DPA – Data Processing Agreement
ACCORDO PER IL TRATTAMENTO DI DATI PERSONALI | DPA – DATA PROCESSING AGREEMENT | (ex art. 28 del Regolamento UE 2016/679)
TRA
Il presente accordo per la protezione di dati personali è concluso tra Cascinanet S.r.l., con sede legale in Via Campanella n. 22, 56021 – Cascina (PI) codice fiscale e partita IVA n. 02073620508 (d’ora in poi “Fornitore”),
E
il soggetto indicato nel Contratto quale società (d’ora in poi “Titolare”),
di seguito, congiuntamente denominate le “Parti”
PREMESSO CHE
1 – a norma dell’articolo 28, comma 3, del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati – d’ora in poi anche “GDPR”) nel caso in cui il Titolare trattamento affidi il trattamento dei dati personali ad un soggetto esterno alla propria organizzazione deve nominare quest’ultimo Responsabile del trattamento.
2 – il Titolare ha sottoscritto un contratto con il Responsabile (d’ora in poi “Contratto”);
3 – il Responsabile presenta garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse per l’adozione di misure tecniche ed organizzative adeguate volte ad assicurare che il trattamento sia conforme alle prescrizioni della normativa in tema di trattamento dei dati personali;
4 – con il presente contratto (d’ora in poi “Nomina”) il Titolare intendente disciplinare le modalità di trattamento dei dati personali affidati al Responsabile nell’ambito dell’esecuzione del Contratto.
Tutto quanto sopra premesso le Parti convengono quanto segue:
- Oggetto dell’atto di nomina
1.1 Il Titolare con il presente contratto affida al Responsabile il trattamento dei dati personali necessari all’esecuzione delle attività previste dal Contratto.
1.2 Il trattamento dei dati affidato al Responsabile avrà ad oggetto i dati personali riferiti a clienti e fornitori del Titolare.
1.3 Dalla presente nomina sono escluse le attività eseguite per adempiere il Contratto che non abbiano ad oggetto il trattamento dei dati personali.
- Obblighi del responsabile del trattamento
2.1 Il Responsabile si impegna ad effettuare, per conto del Titolare, le sole operazioni di trattamento necessarie all’esecuzione delle attività oggetto del Contratto, nei limiti delle finalità ivi specificate, nel rispetto del Codice Privacy (D.lgs 196/2003), del Regolamento UE (nel seguito anche “Normativa in tema di trattamento dei dati personali” personali”) e delle istruzioni nel seguito specificate.
2.2 Il Responsabile dovrà predisporre la propria organizzazione interna in modo da soddisfare le specifiche esigenze di protezione dei dati personali e si obbliga a trattare i dati personali del Titolare rispettando le seguenti istruzioni:
a) eseguire i soli trattamenti dei dati personali necessari ad adempiere il Contratto;
b) non comunicare a terzi in alcun modo e non utilizzare per altri fini i dati personali e comunque mantenere la più completa riservatezza sui dati trattati e sulle tipologie di trattamento effettuate.
c) non trasferire i dati in un paese extra UE e, nel caso ciò si rivelasse necessario, informare il Titolare delle soluzioni adottate in adempimento alle prescrizioni normative;
d) adottare le misure tecniche e organizzative idonee a garantire un’adeguata protezione dei Dati forniti dal Titolare, che soddisfino i requisiti dell’articolo 32 GDPR e successive modifiche e integrazioni. In particolare, il Responsabile si obbliga ad implementare le misure tecnico organizzative per garantire un livello di sicurezza adeguato al rischio, considerando in speciale modo i rischi che possono derivare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trattati;
e) verificare periodicamente l’adeguatezza delle misure di sicurezza, valutando se mutamenti all’attività di trattamento non determinino l’adozione di misure di sicurezza diverse e più adeguate.
f) istruire adeguatamente le persone che operano sotto la sua autorità avendo accesso ai dati personali in questione;
g) comunicare al Titolare, non appena ne abbia avuto conoscenza, eventuali violazioni dei dati personali anche sospette o incidenti di sicurezza da cui possano derivare tali violazioni;
h) assistere il Titolare al fine di soddisfare l’obbligo di quest’ultimo di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
i) qualora gli sia richiesto, collaborare con il Titolare a effettuare la valutazione di impatto dei trattamenti vagliando la necessità dell’eventuale consultazione preventiva dell’Autorità di controllo;
l) mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto dei suddetti obblighi e consentire e contribuire alle attività di vigilanza, comprese le ispezioni, realizzate dal Titolare, da un altro soggetto da questi incaricato o dall’Autorità di controllo.
m) procedere, in caso di conclusione del contratto, alla cancellazione o restituzione al titolare di tutti i dati personali trattati nell’ambito dell’esecuzione del Contratto.
3. Ricorso ad altri responsabili
3.1 Il Titolare autorizza il Responsabile, nell’esecuzione della presente nomina, a ricorrere ad altri responsabili (d’ora in poi “Sub-Responsabili”). Il Responsabile garantisce che il contratto sottoscritto con qualsiasi sub-responsabile preveda nei suoi confronti obblighi analoghi a quelli derivanti dal presente contratto. Pertanto, il Responsabile sarà ritenuto responsabile delle azioni, omissioni o inadempienze dei propri sub-responsabili in relazione agli obblighi previsti nel presente contratto.
3.2 Il Responsabile, previa richiesta, renderà disponibile l’elenco dei sub-responsabili e dovrà darne comunicazione al Titolare nonché imporre ai sub-responsabili di cui si serve, mediante un contratto, gli stessi obblighi in materia di protezione dei dati stabiliti nella presente Nomina.
4. Verifiche del titolare
4.1 Il Responsabile dovrà mettere a disposizione del Titolare del Trattamento, su richiesta di quest’ultimo, tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla presente Nomina.
4.2 Il Responsabile del Trattamento dovrà fornire piena collaborazione al Titolare del Trattamento in relazione alle attività di verifica.
4.3 Il Titolare, durante le attività di verifica, si impegna a non pregiudicare e/o bloccare la normale attività lavorativa del Responsabile.
5. Durata
La durata della presente Nomina coincide con quella prevista dal Contratto, salvo il caso in cui le disposizioni del presente documento non comportino ulteriori obblighi (anche di legge) che esigano il prolungamento dell’attività di trattamento dei dati.
6. Obblighi del titolare del trattamento
6.1 Il Titolare dichiara di aver adempiuto alle prescrizioni del GDPR prima di comunicare al Responsabile i dati personali oggetto del trattamento.
6.2 Il Titolare è tenuto ad informare immediatamente e in modo completo il Responsabile non appena riscontri errori e/o irregolarità nel trattamento dei dati effettuati da quest’ultimo.
7. Legge applicabile e controversie
Il presente atto di nomina è soggetto alla legge Italiana e per ogni controversia tra le parti il foro competente in via esclusiva sarà quello di Pisa.