ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI
Premesso che
A. Il Titolare può aver ha stipulato con il Fornitore un contratto sottoscritto in data [*] (di seguito l’“Accordo”) concernente FORMAZIONE o altra attività concordata (di seguito l’”Attività”).
B. Nell’esecuzione dell’Attività, il Fornitore può trovarsi a trattare dati personali del Titolare come di seguito definiti nell’Articolo 1.
C. Il Titolare e il Fornitore hanno convenuto di stipulare il presente contratto (di seguito il “Contratto”) allo scopo di disciplinare le modalità di trattamento dei dati personali del Titolare da parte del Fornitore.
- Definizioni. I seguenti termini utilizzati nel presente Contratto e negli Allegati alla stessa avranno i seguenti significati:
- 1.1.a. “Normativa applicabile”: l’insieme delle norme rilevanti in materia di privacy alle quali il Titolare è soggetto incluso (i) sino al il 25 maggio 2018, il D.Lgs. 196/2003 – di seguito il “Codice”; (ii) a partire dal 25 maggio 2018, il Regolamento europeo 2016/679 in materia di protezione dei dati personali (General Data Protection Regulation – di seguito “GDPR”); (iii) in ogni tempo, ogni linea guida, norma di legge, codice o provvedimento rilasciato o emesso dagli organi competenti o da altre autorità di controllo, ivi inclusa la normativa
nazionale di adeguamento al GDPR e i Provvedimenti del Garante della Privacy che resteranno in vigore. - 1.1.b. “Titolare del trattamento”, “responsabile del trattamento”, “interessato”, “dati personali” e “trattamento” hanno il significato dato dalla Normativa applicabile.
- 1.1.c. “Misure tecniche e organizzative di sicurezza” sono le misure intese a proteggere i dati personali dalla distruzione accidentale o illegale o dalla perdita, alterazione, divulgazione o accesso non autorizzato, in particolare quando il trattamento comporta la trasmissione di dati su una rete, come previste dalla Normativa applicabile all’art.32 GDPR e tutte le ulteriori misure tecniche ed organizzative necessarie a garantire un livello di sicurezza adeguato al rischio, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento posto in essere, come del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
- 1.1.d. “Data Breach”: Si intende l’ipotesi in cui si verifica una violazione dei dati personali secondo l’art. 33 GDPR.
- 1.1.e. “Garante”: si intende l’autorità competente responsabile per la protezione dei dati.
- 1.1.f. “Sub-responsabile/i” Si intende qualsiasi responsabile del trattamento incaricato dal (i) Responsabile o (ii) da qualsiasi altro “sub-responsabile” di trattare dati personali per conto del Responsabile, sempre in conformità alle istruzioni del Titolare.
- 1.1.a. “Normativa applicabile”: l’insieme delle norme rilevanti in materia di privacy alle quali il Titolare è soggetto incluso (i) sino al il 25 maggio 2018, il D.Lgs. 196/2003 – di seguito il “Codice”; (ii) a partire dal 25 maggio 2018, il Regolamento europeo 2016/679 in materia di protezione dei dati personali (General Data Protection Regulation – di seguito “GDPR”); (iii) in ogni tempo, ogni linea guida, norma di legge, codice o provvedimento rilasciato o emesso dagli organi competenti o da altre autorità di controllo, ivi inclusa la normativa
- Oggetto del Contratto
Le premesse e gli Allegati costituiscono parte integrante e sostanziale del presente Contratto.
