Passa al contenuto

Data Processing Agreement


PREMESSAOBBLIGHI DEL RESPONSABILE DEL TRATTAMENTOGARANZIE DEL CLIENTEDISPOSIZIONI FINALI E RINVIO

PREMESSA

  1.   Il contratto di utilizzo (abbonamento) della piattaforma Mister Compliance, in tutti i moduli che possono essere sottoscritti dal cliente (in seguito “Cliente” o “Titolare”), comporta il trattamento di determinati dati personali di interessati persone fisiche per conto dell’utilizzatore, il quale è Titolare del trattamento, così come definito dall’art. 4 par. 7 del Reg. UE 2016/679;

  2.  Il presente Data Processing Agreement (nel proseguo, DPA ) descrive i doveri, i compiti ed i requisiti specifici affinché il trattamento dei dati personali effettuato per conto del Cliente da parte del Responsabile del trattamento sia conforme ai requisiti imposti dalla normativa sulla protezione dei dati personali ad oggi in vigore, nazionale e/o comunitaria;

  3.  Il Cliente designa E-Digit S.r.l. , ai sensi e per gli effetti dell’art. 28 Reg. UE 2016/679 (di seguito, GDPR ), quale Responsabile del Trattamento per tutta la durata di cui al Contratto, secondo quanto ragionevolmente necessario per la prestazione dei servizi ed in  conformità agli obblighi imposti dal presente DPA.

  4.  Mediante la sottoscrizione del presente DPA, il Responsabile del trattamento si impegna a compiere le attività di trattamento dei dati in modo lecito, trasparente e secondo correttezza nonché nel pieno rispetto di tutte le disposizioni normative in materia di trattamento dei dati personali, nonché delle seguenti e specifiche istruzioni.

  5.  I trattamenti effettuati, la natura e la finalità del trattamento, la tipologia di dati personali e le categorie di soggetti interessati oggetto del presente DPA sono i seguenti:


  6. Categorie di interessati

    1. Dipendenti, tirocinanti, stagisti e Collaboratori del Cliente
    2. Professionisti
    3. Fornitori (persone fisiche) e loro dipendenti

Tipologia di Dati Personali oggetto di trattamento

​Dati personali comuni (anagrafici e di contatto)

  1. Natura e finalità del trattamento

​Accesso, consultazione, organizzazione dei dati personali per finalità di gestione, sviluppo e manutenzione del software ​            ​MisterCompliance in esecuzione del Contratto.

Le premesse costituiscono parte integrante del presente DPA.

OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO

  1. Il Cliente autorizza il Responsabile a trattare i dati personali secondo quanto ragionevolmente necessario per l’esecuzione del Contratto nonché in conformità con i termini e le condizioni del presente DPA
  2. Il Responsabile del trattamento si impegna a rispettare ogni normativa o regolamento applicabili in materia di protezione dei dati personali contenuta nel Codice e nel GDPR, nonché ad informarsi e tenere conto dei provvedimenti, dei comunicati ufficiali, delle autorizzazioni generali emessi dall’Autorità Garante per la Protezione dei Dati Personali (nel seguito “Garante”);

  3. In merito alle informazioni oggetto di trattamento si impegna a non compiere operazioni di trattamento ulteriori e/o diverse da quelle necessarie per l’esecuzione del Contratto, a meno che tale ulteriore attività di trattamento sia richiesta da una legge tempo per tempo vigente a cui sia soggetto il Responsabile del trattamento. 

  4. Il Responsabile si impegna a mantenere un registro (in forma scritta e/o anche in formato elettronico) di tutte le categorie di attività relative al trattamento svolte per conto del Titolare e metterlo a disposizione del Titolare e/o dell’Autorità di controllo che ne dovessero fare richiesta;

Personale 

  1. Il Responsabile garantisce che il personale coinvolto nel trattamento dei dati personali

  2.  sia stato preventivamente informato della natura confidenziale delle informazioni trattate, 

  3. abbia ricevuto un'adeguata istruzione in merito alle proprie responsabilità 

  4. e abbia sottoscritto uno specifico obbligo legale vincolante finalizzato a tutelare la riservatezza dei dati personali trattati. 

  5. Il Responsabile del trattamento garantisce che l’accesso ai dati personali sia limitato al personale preventivamente autorizzato per il perseguimento delle finalità previste dal Contratto e dal presente DPA.

Sub-responsabili

  1. Il Responsabile del trattamento può ricorrere a un altro Responsabile solo previa autorizzazione scritta, specifica o generale, del Cliente. Il Responsabile deve fornire, a richiesta del Cliente, la lista dei propri Sub-Responsabili del trattamento in relazione al trattamento di cui all’esecuzione del Contratto. La sottoscrizione del presente DPA vale quale autorizzazione scritta generale.

