Nomina a Responsabile trattamento dati del fornitore
Definizione dell’ambito del trattamento relativo alla Nomina a Responsabile del trattamento del Fornitore avvenuta con la stipula del contratto e convenuta tra le parti per l’erogazione di servizi di assistenza e manutenzione.
1 – Designazione – Nello svolgimento del SERVIZIO, ai sensi e per gli effetti dell’Art. 4 comma 1 lett. f) e dell’Art. 28 del D.Lgs. 30 giugno 2003, n. 196, il TITOLARE, DEL TRATTAMENTO DEI DATI è il CLIENTE e incombe sul CLIENTE, TITOLARE DEL TRATTAMENTO, il compimento di tutti gli atti previsti dalla predetta normativa per il trattamento dei dati personali vale a dire l’informativa, la raccolta del consenso, l’adozione di tutte le misure autorizzative, di incarico e di conservazione e di altro tipo anche per realizzare il Sistema sicurezza ivi comprese le relative misure.
Per i compiti che, in base al CONTRATTO per il SERVIZIO restano affidati al FORNITORE, quest’ultimo è designato RESPONSABILE DEL TRATTAMENTO ai sensi dell’Art.4 c. 1 lett. g) e Art. 29 del D.Lgs. n. 196/2003. Gli incaricati del FORNITORE ricopriranno la figura di incaricati del trattamento dei dati ai sensi degli Artt. 4 c. 1 lett. h) e 30 della precitata normativa ed in tal senso saranno designati dal FORNITORE/(RESPONSABILE DEL TRATTAMENTO).
Le operazioni di trattamento del FORNITORE/(RESPONSABILE DEL TRATTAMENTO) quindi saranno effettuate da incaricati che operano sotto la diretta autorità del FORNITORE/(RESPONSABILE DEL TRATTAMENTO), attenendosi alle istruzioni da questi impartite. La designazione sarà effettuata per iscritto e individuerà puntualmente l’ambito del trattamento consentito. Si considererà tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.
Il trattamento si estende anche ai dati (o eventuali dati) sensibili e giudiziari, di cui all’Art. 4 c. 1 lett. d) ed e) del D.Lgs. n. 196/2003 per i quali il FORNITORE/(RESPONSABILE DEL TRATTAMENTO) rilascerà autorizzazione ai suoi incaricati del trattamento o della manutenzione.
Poichè il trattamento dei dati è fatto anche direttamente dal CLIENTE/(TITOLARE DEL TRATTAMENTO), per il trattamento diretto il CLIENTE/(TITOLARE DEL TRATTAMENTO) provvederà all’osservanza di tutti gli obblighi di legge con esonero del FORNITORE/(RESPONSABILE DEL TRATTAMENTO) da ogni sorta di responsabilità.
Il FORNITORE/(RESPONSABILE DEL TRATTAMENTO), potrà, in qualsiasi momento, anche in corso del CONTRATTO per il SERVIZIO e pur continuando il SERVIZIO stesso, far cessare nel futuro la qualifica di RESPONSABILE DEL TRATTAMENTO richiedendolo al CLIENTE/(TITOLARE DEL TRATTAMENTO). Così pure il CLIENTE/(TITOLARE DEL TRATTAMENTO) potrà far cessare detta designazione. In tali casi le parti definiranno congiuntamente la figura da assegnare per il trattamento dei dati per il SERVIZIO.
2 – Garanzie – I dati che il CLIENTE/(TITOLARE DEL TRATTAMENTO) ha già fornito e che fornirà avranno già acquisito il consenso degli interessati ai sensi dell’art. 23 del D.Lgs. 30 giugno 2003, n. 196, salvi i casi di esclusione di cui all’art. 24 della medesima normativa e sarà già stata effettuata agli interessati stessi l’informativa di cui all’art. 13 del D.Lgs. 30 giugno 2003, n. 196.
Il CLIENTE/(TITOLARE DEL TRATTAMENTO) garantisce il FORNITORE/(RESPONSABILE DEL TRATTAMENTO) di disporre legittimamente di tutte le informazioni (testi, dati, notizie, segni, immagini, suoni e quant’altro) che affiderà al FORNITORE/(RESPONSABILE DEL TRATTAMENTO) per il loro trattamento, assicurando altresì che dette informazioni non violano in alcun modo né direttamente né indirettamente alcun diritto di terzi.
Il CLIENTE/(TITOLARE DEL TRATTAMENTO) mantiene la titolarità delle informazioni che saranno comunicati al FORNITORE/(RESPONSABILE DEL TRATTAMENTO) per il servizio ed assume espressamente ogni più ampia responsabilità in ordine al contenuto delle citate informazioni e manleva il FORNITORE da ogni obbligo e/o onere di accertamento e/o di controllo diretto e indiretto al riguardo.
Perché sia garantito un adeguato trattamento dei dati il FORNITORE, al quale cui è affidato il trattamento per lo svolgimento del SERVIZIO, a tal fine operando in qualità di RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI, assume specificamente i seguenti impegni:
1. il trattamento di dati sarà effettuato ai soli fini dell’espletamento dell’incarico ricevuto;
2. per quanto definito nel presente atto e per i compiti che saranno svolti in adempimento del CONTRATTO l’operato del FORNITORE/(RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI) sarà svolto in osservanza degli obblighi previsti dal Codice per la protezione dei dati personali;
3. il FORNITORE/(RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI), nello svolgimento della propria attività, in adempimento del CONTRATTO, rispetterà le istruzioni specifiche concordate per il trattamento dei dati personali e se necessario integrerà le procedure già in essere per meglio ottemperare agli obblighi derivanti dalla normativa Privacy in relazione al compito da svolgere in relazione al CONTRATTO;
4. il FORNITORE/(RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI), in caso di situazioni anomale o di emergenze, provvederà a relazionare periodicamente sulle misure di sicurezza adottate – anche mediante eventuali questionari e liste di controllo – e ad informare immediatamente il titolare del trattamento.
