Questo sito utilizza cookies tecnici e di terze parti per funzionalità quali la condivisione sui social network e/o la visualizzazione di media. Se non acconsenti all'utilizzo dei cookie di terze parti, alcune di queste funzionalità potrebbero essere non disponibili. Per maggiori informazioni consulta questa pagina.
Cliccando sul pulsante "ACCETTO" presti il consenso all'uso di tutti i cookie. Cliccando sul pulsante "NON ACCETTO" rifiuti l'impiego dei cookies.
ACCETTO
NON ACCETTO

CONTRATTO PER IL TRATTAMENTO DEI DATI AI SENSI DELL'ART. 28 DEL REGOLAMENTO (EU) 2016/679

 

PREMESSO CHE

ai sensi del Regolamento Generale sulla Protezione dei Dati EU/2016/679 (GDPR), il Titolare del trattamento di dati personali può designare mediante contratto o altro atto giuridico un Responsabile del trattamento esterno, che dia garanzia di esperienza, capacità ed affidabilità e del pieno rispetto delle vigenti disposizioni in materia di trattamento di dati personali, ivi compreso il profilo di sicurezza.

TRA LE PARTI SI CONVIENE E STIPULA QUANTO SEGUE

Il Cliente, quale Titolare dei dati cui competono le decisioni in ordine alle finalità ed alle modalità del Trattamento (di seguito “Titolare”), in persona del suo legale rappresentante, designa GEKOSOFT SRL, sede legale via Gronchi 12, 63074 San Benedetto del Tronto (AP), P.IVA 02336760448, quale Responsabile del trattamento dei dati personali (di seguito “Responsabile”) registrati nelle piattaforme gestite da Gekosoft srl. Tale designazione non comporta alcun diritto del Responsabile ad uno specifico compenso, indennità o rimborso.

Il presente contratto entra in vigore contestualmente alla sottoscrizione del contratto di servizio e resta valido per tutta la durata dello stesso. Si intendono espressamente revocati e sostituiti eventuali accordi precedenti tra le parti inerente il trattamento di dati personali.

 

Art. 1. Descrizione del trattamento.

Il Titolare affida al Responsabile tutte – ed esclusivamente – le operazioni di trattamento dei dati personali necessarie per dare piena esecuzione al Servizio nel periodo di validità del contratto e in particolare: l'organizzazione, la strutturazione, la conservazione, l'adattamento dei dati, la modifica, l’estrazione, la consultazione, la cancellazione.

Solo previa richiesta o autorizzazione scritta del Titolare, il Responsabile potrà effettuare ulteriori trattamenti quali: la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione.

In caso di conclusione del contratto il Responsabile, in accordo con il Titolare, provvederà alla cancellazione e distruzione dei dati (v. successivo art. 28).

Il Responsabile dovrà informare preventivamente il Titolare nel caso incorresse la necessità di trasferire i dati verso un paese terzo o un'organizzazione internazionale o comunque prima di trattamenti diversi ed eccezionali rispetto a quelli normalmente eseguiti.

Spettano invece al Titolare e ai suoi incaricati i seguenti trattamenti: la raccolta, la registrazione, l’organizzazione, la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. 

Spetta al Titolare fornire l’informativa (art. 13-14 del Regolamento) alle persone interessate al momento della raccolta;

Il Titolare ha l’onere di garantire un’idonea base giuridica (art. 6 del Regolamento) che legittimi il trattamento dei dati, che normalmente si sostanzia nel consenso dell’interessato al momento della raccolta. In tal senso, il Titolare conferisce al Responsabile la più ampia manleva rispetto ad ogni contestazione, pretesa, richiesta di risarcimento del danno da trattamento, etc. che dovesse pervenire da terzi.

 

Art. 2. Registri delle attività di trattamento

Ai sensi dell’art. 30 del GDPR, il Responsabile tiene un registro relativo ai trattamenti svolti per conto di altri Titolari, contenente:

  • Titolare dei dati,
  • Responsabile e recapiti
  • responsabile della protezione dei dati (DPO) e recapiti
  • categorie dei trattamenti
  • eventuali trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale e le relative garanzie (art. 49 (2) del GDPR)
  • descrizione delle misure di sicurezza tecniche e organizzative adottate tra quelle previste al successivo all’art. 13.

Compete al Titolare tenere un registro delle attività di trattamento contenente:

  • eventuali contitolari del trattamento
  • responsabile della protezione dei dati (DPO) e recapiti
  • finalità del trattamento
  • descrizione delle categorie di interessati e delle categorie di dati personali
  • categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali e relative garanzie (art. 49 (2) del GDPR).
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate di propria competenza, oltre al riferimento alle misure adottate dal Responsabile descritte al successivo all’art. 13.

 

Art. 3. Persone autorizzate al trattamento

Il Responsabile, nell’ambito della propria struttura aziendale, provvederà ad individuare le persone fisiche autorizzate al trattamento garantendo che:

  • abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati
  • si siano impegnate formalmente a rispettare la riservatezza durante il periodo di collaborazione e successivamente, o siano sottoposte ad un obbligo legale di segretezza
  • abbiano un’adeguata formazione e informazione su modalità di trattamento, misure di sicurezza, rischi connessi.

 

Art. 4. Sicurezza del trattamento (art. 32 GDGP)

Il Responsabile, tenendo conto del rischio, della probabilità d’accadimento e dell’eventuale gravità per i diritti e le libertà delle persone fisiche, assicura di attuare misure atte a garantire un livello di sicurezza adeguato al fine di:

  • contrastare eventi quali: la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso (accidentale o illegale) ai dati personali trattati; il trattamento non consentito o non conforme alle finalità del trattamento;
  • assicurare la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi;
  • avere la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati in caso di incidente fisico o tecnico.

