Protezione Dei Dati Personali
Per la fornitura dei Servizi di cui al presente Contratto, la Società svolge per conto del Cliente le attività di trattamento dei dati personali descritte nell' Allegato 1 In relazione a tali attività, il Cliente, quale Titolare del trattamento, prende atto che la Società opera in qualità di Responsabile del medesimo trattamento ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (Regolamento Generale sulla Protezione dei Dati, di seguito il "RGPD").
Il Cliente conferma di aver valutato che la Società presenta garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate ad assicurare la conformità del suddetto trattamento di dati personali alle disposizioni del RGPD e la tutela dei diritti degli interessati.
La Società, quale Responsabile del trattamento, si impegna ad osservare gli obblighi di cui all'Allegato 2, che costituisce parte integrante del presente Contratto.
Il Cliente, quale Titolare del trattamento, dichiara e garantisce che i dati personali comunicati alla Società per la fornitura dei Servizi di cui al presente Contratto sono raccolti e trattati dal Cliente nel pieno rispetto delle disposizioni del RGPD.
Le Parti si impegnano a tenersi reciprocamente indenni e manlevate per ogni danno, onere, costo, spesa derivante dalla eventuale violazione delle disposizioni del RGPD che risulti imputabile a ciascuna Parte.
Allegato 1 - Descrizione delle attività di trattamento di dati personali connesse alla fornitura dei Servizi di cui al Contratto
Servizio erogato | Finalità del trattamento | Durata del trattamento | Categorie di interessati | Categorie di dati personali trattati |
---|---|---|---|---|
Fornitura Software in cloud | Conservazione dati | Fino alla revoca del contratto | Clienti dei nostri clienti | Dati personali comuni e particolari |
Collegamento da remoto | Fornire assistenza tecnica | Fino alla revoca del contratto | Clienti dei nostri clienti | Dati personali comuni e particolari |
Allegato 2 - Contrattualizzazione Ruolo Responsabile Esterno
ex Art. 28 Del Regolamento Ue 679/2016
Premesso che
La società Kaleido s.r.l. svolge per i propri clienti i seguenti servizi:
- Assistenza tecnica software in teleassistenza, telefonica o presso il cliente
- Fornitura Software anche in cloud
L'espletamento di tali Servizi potrebbe comportare trattamento di dati personali (comuni) così come definito dall'art. 4 del GDPR 679/2016.
pertanto Kaleido s.r.l. si configura quale Responsabile del Trattamento dei dati personali il cui trattamento si renda necessario per la gestione dei servizi affidati dal Titolare e nei limiti dello stesso;
Nell'ambito di tale funzione, Kaleido s.r.l. dichiara:
- di conoscere il contenuto del GDPR, nonché del D. Lgs. 196/2003 come armonizzato dal D.Lgs. 101/2018;
- di offrire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell'interessato
Tanto premesso, con il presente contratto, la società Kaleido s.r.l. e il CLIENTE stipulano quanto segue:
Responsabile Esterno e modalità di esecuzione dell'incarico
Il cliente in qualità di Titolare del trattamento dati personali individua la società Kaleido s.r.l. quale Responsabile del trattamento dati relativi e inerenti il servizio affidato autorizzandolo a procedere all'organizzazione di ogni operazione di trattamento di dati personali necessaria.
Il Responsabile, al fine di controllare i rischi di accesso non autorizzato, divulgazione, mancanza di integrità ed indisponibilità dei dati personali, sia accidentali che illegali, si impegna a mettere in atto, ai sensi e per gli effetti di cui all'art. 32 del GDPR, tutte le misure tecniche ed organizzative necessarie a garantire un livello di sicurezza adeguato al rischio, tenuto conto della natura, dell'oggetto, del contesto e delle finalità del trattamento effettuato in esecuzione del Contratto.
