Seleziona una pagina

DATA PROCESSING AGREEMENT

(Art. 28 Reg. UE 2016/679)

PREMESSE

  • Al fine di poter svolgere l’incarico di consulenza, il Consulente dovrà trattare, per conto del Cliente, alcuni dati personali di cui quest’ultimo è titolare del trattamento (ad esempio dati riferiti ai suoi dipendenti, fornitori, clienti o altri soggetti esterni coinvolti nel trattamento dei dati personali);
  • con riferimento al trattamento di questi dati, il Consulente assume il ruolo di responsabile esterno del trattamento;
  • ai sensi dell’art. 28, par. 3, Reg. UE 2016/679 è richiesta alle parti la conclusione di un contratto che vincoli il responsabile del trattamento al titolare del trattamento e che disciplini la materia, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare.

Dato atto che le premesse costituiscono parte integrante del presente contratto, le Parti stipulano le seguenti

CONDIZIONI CONTRATTUALI

1. Oggetto

Con la stipula del presente contratto, il Cliente designa il Consulente, che accetta, quale responsabile esterno del trattamento, secondo le definizioni di cui agli artt. 4 e 28 Reg. UE 2016/679, con riferimento alle operazioni di trattamento dei dati personali di seguito determinate.

Il conferimento dell’incarico come responsabile esterno non comporta il pagamento di compensi aggiuntivi rispetto a quelli concordati dalle parti per la prestazione del servizio di consulenza.

2. Operazioni consentite e soggetti interessati

Il Consulente potrà trattare per conto del Cliente alcuni dati personali relativi ai suoi dipendenti, fornitori, collaboratori, professionisti o altre persone fisiche coinvolte nelle attività di trattamento dei dati personali per conto Cliente.

Il Consulente potrà trattare dati personali al fine di adempiere al proprio incarico come consulente esterno in materia di trattamento dei dati personali e, a titolo esemplificativo ma non esaustivo, nello svolgimento delle seguenti operazioni:

  • definire ruoli e responsabilità all’interno dell’organizzazione del titolare;
  • individuare responsabili esterni del trattamento e destinatari di dati personali;
  • redigere ed aggiornare la documentazione in materia di trattamento dei dati personali;
  • curare la tenuta dei registri in materia di trattamento dei dati personali e conservarli, anche con modalità telematiche;
  • fornire al Cliente consulenza su aspetti specifici legati al trattamento dei dati personali.

Il Consulente non effettua trattamenti su base continuativa dei dati personali dei clienti del Cliente. Tuttavia, nel fornire consulenza su aspetti specifici o assistere il Cliente nella gestione delle richieste degli interessati o dei Data Breach, il Consulente potrebbe dover effettuare singoli e non continuativi trattamenti anche con riferimento a clienti o altri interessati.

3. Dati oggetto di trattamento

A titolo esemplificativo e non esaustivo, il Consulente potrà trattare dati anagrafici e di contatto, indirizzi professionali, codici fiscali, partite IVA o altri numeri identificativi di fornitori, collaboratori esterni e altri destinatari dei dati.

Il Consulente potrà trattare dati relativi alle mansioni lavorative dei dipendenti ed al ruolo ricoperto all’interno dell’azienda, oltre al numero di matricola o al codice fiscale necessari alla loro identificazione.

Il Consulente non tratterà dati appartenenti alle categorie particolari di cui agli artt. 9 e 10 Reg. UE 2016/679.

4. Finalità del trattamento

I dati personali sopra menzionati vengono trattati dal Consulente al solo fine di adempiere all’incarico di consulenza in materia di trattamento dei dati personali. Non sono consentiti al Consulente trattamenti per diverse finalità.

In particolare, i dati personali dei suddetti interessati sono necessari ad inquadrare ruoli e responsabilità (titolari, responsabili esterni, autorizzati, destinatari, amministratori di sistema); redigere contrattualistica e documentazione; redigere, curare e conservare registri e organigrammi.

5. Modalità del trattamento

Il Consulente è autorizzato ad effettuare il trattamento dei dati personali ricorrendo a strumenti elettronici.

In particolare, il Consulente potrà ricorrere all’ausilio di software di gestione privacy e sistemi di archiviazione dei dati, anche in modalità Cloud Computing.

6. Categorie di soggetti aventi accesso ai dati personali

Oltre al Consulente, l’accesso ai dati personali oggetto del presente contratto potrà avvenire anche da parte di suoi dipendenti e collaboratori, purché debitamente autorizzati, istruiti e vincolati ad un obbligo di riservatezza.

