CONTRATTO PER IL TRATTAMENTO DI DATI PERSONALI
CONTRATTO PER IL TRATTAMENTO DI DATI PERSONALI
tra
Università del Salento
e
Fornitore
CONTRATTO PER IL TRATTAMENTO DI DATI PERSONALI
Tra
Università del Salento, Piazza Xxxxxxxx, n. 7 Lecce, P.IVA CF , in persona del
Legale Rappresentante
(Titolare del Trattamento, di seguito denominato “Titolare”)
e
Fornitore, VIA, LUOGO, P.IVA, Legale Rappresentante
(Responsabile del trattamento, di seguito denominato “Fornitore”)
Titolare e Fornitore sono denominati di seguito singolarmente “parte” e congiuntamente “parti”
PREMESSA
Il presente Accordo si prefigge di definire gli obblighi delle parti in relazione alla protezione dei dati personali, in conformità a quanto prescritto dall’art. 28 GDPR.
1. DEFINIZIONI
1.1 “GDPR” significa “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”.
1.2 “Dati personali” significa “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
1.3 “Trattamento di dati” significa il trattamento dei dati personali del Titolare da parte del Fornitore per conto del Titolare. Il trattamento di dati contrattuali comprende qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione, in via non esclusiva, il salvataggio, la modifica, la trasmissione, il blocco e la cancellazione dei dati personali.
1.4 “Istruzione” significa un ordine scritto del Titolare riguardante uno specifico trattamento di dati personali del Titolare effettuato dal Fornitore. Per quanto possibile, l’ambito di applicazione delle potenziali istruzioni va definito all’inizio della collaborazione. Durante la collaborazione il Titolare può anche definire in forma scritta istruzioni aggiuntive. L’ambito di applicazione delle istruzioni può essere modificato, integrato o sostituito da tali istruzioni aggiuntive del Titolare durante la collaborazione.
1.5 “Sub-responsabile”: si intende qualsiasi soggetto terzo incaricato dal Fornitore, in conformità alle procedure di cui al presente Accordo, che provvede – in tutto o in parte – alle operazioni di trattamento di dati personali di competenza del Fornitore.
1.6 “Normativa Rilevante”: si intende il GDPR e qualsiasi provvedimento normativo o regolamentare adottato da autorità pubbliche nazionali in materia di trattamento di dati personali (ivi compresi i provvedimenti assunti dalle Autorità di controllo), applicabile durante il periodo di validità del presente Accordo.
2. OGGETTO DELL’ACCORDO
2.1 Le premesse e gli allegati sono da considerarsi quali parti integranti e sostanziali dell’Accordo.
2.2 Il Titolare, nell'ambito e ad integrazione del contratto in essere con il Fornitore - sottoscritto in data XXXX (di seguito “contratto di servizio”) - intende procedere alla nomina del Fornitore quale Responsabile del trattamento per ciò che attiene ai dati personali che dovrà necessariamente trattare in esecuzione del contratto medesimo. La definizione della natura e della finalità del trattamento, del tipo di dati personali e delle categorie di interessati sono indicati nell’Allegato 1.
2.3 Il trattamento dei dati personali si svolge esclusivamente nel territorio dell’Unione Europea o in paesi terzi ritenuti sicuri da una decisione di adeguatezza della Commissione Europea. Il Fornitore e il Titolare convengono che il trattamento dei dati personali non può svolgersi in un paese terzo non sicuro senza l’approvazione supplementare del Titolare. Ogni trasferimento delle attività di trattamento verso un paese terzo non sicuro richiede il preventivo consenso scritto del Titolare e può essere attuato solo se sono soddisfatti i requisiti previsti al capo V del GDPR. In particolare, devono essere fornite garanzie adeguate per assicurare un livello idoneo di protezione dei dati personali.
2.4 Il Titolare, ai sensi e per gli effetti dell’art. 28 GDPR, nomina il Fornitore, che accetta la nomina, Responsabile del trattamento dei dati personali.
2.5 Le Parti riconoscono e si danno reciprocamente atto che il compenso per le prestazioni rese dal Fornitore quale Responsabile del trattamento è compreso nel compenso previsto dal contratto di servizio.
2.6 Il presente Accordo è espressamente collegato al contratto di servizio in essere tra le Parti; per ogni aspetto non espressamente disciplinato dal presente Accordo, si rinvia a tale contratto. In caso di contrasto tra le disposizioni del contratto di servizio e quelle contenute nel presente Accordo, prevarranno queste ultime.