Le incombenze e le responsabilità oggetto del presente Contratto vengono affidate al Responsabile sulla base delle dichiarazioni dallo stesso fornite al Titolare (e della successiva verifica da parte del Titolare, per quanto ragionevolmente possibile, della loro rispondenza al vero) circa le caratteristiche di esperienza, capacità e affidabilità che vengono richieste dalla legge (artt. 28 GDPR) per chi esercita la funzione di Responsabile del trattamento. Con la sottoscrizione del presente Contratto, il Responsabile si dichiara disponibile e competente per la piena attuazione di quanto ivi disposto, conferma la diretta ed approfondita conoscenza degli obblighi che assume in relazione al dettato del GDPR, conferma, altresì, di disporre di una propria organizzazione che dichiara idonea a consentire il trattamento dei dati nel pieno rispetto delle prescrizioni legislative, ivi compreso il profilo della sicurezza, e si impegna a procedere al trattamento dei dati personali attenendosi alle istruzioni impartite nel pieno rispetto di quanto imposto dall’art. 28, lettera a) del GDPR.
Nei limiti delle proprie competenze e attribuzioni, il Responsabile dovrà garantire l’osservanza degli obblighi di legge, sempre conformemente alle direttive e sotto la vigilanza del Titolare.
Onde consentire al Responsabile di espletare i compiti e le attribuzioni meglio specificati in seguito, con il presente Contratto vengono fornite le specifiche istruzioni per l’assolvimento del compito assegnato.
- Misure tecniche ed organizzative – Audit e diritti di verifica del Titolare del Trattamento
Il Responsabile del Trattamento si obbliga ad adottare ed implementare le Misure tecniche ed organizzative di sicurezza, oltre a quanto previsto dall’art.5, numero 8, con l’obbligo di documentarle se richiesto dal Titolare del Trattamento.
Il Titolare si riserva la facoltà di effettuare, nei modi ritenuti più opportuni, anche tramite l’invio presso i locali del Responsabile di propri funzionari a ciò delegati, o tramite l’invio di apposite check list, verifiche tese a vigilare sulla puntuale osservanza delle disposizioni di legge e delle presenti istruzioni.
In alternativa a quanto sopra precisato, il Responsabile può fornire al Titolare copie delle relative certificazioni esterne (es. ISO 27001: 2013, SSAE 16 ecc.), audit report e/o altra documentazione sufficiente per il Titolare a verificare la conformità del Responsabile alle Misure tecniche e organizzative di sicurezza del presente Contratto.
Il Responsabile deve adottare misure tecniche ed organizzative adeguate per salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti al Titolare o utilizzati per trasferire o trasmettere i dati personali (incluse, ad esempio, le misure intese a garantire la segretezza delle comunicazioni così da prevenire l’intercettazione di comunicazioni o l’accesso non autorizzato a qualsiasi computer o sistema), garantendo, in tal modo, la sicurezza delle comunicazioni
- Correzioni, cancellazione o blocco di dati
Il Responsabile può solamente correggere, cancellare o bloccare il trattamento dei dati personali a beneficio del Titolare del Trattamento e quando ha avuto istruzioni dal Titolare del Trattamento in tal senso. Se l’interessato fa richiesta direttamente al Responsabile del Trattamento per la correzione o la cancellazione dei propri dati personali, il Responsabile deve indirizzare la predetta richiesta al Titolare del Trattamento senza ritardo alcuno.
Alla scadenza del Contratto il Responsabile si obbliga a restituire al Titolare del trattamento tutti i dati in suo possesso.