7. Obblighi del Cliente

Il Cliente si impegna a fornire ai soggetti interessati una corretta informativa sul trattamento dei loro dati personali, conformemente a quanto previsto dall’art. 13 Reg. UE 2016/679 e documentare per iscritto al Consulente ogni istruzione riguardante il trattamento dei dati personali che non sia già contenuta nel presente contratto.

Il Cliente è consapevole del fatto che il conferimento dell’incarico di consulenza non comporta trasferimenti di responsabilità in capo al Consulente né obbligazioni di risultato e che resta a suo esclusivo carico l’obbligo di conformarsi alle normative vigenti.

8. Obblighi del Consulente

Nel trattare i dati personali oggetto del presente contratto, il Consulente si impegna a:

  • rispettare le istruzioni fornite e documentate per iscritto dal Cliente, purché coerenti con quanto disposto dal Reg. UE 2016/679;
  • limitare i trattamenti a quelli necessari per le finalità perseguite;
  • garantire riservatezza, integrità e disponibilità dei dati personali trattati;
  • designare i dipendenti autorizzati a trattare i dati personali, garantire che questi mantengano su di essi la massima riservatezza e che vengano debitamente istruiti e formati in materia di sicurezza dei dati personali;
  • adottare misure tecniche ed organizzative adeguate a garantire la protezione dei dati personali, conformemente all’art. 32 Reg. UE 2016/679, in particolare tutelandoli dalla distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale;
  • assistere il Cliente nel dar seguito alle richieste dei soggetti interessati relative al trattamento dei loro dati personali conformemente al Capo III del Reg. UE 2016/679;
  • assistere il Cliente al rispetto degli obblighi di cui agli articoli 33 e 34 Reg. UE 2016/679 in caso di Data Breach;
  • assistere il Cliente al rispetto degli obblighi di cui agli articoli 35 e 36 Reg. UE 2016/679 nel predisporre un Data Protection Impact Assessment;
  • mettere a disposizione del Cliente tutte le informazioni necessarie a dimostrare il rispetto degli obblighi derivanti dal presente contratto e dal Reg. UE 2016/679, anche consentendo di svolgere ispezioni e controlli, purché con congruo preavviso;
  • informare il Cliente nel caso in cui ritenga che un’istruzione impartitagli ai fini dell’esecuzione del presente contratto non sia conforme alle norme del Reg. UE 2016/679 o alle norme nazionali in materia di trattamento dei dati personali;
  • non trasferire i dati in Paesi non appartenenti all’Unione Europea al di fuori dei casi consentiti dal Capo V Reg. UE 2016/679;
  • comunicare al Cliente ogni Data Breach entro un termine di 24 ore da quando ne viene a conoscenza e fornire tutte le informazioni e la documentazione necessaria affinché il Cliente possa, ove necessario, notificare il Data Breach all’Autorità Garante.

9. Autorizzazione alla nomina di sub-responsabili

Il Cliente autorizza espressamente il Consulente a ricorrere ad ulteriori responsabili del trattamento al fine di archiviare i dati su un server cloud, purché i server si trovino all’interno dell’Unione Europea oppure il trasferimento sia reso lecito ai sensi degli artt. 44 – 50 Reg. UE 2016/679.

Il Cliente autorizza espressamente il Consulente a ricorrere ad ulteriori responsabili del trattamento per l’utilizzo di software gestionali, anche in modalità Cloud Computing.

É responsabilità del Consulente quella di assicurare che il sub-responsabile fornisca misure tecniche ed organizzative adeguate a garantire la protezione dei dati personali, conformemente all’art. 32 Reg. UE 2016/679.

Il Consulente si impegna a comunicare al Cliente, su richiesta di quest’ultimo, l’identità dei sub-responsabili, nonché le misure di sicurezza che vengono da essi adottate. In caso di successiva modifica dei sub-responsabili, il Consulente si impegna a comunicarla al Cliente.

10. Durata e cessazione del trattamento

La durata del presente contratto corrisponde a quella dell’incarico come consulente privacy.

Al momento della cessazione dell’incarico di consulente, anche il presente contratto dovrà considerarsi risolto.

Il Consulente si impegna ad interrompere tutti i trattamenti effettuati sulla base del presente contratto ed a cancellare i relativi dati personali entro congruo termine, ad esclusione di quelli che il Consulente potrà conservare, in qualità di titolare del trattamento, per tutelare propri diritti in sede giudiziaria.