2.7 In caso di inadempimento, da parte del Fornitore, di anche una delle obbligazioni disciplinate all’interno del presente Accordo, al Titolare è riconosciuta la facoltà di risolvere per inadempimento l’Accordo stesso e il contratto di servizio.
3. MISURE TECNICHE E ORGANIZZATIVE
3.1 Il Fornitore è obbligato ad adottare le misure richieste ai sensi dell'art. 32 GDPR ed in particolare, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, a mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Nel fare ciò il Fornitore deve tenere conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
3.2 Il Fornitore è obbligato a relazionare, a richiesta del Titolare, sulle misure di sicurezza adottate ex art. 32 GDPR.
4. DIRITTI E OBBLIGHI DEL TITOLARE
4.1 Il Titolare ha diritto di determinare le finalità e i mezzi del trattamento di dati personali.
4.2 Il Titolare ha diritto di verificare in ogni momento l’adempimento delle istruzioni impartite al Fornitore, ad esempio verificando i) le misure di sicurezza adottate, ii) il corretto svolgimento delle operazioni di trattamento, iii) il rispetto delle finalità individuate e perseguite dal Titolare; e ciò anche attraverso ispezioni eseguite nella sede del Fornitore ovvero dove quest’ultimo tratta i dati personali. Il Titolare può effettuare tali verifiche anche avvalendosi di professionisti o soggetti terzi. Qualora i risultati delle verifiche svolte rivelassero l'inadeguatezza delle misure di sicurezza adottate dal Fornitore, questi dovrà tempestivamente adeguarle/aggiornarle secondo quanto concordato con il Titolare sulla base di quanto emerso dalle verifiche.
4.3 Il Titolare ha l’obbligo di comunicare al Fornitore eventuali variazioni alle finalità e ai mezzi di trattamento dei dati personali.
5. OBBLIGHI DEL FORNITORE
5.1 Il Fornitore tratta i dati esclusivamente nel quadro del presente Accordo e per conto del Titolare, salvo che lo richieda il diritto dell’Unione Europea o di uno Stato membro a cui il Fornitore è soggetto. I dati forniti non vengono usati per nessun’altra finalità, in particolare non vengono usati dal Fornitore per proprie finalità. Il Fornitore non è autorizzato a fornire i dati a terze parti senza la preventiva approvazione scritta del Titolare.
5.2 Il Fornitore assiste il Titolare nell’assicurare il rispetto degli obblighi di cui agli articoli 32 “Sicurezza del Trattamento”, 33 “Notifica di una violazione dei dati personali all'autorità di controllo”, 34 “Comunicazione di una violazione dei dati personali all'interessato”, 35 “Valutazione d'impatto sulla protezione dei dati” e 36 “Consultazione Preventiva” del GDPR.
5.3 Il Fornitore assiste il Titolare nell’adempimento degli obblighi del Titolare di rispondere alle richieste di esercitare i diritti dell’interessato definiti al capo III del GDPR, secondo le modalità precisate al successivo art. 6.
5.4 Alla conclusione del Contratto di servizio, o comunque al termina dell'Accordo di trattamento tra le parti, il Fornitore è tenuto a consegnare al Titolare tutti i dati da questi ricevuti e quelli eventualmente generati nell'ambito delle operazioni di trattamento effettuate per conto del Titolare. I dati devono essere consegnati in un formato strutturato, interoperabile, di uso comune e leggibile da i normali dispositivi tutti i dati personali o, se ciò non è possibile, nel formato concordato con il Titolare. Il Titolare controlla i dati ricevuti, ne verifica la completezza, l'esattezza, l'integrità e la leggibilità e comunica per iscritto al Fornitore il corretto trasferimento. Il Fornitore procede quindi alla tempestiva cancellazione di tutti i dati personali in suo possesso e delle copie eventualmente esistenti nei propri archivi, salvo i casi in cui il diritto dell'Unione o dello Stato membro in cui è insediato il Fornitore preveda la conservazione di alcuni dati.
