CONVENZIONE PER LA NOMINA DEL RESPONSABILE DEL TRATTAMENTO DEI
Allegato A)
CONVENZIONE PER LA NOMINA DEL RESPONSABILE DEL TRATTAMENTO DEI
DATI PERSONALI (ex art. 28 del Regolamento Europeo n° 679 del 27 aprile 2016 del Parlamento e del Consiglio Europeo “Regolamento generale sulla protezione dei dati- RGPD”)
Il giorno…….. del mese dell’anno……
TRA
L’Ente di supporto tecnico amministrativo regionale (di seguito Estar), con sede legale in Xxxxxxx,Xxx xx Xxx Xxxxx x. 00 Pal. 14, nella persona del Direttore Generale e legale rappresentante Dr.ssa Xxxxxx Xxxxx
E
L'Azienda Usl Toscana sud est (di seguito Azienda), Codice fiscale e partita IVA n. 02236310518 con sede in Arezzo, via Curtatone n.54, nella persona del Direttore Generale pro tempore e legale rappresentante xxxx Xxxxxx Xxxxxxxx;
PREMESSO CHE:
- Estar, ai sensi di quanto disposto dalla DGRT n. 785 del 01/08/2016, che qui si intende integralmente riportata, è stato nominato dalle Aziende Sanitarie Responsabile esterno del trattamento ai sensi dell’art. 29 del D. Lgs 196/2003 nell’ambito delle materie delle tecnologie dell’informazione e della comunicazione, processi per il pagamento delle competenze economiche del personale afferente al Servizio Sanitario Regionale, tecnologie sanitarie se l’attività comporta anche l’assistenza e manutenzione con risorse proprie di Estar ;
- il Regolamento Europeo 2016/679 (di seguito RGPD) i cui termini di applicazione decorrono dal 25/05/2018, prevede all’art. 28 che i trattamenti svolti da parte del Responsabile del trattamento siano disciplinati da un contratto o altro atto giuridico vincolante per il Responsabile e che individui la materia del trattamento, la durata, la natura e la finalità, il tipo di dati personali trattati e le
categorie di interessati, gli obblighi e i diritti del Titolare del trattamento;
- Estar, in qualità di Responsabile del trattamento, tratta i dati personali per conto dell’Azienda, Titolare del trattamento e che i trattamenti dei dati sono quelli afferenti al registro delle attività di trattamento, di cui all’allegato A.1 al presente atto;
- tra Estar e le Aziende saranno sottoscritti specifici accordi per la più puntuale definizione delle modalità di collaborazione su specifici argomenti;
- i predetti accordi potranno essere oggetto di ulteriori istruzioni rispetto a quelle contenute nella presente convenzione, tenuto comunque conto dell’autonomia tecnica che qualifica e giustifica il ruolo del responsabile;
- per i software in uso nelle aziende sanitarie gestiti da Estar i Fornitori hanno dichiarato, o è in corso l’acquisizione della loro dichiarazione, la conformità degli applicativi e delle tecnologie esistenti alla normativa in materia di Privacy secondo il D.Lgs 196/2003 e xx.xx. ed ii.; e che Estar ha richiesto ai fornitori la formalizzazione di un piano di attività per tendere alla piena compliance al RGPD;
- Estar è in possesso dei necessari requisiti di idoneità, esperienza, capacità ed affidabilità relativi al trattamento dei dati;
- Estar opera attraverso la predisposizione di piani di azioni ed attività, che definiscono tempi, competenze e risorse necessarie al raggiungimento della compliance al RGPD e sono soggetti all’approvazione delle Aziende sanitarie anche in relazione alla necessaria copertura economica di competenza;
- ritenuto pertanto necessario, con riferimento alle materie ed alle competenze già individuate con la DGRT n. 785/2016, provvedere alla sottoscrizione della presente convenzione, alla luce di quanto disposto dal RGPD;
Ciò premesso, tra le parti si conviene e si stipula quanto segue:
ART. 1
(Oggetto, finalità e durata del trattamento)
1. Il presente atto stabilisce nell’ambito delle materie nelle quali Estar è Responsabile del trattamento ai sensi della DGRT n. 785/2016 (tecnologie dell’informazione e della comunicazione, tecnologie sanitarie se l’attività comporta anche l’assistenza e manutenzione con risorse proprie di Estar) le tipologie di trattamenti di dati personali e le relative finalità, la durata del trattamento, i tipi di dati personali trattati, le categorie di interessati e le misure di sicurezza applicate ai trattamenti di dati di cui all’allegato A.1 al presente atto, in relazione alla nomina da parte delle Aziende di Estar come Responsabile del trattamento.
