ACCORDO PRINCIPALE PER IL TRATTAMENTO DEI DATI PERSONALI DATA PROCESSING AGREEMENT (DPA)

ACCORDO PRINCIPALE PER IL TRATTAMENTO DEI DATI PERSONALI DATA PROCESSING AGREEMENT (DPA)

ai sensi dell’art. 28, Regolamento (UE) n. 2016/679

§§§

Il presente accordo per la protezione di dati personali è concluso tra il Fornitore, come di seguito definito, e il cliente che accetta il presente accordo.

Per “Fornitore” si intende Méthode srl, con sede a Xxx Xxxxxxxxxx (XX), Xxx Xxxxxx x. 00, codice fiscale e partita IVA n. 03893910269

e

il soggetto indicato nel Contratto quale cliente

di seguito, congiuntamente indicati come “Parti”

- di seguito “Fornitore” -

- di seguito “Cliente” -

Premesso che

- Cliente e Fornitore hanno concluso uno o più contratti e, in ragione di ciò, il Fornitore tratterà dati personali per conto del Cliente (di seguito “Contratto”);

- le Parti con il presente accordo (di seguito “Accordo” o “DPA”) intendono disciplinare le condizioni e le modalità del trattamento dei dati personali effettuato dal Fornitore per conto del Cliente: l’Accordo comprende uno o più allegati, che ne costituiscono parte integrante e specificano le caratteristiche di ogni servizio e del trattamento conseguentemente svolto dal Fornitore per conto del Cliente (di seguito “Allegati”);

- Tutti gli allegati oggetto del presente contratto sono disponibili nella sezione DPA del sito internet aziendale raggiungibile all’indirizzo internet xxx.xxxxxxx.xx;

- in relazione al Contratto volta per volta sottoscritto, il Cliente potrà agire in qualità di titolare/contitolare del trattamento (di seguito “Titolare”) o di responsabile/sub responsabile del trattamento (di seguito “Responsabile”): di conseguenza, il Fornitore agirà rispettivamente in qualità di responsabile del trattamento e di ulteriore responsabile del trattamento (di seguito “Sub Responsabile”); con il presente Accordo il Cliente garantisce, per i casi in cui opera in qualità di Responsabile, di aver ricevuto idonea nomina a tal fine da parte del Titolare e che tale nomina è compatibile col presente DPA anche in relazione a quanto previsto dall’art. 28, par. II e IV, GDPR;

- il Cliente ha verificato che il Fornitore offre le garanzie sufficienti di cui sopra in ragione delle competenze tecniche e dell’esperienza maturata, nonché del possesso di un’organizzazione, di risorse e di attrezzature adeguate;

- il Fornitore ha nominato un Responsabile della Protezione dei Dati/Data Protection Officer (RPD/DPO), che il Cliente potrà contattare scrivendo al seguente recapito: xxx@xxxxxxx.xx

Tutto ciò premesso, si conviene e si stipula quanto segue:

1. Durata del trattamento

Gli effetti del presente Accordo sono convenuti da oggi e da oggi il Fornitore tratta i dati per conto del Cliente.

Con la cessazione, per qualsivoglia ragione o causa, del Contratto, il presente Accordo deve intendersi automaticamente risolto di diritto, senza bisogno di comunicazioni, disdette o revoche.

2. Finalità del trattamento

Il Fornitore si impegna a trattare i dati esclusivamente per finalità collegate al Contratto e, comunque, nel rispetto della normativa tempo per tempo vigente in materia di protezione dei dati personali.

3. Obblighi e diritti del Cliente

Il Cliente garantisce al Fornitore di aver assolto a tutti gli obblighi posti a suo carico dalla vigente normativa in materia di trattamento e protezione dei dati personali e si impegna ad assolvere ogni ulteriore obbligo eventualmente sopravvenuto.

Il Cliente ha diritto:

3.1 al puntuale ed esatto adempimento di tutti gli obblighi gravanti sul Fornitore in forza del presente Accordo e, comunque, dalla disciplina in materia di protezione dei dati personali tempo per tempo vigente;

3.2 al puntuale ed esatto adempimento delle istruzioni di cui al presente Accordo, nonché di quelle successivamente concordate tra le Parti.

In ogni caso, resta fermo quanto previsto in tema di trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale dall’art. 28, par. III, lett. a), GDPR.

