Responsabile Esterno del Trattamento dei dati
ai sensi e per gli effetti degli artt.28 e 29 del Regolamento Europeo 2016/679 (Regolamento generale sulla protezione dei dati, di seguito “GDPR”), in adempimento ai suoi obblighi per tutti gli adempimenti e finalità derivanti dal contratto (inserire rif. Contratto) e in sintesi a: (specificare oggetto e natura del contratto e, qualora in esso non specificato: durata, natura e finalità del trattamento – tipologia di dati trattati – categorie di interessati)
Il Responsabile esterno del trattamento dei dati ha il potere e il dovere di provvedere affinché tutte le operazioni di trattamento informatico e manuale dei dati personali, nei limiti delle proprie competenze e attribuzioni, siano effettuate nel rispetto della normativa vigente e dei regolamenti aziendali in materia di tutela dei dati personali.
Onde consentire al Responsabile di espletare i compiti e le attribuzioni, meglio specificati in seguito, con la presente lettera di nomina vengono fornite una serie di informazioni in materia di privacy, nonché le specifiche istruzioni, ivi incluse quelle previste in ottemperanza al GDPR, per l’assolvimento del compito assegnato.
In particolare il Responsabile, sebbene non in via esaustiva, avrà i compiti e le attribuzioni di seguito elencate:
1. Garantire che il trattamento dei dati personali di cui la scrivente è Titolare del Trattamento e di cui il responsabile del Trattamento venga a conoscenza con l’attività svolta, avvenga in conformità a quanto previsto dalla vigente normativa e dalle presenti istruzioni;
2. Non trasferire i Dati Personali a paesi terzi salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il Responsabile del trattamento; in tal caso, il Responsabile del trattamento informa il Titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico.
3. Individuare per iscritto le persone autorizzate al trattamento che agiscono per suo conto, nominandole per iscritto, definendone i profili di autorizzazione e l’ambito del trattamento consentito, e fornendo loro per iscritto le istruzioni necessarie per un corretto, lecito, sicuro trattamento.
4. Vigilare sull’operato delle persone autorizzate al trattamento dei dati di cui al punto precedente, verificando che i dati siano trattati in maniera lecita e pertinente seguendo le istruzioni impartite.
5. Mettere in atto, ai sensi dell’art. 32 del GDPR, tutte le misure tecniche ed organizzative necessarie a garantire un livello di sicurezza adeguato al rischio, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento effettuato in esecuzione del Contratto.
6. Provvedere affinché vengano rigorosamente adottate tutte le misure idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati trattati con l’Attività, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità per le quali i dati sono stati raccolti;
7. Verificare periodicamente lo stato di applicazione del Regolamento Europeo 2016/679, nonché la corretta applicazione, il buon funzionamento dei sistemi e, ai sensi dell’art.32 del GDPR, delle misure adottate per la tutela dei dati personali e la conformità alle indicazioni dell’Autorità Garante e del Titolare del Trattamento;
8. Tenere i dati personali, trattati in esecuzione del Contratto, separati rispetto a quelli eventualmente trattati per conto di altre terze parti applicando una segregazione fisica e logica, ove possibile;
9. Garantire la stretta osservanza dell’incarico ricevuto, escludendo qualsiasi trattamento o utilizzo dei dati personali di titolarità della Società non coerente con gli specifici trattamenti svolti in adempimento del Contratto;
10. Garantire la portabilità dei dati personali trattati in esecuzione del Contratto, ai sensi dell’art. 20 del GDPR, assicurando che gli stessi possano essere trasmessi in un formato strutturato, di uso comune e leggibile da qualsiasi dispositivo automatico;
11. Assistere il Titolare del Trattamento nell’adempimento degli obblighi di cui agli articoli da 32 a 36 del Regolamento, tenendo conto della natura del trattamento e delle informazioni rese disponibili al Sub-Responsabile del trattamento;
12. Aggiornare periodicamente l’elenco dei trattamenti dei dati personali e le relative banche dati gestite dall’azienda; tenere, ove applicabile, un registro, come previsto da art. 30 del GDPR, in formato elettronico, di tutte le categorie di attività relative al trattamento svolte per conto del Titolare del Trattamento.
13. Assistere il Titolare del trattamento nell’adempimento agli obblighi di notifica di eventuali violazioni dei Dati Personali all’autorità di controllo e ai rispettivi interessati in conformità agli articoli 33 e 34 del Regolamento.
14. Tenendo conto della natura del trattamento, assistere il Titolare del Trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare del Trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III del Regolamento Europeo 2016/679;
15. Mettere a disposizione del Titolare del Trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dalla normativa vigente;
16. Comunicare al Titolare del Trattamento qualsiasi variazione della situazione oggettiva o delle sue proprie caratteristiche soggettive, tali da compromettere il corretto espletamento dei compiti descritti nella presente.