2. Estar interviene nel supporto ai trattamenti delle Aziende Sanitarie effettuati per competenza nella gestione della infrastruttura informatica sia hardware che software. In particolare Estar:
a)ha la responsabilità della gestione delle reti e dei sistemi informatici;
b)ha la responsabilità dei software gestionali utilizzati dalle aziende;
c)fornisce il supporto nella elaborazione del debito informativo della azienda sanitaria nei confronti dei referenti istituzionali, regione, ministeri, ecc.;
La responsabilità di Estar per quanto riferisce ai punti a) e b) è individuata esclusivamente alla gestione della infrastruttura, alla continuità operativa, e alla conservazione dei dati gestiti sui Sistemi e i Datacenter di competenza.
Per quanto riguarda il punto c) la responsabilità di Estar è sempre definibile come una attività che riferisce ad un trattamento principale che è nella titolarità della azienda sanitaria.
3. La presente convenzione opera dal punto di vista temporale e organizzativo all’interno degli ambiti della Legge Regionale N° 40/2005 e s.m.i.
ART. 2
(Obblighi del Responsabile del trattamento e modalità di trattamento)
1. In particolare Estar provvederà:
a) al trattamento dei dati in conformità a quanto previsto dalle norme in materia di trattamento dei dati personali;
b) al trattamento dei dati con logiche e modalità strettamente ed esclusivamente correlate alle finalità di cui all’allegato 1 al presente atto, per il tempo strettamente necessario per il perseguimento delle finalità connesse, garantendo il pieno rispetto delle istruzioni ricevute, contenute nella presente convenzione;
c)ad informare immediatamente l’Azienda qualora, a suo parere, una sua istruzione violi le disposizioni in materia di protezione dei dati personali;
d)a tenere il Registro delle attività di trattamento, ex art. 30 par. 2 del RGPD, in collaborazione con l’Azienda per le informazioni eventualmente necessarie;
e)con diligenza, prudenza e perizia alla conservazione e alla custodia dei dati personali oggetto del trattamento, degli archivi e delle banche dati, dall’iniziale acquisizione fino all’eventuale cessazione o distruzione;
f)alla restituzione alle Aziende, in caso di cessazione del rapporto convenzionale in essere, dell’eventuale documentazione, su qualsiasi supporto, relativa a qualsiasi dato personale di cui Xxxxx è entrato in possesso, senza che alcun dato possa essere direttamente o indirettamente detenuto;
g)a mantenere riservati, non comunicare e diffondere a terzi i dati personali e le informazioni di cui Xxxxx è venuto a conoscenza per effetto dello svolgimento del trattamento;
h)ad organizzare, su richiesta delle Aziende, il blocco dei trattamenti soggetti a scadenza temporale (o la trasformazione dei dati in forma anonimizzata o pseudonimizzata) nei termini previsti dalla legge o sulla base dei provvedimenti dell’autorità di controllo o disposizioni dell’autorità giudiziaria;
i)a non utilizzare i dati personali e le informazioni, anche se in forma anonimizzata o pseudonimizzata, comprese le eventuali elaborazioni realizzate su disposizione dell’Azienda;
j)a mettere a disposizione dell’Azienda tutte le informazioni necessarie per dimostrare il rispetto degli obblighi derivanti dalla normativa in materia di protezione di dati personali, anche a richiesta, tramite una relazione annuale;
k)ad assistere l’Azienda nel garantire il rispetto degli obblighi relativi alla sicurezza del trattamento,
alla notifica di una violazione dei dati personali all’autorità di controllo, alla comunicazione di una violazione di dati personali all’interessato;
l)a predisporre e realizzare procedure di audit, fornendo relazione scritta degli esiti delle azioni conseguenti;
m)ad assistere l’Azienda nella predisposizione ed aggiornamento periodico di atti e documenti aventi ad oggetto la valutazione di impatto del trattamento sui diritti e sulle libertà delle persone ed a fornire supporto in merito alla eventuale consultazione preventiva all’autorità di controllo.