Il Responsabile Kaleido s.r.l.si impegna inoltre a:
- tenere un registro rappresentativo l'analisi dei trattamenti, in formato elettronico, comprensivo di tutte le categorie di attività relative al trattamento svolte per conto del Titolare;
- nominare formalmente gli "autorizzati al trattamento" impartendo idonee istruzioni per iscritto circa le modalità di esecuzione delle attività demandate nonchè a vigilare sul rispetto delle istruzioni impartite;
- aggiornare con cadenza almeno annuale la individuazione dell'ambito di trattamento consentito ai singoli autorizzati, e a provvedere nonchè mantenere un elenco aggiornato dei medesimi;
- programmare idonee azioni di informazione e formazione degli autorizzati nominati;
- verificare periodicamente lo stato di applicazione del D.lgs. 30 giugno 2003 n. 196 come armonizzato dal D.lgs. del 4 settembre 2018 n. 101 e del Regolamento Europeo n. 679/2016, nonché la corretta applicazione, il buon funzionamento dei sistemi e, ai sensi dell'art.32 del GDPR, delle misure adottate per la tutela dei dati personali e la conformità alle indicazioni dell'Autorità Garante (provvedimenti ed autorizzazioni), e del Titolare del Trattamento;
- tenere i dati personali, trattati in esecuzione del Contratto, separati rispetto a quelli eventualmente trattati per conto di altre terze parti, applicando una segregazione fisica e logica, ove possibile;
- fornire al Titolare del Trattamento eventuali spiegazioni circa la violazione dei dati richiamandosi alla procedura di data breach adottata;
- assistere il Titolare del Trattamento per quanto concerne gli obblighi di notifica e ogni altra comunicazione verso il Garante, ove dovute;
- tenendo conto della natura del trattamento, assistere il Titolare del Trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del Titolare del Trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III del GDPR, artt.15 - 22;
- mettere a disposizione del Titolare del Trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dalla normativa vigente;
- comunicare al Titolare del Trattamento qualsiasi variazione della situazione oggettiva o delle sue proprie caratteristiche soggettive, tali da compromettere il corretto espletamento dei compiti descritti nel presente contratto;
- avvertire prontamente il Titolare, entro 2 giorni lavorativi, in merito alle eventuali richieste degli interessati che dovessero pervenire al Responsabile, inviando copia delle istanze ricevute all'indirizzo e-mail del Titolare, e collaborare al fine di garantire il pieno esercizio da parte degli interessati di tutti i diritti sopra citati;
In caso di servizio di teleassistenza svolto dal Responsabile, Kaleido s.r.l. comunica che:
- non farà alcun utilizzo, né divulgherà eventuali dati personali visibili e/o ricavabili a seguito della richiesta di teleassistenza e/o dalla cattura video, se non per fornire l'assistenza tecnica necessaria a risolvere il problema segnalato;
Considerato che il sistema di teleassistenza comporta che gli operatori di front office vedano il contenuto del monitor dell'assistito, il Cliente (titolare del trattamento) si impegna a:
- visualizzare ogni operazione posta in essere dal tecnico Kaleido s.r.l. al fine di verificare che l'intervento avvenga secondo le istruzioni impartite;
- ad effettuare tutti i salvataggi necessari al ripristino dei dati contenuti all'interno del sistema informativo prima dell'intervento richiesto manlevando Kaleido s.r.l. da ogni responsabilità in caso di eventuali perdite di dati verificatesi nel corso dell'intervento tecnico;
- chiudere tutte le applicazioni non inerenti al problema segnalato, prima di attivare il servizio.
Sub Responsabili
Qualora il Responsabile esterno dovesse ricorrere ad un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su costui sono imposti, mediante un contratto o altro atto giuridico, a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel presente contratto, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti richiesti dal GDPR. Qualora il Sub Responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile conserva nei confronti del Titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile.
Il Titolare del trattamento approva ed autorizza espressamente il Responsabile del trattamento ad avvalersi dell'opera degli eventuali sub responsabili alle condizioni di cui sopra. Il Responsabile mantiene aggiornato l'elenco dei sub responsabili esterni e lo mette a disposizione del titolare in caso di richiesta.
Diritto di audit e di verifica periodica
Il Titolare del trattamento si riserva il diritto di compiere attività di audit e, in particolare, avrà facoltà di verificare, con un preavviso di almeno 15 (quindici) giorni lavorativi, anche presso la sede del Responsabile del trattamento, la conformità delle procedure adottate da quest'ultima rispetto a quanto indicato nel presente Contratto ovvero richiesto dalla normativa. Tale diritto si intende rivolto anche ad eventuali sub responsabili di cui al precedente articolo.