  2. Il Responsabile del trattamento è tenuto ad informare il Cliente in merito alla scelta, aggiunta o sostituzione di qualsiasi ulteriore Responsabile del trattamento.

  3. Prima di consentire l'accesso, da parte dell’ulteriore Responsabile ai dati personali, il Responsabile del trattamento dovrà garantire che tale altro Responsabile sia obbligato, attraverso un contratto scritto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, al rispetto degli stessi obblighi in materia di protezione dei dati indicati nel presente DPA.

  4. Il Responsabile si impegna a conservare nei confronti del Titolare l’intera responsabilità dell’adempimento degli obblighi del Sub-responsabile, qualora questo ometta di adempiere ai propri obblighi in materia di protezione dei dati;

Sicurezza e Audit

  1. Il Responsabile del trattamento adotta misure tecniche e organizzative adeguate alla sicurezza (inclusa la prevenzione dal trattamento non autorizzato, dalla distruzione accidentale o illecita, dalla perdita di disponibilità o alterazione o danneggiamento dei dati, dalla divulgazione non autorizzata ovvero dall'accesso illegittimo ai dati personali), confidenzialità, integrità e disponibilità dei dati personali trattati. Queste misure devono includere, ai sensi dell’art. 32 GDPR, ove opportuno e applicabile:

    1. la pseudonimizzazione e cifratura dei dati personali;

    2. la capacità di garantire su base permanente la confidenzialità, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento;

    3. la capacità di ripristinare la disponibilità e l'accesso ai dati personali, in modo tempestivo, in caso di incidente fisico o tecnico;

    4. una procedura per testare, determinare e valutare periodicamente l'efficacia delle misure tecniche e organizzative atte a garantire la sicurezza del trattamento dei dati personali

  2. Nella valutazione dell'adeguato livello di sicurezza, il Responsabile del trattamento deve tenere conto dei rischi riguardanti il trattamento di dati personali, in particolare per prevenire qualsiasi violazione della sicurezza, secondo quanto stabilito dalle normative e dai regolamenti sulla protezione dei dati.

  3. Il Responsabile si impegna a rendere disponibile al Titolare tutte le informazioni necessarie per dimostrare la conformità con gli obblighi riportati nel presente DPA  e consentire l’esecuzione di audit, comprese ispezioni, condotte da parte del Titolare del Trattamento o da altri auditor incaricati dal Titolare stesso, che non siano concorrenti del Responsabile. La comunicazione degli audit o delle ispezioni deve avvenire con un preavviso di almeno 30 (trenta) giorni lavorativi. I suddetti impegni di collaborazione e l’attività di audit potrà essere esercitata dal Titolare anche nei confronti degli eventuali Sub- Responsabili. Nelle ipotesi previste dal presente punto, il Titolare e/o i componenti della propria organizzazione, ovvero i rappresentanti da quest’ultimo designati, si impegnano a mantenere comportamenti leali, collaborativi e trasparenti per tutta la durata delle attività eseguite nei confronti del Responsabile. 

Diritti degli interessati

  1. Il Responsabile del trattamento comunicherà senza indebito ritardo al Cliente le istanze pervenute da parte di un interessato inerenti all’esercizio di un proprio diritto previsto dagli artt. 15-22 del Regolamento UE 2016/679.

  2. Su richiesta del Cliente, il Responsabile del trattamento fornirà una ragionevole assistenza al Cliente nell’evadere le richieste di cui al precedente punto.

Data Breach

  1. Il Responsabile del trattamento comunica al Cliente, senza ingiustificati ritardi e, in ogni caso, entro quarantotto (48) ore dal momento in cui il Responsabile ne sia venuto a conoscenza con certezza, l’incidente riguardante la sicurezza o la violazione delle misure di sicurezza subita da sé o da qualsivoglia sub-responsabile, nonché qualsiasi ulteriore evento, fatto o circostanza, prevedibile o meno, da cui possa derivare un rischio elevato per i diritti e le libertà fondamentali degli Interessati al trattamento.

  2. Il Responsabile del Trattamento si impegna ad assistere il Titolare del Trattamento nell’assolvimento degli obblighi di notifica al Garante e, laddove ne ricorrano i presupposti di legge, di informazione agli Interessati al Trattamento delle violazioni di dati.

Valutazione d’impatto

  1. Il Responsabile del trattamento si impegna ad assistere il Cliente nelle attività necessarie all’assolvimento degli obblighi relativi alla Valutazione di Impatto sui dati Personali, sulle base delle informazioni in proprio possesso, in ragione dei trattamenti svolti in qualità di Responsabile, ivi incluse le informazioni relative agli eventuali trattamenti effettuati dai Sub-Responsabili.