ART. 3
(Autorizzati al trattamento dei dati)
1. Estar si impegna:
a)ad individuare e nominare per iscritto coloro che, a qualunque titolo, devono compiere operazioni del trattamento e/o attuare compiti relativi alla protezione e alla libera circolazione dei dati e ad impartire loro idonee istruzioni;
b)a porre in essere le prescrizioni e gli adempimenti di cui al Provvedimento del 27 novembre 2008 del Garante per la Protezione dei dati personali per i servizi di amministrazione di sistema correlati alle funzioni trasferite e, in particolare a:
1) procedere all’attribuzione delle funzioni di amministratore di sistema mediante designazione individuale previa valutazione dell’esperienza, capacità e affidabilità del soggetto designato;
2) precisare analiticamente per ciascun soggetto designato l’ambito di operatività consentito in base al profilo autorizzativo assegnato;
3) conservare e aggiornare periodicamente gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema e darne comunicazione alla Direzione dell’Azienda sanitaria sottoscrivente;
4) procedere alla verifica, almeno annuale, dell’operato degli amministratori individuati;
5) adottare sistemi di registrazione degli accessi logici ai sistemi di elaborazione e agli
archivi elettronici da parte degli amministratori;
c)a fornire specifica ed adeguata formazione agli autorizzati al trattamento dei dati oggetto del contratto ed impartendo loro, per iscritto, appropriate e complete istruzioni su come svolgere correttamente ed in modo lecito tale trattamento;
d)a conservare idonea documentazione, da consegnare all’Azienda a semplice richiesta, comprovante l’assolvimento degli obblighi di formazione e di conferimento istruzioni a tutti coloro che, a qualunque titolo, devono attuare compiti relativi alla protezione e alla libera circolazione dei dati;
e)a garantire che i propri dipendenti e/o collaboratori che operano a vario titolo nell’ambito del rapporto in essere con le Aziende, siano dotati di esperienza, capacità e affidabilità con riferimento alla gestione dei sistemi informatici, nonché con riferimento alla normativa in materia di protezione dei dati personali, in particolare per quanto attiene alle misure di sicurezza previste.
ART. 4
(Obblighi informativi e di supporto)
1. Per quanto concerne gli obblighi informativi, Estar è di supporto alle Aziende Sanitarie nei seguenti termini:
a)agisce tempestivamente e in autonomia informando l’azienda in caso di ispezioni di autorità di controllo e/o organi istituzionali (es. Guardia di Finanza, NAS, etc…);
b)supporta l’Azienda in caso di richieste di accesso ai dati da parte degli interessati, per le quali Estar opera solo in caso di richiesta formale del titolare del trattamento, sulla base di una apposita procedura concordata tra le parti e comunque tenendo conto del rispetto dei termini previsti dalla normativa in capo al titolare;
2. Per quanto concerne gli obblighi informativi, Estar si impegna ad informare tempestivamente l’Azienda di:
a)ogni violazione dei dati di cui viene a conoscenza nonché ogni necessaria informazione per lo svolgimento delle notificazioni e comunicazioni se del caso previste, sulla base di una apposita
procedura concordata tra le parti e comunque tenendo conto del rispetto dei termini previsti dalla normativa in capo al titolare;
b)ogni fatto o atto che l’Azienda ritenesse insindacabilmente di dover acquisire ai fini dell’osservanza delle norme e delle prassi in materia di protezione e libera circolazione dei dati ed in tal caso il riscontro da parte di Estar deve avvenire senza ingiustificato ritardo.
3. Le parti concordano che in via transitoria e comunque fino all’adozione delle procedure previste ai precedenti commi, Estar provvederà ad informare le Aziende nelle ipotesi di cui al comma 1 lett.
a) e comma 2 lett. a) e b) tramite Pec inviata al Titolare del trattamento e e-mail al Responsabile Protezione Dati (R.P.D.), all’indirizzo istituzionale. Estar, inoltre, fornirà alle Aziende il supporto di cui al comma 1 lett. b) su richiesta inviata dal Titolare e/o dal RPD a mezzo Pec.