- Istruzioni generali del Responsabile del Trattamento
Il Responsabile, sebbene non in via esaustiva, avrà i compiti e le attribuzioni di seguito elencate, oltre agli ulteriori obblighi previsti al successivo articolo 6, e dunque dovrà:
- effettuare la ricognizione delle banche dati, degli archivi (cartacei e non) relativi ai trattamenti effettuati in esecuzione dell’Attività;
- organizzare le strutture, gli uffici e le competenze necessarie e idonee a garantire il corretto espletamento dell’Attività;
- astenersi dal contattare i nominativi trattati attraverso l’Attività così come dal trattarli per finalità proprie;
- non diffondere o comunicare a terzi i dati trattati attraverso l’Attività;
- garantire l’affidabilità di qualsiasi dipendente che accede ai dati personali del Titolare ed assicurare, inoltre, che gli stessi abbiano ricevuto adeguate istruzioni e formazione con riferimento alla protezione e gestione dei dati personali, e che siano vincolati al rispetto di obblighi di riservatezza non meno onerosi di quelli previsti nel presente Contratto;
- tenere i dati personali trattati attraverso l’Attività separati rispetto a quelli trattati per conto di altre terze parti, sulla base di un criterio di sicurezza di tipo logico;
- adottare le Misure tecniche ed organizzative di sicurezza, come previste al precedente articolo 3;
- procedere alla nomina del proprio/i amministratore/i di sistema, in adempimento di quanto previsto dal provvedimento del Garante del 27.11.08, pubblicato in G.U. n. 300 del 24.12.2008, ove ne ricorrano i presupposti, comunicandolo prontamente al Titolare, curando, altresì, l’applicazione di tutte le ulteriori prescrizioni contenute nel suddetto provvedimento;
- assistere tempestivamente il Titolare con misure tecniche e organizzative adeguate, al fine di soddisfare l’obbligo del Titolare di procedere ad un DPIA (Valutazione di impatto sulla protezione dei dati) ex art. 35 e ss del GDPR, con obbligo di notifica quando venga a conoscenza di un trattamento di dati che possa comportare un rischio elevato;
- assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile e garantire l’esercizio del diritto alla portabilità dei dati personali trattati attraverso l’Attività, ai sensi dell’art. 20 del GDPR, assicurando che gli stessi possano essere trasmessi in un formato strutturato, di uso comune e leggibile da qualsiasi dispositivo automatico;
- notificare al Titolare, senza ingiustificato ritardo e comunque non oltre le 24 ore da quando ne abbia avuto conoscenza, ai sensi dell’art.33 del GDPR, nel caso in cui si verifichi un Data reach anche presso i propri Sub-responsabili; la notifica deve contenere tutti i requisiti previsti dall’art. 33, 3° comma del GDPR (la natura delle violazioni, gli interessati coinvolti, le possibili conseguenze e le nuove misure di sicurezza implementate). Dovrà, inoltre, adottare, di concerto con il Titolare, nuove misure di sicurezza atte a circoscrivere gli effetti negativi dell’evento e a ripristinare la situazione precedente;
- predisporre e aggiornare un registro che dettagli, in caso di eventuali Data Breach, la natura delle violazioni, gli interessati coinvolti, le possibili conseguenze e le nuove misure di sicurezza implementate;
- astenersi dal trasferire i dati personali trattati per conto del Titolare al di fuori dello Spazio Economico Europeo senza il previo consenso scritto del Titolare stesso;
- avvertire prontamente il Titolare, entro tre (3) giorni lavorativi, in merito alle eventuali richieste degli interessati che dovessero pervenire al Responsabile inviando copia delle istanze ricevute all’indirizzo e-mail: michelaneri@pec.it e collaborare al fine di garantire il pieno esercizio da parte degli interessati di tutti i diritti previsti dalla Normativa applicabile;
- adottare adeguati processi e ogni altra misura tecnica idonea ad attuare le istruzioni fornite dal Titolare, incluse:
- le procedure idonee a garantire il rispetto dei diritti e delle richieste formulate al Titolare dagli interessati relativamente ai loro dati personali, come indicato al precedente punto 15;
- l’adozione di adeguate interfacce o sistemi di supporto che consentano di garantire e fornire informazioni agli interessati così come previsto dalla Normativa applicabile;
- procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta del Titolare, dei dati personali di ogni interessato;
- procedure atte a garantire la cancellazione o il blocco dell’accesso ai dati personali a richiesta del Titolare;
