del GDPR;

i. assistere il Titolare nel garantire il rispetto, per quanto di relativa competenza, degli obblighi in tema di sicurezza, degli obblighi di valutazione d’impatto sulla protezione dati ed eventuale consultazione preventiva, ai sensi degli articoli 32, 35 e 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione dello stesso Responsabile, nonché delle documentate istruzioni via via impartite dal Titolare in relazione all’adempimento dei suddetti obblighi;

j. assistere il Titolare nel garantire il rispetto, per quanto di relativa competenza, degli obblighi di notifica all’autorità di eventuali violazioni di dati personali e, se del caso, loro comunicazione agli interessati, ai sensi degli articoli 33 e 34 del GDPR, come meglio indicato al successivo punto 3;

k. informare tempestivamente il Titolare in caso di ricevimento di richieste di informazioni o documenti, accertamenti ed ispezioni, da parte del Garante per la protezione dei dati personali, quale autorità competente di controllo, o di altre autorità giudiziarie o di polizia giudiziaria, ove attinenti al trattamento dei dati personali connesso alla fornitura del/i servizio/i oggetto del/i Contratto/i, e collaborare con il Titolare alla predisposizione dei correlati riscontri, atti, documenti o comunicazioni;

l. cancellare o restituire al Titolare, su richiesta di quest’ultimo, tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellare le copie esistenti, salvo che la vigente normativa europea o nazionale preveda la conservazione dei dati da parte del Responsabile che, in tal caso, ne darà contestuale attestazione al Titolare;

m. mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo ed alla vigente disciplina normativa in materia di protezione dei dati personali;

n. consentire e contribuire alle attività di verifica e ispezione, da parte del Titolare, o dei soggetti questo ultimo incaricati, anche in loco (presso i locali all’interno dei quali sono effettuati i trattamenti), a seguito di un congruo preavviso e durante il normale orario di lavoro, senza interrompere la continuità delle attività lavorative.

Con riferimento al trattamento dei dati personali connesso alla fornitura del servizio/i di cui al/i Contratto/i, il Responsabile del trattamento è inoltre autorizzato, sin da ora, ad avvalersi di ulteriori Responsabili del trattamento (sub-responsabili), specificatamente indicati nell’area riservata del Titolare sul sito xxx.xxxxxx.xx.

Il suddetto elenco dovrà essere aggiornato dal Responsabile entro l'ultimo giorno di ogni mese ed il Titolare sarà tenuto a consultare l’elenco aggiornato mediante l’accesso alla predetta area riservata al Titolare.

Il Titolare avrà il diritto di opporsi alle modifiche apportate (aggiunta e/o sostituzione di uno o più sub- responsabili) mediante apposita missiva da inviarsi a mezzo PEC all’indirizzo xxxx@xxx.xxxxxx.xx, entro e non oltre 15 giorni decorrenti dal primo giorno del mese successivo a quello dell'eventuale modifica. Resta inteso che decorso il predetto termine infruttuosamente e senza riscontro, l’elenco aggiornato si intenderà definitivamente accettato ed approvato dal Titolare anche qualora i predetti sub-responsabili dovessero essere cancellati e reintrodotti in futuro.

Il Responsabile dichiara e garantisce che i sub-responsabili presentano garanzie sufficienti per mettere in atto misure tecniche e organizzative idonee a garantire il rispetto delle disposizioni del GDPR e si impegna inoltre, nell’ambito dei contratti/accordi stipulati con i sub-responsabili a:

i. vincolarli al rispetto degli stessi obblighi in materia di protezione dei dati personali assunti da Postel nei confronti del Titolare, ove applicabili e pertinenti rispetto alle attività affidate agli stessi;

ii. custodire una copia dei contratti, accordi o documenti disciplinanti gli obblighi in materia di protezione dei dati personali, sottoscritti per presa visione ed accettazione da parte dei sub- responsabili e fornirne copia al Titolare, in caso di richiesta da parte dello stesso;

iii. assumere nei confronti del Titolare ogni responsabilità in ordine al rispetto dei predetti obblighi da parte dei sub-responsabili.

1. Sicurezza del trattamento

Tenendo conto dello stato dell'arte e costi di attuazione, della natura, oggetto, contesto e finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e libertà delle persone fisiche, e delle proprietà di riservatezza, integrità e disponibilità dei dati, il Responsabile definisce e mette in atto misure tecniche ed organizzative per garantire un adeguato livello di sicurezza dei dati personali trattati, che comprendono, tra le altre, se del caso:

1. la pseudonimizzazione e/ o cifratura dei dati personali;

2. la capacità di assicurare su base permanente la riservatezza, integrità, disponibilità e resilienza dei sistemi e servizi di trattamento;

3. la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico-logico;

4. una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche ed organizzative definite ed implementate, al fine di garantire la sicurezza del trattamento.

Nel valutare l'adeguato livello di sicurezza, tiene conto, in special modo, dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, perdita, modifica, divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Ai sensi degli artt. 40 e 42 del Regolamento, può aderire, rispettivamente, ad un codice di condotta o meccanismo di certificazione. Suddette adesioni possono essere utilizzate come elemento per dimostrare la conformità alle disposizioni del GDPR.

Il Responsabile del trattamento, garantisce inoltre, che chiunque agisca sotto la propria autorità ed abbia accesso ai dati personali, non tratti tali dati se non è istruito in tal senso, salvo che lo richieda il diritto dell'Unione o degli Stati membri.

Con particolare riferimento alle misure tecniche ed organizzative, il Responsabile si impegna a pubblicare all’interno del proprio portale, nell’area personale del Titolare, le suddette misure, nonché evidenze e report, atti a dimostrare la propria compliance al GDPR e normativa nazionale in materia di protezione dei dati personali.

Inoltre, su richiesta esplicita del Titolare, provvederà a fornire i documenti/materiali richiesti.

2. Amministratori di sistema

Il Responsabile individua e nomina per iscritto gli amministratori di sistema tenuto conto delle attività svolte, delle competenze e dei profili professionali, nonché a seguito di attente valutazioni delle loro caratteristiche soggettive.

Il Responsabile deve tenere un elenco degli amministratori di sistema e provvedere al suo mantenimento ed aggiornamento almeno su base annuale e/o ogni qualvolta si renda necessario (ad esempio, a seguito di cambiamenti organizzativi).

Tutti gli accessi da parte degli amministratori di sistema devono essere tracciati mediante appositi log (access log), registrati e conservati secondo quanto richiesto dai provvedimenti in materia, ovvero tenendo conto delle caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità.

3. Violazione dei dati personali (Data Breach)

Il Responsabile si impegna ad informare tempestivamente il Titolare del trattamento di ogni violazione della sicurezza dei dati personali oggetto di trattamento, ed a prestare ogni necessaria collaborazione allo stesso in relazione all’adempimento, da parte di questo ultimo, di notificazione all’autorità di controllo, non oltre le 72 ore (art. 36 del GDPR) e, se necessario, agli interessati.

Luogo e data         

Il Titolare        

Il Responsabile (per presa visione ed accettazione)