5.5 Il Fornitore, se tenuto in forza della Normativa Rilevante o su esplicita richiesta del Titolare, provvederà alla redazione, alla tenuta e al regolare aggiornamento di un registro delle attività di trattamento svolte per conto del Titolare, come disciplinato dall’art. 30 del GDPR;
5.6 Il Fornitore deve collaborare con il Responsabile della Protezione dei Dati (anche detto DPO) del Titolare, fornendo tutti i mezzi, le informazioni e gli accessi necessari per ottemperare alle prescrizioni del GDPR;
5.7 Il Fornitore deve designare per iscritto le persone autorizzate al trattamento di dati personali, garantendo che queste abbiano la necessaria competenza e formazione in relazione alle attività di trattamento di dati personali da porre in essere, provvedendo altresì a vincolarle a idonei impegni di riservatezza circa i dati personali trattati e le relative informazioni di cui vengano a conoscenza in esecuzione delle attività. Resta inteso che detti impegni di riservatezza rimarranno vigenti anche una volta cessato il presente Accordo.
5.8 Il Fornitore deve procedere alla nomina degli amministratori di sistema, ove presenti, così come richiesto dal Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 e successive modificazioni “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, avendo cura di: (i) valutarne adeguatamente le caratteristiche soggettive; (ii) designarli individualmente; (iii) tenere l’elenco degli Amministratori di Sistema e delle loro funzioni; (iv) verificarne periodicamente l’attività e (v) ove possibile, registrarne gli accessi (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici in maniera completa, inalterabile e suscettibile di verifica dell’integrità, per un congruo periodo di tempo non inferiore a sei mesi.
5.9 Il Fornitore informa senza indugio il Titolare se nota che un’istruzione impartita dal Titolare viola un obbligo legale prescritto dalla Normativa Rilevante o qualsiasi altro obbligo derivante dal presente Accordo. Il Fornitore è autorizzato a sospendere l’esecuzione di tale istruzione fino a quando non viene confermata o corretta dal Titolare.
6. RAPPORTI CON TERZI
6.1 Qualora gli interessati, le Autorità di controllo o qualsiasi altro terzo (ivi compresi, a titolo esemplificativo e non esaustivo, Autorità giurisdizionali e amministrative diverse dalle Autorità di controllo) avanzassero richieste nei confronti del Fornitore (ivi comprese anche richieste per l’esercizio dei diritti riconosciuti agli interessati, quali il diritto di accesso e gli altri diritti riconosciuti dal GDPR), questo informerà immediatamente - e comunque non più tardi di 24 ore dalla ricezione delle richieste - per iscritto il Titolare.
6.2 Il Fornitore avrà cura, in particolare, di trasmettere al Titolare copia delle richieste pervenute, allegando altresì ogni ulteriore eventuale informazione o circostanza ritenuta utile.
6.3 Resta inteso che il Fornitore potrà fornire riscontro alle richieste solo dietro espressa autorizzazione scritta del Titolare e comunque secondo le direttive, istruzioni e indicazioni fornite per iscritto da quest’ultimo. Il Fornitore, pertanto, non potrà in alcun modo agire in via autonoma, o in qualità di rappresentante / mandatario del Titolare (salvo espressa indicazione di questo a tal riguardo).
6.4 E’ fatto espresso divieto al Fornitore di comunicare o divulgare a terzi, anche in riscontro alle richieste, i dati personali trattati per conto del Titolare o qualsiasi eventuale ulteriore informazione relativa al trattamento dei dati personali senza aver ottenuto previe autorizzazioni e istruzioni per iscritto dal Titolare.
6.5 Qualora fosse obbligato – in esecuzione di obblighi normativi o dietro richieste di autorità giurisdizionali, amministrative o di pubblica sicurezza – a divulgare o comunicare a terzi i dati trattati per conto del Titolare o le informazioni relative al trattamento, il Fornitore:
(a) notificherà immediatamente per iscritto al Titolare tale circostanza;
(b) adotterà ogni accorgimento volto a limitare o restringere l’ambito della divulgazione
/comunicazione (ad esempio, omettendo informazioni non espressamente richieste);
(c) porrà in essere ogni ragionevole sforzo volto a ottenere dai destinatari delle comunicazioni impegni di riservatezza.
7. SUB-RESPONSABILI
7.1 Il Titolare autorizza in via generale il Fornitore a ricorrere ad un altro Responsabile del trattamento (Sub-responsabile) ai sensi e per gli effetti dell’art. 28 del GDPR esclusivamente per l'esecuzione di specifiche attività necessarie all’adempimento del contratto di servizio. In tale caso il Fornitore deve informare il Titolare di eventuali modifiche riguardanti l’aggiunta e/o la sostituzione di altri responsabili del trattamento almeno 14 (quattordici) giorni prima di operare le predette modifiche, dando così al Titolare l’opportunità di opporsi. In caso di opposizione le modifiche e la nomina del nuovo responsabile di trattamento non possono essere eseguite.