4. Obblighi e diritti del Fornitore

In esecuzione del presente Accordo il Fornitore:

4.1 garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza;

4.2 adotta misure (tecniche ed organizzative) idonee a garantire un livello di sicurezza adeguato al rischio, in base a quanto previsto dall’art. 32 GDPR;

4.3 tenendo conto della natura del trattamento, assiste il Cliente con misure tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare di dar seguito alle richieste per l’esercizio dei diritti degli interessati;

4.4 qualora il Fornitore riceva dagli interessati istanze destinate al Titolare, riscontra le stesse invitando l’interessato a rivolgersi direttamente al Titolare;

4.5 in caso violazione di dati personali (a titolo esemplificativo e non già esaustivo: distruzione, perdita e/o modifica dei dati trattati, divulgazione e/o l’accesso non autorizzato, ecc.), ne informa il Cliente e collabora con lo stesso nella gestione dei conseguenti adempimenti;

4.6 assiste il Cliente nell’effettuazione della valutazione d’impatto e nella consultazione preventiva di cui agli artt. 35 e 36 GDPR, laddove necessarie;

4.7 alla cessazione del Contratto, cancella o restituisce i dati al Cliente, con le modalità stabilite in ciascun Allegato;

4.8 mette a disposizione del Cliente tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 GDPR e consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal Cliente e/o da altro soggetto da questi incaricato: le eventuali ispezioni dovranno essere concordate per iscritto tra Cliente e Fornitore, che potrà opporsi in relazione alla data, alla durata, alle modalità e/o al personale individuati dal Cliente per lo svolgimento e potrà altresì porre i relativi costi a carico del Cliente;

4.9 informa immediatamente il Cliente qualora, a suo parere, un’istruzione violi la disciplina in materia di protezione dei dati personali;

4.10 individua all’interno della propria organizzazione le persone fisiche che concretamente svolgeranno le operazioni necessarie a dare esecuzione al Contratto, provvedendo a nominarle amministratori di sistema secondo i criteri indicati nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 (di seguito “Provvedimento”) in tutti i casi ivi previsti e sulla base delle valutazioni indicate nel Provvedimento; tali persone sono autorizzate a svolgere esclusivamente le seguenti operazioni:

- intervenire nella custodia delle credenziali per la gestione dei sistemi di autenticazione e di autorizzazione in uso in azienda;

- predisporre e rendere funzionali le copie di sicurezza (operazioni di backup e recovery) dei dati e delle applicazioni;

- adottare adeguati programmi antivirus, firewall ed altri strumenti software o hardware atti a garantire adeguate misure di sicurezza nel rispetto di quanto previsto dalla disciplina in materia di protezione dei dati personali ed utilizzando le conoscenze acquisite in base al progresso tecnico software e hardware, verificandone l’installazione, l’aggiornamento ed il funzionamento degli stessi;

- provvedere alla distruzione e allo smaltimento dei supporti informatici di memorizzazione logica o alla cancellazione dei dati per il loro reimpiego, alla luce del Provvedimento del Garante per la Protezione dei Dati personali del 13 ottobre 2008 in materia di smaltimento strumenti elettronici (di seguito “Provvedimento”), ovvero delegare tali operazioni a soggetti debitamente istruiti.

Fatto salvo quanto previsto nell’art. 4.8, il Fornitore non ha diritto ad alcun compenso, indennità o rimborso in virtù del trattamento dei dati svolto sulla base del Contratto e del presente Accordo.

5. Ulteriori Responsabili

Con il presente Accordo il Cliente autorizza il Fornitore a nominare i Sub Responsabili indicati negli Allegati e/o nel proprio sito web: eventuali modifiche saranno comunicate con congruo preavviso al Cliente, che potrà opporsi mediante recesso dal Contratto, fermo restando l’obbligo di corrispondere al Fornitore quanto dovuto per l’attività svolta sino al momento del recesso.

Restano in ogni caso fermi gli obblighi che gravano sul Fornitore in forza dell’art. 28, par. IV, GDPR.

6. Modifiche contrattuali

Qualsiasi modifica o integrazione del presente Accordo, comprese l’aggiunta e/o la modifica degli Allegati, dovrà essere concordata per iscritto. Eventuali comportamenti di fatto non coincidenti con quanto in essa previsto non potranno essere invocati quali implicita abrogazione di alcune condizioni ivi contenute.

7. Disposizioni finali

Il presente Accordo revoca e sostituisce espressamente ogni altro contratto o accordo tra le parti inerente al trattamento di dati personali.

Per quanto non espressamente previsto dal presente Accordo, le Parti rinviano al GDPR, al d.lgs. n. 196/2003 (così come modificato dal d.lgs. n. 101/2018), nonché ai provvedimenti dell’Autorità di controllo.