- misure che consentano di contrassegnare i dati personali o gli account, per consentire al Titolare di poter applicare particolari regole ai dati personali dei singoli interessati; il Responsabile, dietro richiesta scritta del Titolare, collaborerà con questo per garantire il diritto degli interessati alla portabilità dei dati e di limitazione di trattamento;
- avvisare immediatamente, e comunque entro tre (3) giorni lavorativi, il Titolare del trattamento, di qualsiasi richiesta o comunicazione da parte dell’Autorità Garante o di quella Giudiziaria eventualmente ricevuta inviando copia delle istanze all’indirizzo e-mail michelaneri@pec.it per concordare congiuntamente il riscontro;
- predisporre idonee procedure interne finalizzate alla verifica periodica della corretta applicazione e della congruità degli adempimenti posti in essere ai sensi della Normativa applicabile, attuate in accordo con il Titolare anche in applicazione delle Misure tecniche e organizzative di sicurezza;
- mantenere un costante aggiornamento sulle prescrizioni di legge in materia di trattamento dei dati personali, nonché sull’evoluzione tecnologica di strumenti e dispositivi di sicurezza, modalità di utilizzo e relativi criteri organizzativi adottabili;
- garantire la stretta osservanza dell’incarico ricevuto, escludendo qualsiasi trattamento o utilizzo dei dati personali non coerente con gli specifici trattamenti svolti in adempimento dell’incarico medesimo;
- rispettare la Normativa applicabile e adempiere gli obblighi previsti dal presente Contratto in modo da evitare che il Titolare incorra nella violazione di un qualunque obbligo previsto dalla Normativa applicabile;
- ottemperare tempestivamente alle richieste del Titolare;
- inviare tutte le comunicazioni al Titolare previste nel presente atto all’indirizzo soprariportato o a quello diverso che verrà eventualmente comunicato;
- prima di iniziare il trattamento e, ove occorra, in qualsiasi altro momento, informare il Titolare se, a suo parere:
- una qualsiasi istruzione fornita dal Titolare si pone in violazione di legge;
- il Responsabile è soggetto al rispetto di previsioni di legge, che potrebbero rendere per lo stesso, in tutto o in parte, impossibile o illegale agire conformemente alle istruzioni impartite da Titolare o nel rispetto di quanto previsto dalla Normativa applicabile.
Dò la possibilità alla dottoressa di tenere i miei contatti (e-mail, cellulare) per riuscire a comunicare durante il percorso e darmi la possibilità di venire a conoscenza di corsi, incontri, che potrebbero interessarmi. Potrò revocare il tutto in qualunque momento.
- Ulteriori obblighi del Responsabile
Il Responsabile del trattamento, compatibilmente con quanto previsto dal presente Contratto ed in conformità con le previsioni dell’art.28 del GDPR, sarà altresì soggetto al seguente obbligo di riservatezza; a tal fine ogni persona che abbia accesso ai dati personali appartenenti al Titolare del trattamento, sotto i termini del presente Contratto, si impegna a mantenere la riservatezza e deve essere informata di qualsiasi speciale necessità derivante dal predetto Contratto e della limitazione d’uso a specifici scopi. Se i dati personali relativi al Titolare vengono conservati, trattati o usati come parte del presente Contratto, le persone coinvolte nel trattamento saranno obbligate a mantenere l’obbligo di riservatezza.
- Sub-responsabili
- Sub-responsabili autorizzati. I Sub-responsabili autorizzati dal Titolare, a decorrere dalla data effettiva del presente Contratto, sono elencati all’Allegato 2 dello stesso.
- Designazione di nuovi Sub-responsabili. Se il Responsabile desidera incaricare nuovi Sub-responsabili, in aggiunta a quelli di cui al punto precedente, deve chiedere la relativa autorizzazione al Titolare
- Obblighi verso il Sub-responsabile. Nel momento in cui il Titolare autorizza l’incarico di uno o più Sub-responsabili, il Responsabile:
- limiterà l’accesso del Sub-responsabile ai dati personali a quanto strettamente necessario per soddisfare gli obblighi del Responsabile ai sensi del Contratto; al Sub-responsabile sarà vietato l’accesso ai dati personali per qualsiasi altro scopo;
- imporrà per iscritto ad ogni Sub-responsabile il rispetto di obbligazioni ed istruzioni equipollenti a quelle previste nel presente Contratto nella sua totalità, ivi inclusi gli Allegati 1 e 2, nonché la possibilità di effettuare audit;
- rimarrà pienamente responsabile nei confronti del Titolare per il rispetto degli obblighi derivanti dal presente Contratto per qualsiasi atto o omissione del Sub-responsabile che comporti una violazione degli stessi.