7.2 Qualora il Fornitore ricorra, sotto la propria responsabilità, ad un altro responsabile del trattamento (Sub-responsabile), il Fornitore deve prevedere nel contratto con il nuovo responsabile garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR. Resta inteso che l’incarico dei Sub-responsabili potrà avvenire solo prima dell’inizio di qualsivoglia operazione di trattamento da parte di questi ultimi e a condizione che gli eventuali Sub-responsabili sottoscrivano un contratto nel quale siano obbligati almeno a prestare tutte le garanzie e a garantire tutti gli adempimenti individuati a carico del Fornitore nel presente Accordo, nonché a tutti quelli che, anche in futuro, il Xxxxxxxx imporrà al Fornitore.
7.3 Qualora il Sub-Responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati o violi gli obblighi o le istruzioni qui indicate, il Fornitore conserva nei confronti del Titolare l'intera responsabilità delle attività affidate tramite l’incarico, comprese quelle a sua volta affidate al Sub-Responsabile.
8. NOTIFICA DELLE VIOLAZIONI DA PARTE DEL FORNITORE (C.D. DATA BREACH)
8.1 Qualora si verifichi un incidente di sicurezza (a titolo esemplificativo e non esaustivo, qualsiasi evento di distruzione, perdita, alterazione, divulgazione o accesso imprevisto o non autorizzato ai dati personali), riguardante i propri sistemi o quelli dei Sub-Responsabili, il Fornitore dovrà notificare al Titolare per iscritto mediante posta elettronica certificata (PEC) tale evento nel minor tempo possibile, e comunque non oltre 24 (ventiquattro) ore dal momento in cui ne sia venuto a conoscenza.
8.2 La comunicazione di cui all’art. 8.1 dovrà:
(a) descrivere nel dettaglio la natura della violazione dei dati personali, ivi compresi, ove possibile, le categorie, il numero approssimativo e l’identità degli interessati coinvolti e le categorie e il numero approssimativo di dati personali coinvolti;
(b) comunicare il nominativo e i dati di contatto dell’eventuale responsabile della protezione dei dati o altro punto di contatto ove sia possibile ottenere maggiori informazioni;
(c) descrivere le probabili conseguenze della violazione dei dati personali;
(d) contenere una proposta di misure di sicurezza da adottare al fine di risolvere la violazione dei dati personali, ivi comprese, ove opportuno, le misure finalizzate a mitigare i possibili effetti negativi;
(e) indicare se, ad avviso del Fornitore, è opportuna o doverosa la notificazione all’Autorità di controllo e/o anche agli interessati coinvolti;
(f) riportare qualsivoglia informazione a disposizione del Fornitore, che possa essere utile al Titolare ai fini della comunicazione della violazione di dati personali all’Autorità di controllo.
8.3 Il Fornitore presterà tutta l’assistenza e la collaborazione eventualmente richiesta dal Titolare al fine di porre rimedio alla violazione di dati personali e al fine di fornire all’Autorità di controllo ogni informazione o chiarimento richiesto.
9. RISERVATEZZA
9.1 Tutti i dati personali ricevuti dal Fornitore da parte del Titolare e/o raccolti dal Fornitore nell’ambito dell’esecuzione di questo Accordo sono soggetti a un obbligo di riservatezza nei confronti di terzi.
9.2 Tale obbligo di riservatezza non sussisterà nel caso in cui il Titolare abbia espressamente autorizzato la rivelazione di tali informazioni a terzi, nel caso in cui la rivelazione delle informazioni a terzi sia ragionevolmente necessaria alla luce delle disposizioni e dell’esecuzione del presente Accordo, oppure ove ricorra un obbligo giuridico di rendere disponibili le informazioni a terzi
10. DURATA DELL’ACCORDO
10.1 Il presente Accordo decorre dalla data di sottoscrizione e rimarrà in vigore ed efficace fino al termine o alla cessazione (per qualsivoglia ragione) del contratto di servizio, o comunque fino a che il Fornitore avrà terminato ogni attività di trattamento di dati personali svolta per conto del Titolare (fatti salvi i successivi obblighi di riservatezza in capo alle persone autorizzate al trattamento dei dati personali).
