CONTRATTO DI TRATTAMENTO DEI DATI PERSONALI Art. 28 Reg. UE 2016/679
CONTRATTO DI TRATTAMENTO DEI DATI PERSONALI Art. 28 Reg. UE 2016/679
Le presenti condizioni si applicano, in mancanza di un diverso accordo sottoscritto fra le Parti, fra ciascun cliente di Geco S.r.l. (in seguito “Mandante”) e Geco S.r.l., P.IVA 04593240486, con sede in Xxx Xx’ Xxxxx, 00, 00000 Xxxxxxx (XX), XX, in persona del suo legale rappresentante pro tempore Xxxx. Xxxxx Xxxxxxxx (in seguito “Mandatario”), ogniqualvolta, in virtù di un diverso contratto, il Mandante affidi al Mandatario incarichi che comportano il trattamento diretto o indiretto di dati personali.
Premesse
- Il Mandatario, tramite la propria struttura organizzativa, svolge per conto dei propri clienti servizi di revenue management, consulenza, marketing, distribuzione, rappresentanza commerciale etc., come meglio descritti nei relativi contratti;
- Il Mandante ha conferito al Mandatario un incarico continuativo avente ad oggetto uno o più dei suddetti servizi, descritti e disciplinati nei relativi contratti sottoscritti fra le Parti (in seguito “Contratti Principali”), di cui il presente deve considerarsi un addendum;
- Ai fini dell’adempimento del suddetto rapporto contrattuale è necessario che il Mandatario tratti, per conto e su istruzione del Mandante, alcuni dati personali dei suoi clienti, potenziali clienti, dipendenti, fornitori etc.;
- Con riferimento a tali trattamenti di dati personali, il Mandante ha il ruolo di Titolare del Trattamento mentre il Mandatario assume il ruolo di Responsabile del Trattamento, secondo le definizioni di cui all’art. 4 Reg. UE 2016/679;
- Il Titolare del Trattamento di dati personali può designare un soggetto esterno quale Responsabile del Trattamento, purché fornisca idonea garanzia del pieno rispetto delle vigenti disposizioni in materia, ivi compreso il profilo della sicurezza;
- Ai sensi dell’art. 28, par. 3, Reg. UE 2016/679 è richiesta alle parti la conclusione di un contratto che vincoli il Responsabile del Trattamento al Titolare del Trattamento e che disciplini la materia, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi ed i diritti delle parti.
Dato atto che le premesse costituiscono parte integrante del presente contratto, le parti stipulano le seguenti
CONDIZIONI CONTRATTUALI
1. Oggetto
Con la stipula del presente contratto, il Mandante designa il Mandatario, che accetta, quale Responsabile del Trattamento, secondo la definizione di cui all’articolo 4 Reg. UE 2016/679, con riferimento alle operazioni di trattamento dei dati personali di seguito determinate. Il conferimento del ruolo di Responsabile del Trattamento non comporta il diritto a corrispettivi aggiuntivi rispetto a quelli pattuiti nei Contratti Principali.
2. Operazioni di trattamento
Il Mandatario potrà trattare dati personali per conto del Mandante nello svolgimento di tutte le operazioni costituenti oggetto dei Contratti Principali ed ivi individuate.
3. I dati oggetto di trattamento
Il Mandatario tratterà per conto del Mandante dati personali dei suoi clienti, potenziali clienti, fornitori, dipendenti etc. necessari all’esecuzione delle operazioni sopra individuate.
Tali dati personali hanno prevalentemente natura di dati comuni. Solo occasionalmente il Mandatario può venire a conoscenza od altrimenti trattare anche dati appartenenti alle categorie particolari di cui all’art. 9 Reg. UE 2016/679 (es. allergie, handicap o esigenze degli ospiti delle strutture alberghiere derivanti da condizioni di salute).
4. Finalità del trattamento, criteri di liceità e basi giuridiche
I dati personali sopra menzionati vengono trattati dal Mandatario al fine di adempiere ai Contratti Principali con il Mandante. Le finalità, i criteri di liceità e le basi giuridiche dei trattamenti nei confronti degli interessati vengono determinate dal Titolare del Trattamento.
5. Modalità del trattamento
Il Mandatario è autorizzato ad effettuare il trattamento dei dati personali anche ricorrendo a strumenti elettronici, purché garantisca misure adeguate di protezione ai sensi dell’art. 32 Reg. UE 2016/679. In particolare, al Mandatario possono essere conferite credenziali di accesso a software e database di titolarità del Mandante.