ART. 5
(Misure di sicurezza)
1. Con riguardo alle misure di sicurezza da osservare nel trattamento dei dati e allo scopo di ridurre al minimo i rischi di distruzione o perdita, anche accidentale dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità ivi previste, Estar si impegna:
a)al raggiungimento della compliance tecnologica al RGPD tenendo conto dei vincoli e dei tempi di adeguamento che emergeranno dalla suddetta pianificazione;
b)ad adottare adeguate ed idonee misure tecniche ed organizzative, curandone il rispetto e l’applicazione da parte degli autorizzati al trattamento, effettuando, altresì controlli sull’operato dei medesimi;
c)a verificare periodicamente e, ove necessario, ad adeguare le misure di sicurezza con riferimento all’analisi dei rischi aziendali, all’evolversi della normativa e al progredire dello sviluppo tecnologico;
d)a garantire le evidenze e la documentazione comprovanti l’adozione delle misure tecniche ed organizzative, di sua competenza, idonee.
ART. 6
(Nomina sub Responsabili del trattamento)
1. Estar può ricorrere, ai sensi di quanto previsto dall’art. 28 par. 4 del RGPD, ad altro Responsabile del trattamento (di seguito sub Responsabile del trattamento) per l’esecuzione di specifiche attività di trattamento per conto dell’Azienda Titolare del trattamento, disciplinando il rapporto con atto giuridico o contratto teso a circoscrivere i rispettivi ambiti di responsabilità adottando nei confronti dello stesso gli stessi obblighi in materia di protezione di dati personali già in capo ad Estar e derivanti dalla sottoscrizione della presente convenzione.
2. Estar dovrà assicurare che il sub Responsabile del trattamento offra garanzie sufficienti di affidabilità e riservatezza e metta in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del RGPD e che cancelli o restituisca i dati personali oggetto dei trattamenti e le eventuali copie al termine della prestazione del servizio.
ART. 7
(Responsabilità)
1. L’Azienda coinvolta nel trattamento risponde per il danno cagionato dal suo trattamento che violi il RGPD.
2. Estar risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi del RGPD specificatamente diretti al responsabile del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni date dall’Azienda che sono contenute nella presente convenzione o in specifici accordi relativi a particolari argomenti stipulati tra Estar e l’Azienda.
3. L’Azienda o Estar sono esonerati dalla responsabilità di cui ai commi 1 e 2 se dimostrano che l’evento dannoso non gli è in alcun modo imputabile.
4. Qualora l’Azienda o Estar siano coinvolti nello stesso trattamento e siano responsabili dell’eventuale danno causato dal trattamento, sono responsabili in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.
5. Qualora l’Azienda o Estar abbia pagato l’intero ammontare del risarcimento del danno, sussiste il diritto di reclamare dal Titolare/Responsabile del trattamento la parte del risarcimento corrispondente alla sua parte di responsabilità per il danno.
6. Estar si obbliga a tenere manlevata ed indenne l’Azienda da ogni responsabilità o danno, anche nei confronti di terzi, e da qualunque somma che Estar dovesse essere condannato a pagare derivante direttamente o indirettamente, da fatti attivi o omissivi ad esso imputabili esclusivamente, commessi anche dai dipendenti e/o collaboratori che operano a vario titolo come autorizzati al trattamento dei dati, ivi inclusi i danni derivanti dalla perdita, sottrazione, deterioramento e/o distruzione dei dati trattati.
7. Estar conserva nei confronti dell’Azienda l’intera responsabilità dell’adempimento degli obblighi del sub Responsabile del trattamento, qualora quest’ultimo ometta di adempiere ai suddetti obblighi in materia di protezione dei dati.
ART.8
(Imposta di bollo)
1. L’imposta di bollo verrà assolta in maniera virtuale dall’Azienda Usl Toscana sud est come da Autorizzazione Agenzia delle Entrate n°5062/2016 del 16/02/2016.
Xxxxx, approvato e sottoscritto.