11. RESPONSABILITÀ E MANLEVE
11.1 Il Fornitore manleverà e terrà indenne il Titolare da ogni perdita, costo, spesa, sanzione pecuniaria, danno da risarcire e in generale da ogni responsabilità direttamente o indirettamente derivante dalla esecuzione da parte del Fornitore (e/o dei Sub-responsabili da questo incaricati) delle disposizioni del presente Accordo, e dall’adeguamento e conformità del Fornitore (e/o dei Sub- responsabili da questo incaricati) alle prescrizioni della Normativa Rilevante con riferimento alle attività di trattamento di dati personali svolte per conto del Titolare.
12. DISPOSIZIONI FINALI
12.1 Qualsiasi modifica del presente Accordo dovrà, a pena di nullità, essere prevista in forma scritta.
12.2 L’Accordo annulla e sostituisce ogni precedente Accordo o intesa tra le Parti in relazione al trattamento di dati personali svolti dal Fornitore per conto del Titolare.
12.3 Le Parti dichiarano che tutte le clausole contenute nel presente Accordo sono state oggetto di attenta e singola valutazione e riflettono la comune volontà.
12.4 Qualora una qualsiasi clausola del presente Accordo venisse dichiarata invalida, tale dichiarazione non inficerà la validità di tutte le altre clausole ivi contenute. In tale eventualità e per quanto possibile, tale clausola invalida dovrà venire sostituita da altra il cui effetto sia il più possibile equivalente a ciò che le Parti intendevano al momento della stipula dell’Accordo.
12.5 Il mancato esercizio da parte del Titolare di uno o più dei diritti che gli derivano dal presente Accordo, non costituirà né potrà essere inteso in alcun modo come rinuncia agli stessi.
12.6 Se una parte è obbligata dalla legge a nominare un responsabile della protezione dei dati, deve nominarlo e fornire i relativi dati di contatto alla controparte. Se una parte non è soggetta all’obbligo giuridico di nominare un responsabile della protezione dei dati, nomina la seguente persona come persona di contatto in materia di protezione dei dati (ai fini del presente accordo):
Nome/cognome | Telefono | ||
Per il Titolare | |||
Xxx il Fornitore |
Le parti si impegnano a comunicarsi reciprocamente eventuali variazioni intervenute nei suddetti dati di contatto.
13. ALLEGATI
Allegato 1 – Dettagli del trattamento
Luogo e data
Il Titolare | Il Fornitore |
(nome e cognome del legale rappresentante) | (nome e cognome del legale rappresentante) |
ALLEGATO 1 – DETTAGLI DEL TRATTAMENTO
Trattamento da effettuare per conto del Titolare:
trattamento dei dati personali connesso alla fornitura del servizio di portierato, limitatamente e con esclusivo riferimento agli obblighi da contratto derivanti, ivi compreso il profilo relativo alla sicurezza di cui all’art. 32 del Regolamento Europeo n. 679/2016. Si fa presente che il trattamento dovrà avvenire in modo da garantire la sicurezza, la riservatezza, disponibilità e l’integrità dei dati di titolarità dell’Università del Salento.
Materia disciplinata:
fornitura del servizio di vigilanza ispettiva, portierato e centralino aziendale, come da contratto di affidamento del servizio.
Durata del trattamento:
I trattamenti avranno luogo per l’arco di tempo corrispondente alla durata del contratto in essere tra le parti o fino al raggiungimento delle finalità dallo stesso perseguite (come in seguito specificato).
Finalità del trattamento:
fornitura del servizio, in esecuzione del vigente rapporto contrattuale. Tipo di dati personali e Categorie di interessati:
La tipologia dei dati personali trattati dal Responsabile, in riferimento ai servizi espletati e per i quali viene autorizzato, può includere dati personali identificativi di natura comune (rilevazione delle immagini del sistema di videosorveglianza, anagrafiche e dati personali di natura comune in genere, con divieto di trattamento di categorie particolari di dati o dati relativi a condanne penali o reati) relativi a persone fisiche identificate o identificabili. Tali dati personali si riferiscono alle seguenti categorie di interessati: persone fisiche, cittadini italiani e di Paesi appartenenti all'UE o extra UE, utenti, fornitori, consulenti, dipendenti della Società.