17. Provvedere, per quanto attiene ai dati presso la sua sede, all’adempimento di quanto contenuto nel provvedimento 27 novembre 2008 dell’Autorità Garante per la protezione dei dati personali, inerente gli amministratori di sistema e quindi tra le altre cose, individuarli (ricordano che devono essere scelti solo soggetti che abbiano capacità tecniche e serietà professionale), nominarli nei termini previsti dal provvedimento, vigilare sul loro operato e almeno annualmente effettuare una verifica del loro operato complessivo anche attraverso la lettura dei file log generati con le loro credenziali (file log che, si rammenta, dovranno essere registrati dal Responsabile del trattamento nelle modalità previste dal provvedimento e dovranno essere conservati per almeno 6 mesi). Il Responsabile del trattamento dei dati dovrà inoltre seguire tutti gli ulteriori precetti di tale provvedimento e dovrà tenere una lista aggiornata e completa di tali amministratori di sistema (che dovrà essere a disposizione della scrivente) e informarli che, qualora nello svolgimento delle loro funzioni vengano a conoscenza di dati dei dipendenti della scrivente i loro nominativi potranno essere conosciuti da tali dipendenti.
18. Il Titolare conferisce espressamente una autorizzazzione generale alla nomina di ulteriore responsabili del trattamento, anche in nome e per conto del cliente. Il Responsabile del trattamento può ricorrere a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del Titolare del trattamento. In tal caso il Responsabile del trattamento deve prevedere un contratto con detto ulteriore responsabile che contenga gli stessi obblighi in materia di protezione dei dati contenuti nel presente contratto, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento. Qualora l’altro responsabile del trattamento nominato dal Responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile del trattamento di cui al presente contratto conserverà nei confronti del Titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile da lui nominato.
Il Responsabile informerà immediatamente il Titolare di eventuali modifiche previste riguardanti l’aggiunta o la sistitizione di altri responsabili del trattamento, dando così al Titolare l’opportunità di opporsi a tali modifiche.
19. Informare il Titolare del Trattamento senza ingiustificato ritardo e comunque non oltre le 72 ore dal momento in cui ne è venuto a conoscenza (art. 33 del GDPR), eventuali violazioni dei dati personali fornendo tutte le informazioni richieste dall’art 33 e 34 del Regolamento;
20. Supportare il Titolare del Trattamento durante la stesura della valutazione dell’impatto (ove prevista) dei trattamenti previsti sulla protezione dei dati personali, nei casi in cui un tipo di trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
21. Supportare il Titolare del Trattamento del trattamento durante le fasi di consultazione con l’autorità di controllo, qualora la valutazione d’impatto sulla protezione dei dati indichi che il trattamento possa presentare un rischio elevato in assenza di misure adottate dal Titolare del Trattamento del trattamento per attenuare il rischio.
22. Ottemperare tempestivamente alle eventuali richieste inoltrate dal Titolare del Trattamento al fine di rendere conforme il trattamento dei dati posto in essere in esecuzione del Contratto, agli eventuali provvedimenti emessi dal Garante Privacy in materia di trattamento di dati personali;
23. Avvertire prontamente il Titolare del Trattamento, entro tre (3) giorni lavorativi, in merito alle eventuali richieste degli interessati che dovessero pervenire al Responsabile, inviando copia delle istanze ricevute all’indirizzo e-mail: mail e collaborare al fine di garantire il pieno esercizio da parte degli interessati di tutti i diritti previsti dall’articolo 7 del Codice
24. Avvisare immediatamente, e comunque entro tre (3) giorni lavorativi, il Titolare del Trattamento del trattamento, di qualsiasi richiesta o comunicazione da parte dell’Autorità Garante o di quella Giudiziaria o di Pubblica Sicurezza eventualmente ricevuta inviando copia delle istanze all’indirizzo e-mail: mail per concordare congiuntamente il riscontro;
25. Conservare i dati solo per il periodo necessario a perseguire le finalità di cui al trattamento prevedendo apposite procedure che si impegna a mettere a disposizione del Titolare del trattamento.
Resta inteso che in caso di cessazione del rapporto intercorrente con la nostra Società per qualsivoglia motivo e/ o ragione cesserà automaticamente anche la presente nomina, con obbligo di restituzione della documentazione inerente la nostra Società e/ o eventuale sua distruzione a nostra richiesta (fatti salvi gli obblighi di conservazione imposti per Legge).
Il Titolare del Trattamento si riserva la facoltà di effettuare, nei modi ritenuti più opportuni, anche tramite l’invio presso i locali del Responsabile di propri funzionari a ciò delegati, ovvero tramite l’invio di apposite check list, verifiche tese a vigilare sulla puntuale osservanza delle disposizioni di legge (con particolare riferimento a quelle relative alle misure minime di sicurezza) e delle presenti istruzioni.
Con la sottoscrizione della presente lettera, il Responsabile – ferma la sua responsabilità per ogni danno occorso a terzi o al Titolare del Trattamento del Trattamento – si obbliga a manlevare e tenere indenne il Titolare del Trattamento da ogni responsabilità, costi, danni, eventuali sanzioni di qualsivoglia natura, ivi comprese quelle irrogate da ordini o provvedimenti del Garante per la protezione dei dati personali, derivanti, nei confronti di terzi (compresi i dipendenti), da trattamenti illeciti, dalla perdita, sottrazione, deterioramento e/o distruzione dei dati trattati dallo stesso posti in essere, e comunque discendenti dalla violazione o dall’inadempimento delle previsioni della presente nomina.
Il Titolare del Trattamento si riserva, altresì, ove ne ravvisasse la necessità, di integrare ed adeguare di volta in volta le presenti istruzioni.
Nessuna modifica al presente contratto sarà valida se non effettuata per iscritto o in formato elettronico.
Tutta la corrispondenza sarà inviata agli indirizzi di posta elettronica comunicati tra le parti
Ideato e Costruito da JMOTION ADV