Applicazione e Durata
Il presente Contratto si applica a tutti i dati comunicati forniti e inviati dal Cliente a Kaleido s.r.l. per il trattamento necessario all'esecuzione del contratto di servizio affidato.
Il presente contratto decorre dalla data della sua sottoscrizione (intesa anche come accettazione nel caso di invio informatico in modalità semplificata) e rimarrà in vigore fin tanto che il Responsabile del trattamento, effettuerà il trattamento dei Dati Personali per conto del Titolare del trattamento.
Titolarità e riservatezza dei Dati Personali
Il Responsabile del trattamento, fermi restando gli obblighi di legge o gli ordini legittimi provenienti da qualsiasi Autorità, garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza su ogni informazione e dato personale acquisito in ragione dell'incarico conferito.
Il Responsabile del Trattamento si impegna a non utilizzare le informazioni riservate al di fuori degli scopi previsti dal presente Contratto, né a rivelarle a soggetti non previsti dallo stesso, senza l'approvazione scritta del Titolare del trattamento. Il Responsabile del trattamento adotterà ogni misura necessaria a non divulgare o rendere in alcun modo disponibili le Informazioni riservate della stessa, quale Titolare del trattamento.
Trasferimento dati all'estero
Il Responsabile del trattamento si impegna ad informare il Titolare circa il trasferimento dei dati personali conferiti ad un paese terzo ovvero ad una Organizzazione internazionale. Nel caso in cui ciò avvenisse, tale trasferimento potrà essere attuato solo in presenza di una decisione di adeguatezza della Commissione Europea ovvero solo in presenza di espresso riferimento alle garanzie appropriate o opportune e ai mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
Data breach
Con particolare riferimento al caso di violazione dei dati (cd data breach), tale da presentare un rischio per i diritti e le libertà fondamentali delle persone, il Responsabile del trattamento si dichiara consapevole degli obblighi che incombono sul Titolare del trattamento a norma dell'art. 33 del Regolamento. Conseguentemente si impegna a darne comunicazione, senza ingiustificato ritardo, entro e non oltre comunque le 36 ore al Titolare del trattamento.
Al fine di consentire all'Autorità di controllo di verificare il rispetto del regolamento, il Responsabile del trattamento si impegna a favorire al massimo la possibilità da parte del Titolare del trattamento di documentare qualsiasi violazione dei dati personali, comprese le circostanze ad essa relative, le sue conseguenze nonché i provvedimenti adottati per porvi rimedio.
Il Responsabile si impegna altresì a mettere a disposizione su richiesta del Titolare la sua procedura di gestione data breach ed a tenere un aggiornato inventario delle violazioni dei Dati Personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio, in modo da consentire al Titolare del trattamento, di verificare il rispetto delle disposizioni del presente articolo.
Condizioni per le eventuali modifiche del Contratto
Il Titolare del trattamento ha la facoltà di apportare al presente Contratto, in qualsiasi momento, le modifiche e gli adeguamenti che dovessero rendersi necessari, anche per conformarsi ad eventuali aggiornamenti normativi. Di ogni modifica verrà data comunicazione al Responsabile del Trattamento, con idoneo mezzo di comunicazione. A seguito della suddetta modifica, il Responsabile avrà 30 giorni per recedere dall'odierno Contratto. Trascorso detto termine, le variazioni si riterranno accettate dal Responsabile del Trattamento.
Legge applicabile, Foro competente e Risoluzione stragiudiziale delle controversie
In caso di controversie concernenti la: validità, interpretazione, esecuzione e risoluzione del presente Contratto o allegati ad esso collegati, il Titolare unitamente al Responsabile si impegnano a cercare tra loro un equo e bonario componimento. Qualora la controversia non venga risolta bonariamente, la stessa deve ritenersi di competenza esclusiva del Foro di Piacenza, luogo in cui ha il Responsabile esterno nominato.
Clausole Finali
Il presente Contratto sostituisce ogni precedente intesa, anche verbale, avvenuta tra il Titolare e il Responsabile del Trattamento, costituendo l'unico esistente in relazione alla materia ivi trattata.
Il presente incarico non prevede alcun compenso aggiuntivo a favore del nominato Responsabile del trattamento.
Piacenza 9 Ottobre 2019
Il Responsabile Esterno
Kaleido s.r.l.