Restituzione o cancellazione dei dati

  1. Il Responsabile al termine del contratto, su richiesta del Cliente, si impegna a cancellare e/o restituire tutti i Dati Personali al Titolare e cancellare comunque (quindi anche se non richiesto dal cliente) le copie esistenti di dati, entro i successivi sei mesi, salvo il caso in cui una legge dell’Unione o di uno Stato Membro richieda la conservazione di tali Dati Personali.

Amministratore di sistema

  1. Premesso che il Provvedimento Generale del Garante italiano per la protezione dei dati personali “Misure accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – del 27 novembre 2008” ha introdotto alcuni adempimenti specifici per gli amministratori di sistema in conseguenza delle funzioni per mezzo delle quali alcune operazioni di trattamento comportano particolari e più ampi privilegi per l’accesso ai dati personali, ovvero quando le attività siano esercitate in un contesto che renda tecnicamente possibile l'accesso, anche incidentale, a dati personali, da ciò derivando la necessità di predisporre una maggiore tutela agli accessi ai dati personali.

  2. Premesso inoltre, che, l’Amministratore del sistema è scelto in quanto fornisce sufficienti ed idonee garanzie di esperienza, capacità ed affidabilità circa l’applicazione delle norme in materia di protezione dei dati personali, anche conspecifico riferimento alla sicurezza dei dati personali trattati.

  3. Il Cliente affida al Responsabile la funzione di Amministratore del sistema, precisando le seguenti istruzioni:

  4. Il Responsabile si impegna a designare ciascun amministratore (persona fisica) dei sistemi del Cliente garantendo altresì l’esperienza, la capacità e affidabilità del soggetto designato.

  5. A fronte di richiesta scritta del Cliente con un preavviso di almeno 15 (quindici) giorni lavorativi, il Responsabile si impegna a comunicare gli estremi identificativi delle persone fisiche amministratori di sistema, con le funzioni ad essi attribuite.

  6. Il Responsabile si impegna a verificare, con cadenza almeno annuale, gli accessi degli amministratori di sistema in modo da verificare la loro rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali effettuati per conto del Cliente.

  7. Gli Amministratori di Sistema designati dal Responsabile dovranno accedere ai sistemi informatici tramite credenziali univoche o, in seconda istanza e solo se strettamente necessario, utilizzando credenziali tecniche o generiche per l’amministrazione dei sistemi.

  8. La funzione di Amministratore del sistema affidata al Responsabile del trattamento decorre dalla data di accettazione del presente DPA e avrà efficacia sino alla cessazione del Contratto.

Responsabilità e Manleva

  1. Il Responsabile del trattamento si obbliga a tenere indenne e manlevare il Cliente da qualsivoglia perdita, costo, sanzione, danno e da qualsivoglia responsabilità ascritta a quest’ultimo derivante dalla violazione, da parte del Responsabile medesimo, di propri autorizzati o di propri ulteriori Responsabili, delle disposizioni contenute nel presente DPA e/o delle disposizioni vigenti in materia di protezione dei dati personali.

  2. Qualora il Responsabile violi una delle disposizioni del presente accordo, determinando le finalità ed i mezzi del trattamento dei dati personali, lo stesso sarà considerato a tutti gli effetti quale Titolare delle attività di trattamento per le quali ha determinato, in autonomia ed in violazione del presente DPA, finalità e mezzi del trattamento.

  3. Qualora una o più istruzioni, clausole od obbligazioni disciplinate dal Contratto o dal presente DPA e rivolte al Responsabile comportino una violazione delle norme in materia di protezione dei dati personali, il Responsabile ne informa prontamente e per iscritto il Titolare.

GARANZIE DEL CLIENTE

  1.  Il Cliente garantisce al Responsabile che i dati oggetto del trattamento: 

  • sono pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati;

  • i dati personali e/o le categorie particolari di dati personali, oggetto delle operazioni di trattamento affidate al Responsabile, sono raccolti e trasmessi nel rispetto della normativa applicabile. 

Resta inteso che rimane a carico del Cliente individuare la base giuridica del trattamento dei dati personali degli interessati.

DISPOSIZIONI FINALI E RINVIO

  1.  La sottoscrizione del presente DPA non prevede alcun compenso aggiuntivo in favore del Responsabile rispetto a quello già pattuito nel Contratto.

  2. Per quanto non espressamente previsto, si rinvia alle disposizioni vigenti in materia di protezione di dati personali.

  3. Le Parti si danno reciprocamente atto che il presente contratto è stato concordato in ogni sua parte, pertanto non trovano applicazione gli articoli 1341 e 1342 c.c.