Il Sub-appalto nel significato della presente disposizione, non include servizi ausiliari richiesti dal Responsabile del trattamento da terze parti per assisterli nell’esecuzione dell’appalto. Questi possono essere ad esempio servizi di telecomunicazione, manutenzione e supporto agli utenti (se non è possibile l’accesso ai dati personali da parte del Titolare del trattamento), la pulizia, il controllo o l’eliminazione dei dati multimediali. Tuttavia, il Sub-appalto relativo all’eliminazione di documenti/dati multimediali deve essere comunicato al Titolare del trattamento se l’attività principale del trattamento commissionato comporta l’eliminazione di documenti/ dati multimediali. Per salvaguardare la protezione e la sicurezza dei dati personali del Titolare del trattamento, anche quando i servizi ausiliari sono resi da terze parti, il Responsabile del trattamento comunque stipula accordi contrattuali adeguati e legittimi e intraprende attività di monitoraggio.
- Responsabilità
Il Responsabile tiene indenne e manlevata il Titolare da ogni perdita, costo, spesa, multa e/o sanzione, danno e da ogni responsabilità di qualsiasi natura (sia essa prevedibile, contingente o meno) derivante da o in connessione con una qualsiasi violazione da parte del Responsabile degli obblighi della Normativa applicabile o delle disposizioni contenute nel presente Contratto. In particolare, il Responsabile tiene indenne il Titolare da qualsiasi perdita derivante: (a) da qualsiasi violazione (i) dei termini del presente Contratto o (ii) della Normativa applicabile, anche da parte di ogni Sub-Responsabile di cui si avvale; o (b) dalla subfornitura o all’esternalizzazione di qualsiasi Trattamento affidato a terzi soggetti.
- Assicurazione
Fatte salve disposizioni contrarie contenute nell’Accordo, le parti convengono che il Fornitore stipulerà e manterrà una polizza assicurativa con una società di assicurazioni di gradimento del Titolare, a copertura di tutti i tipi di responsabilità derivanti dalle attività di cui all’art. 3 del presente Contratto, in particolare garantendo tale copertura assicurativa per i casi di violazione dei dati personali – Data Breach come definiti nel presente Contratto (ndr: da valutare caso per caso a seconda della tipologia di servizio reso dal fornitore).
- Miscellanea
I dati devono essere trattati ed utilizzati esclusivamente nel territorio di uno Stato Membro dell’Unione Europea (EU) o di altro firmatario del presente Contratto nell’Area Economica Europea (AEE).
Il Responsabile non avrà diritto di rimborso delle eventuali spese che lo stesso potrebbe dover sostenere per essersi attenuto alle istruzioni impartite da Titolare per lo svolgimento dell’Attività, e/o di un qualsiasi altro suo obbligo previsto dal Contratto.
- Risoluzione del Contratto
Fatte salve le disposizioni contenute nell’Accordo in tema di risoluzione e ad integrazione delle stesse, le parti stabiliscono quanto segue.
Il Titolare, ai sensi dell’art. 1456 c.c., si riserva il diritto di risolvere l’Accordo di cui il presente Contratto costituisce parte integrante, inviando comunicazione al Fornitore mediante lettera raccomandata con ricevuta di ritorno all’indirizzo indicato per le comunicazioni per l’esecuzione del Contratto, specificando la data effettiva di risoluzione, nei seguenti casi: Data
Breach/inosservanza delle prescrizioni di cui all’art. 7 relativo ai Sub Responsabili.Il Fornitore, in caso di risoluzione dell’Accordo si impegna a rispettare le prescrizioni di cui all’Articolo 4 del presente Contratto relative alla restituzione al Titolare del trattamento di tutti i dati in suo possesso.