……………………
Per l'Azienda Usl Toscana sud est Per Estar
Il Direttore Generale Il Direttore Generale
Xxxx. Xxxxxx xxxxxxxx Xxxx.ssa Xxxxxx Xxxxx
Firmato digitalmente da:PIOVI XXXXXX Organizzazione:Regione Toscana Unita':Servizio Sanitario Regionale Data:07/03/2019 15:46:03
REGISTRO DEI TRATTAMENTI DEL RESPONSABILE DEL TRATTAMENTO ALLEGATO A.1)
Responsabile del trattamento ESTAR (Ente di Supporto Tecnico- Amministrativo Regionale) | |
Indirizzo Xxx xx xxx Xxxxx x.00 Xxxxxxxxx x.00 XXX 00000 Xxxxxxx | |
Numero di telefono 055/0000000 | |
Responsabile per la protezione dei dati personali | |
Indirizzo PEC | |
Indirizzo Xxx X. Xxxxxx x.0/0 XXX 00000 Xxxx | |
Numero di telefono 050/0000000 |
Titolare del trattamento AZIENDA USL Toscana sud est | Indirizzo email | |
Indirizzo PEC | ||
Indirizzo | Xxx Xxxxxxxxx, 00, 00000 Xxxxxx | |
Numero di telefono | 0000-000000 | |
Responsabile per la protezione dei dati personali | Indirizzo email | |
Indirizzo PEC | ||
Indirizzo | Xxx Xxxxxxxxx, 00, 00000 Xxxxxx | |
Numero di telefono | 0000 000000 |
Funzioni ICT | Finalità perseguita o attività | Fonti normative | Categorie di dati personali | Categorie di interessati | Termine per la conservazione | Categorie di destinatari della comunicazione di dati | Valutazione del rischio | VIP (SI/NO) | Criteri necessari per condurre VIP | Misure di sicurezza tecniche ed organizzative |
Gestione PDL | Installazione, gestione e manutenzione PDL (in forma diretta o esternalizzate) | L.R.T. n. 40/2005 e ss.mm.ii. | dati personali/categorie particolari di dati personali/dati personali relativi a condanne penali e reati | utenti, dipendenti, fornitori | vedi allegato | |||||
Gestione della dismissione della PDL | L.R.T. n. 40/2005 e ss.mm.ii. | dati personali/categorie particolari di dati personali/dati personali relativi a condanne penali e reati | utenti, dipendenti, fornitori | vedi allegato | ||||||
Gestione sicurezza informatica | Gestione degli aspetti connessi con la sicurezza dei dati e la riservatezza dei dati( privacy) limitatamente a quelli di natura informatica | L.R.T. n. 40/2005 e ss.mm.ii. | dati personali/categorie particolari di dati personali/dati personali relativi a condanne penali e reati | utenti, dipendenti, fornitori | vedi allegato | |||||
Supporto alla produzione flussi e RFC | PRODUZIONE REPORTISTICA (rilevazione esigenza, produzione) | L.R.T. n. 40/2005 e ss.mm.ii. | dati personali/categorie particolari di dati personali/dati personali relativi a condanne penali e reati | utenti, dipendenti, fornitori | vedi allegato |
Supporto alla produzione flussi e RFC | GESTIONE FLUSSI MINISTERIALI (estrazione,validazione, trasmissione e interfaccia con le strutture di produzione) | L.R.T. n. 40/2005 e ss.mm.ii. | dati personali/categorie particolari di dati personali/dati personali relativi a condanne penali e reati | utenti, dipendenti, fornitori | vedi allegato | |||||
GESTIONE FLUSSI REGIONALI (estrazione,validazione, trasmissione e interfaccia con le strutture di produzione) | L.R.T. n. 40/2005 e ss.mm.ii. | dati personali/categorie particolari di dati personali/dati personali relativi a condanne penali e reati | utenti, dipendenti, fornitori | vedi allegato | ||||||
GESTIONE FLUSSI AD EVENTI -RFC (test, monitoraggio, supporto alle strutture di produzione dati) | L.R.T. n. 40/2005 e ss.mm.ii. | dati personali/categorie particolari di dati personali/dati personali relativi a condanne penali e reati | utenti, dipendenti, fornitori | |||||||
Gestione Infrastrutture | Gestione attività sistemistiche e manutenzione, infrastruttura di rete e server a supporto del funzionamento dei servizi informatici aziendali | L.R.T. n. 40/2005 e ss.mm.ii. | dati personali/categorie particolari di dati personali/dati personali relativi a condanne penali e reati | utenti, dipendenti, fornitori | vedi allegato | |||||
