Il presente documento (di seguito anche “accordo” o “atto”) per la nomina a Responsabile del Trattamento dei Dati (DPA) costituisce parte integrante degli accordi e dei relativi obblighi contrattuali, stipulati tra Quantik Recos srl, Via L. Spallanzani 9, 42024 Castelnovo di Sotto (RE) Italia – SDI SUBM70N – P.IVA 02677690352, nella persona del legale rappresentante pro tempore (di seguito indicato come “Fornitore”) ed il Cliente, nel quale sono definiti i termini e le condizioni applicati ai servizi offerti (di seguito indicati come “Servizi”) e relativamente alle attività di trattamento dei dati necessarie e/o opportune per dare esecuzione al servizio affidato.
Il presente accordo di nomina ex art. 28 Reg. UE 2016/679 e le altre clausole del contratto applicato ai servizi offerti dal Fornitore sono complementari.
In caso di contraddizione tra le presenti clausole e le disposizioni del Contratto, vigenti tra le Parti al momento dell’accettazione delle presenti clausole, o conclusi successivamente, prevalgono le presenti clausole.
PREMESSO CHE
- ⏺ L’art. 28 del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito, per brevità, anche“ GDPR ” o “ regolamento (UE) 2016/679 ”) prevede che qualora un trattamento debba essere effettuato per conto del Titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato;
- ⏺ il Fornitore è in possesso delle garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento generale sulla protezione dei dati e garantisca la tutela dei diritti dell’interessato;
- ⏺ Il Fornitore effettua il trattamento dei dati personali per conto del Cliente e opera quale Responsabile del trattamento, ai sensi dell’art. 28 del Reg. UE 2016/679 mentre il Cliente agisce come Titolare del trattamento, le cui definizioni sono stabilite dall’art. 4 del Reg. UE 2016/679;
- ⏺ il Cliente affida al Fornitore tutte – ed esclusivamente – le operazioni di trattamento dei dati personali necessarie per dare piena esecuzione ai Servizi descritti. In caso di danni derivanti dal trattamento, il Fornitore ne risponderà qualora non abbia adempiuto agli obblighi della normativa pro tempore vigente in materia di trattamento di dati personali specificatamente diretti ai responsabili del trattamento o abbia agito in modo difforme o contrario rispetto alle istruzioni validamente scritte dal Cliente.
Tanto premesso le parti convengono quanto segue:
a) le premesse e gli allegati formano parte integrante e sostanziale del presente accordo;
b) il presente accordo e l’adempimento degli obblighi ivi previsti non comportano alcun diritto del Fornitore ad uno specifico compenso e/o indennità e/o rimborso.
1. OGGETTO
Con l’accettazione del Contratto la presente DPA si considera perfezionata ed accettata dal Cliente che, ai sensi dell’art. 28 del GDPR, nomina Quantik Recos s.r.l. Responsabile del trattamento relativamente ai dati personali trattati nell’ambito dell’esecuzione del contratto.
Le presenti pattuizioni hanno ad oggetto la disciplina delle condizioni alle quali il Fornitore si impegna ad effettuare le operazioni di trattamento dei dati e delle informazioni personali come definiti di seguito.
Nell’ambito dei loro rapporti contrattuali, le parti si obbligano a rispettare la normativa vigente e applicabile al trattamento dei dati personali, e in particolare, il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, applicabile dal 25 maggio 2018 (di seguito anche semplicemente Regolamento) e il Codice privacy (D. Lgs. 196/2003, così come modificato dal D. lgs 101/2018 recante le disposizioni per l’adeguamento della normativa nazionale al suddetto Regolamento).
2. DESCRIZIONE DEI TRATTAMENTI DELEGATI
Il Fornitore è autorizzato a trattare i dati personali necessari a prestare i servizi forniti, indicati nel dettaglio nel contratto in essere tra le parti richiamato in premessa.
Ai suoi incaricati, siano essi interni o esterni all’organizzazione, viene prescritto di non effettuare alcun trattamento sui dati personali contenuti negli strumenti elettronici, fatta unicamente eccezione per i trattamenti di carattere temporaneo strettamente necessari per effettuare la gestione o manutenzione dei sistemi (a titolo esemplificativo attività connesse alla gestione dei backup, aggiornamenti automatici dei sistemi operativi e dei pannelli, richieste di supporto del cliente, interventi sul sistema di virtualizzazione, richieste di restore, upgrade hw, sostituzioni parti hw difettose, migrazione del sistema a seguito di richieste di upgrade hw).