- Durata – Legge e foro competente
Il Contratto decorre dalla data della sua sottoscrizione e rimarrà in vigore sino alla risoluzione o alla scadenza del Contratto o cessazione dei servizi da eseguirsi i n relazione all’Attività.
Il Contratto o qualsiasi reclamo, pretesa o rivendicazione da esso derivante da o in relazione ai soggetti del Contratto deve esser governato dalla Legge italiana. Si stabilisce la competenza esclusiva del Tribunale di Forlì per qualsiasi controversia derivante dal Contratto.
Le parti stabiliscono le seguenti persone di contatto per l’esecuzione del Contratto:
Per il Titolare del Trattamento: Dott.ssa Michela Neri;
Per il Responsabile del Trattamento:
Qualsiasi modifica relativa le sopramenzionate persone o la responsabilità delle persone di contatto deve essere immediatamente notificata all’altra parte.
Allegati:
- Oggetto del trattamento dei dati personali
- Elenco dei Sub-responsabili autorizzati.
Oggetto del trattamento dei dati personali
Con riferimento al Contratto relativo al trattamento dei dati soprariportato, le parti consentono che i seguenti servizi relativi e/o che includano il trattamento dei dati personali vengano forniti dal Responsabile del Trattamento.
- Oggetto del servizio
L’oggetto del servizio è il risultato dei seguenti compiti del Titolare del trattamento: Psicoterapia rogersiana e analisi bioenergetica, colloquio psicoeducativo, tecniche psicocorporee, sostegno alla genitorialità, tecniche ptsd, corsi di formazione, eventi, acquisti servizi online.
Obiettivo: salute psicologica della persona, poter ristabilire l’equilibrio di vita sana, acquisizione nuove competenze.
- Dati relativi al servizio
Scopo, natura della conservazione, trattamento ed uso dei dati personali
Dati raccolti per anamnesi della persona e archiviati per contatti e fatturazione.
I dati personali debbono essere trattati ed utilizzati esclusivamente nel territorio di uno Stato membro dell’Unione Europea (UE) o di altro stato firmatario dell’Area Economica Europea (EEA).
Il Titolare del Trattamento fornirà al Responsabile del Trattamento le seguenti categorie di dati personali degli interessati relativi ai seguenti scopi:Categorie di dati:
- Principali dati personali (numero identificativo cliente…)
- Nome, titolo,
- Informazioni di contatto (numero di telefono, numero di cellulare, indirizzo email, numero di fax)
- Indirizzo
- Data di nascita
- codice fiscale/p.IVA
- Dati di fatturazione e di pagamento
- Speciali categorie di dati personali ai sensi dell’art. 9 del GDPR: dati personali relativi alle origini raziali ed etniche, opinioni politiche, religiose o filosofiche, o adesioni sindacali e relative al trattamento di dati genetici, dati biometrici utilizzati unicamente per identificare una persona fisica, dati relativi alla salute o dai relativi alle inclinazioni sessuali)
- Informazioni che ricadono nella categoria dei “segreti professionali” (obbligazioni professionali)
- Informazioni relative a rapporti bancari o conti correnti.
Interessati:
- Pazienti
ALLEGATO 2
Elenco dei Sub-responsabili autorizzati (ndr. Inserire nome, indirizzo e servizi for à-niti dai Sub-responsabili autorizzati dal Titolare alla data di firma del presente Contratto. L’elenco aggiornato dei Sub-responsabili autorizzati dal Titolare dovrebbe essere mantenuto dal Responsabile per scopi di registrazione interna e eventuali modifiche notificate al Titolare. Laddove non siano previsti subfornitori già in fase di sottoscrizione del Contratto l’allegato 3 potrà non essere compilato)
FORNISCE/FORNISCONO IL CONSENSO
Sub-responsabile | Sede e dati di contatto / Luogo del trattamento | Attività di trattamento |
---|---|---|
Sara Raggi-Revisore contabile-ragioniere | Piazza falcone borsellino, 6 Forlì | Fiscale e contabile |