Oggetto: Reg. UE 679/2016 - Nomina a Responsabile del trattamento dei dati personali.
Oggetto: Reg. UE 679/2016 - Nomina a Responsabile del trattamento dei dati personali.
Il presente accordo è concluso tra:
Ottima Formazione Srl, con sede legale in xxx X. Xxxxxx 0, Xxxxxxx (XX), frazione Fornace Zarattini, C.F./P.IVA 02532160393, (d’ora in avanti “il fornitore” o “Il Responsabile del trattamento”)
e
Il soggetto di volta in volta indicato nel contratto/convezione (d’ora in avanti “il committente” o “Il Titolare del trattamento”) per i servizi relativi a:
- Formazione finanziata;
- Formazione a mercato;
- Gestione apprendistato e tirocini;
- Bilancio delle competenze.
PREMESSO
a) che a seguito dell’entrata in vigore del Reg. UE n. 679 del 24 maggio 2016 (GDPR), sono state introdotte all’interno del quadro normativo europeo sulla protezione dei dati personali alcune novità di rilievo;
b) che il committente ha commissionato al Responsabile del trattamento la prestazione di servizi relativi ad uno dei servizi sopra indicati e specificati nel contratto/convezione, i quali presuppongono per la loro esecuzione il trattamento di dati personali di interessati verso cui il committente stesso assume la veste di Titolare del trattamento, così come definito dall’art. 4 par. 7 del Reg. UE 679/2016;
c) che il presente atto è da considerarsi quale addendum al contratto di servizi intercorrente;
d) che la natura del trattamento è insita nello svolgimento del particolare servizio affidato al fornitore, come descritto nel contratto/convenzione di servizio;
e) che la finalità del trattamento e le categorie di dati trattati per conto del committente sono, a seconda del servizio, le seguenti:
Servizio | Finalità | Categorie di dati | Interessati |
Formazione finanziata | Gestione dei progetti di formazione finanziata, rendicontazione | Dati identificativi e comuni, dati contenuti in curriculum vitae. | Xxxxxx rappresentante, docenti, tutor, corsisti |
Formazione a mercato | Gestione dei corsi di formazione a mercato | Dati identificativi e comuni, dati contenuti in curriculum vitae | Legale rappresentante, docenti, tutor, corsisti |
Apprendistato e tirocini | Gestione dei progetti di apprendistato e tirocinio | Dati identificativi e comuni, dati contenuti in curriculum vitae, | Legale rappresentante, docenti, tutor, |
presenze | apprendisti, tirocinanti | ||
Bilancio delle competenze | Gestione dei progetti relativi al bilancio delle competenze | Dati identificativi e particolari categorie di dati | Dipendenti di clienti |
f) che il fornitore tratta tali dati per conto del committente unicamente al fine di dare esecuzione ai servizi oggetto degli accordi suddetti.
Tutto ciò premesso, le quali premesse sono da considerarsi parte integrante del presente atto di nomina, e preso atto che il fornitore presenta garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Reg. UE 679/2016 e garantisca la tutela dei diritti dell'interessato il Titolare del trattamento
NOMINA
il fornitore quale Responsabile del trattamento.
Nella veste di Responsabile esterno del trattamento, il fornitore si impegna a trattare i dati in modo lecito, secondo correttezza e nel pieno rispetto di tutte le disposizioni emesse in materia di trattamento dei dati personali, nonché delle seguenti specifiche istruzioni.
ISTRUZIONI
1) Persone autorizzate al trattamento. Prima di iniziare qualsiasi trattamento di dati, il fornitore deve garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza che include altresì il rispetto di eventuali ulteriori istruzioni ricevute ai sensi degli artt. 29 e 32 c.4 del GDPR; tali istruzioni dovranno, ovviamente, essere anche coerenti con quelle indicate nel presente documento.
2) Clausola di riservatezza. I dati sono da considerarsi quali informazioni riservate del committente. Su questa base:
- il fornitore non potrà in alcun caso comunicare i dati a terzi, a meno che ciò sia necessario per l'assolvimento di un obbligo derivante da una legge o da un atto normativo o sia necessario all’esecuzione del contratto di servizi;
- nel caso in cui il fornitore riceva richiesta o intimazione di comunicare informazioni personali o particolari del processo di trattamento di dati qui regolato, da parte di una pubblica autorità o da parte dell’autorità giudiziaria, dovrà provvedere a dare di ciò pronta notizia al committente;
- non deve in alcun modo diffondere i dati degli interessati.