Attività di data base administrator (DBA) a supporto del funzionamento dei servizi informatici aziendali | L.R.T. n. 40/2005 e ss.mm.ii. | dati personali/categorie particolari di dati personali/dati personali relativi a condanne penali e reati | utenti, dipendenti, fornitori | vedi allegato | ||||||
Gestione applicativi | Supporto alle strutture aziendali nell'utilizzo di software gestionali (test, monitoraggio,manutenzione, evoluzione) | L.R.T. n. 40/2005 e ss.mm.ii. | dati personali/categorie particolari di dati personali/dati personali relativi a condanne penali e reati | utenti, dipendenti, fornitori | vedi allegato |
Gestione digitalizzazione cartelle cliniche | Gestione delle attività di microfilmatura e archiviazione delle cartelle cliniche delle Aziende Sanitarie, assicurando il coordinamento del personale assegnato e dei servizi esternalizzati di supporto; esecuzione dell'appalto relativo al servizio di Archiviazione Cartelle Cliniche; delegata alla funzione di validazione alla conservazione digitatale a norma e sostitutiva delle cartelle cliniche, sottoscritta con firma digitale o elettronica qualificata con marca temporale, che consente la distruzione delle cartelle cliniche cartacee | L.R.T. n. 40/2005 e ss.mm.ii. | dati personali/categorie particolari di dati personali/dati personali relativi a condanne penali e reati | pazienti | ||||||
Tecnologie sanitarie | Gestione dei contratti e degli interventi su chiamata | L.R.T. n. 40/2005 e ss.mm.ii. | dati personali | fornitori | ||||||
Gestione apparecchi domiciliari | L.R.T. n. 40/2005 e ss.mm.ii. | dati personali/categorie particolari di dati personali | utenti | |||||||
Parere tecnico per la messa fuori uso dei beni di proprietà dell'Azienda | L.R.T. n. 40/2005 e ss.mm.ii. | dati personali/categorie particolari di dati personali | utenti | |||||||
Gestione degli interventi di manutenzione effettuati con personale interno | L.R.T. n. 40/2005 e ss.mm.ii. | dati personali/categorie particolari di dati personali | utenti | |||||||
Atti connessi all'effettuazione di spese in economia | L.R.T. n. 40/2005 e ss.mm.ii. | dati personali | fornitori |
TEMPI DI CONSERVAZIONE DEI DATI PERSONALI DIPARTIMENTO TECNOLOGIE INFORMATICHE E SANITARIE
UOC/UOS che effettua il trattamento | Trattamento | Periodo di conservazione dei dati personali |
UOC ICT (tutte) | Sistema informativo sanitario: modulistica di rilevazione dati | 3 anni |
Dipartimento ICT/TS | Apparecchiature ed attrezzature: certificati di garanzia | Per durata periodo validità |
Dipartimento ICT/TS | Apparecchiature ed attrezzature: verbali dei collaudi | ILLIMITATO |
Dipartimento ICT/TS | Beni e servizi, corrispondenza con ditte fornitrici | 5 anni |
Dipartimento ICT/TS | Clienti e fornitori | ILLIMITATO |
Dipartimento Gestione Servizi al Personale | Finalità perseguita o attività | Fonti normative | Categorie di dati personali | Categorie di interessati | Termine per la conservazione | Categorie di destinatari della comunicazione di dati | Valutazione del rischio | VI P (SI /N O) | Criteri necessari per condurre VIP | Misure di sicurezza tecniche ed organizzative |
Gestione tabelle per trattamenti | Regolamento Regione Toscana n. 6/R del 12/2/2013 Allegato A Scheda n. 2 | dati personali/categorie | ||||||||
economici e giuridici per applicazioni contrattuali nazionali ed aziendali ed applicazione | particolari di dati personali/dati personali relativi a condanne | specialisti ambulatoriali | vedi allegato | XX.XX., Tesoriere, FP,INPS | ||||||