A tal fine, si impegna a utilizzare:

  • tecniche di gestione e controllo degli accessi in relazione alle reali necessità in base ai profili di autorizzazione;
  • ove opportuno pseudonimizzazione e la cifratura dei dati;
  • impiego di data farm certificate CISPE (Certificazione sulla protezione dei dati);
  • idonee procedure di back-up;
  • idonee procedure atte a verificare l’efficacia delle misure tecniche e organizzative adottate.

Il Responsabile si avvale di un responsabile per la protezione dei dati (Data Protection Officer o "DPO"), come previsto dall’art. 37 del Regolamento. I riferimenti sono disponibili e aggiornati su gekosoft.it.

In caso di danni derivanti dal trattamento, il Responsabile ne risponderà qualora non abbia adempiuto agli obblighi della normativa vigente in materia di trattamento di dati personali o abbia agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare.

Compete al Titolare garantire che gli utenti abbiano una adeguata formazione e informazione su modalità di trattamento, misure di sicurezza e rischi connessi. A titolo esemplificativo e non esaustivo: il Titolare e i suoi rappresentanti e incaricati, nell’assegnare i profili di autorizzazione, devono limitare l’accesso ai soli dati personali la cui conoscenza è strettamente necessaria per adempiere ai compiti di ciascuno. Dovrà, inoltre, verificare che gli utenti cambino le password di accesso nei tempi previsti e che le credenziali siano disattivate se opportuno.

 

Art. 5. Supporto al Titolare

Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente contratto e della normativa applicabile, consentendo e contribuendo alle attività di revisione, ispezioni del Titolare o dell’Autorità di Controllo.

Se il Responsabile del trattamento considera che un trattamento costituisca una violazione del GDPR o della legislazione italiana relativa alla protezione dei dati, deve informare immediatamente il Titolare.

Il Titolare può richiedere al Responsabile informazioni sullo svolgimento delle operazioni di trattamento o del luogo in cui sono custoditi i dati di sua competenza e le persone autorizzate al trattamento, nonché i riferimenti del DPO (v. Registro dei Trattamenti, v. art. 10). 

Il Responsabile è tenuto a comunicare tempestivamente al Titolare istanze degli interessati, contestazioni, ispezioni o richieste dell’Autorità di Controllo e dalle Autorità Giudiziarie, ed ogni altra notizia rilevante in relazione al trattamento dei dati personali.

Il Responsabile assiste il Titolare nella realizzazione della valutazione d’impatto (art. 35 del GDPR) nonché alla eventuale consultazione preventiva all’Autorità di Controllo (art. 36 del GDPR)

 

Art. 6. Sub-Responsabile

Il Titolare autorizza il Responsabile ad avvalersi di ulteriori responsabili del trattamento (“sub-responsabile”) per l’erogazione del Servizio. 

Il Responsabile si impegna a selezionare sub-responsabili che per esperienza, capacità e affidabilità forniscano garanzie sufficienti al rispetto del presente contratto; a stipulare preventivamente con essi contratti o altri atti giuridici che descrivano analiticamente i loro compiti e gli obblighi di riservatezza.

Il Responsabile riconosce di conservare nei confronti del Titolare l’intera responsabilità sull’operato dei sub-responsabili coinvolti.

Il Responsabile si impegna altresì ad informare il Titolare di eventuali modifiche previste riguardanti la sostituzione di altri sub-responsabili, dando così al Titolare la possibilità di opporsi a tali modifiche.

 

Art. 7. Esercizio dei diritti dell’interessato

Nel caso in cui il Responsabile riceva istanze dagli interessati per l’esercizio dei diritti riconosciuti dal Regolamento (accesso, rettifica, cancellazione, opposizione, limitazione, ecc.) dovrà:

  • darne tempestiva comunicazione scritta al Titolare;
  • assistere il Titolare al fine di ottemperare;
  • permettere al Titolare di fornire agli interessati i propri dati personali in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, nonché di trasmettere i dati ad altro titolare.

 

Art. 8. DATA BREACH

Il Responsabile si impegna ad informare mediante comunicazione scritta il Titolare circa eventuali violazioni di dati personali entro 24 ore dopo esserne venuto a conoscenza e a supportarlo nella eventuale notifica al Garante per la Protezione dei Dati Personali (Art. 33 del GDPR).

 

Art. 9. Cessazione del contratto e restituzione dei dati

La presente nomina avrà efficacia fintanto che sia erogato il Servizio, salvi eventuali obblighi che per loro natura sono destinati a permanere. Qualora il rapporto tra le parti venisse meno o perdesse efficacia per qualsiasi motivo o il Servizio non fosse più erogato, anche il presente contratto verrà automaticamente meno senza bisogno di comunicazioni o revoche, ed il Responsabile non sarà più legittimato a trattare i dati del Titolare. 

In tale circostanza, il Responsabile su richiesta del Titolare è tenuto a:

  • restituire al Titolare i dati oggetto del trattamento in un formato strutturato, di uso comune e leggibile da un dispositivo automatico;
  • provvedere alla loro integrale distruzione salvi i casi in cui la conservazione dei dati sia richiesta da norme di legge.
  • rilasciare al Titolare, dietro sua richiesta, apposita dichiarazione scritta contenente l’attestazione che presso il Responsabile non esiste alcuna copia dei dati e informazioni del Titolare. Il Titolare si riserva il diritto di effettuare controlli e verifiche volte ad accertare la veridicità della dichiarazione.