3 – Obblighi – Ai sensi e per gli effetti dell’Art. 29 c. 4 del D.Lgs. n. 196/2003 nel quale si dispone che i compiti affidati al responsabile devono essere analiticamente specificati per iscritto dal TITOLARE, si precisa che i compiti del FORNITORE/(RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI) sono quelli indicati nel CONTRATTO, in precedenza indicato, che regola il SERVIZIO.
Il FORNITORE/(RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI), nello svolgimento delle operazioni di trattamento per svolgere il SERVIZIO, dovrà fare in modo di ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di:
· accesso non autorizzato;
· trattamento non consentito o non conforme alle finalità della raccolta.
Prende atto il CLIENTE/(TITOLARE DEL TRATTAMENTO) che, per il SERVIZIO, il FORNITORE/(RESPONSABILE DEL TRATTAMENTO) ha in essere misure di sicurezza idonee in osservanza degli Artt. da 31 a 35 del D.Lgs. n. 196/2003.
Per i dati personali trattati nell’infrastruttura informatica del FORNITORE/(RESPONSABILE DEL TRATTAMENTO) rimane comunque l’obbligo dello stesso di caratterizzare il sistema di trattamento dati in conformità ai prerequisiti minimi di sicurezza e, su richiesta del CLIENTE/(TITOLARE DEL TRATTAMENTO), a servizio cessato, di cancellare dalla sua banca dati i dati comunicati dal CLIENTE/(TITOLARE DEL TRATTAMENTO) per lo svolgimento del SERVIZIO; nel qual caso, il FORNITORE/(RESPONSABILE DEL TRATTAMENTO), provvederà a cancellarli quando non siano più necessari per lo svolgimento del servizio o per gli atti conseguenti.
Il CLIENTE/(TITOLARE DEL TRATTAMENTO), considerata la complessità delle operazioni tecniche di trattamento elettronico dei dati per il SERVIZIO e l’eventuale esigenza del FORNITORE/(RESPONSABILE DEL TRATTAMENTO) di avvalersi di personale specializzato o di apparati a elevata connotazione tecnologica che, eventualmente, comprensibilmente, non fossero disponibili presso le strutture degli stessi, autorizza il FORNITORE/(RESPONSABILE DEL TRATTAMENTO) ad affidare, sotto la propria responsabilità, l’esecuzione di operazioni di trattamento informatico a società del settore che per esperienza, capacità e affidabilità forniscano idonea garanzia del pieno rispetto della legge, con particolare riguardo alla sicurezza.
4 – Finalità del trattamento e modalità – Il CLIENTE/(TITOLARE DEL TRATTAMENTO) dichiara che il trattamento è affidato al FORNITORE/(RESPONSABILE DEL TRATTAMENTO) per lo svolgimento del SERVIZIO come meglio descritto nel CONTRATTO.
Per quanto di sua competenza il FORNITORE/(RESPONSABILE DEL TRATTAMENTO), nel trattare i dati per l’erogazione del SERVIZIO effettuerà il trattamento in osservanza dell’Art. 11 del D.Lgs. 30 giugno 2003, n. 196 relativo alle “Modalità del trattamento e requisiti dei dati” e quindi i dati personali oggetto di trattamento saranno: a) trattati in modo lecito e secondo correttezza come concordato contrattualmente per il SERVIZIO; b) raccolti e registrati per il SERVIZIO e quindi per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati sulla base delle comunicazione fatte dal CLIENTE stesso; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo conseguente all’erogazione del SERVIZIO.
5 – Cessazione del trattamento o del SERVIZIO – Alla cessazione dell’incarico o del servizio oggetto della richiesta del CLIENTE/(TITOLARE DEL TRATTAMENTO) i dati in possesso del FORNITORE/(RESPONSABILE DEL TRATTAMENTO) dovranno essere distrutti. Eventuali ulteriori copie dei dati stessi, salvo diversi accordi che potranno intervenire, dovranno essere distrutte dal FORNITORE/(RESPONSABILE DEL TRATTAMENTO) entro tempi compatibili con le ulteriori necessità che possono prospettarsi anche alla cessazione del SERVIZIO e comunque per un tempo non superiore a 24 mesi dalla cessazione suddetta e nel periodo intermedio tra la fine del rapporto e detto termine i dati saranno conservati dal FORNITORE/(RESPONSABILE DEL TRATTAMENTO) per fini esclusivamente di controllo e riscontro del loro operato e non destinati alla comunicazione e alla diffusione.
6 – Controlli – Il CLIENTE/(TITOLARE DEL TRATTAMENTO), si riserva, anche tramite verifiche periodiche, di vigilare sulla puntuale osservanza delle disposizioni di legge sul trattamento dei dati stessi e sul rispetto delle proprie istruzioni indicate nel presente documento. Il FORNITORE/(RESPONSABILE DEL TRATTAMENTO) dovrà consentire al CLIENTE/(TITOLARE DEL TRATTAMENTO), dandogli piena collaborazione, periodiche verifiche circa l’adeguatezza delle misure di sicurezza adottate e il rispetto della legge.