3) Finalità. Il trattamento dei dati deve essere effettuato dal fornitore ai soli fini di dare esecuzione ai servizi commissionatigli previsti nel contratto/convenzione, nel rispetto dei principi di cui all’art. 5 del GDPR.
4) Diritto di accesso e diritti degli interessati. Al fine di garantire l’esercizio dei diritti dell’interessato previsti dal Regolamento, in particolare riguardo il diritto di accesso, ed al fine di dare riscontro alle richieste di esercizio dei diritti pervenute al Titolare nei tempi previsti dal Regolamento, il fornitore, limitatamente ai dati trattati ed eventualmente conservati per conto del committente nello
svolgimento delle attività commissionatigli previste nel contratto/convenzione, deve assistere il committente nell’iter di esaurimento della richiesta da parte dell’interessato.
Nel caso una richiesta di esercizio dei diritti giunga direttamente al Responsabile del trattamento esso si impegna ad avvisare il Titolare del trattamento entro 3 giorni lavorativi dalla ricezione della richiesta, in modo da permettere al Titolare stesso di esaminare ed eventualmente rispondere alla richiesta nei tempi e nei modi previsti dal Regolamento.
5) Misure di sicurezza. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il fornitore deve adottare adeguate misure necessarie ai fini della sicurezza dei dati personali ai sensi dell'articolo 32 del GDPR. Il committente si riserva il diritto di richiedere, anche a scadenza annuale, riscontro scritto delle misure di sicurezza adottate dal fornitore ai sensi dell’art. 32 del GDPR ed il fornitore si impegna a fornirlo entro una settimana dalla richiesta. Nel caso in cui al fornitore sia necessario un tempo maggiore per fornire il riscontro fornisce comunicazione scritta motivata al committente entro una settimana dalla richiesta.
6) Assistenza al committente. Il fornitore deve assistere il committente ai fini del rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, limitatamente a quanto previsto dall’attività o dalle attività da lui svolte per conto del titolare previste nel contratto/convenzione, e delle informazioni in suo possesso. Pertanto:
- in materia di sicurezza del trattamento (art.32): il fornitore deve fornire il riscontro previsto al punto 5 del presente atto di nomina nei tempi e con le modalità ivi previste;
- in materia di notifica dei data breach all’autorità di controllo ed agli interessati (artt. 33 e 34): il fornitore deve avvisare il committente di qualsiasi incidente di sicurezza che provochi o che potrebbe provocare distruzione, perdita, alterazione, divulgazione non autorizzata, accesso accidentale o illegale ai dati personali, trasmessi, archiviati o comunque trattati dal Responsabile per conto del Titolare nell’ambito del servizi commissionatigli descritti al punto b) delle premesse del presente atto. La comunicazione dell’avvenuta violazione da parte del fornitore dovrà avvenire per iscritto, tempestivamente e comunque non oltre 24 ore dalla scoperta, tramite posta elettronica certificata (PEC). Successivamente e non oltre le successive 48 ore dalla prima comunicazione il fornitore dovrà comunicare per iscritto tramite posta elettronica certificata (PEC) la natura e le circostanze della violazione, il numero, anche approssimativo, e le categorie di dati trattati, il numero, anche approssimativo, e le categorie di interessati cui i dati si riferiscono e le misure attuate per attenuare i possibili effetti negativi. Il fornitore dovrà inoltre fornire tutte le ulteriori informazioni richieste dal committente, necessarie all’eventuale notifica all’autorità di controllo ed agli interessati;
- in materia di valutazione d’impatto sulla protezione dei dati e di consultazione preventiva all’autorità di controllo (artt. 35 e 36): il fornitore deve fornire tutte le informazioni, anche tecniche, richieste dal committente circa l’attività di trattamento o le attività di trattamento svolte per suo conto e sottoposte dal Titolare a valutazione d’impatto o consultazione preventiva all’autorità di controllo; le informazioni dovranno essere comunicate per iscritto, tramite e-mail, entro una settimana dalla richiesta del committente. Nel caso in cui al fornitore sia necessario un tempo maggiore per fornire le informazioni esso ne dà comunicazione motivata al committente entro una settimana dalla richiesta.
7) Violazione di dati personali (data breach). Il fornitore deve implementare soluzioni atte a rilevare eventuali violazioni dei dati personali (ossia le violazioni di sicurezza che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati). Il fornitore s’impegna a collaborare attivamente con il committente, nel caso la violazione riguardi i dati trattati ed
eventualmente conservati per conto del committente stesso nell’ambito delle attività commissionatigli previste nel contratto/convenzione, secondo quando previsto al punto 6 “Assistenza al committente”.