normativa contributiva e fiscale | penali e reati | |||||||||
Regolamento | dati personali/categorie particolari di dati personali/dati personali relativi a condanne penali e reati | |||||||||
Regione | ||||||||||
Produzione cedolini stipendiali | Toscana n. 6/R del 12/2/2013 | specialisti ambulatoriali | vedi allegato | XX.XX., Tesoriere, FP,INPS | ||||||
Allegato A | ||||||||||
Scheda n. 2 | ||||||||||
U.O.S. Trattamento | Produzione flussi standard per tesoreria | Regolamento Regione Toscana n. 6/R del 12/2/2013 Allegato A Scheda n. 2 | dati personali/categorie particolari di dati personali/dati personali relativi a condanne penali e reati | specialisti ambulatoriali | vedi allegato | XX.XX., Tesoriere, FP,INPS | ||||
Economico | Produzione flussi standard per denunce contributive e assicurative | Regolamento Regione Toscana n. 6/R del 12/2/2013 Allegato A Scheda n. 2 | dati ersonali/categorie particolari di dati personali/dati personali relativi a condanne penali e reati | specialisti ambulatoriali | vedi allegato | XX.XX., Tesoriere, FP,INPS | ||||
Regolamento | dati personali/categorie particolari di dati personali/dati personali relativi a condanne penali e reati | |||||||||
Regione | ||||||||||
Eelaborazione mod. CU | Toscana n. 6/R del 12/2/2013 | specialisti ambulatoriali | vedi allegato | XX.XX., Tesoriere, FP,INPS | ||||||
Allegato A | ||||||||||
Scheda n. 2 | ||||||||||
Regolamento | ||||||||||
Xxxxxxx | ||||||||||
Xxxxxxx 000 | Xxxxxxx n. 6/R del 12/2/2013 Allegato A | specialisti ambulatoriali | vedi allegato | XX.XX., Tesoriere, FP,INPS | ||||||
Scheda n. 2 |
TEMPI DI CONSERVAZIONE DEI DATI PERSONALI U.O.S. TRATTAMENTO ECONOMICO
UOC/UOS che effettua il trattamento | Trattamento | Periodo di conservazione dei dati personali |
UOS Trattamento Economico | Riepiloghi di acconti e conguagli per il personale | 10 anni |
UOS Trattamento Economico | Bilancio di previsione per la spesa relativa al personale | 5 anni |
UOS Trattamento Economico | Contributi Cassa Pensione, INADEL, ONAOSI, CPS, CPDEL (ruoli tabulati riepilogativi) | ILLIMITATO |
UOS Trattamento Economico | Cedolini mensili delle competenze del personale | 5 anni |
UOS Trattamento Economico | Cessione V dello stipendio | 10 anni dopo estinzione del debito |
UOS Trattamento Economico | Applicazioni contrattuali giuridiche-economiche per personale | ILLIMITATO |
UOS Trattamento Economico | Contributi modello DM/10, copia modello 01/M, tabulati riepilogativi imponibili INPS, regolarizzazioni contributive del personale | 5 anni |
UOS Trattamento Economico | Inail competenze legge 389/1989 | 10 anni |
UOS Trattamento Economico | Liquidazione fine rapporto, decreti e ordinanze | 30 anni |
UOS Trattamento Economico | Copia modello dichiarazione dei redditi, CU | 10 anni |
UOS Trattamento Economico | Conguagli derivanti da applicazioni contrattuali | 10 anni |
UOS Trattamento Economico | Liquidazione comandi, consulenze | 10 anni |
UOS Trattamento Economico | Tabulati mensili riepilogativi delle retribuzioni | 10 anni |
UOS Trattamento Economico | Riepilogo annuale retribuzioni | ILLIMITATO |
UOS Trattamento Economico | Variazioni mensili per retribuzioni | 10 anni |
UOS Trattamento Economico | Recupero crediti e fallimenti | 10 anni salvo contenzioso |
UOS Trattamento Economico | Registri corrispettivi | 10 anni |
UOS Trattamento Economico | Trattenute extra stipendi, gestione versamenti (giri retributivi) - personale | 10 anni |
UOS Trattamento Economico | Rivalse: recupero retribuzione dei dipendenti assenti dal lavoro per responsabilità di terzi | 40 anni |
UOS Trattamento Economico | Incentivazione alla produttività | 10 anni se non vi è contenzioso |