6. Obblighi del Mandante
Il Mandante si impegna a fornire ai soggetti interessati una corretta informativa sul trattamento dei loro dati personali, conformemente a quanto previsto dall’art. 13 Reg. UE 2016/679, a determinare nei confronti degli interessati le finalità, i criteri di liceità e le basi giuridiche dei trattamenti.
Il Mandante garantisce che i dati personali oggetto delle operazioni di trattamento affidate al Mandatario siano raccolti e trasmessi rispettando ogni prescrizione delle normative applicabili.
7. Obblighi del Mandatario
Nel trattare i dati personali oggetto del presente contratto, il Mandatario si obbliga a:
- rispettare le istruzioni fornite dal Mandante, purché coerenti con quanto previsto dal Reg. UE 2016/679;
- trattare i dati soltanto per le finalità sopra menzionate;
- garantire la riservatezza dei dati personali trattati;
- designare come autorizzati al trattamento i dipendenti e collaboratori a cui viene affidato il trattamento dei dati personali per conto del Mandante, garantire che questi mantengano su di essi la massima riservatezza e che vengano debitamente istruiti e formati in materia di protezione dei dati personali;
- adottare misure tecniche ed organizzative adeguate a garantire la protezione dei dati personali, conformemente all’art. 32 Reg. UE 679/2016, in particolare tutelandoli dalla distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale;
- assistere il Mandante nel dar seguito alle richieste dei soggetti interessati relative al trattamento dei loro dati personali conformemente al Capo III del Reg. UE 2016/679;
- assistere il Mandante al rispetto degli obblighi di cui agli articoli 33 e 34 Reg. UE 2016/679 in caso di Data Breach;
- assistere il Mandante al rispetto degli obblighi di cui agli articoli 35 e 36 Reg. UE 2016/679 nel predisporre una Data Protection Impact Assessment;
- mettere a disposizione del Mandante tutte le informazioni necessarie a dimostrare il rispetto degli obblighi derivanti dal presente contratto e dal Reg. UE 2016/679, anche consentendo al Mandante di svolgere ispezioni e controlli, purché con congruo preavviso;
- informare il Mandante nel caso in cui ritenga che un’istruzione impartitagli ai fini dell’esecuzione del presente contratto non sia conforme alle norme del Reg. UE 2016/679 o alle norme nazionali in materia di trattamento dei dati personali;
- non trasferire i dati al di fuori dell’Unione Europea al di fuori dei casi consentiti dal Capo V del Reg. UE 2016/679;
- comunicare al Mandante ogni Data Breach entro un termine di 24 ore da quando ne viene a conoscenza e fornire tutte le informazioni e la documentazione necessaria affinché il Mandante possa, ove necessario, notificare il Data Breach all’Autorità Garante.
8. Nomina di sub-responsabili
Il Mandatario viene autorizzato a dotarsi di sub-responsabili del trattamento, inclusi Cloud o Hosting providers per la conservazione e la gestione dei dati oggetto del presente contratto. Il Mandatario deve assicurarsi che la conservazione avvenga su server situati all'interno dell'Unione Europea e che vengano fornite misure di sicurezza adeguate conformemente a quanto previsto dall'art. 32 Reg. UE 2016/679.
Ai sensi dell'art. 28 Reg. UE 2016/679, il Mandatario deve assicurarsi che il sub-responsabile venga sottoposto alle medesime condizioni poste a suo carico nel presente contratto. In caso di richiesta, il Mandatario è tenuto a comunicare al Mandante l'identità dei sub-responsabili ed il contratto con essi stipulato ai sensi dell'art. 28 Reg. UE 2016/679.
9. Durata e cessazione del trattamento
Il presente contratto è inscindibilmente legato ai Contratti Principali. Nel momento in cui questi rapporti contrattuali dovessero sciogliersi, per qualsiasi ragione, il Mandatario sarà tenuto a mettere a disposizione del Mandante tutti i dati personali trattati per suo conto ed a non conservarne copia. Conseguentemente, il Mandante dovrà revocare al Mandatario tutte le credenziali di accesso ai suoi dati.
Soltanto nell’ipotesi in cui ciò risulti necessario a far valere in giudizio un diritto di pari rango rispetto a quello alla protezione dei dati personali, il Mandatario potrà conservare alcuni dati personali anche successivamente allo scioglimento dei contratti principali. Questi dati potranno essere conservati per la sola durata necessaria al raggiungimento della suddetta finalità e non oltre il termine di prescrizione e dovrà essere applicato ad essi il principio di minimizzazione. Dovranno perciò essere cancellati o resi anonimi tutti i dati non indispensabili al raggiungimento della finalità.