8) Verifiche del fornitore. Il fornitore deve mantenere un costante controllo in merito al fatto che i dati siano trattati in modo lecito, secondo correttezza e comunque nel rispetto delle leggi e delle disposizioni in materia di trattamento, compreso il profilo relativo alla sicurezza, oltre che delle istruzioni impartite con il presente atto. Il fornitore si impegna inoltre a informare immediatamente il committente segnalando ogni situazione di cui venga a conoscenza che possa esporre il committente a violazioni di legge o possa generare un trattamento illecito o porre in pericolo la riservatezza e l’integrità dei dati.
9) Verifiche del committente. Il fornitore deve mettere a disposizione del committente tutte le informazioni necessarie per dimostrare la conformità con il GDPR e la normativa in materia di protezione dei dati personali, oltre a contribuire alle attività di revisione, comprese le verifiche realizzate dal committente o da un altro soggetto da questi incaricato. Nel caso le verifiche del committente debbano essere svolte presso la sede del fornitore, il committente dovrà dare al fornitore un preavviso di almeno una settimana, al fine di non interferire con la continuità delle attività aziendali del fornitore.
10) Restituzione dei dati. Alla cessazione per qualunque causa del contratto di servizi il fornitore si impegna, a richiesta del committente, a restituire e/o cancellare tutti i dati personali eventualmente conservati, oggetto dell’attività o delle attività di trattamento svolte per conto del committente, ed a cessare ogni trattamento diverso dalla conservazione per finalità di esecuzione di obblighi di legge o per la tutela dei propri diritti per il tempo strettamente necessario a tali scopi. Il fornitore dovrà ottemperare a tale obbligo entro 30 giorni dalla richiesta scritta inoltrata dal committente. Nel caso in cui al fornitore sia necessario un tempo maggiore per esaudire la richiesta, ne dà comunicazione motivata al committente entro un congruo termine.
11) Dovere di informazione. Il fornitore deve informare immediatamente il committente qualora, a suo parere, un’istruzione a lui impartita violi il regolamento europeo o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
12) Sub-responsabile. Ai sensi dell’art. 28 del GDPR, il fornitore può ricorrere a un altro responsabile solo previa autorizzazione scritta, specifica o generale, del committente. La presente vale quale autorizzazione scritta generale. Il fornitore è comunque sempre tenuto ad informare il committente in merito alla scelta, aggiunta o sostituzione di qualsiasi responsabile del trattamento, dando così al committente l’opportunità di valutarla, e se del caso opporvisi. Se il fornitore ricorre a un altro responsabile (sub-responsabile) per l’esecuzione di specifiche attività di trattamento per conto del committente, deve imporgli, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel presente contratto. In particolare, il fornitore deve prevedere in quest’ultimo caso garanzie sufficienti affinché il sub-responsabile metta in atto misure tecniche e organizzative adeguate al fine di soddisfare i requisiti normativi previsti. Qualora il sub-responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il fornitore conserva l’intera responsabilità dell’adempimento degli obblighi del sub-responsabile.
13) Responsabilità. Come previsto dall’art.82 del Regolamento, chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno.
ll fornitore (Responsabile del trattamento) risponde per il danno causato dal trattamento nel caso in cui non adempia agli obblighi del Regolamento specificamente diretti ai Responsabili del trattamento oppure nel caso agisca in modo difforme o contrario rispetto alle legittime istruzioni impartite dal committente.
Inoltre, qualora il fornitore determini autonomamente le finalità ed i mezzi di trattamento, in violazione delle precedenti ed eventualmente ulteriori e successive istruzioni, si assume i conseguenti oneri, rischi e responsabilità come se fosse un autonomo titolare relativamente al trattamento in questione.
Il committente o il fornitore sono esonerati da responsabilità se dimostrano che l’evento dannoso non gli è in alcun modo imputabile, provando di aver adottato tutte le misure adeguate rispetto al rischio insito nel trattamento.
Il fornitore si impegna a manlevare e tenere indenne il committente da qualsiasi danno, pretesa, risarcimento o sanzione che possa derivare a quest’ultimo da una violazione delle precedenti ed eventuali ulteriori istruzioni o delle disposizioni normative in materia di protezione dei dati personali.