Più precisamente il Fornitore è autorizzato a compiere le operazioni di trattamento indicate nell’allegato A e a trattare i dati descritti nel suddetto allegato.
3. DURATA DELL’ACCORDO
Il presente accordo avrà efficacia fintanto che siano erogati i Servizi, salvi gli specifici obblighi che per loro natura sono destinati a permanere. Qualora il rapporto tra le parti venisse meno o perdesse efficacia per qualsiasi motivo o i Servizi non fossero più erogati, anche il presente accordo verrà automaticamente meno senza bisogno di comunicazioni o revoche e il Fornitore non sarà più legittimato a trattare i dati. Lo stesso, tuttavia, in ogni caso resterà obbligato a operare secondo il disposto dell’articolo 5 numero 12.
4. OBBLIGHI DEL CLIENTE
Il Cliente si obbliga a:
1. fornire al Fornitore la descrizione dei trattamenti delegati come indicati al n. 2 del presente accordo;
2. documentare per iscritto tutte le istruzioni riguardanti il trattamento dei dati da parte del Fornitore;
3. comunicare per iscritto al Fornitore qualsiasi variazione si dovesse rendere necessaria nelle operazioni di trattamento dei dati;
4. assicurare, sin d’ora e per tutta la durata del trattamento, il rispetto degli obblighi previsti dal regolamento europeo sulla protezione dei dati.
5. supervisionare il trattamento, compresa la realizzazione degli audit e le ispezioni col contributo del Fornitore. Qualora il Cliente operi quale Responsabile del trattamento in nome di Titolari terzi garantisce al Fornitore: di aver ricevuto le necessarie autorizzazioni dal Titolare, di aver informato il Titolare che il Fornitore è stato nominato sub-responsabile del trattamento, di aver sottoscritto con il Titolare un accordo di nomina coerente con i termini e le condizioni di cui al presente DPA e al Contratto.
5. OBBLIGHI DEL FORNITORE
Il Fornitore si impegna a:
1. trattare i dati personali per le sole finalità oggetto del trattamento;
2. trattare i dati personali in conformità alle istruzioniscritte allegate al presente contratto; se il Fornitore ritiene che un’istruzione ricevuta rappresenti una violazione del Regolamento generale sulla protezione dei dati, o del diritto dell’Unione europea o del diritto di uno Stato membro, ne informa tempestivamente il Cliente. Inoltre, se il Fornitore è tenuto a procedere a un trasferimento di dati verso un paese terzo o un’organizzazione internazionale in virtù del diritto dell’Unione o del diritto di uno Stato membro al quale sia sottoposto, deve informare il Cliente di tale obbligo giuridico prima del trattamento a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
3. procedere al trasferimento di dati personali all’estero esclusivamente nel rispetto delle relative istruzioni impartite dal Cliente;
4. garantire la riservatezza dei dati personali trattati nell’ambito del presente contratto;
5. assicurare che le persone autorizzate a trattare i dati a carattere personale in virtù del presente contratto:
> si impegnino a rispettare la riservatezza o siano sottoposte a un idoneo obbligo legale di riservatezza;
> ricevano le istruzioni necessarie a mantenere la protezione dei dati a carattere personale;
6. tener conto, per quanto riguarda strumenti, prodotti, applicazioni o servizi, dei principi della privacy sin dalla progettazione (privacy by design) e della privacy per impostazione predefinita (privacy by default).
Inoltre il Fornitore si assume gli ulteriori obblighi di seguito specificati tenendo conto di specifici aspetti legati alla gestione dei dati.
6. SUB-RESPONSABILI
Il Fornitore può avvalersi di altro responsabile del trattamento, che presentano le medesime garanzie sufficienti in ordine alla messa in atto delle misure tecniche e organizzative adeguate in modo che il trattamento soddisfi i requisiti del Regolamento generale sulla protezione dei dati, tramite la stipula di uno specifico contratto che preveda gli stessi obblighi previsti dal presente DPA. Il Cliente, in qualità di Titolare del trattamento, con il perfezionamento del presente DPA, autorizza espressamente il Fornitore ad avvalersi di sub-responsabili, necessari per l’erogazione dei servizi oggetto del Contratto. Il Fornitore, previa richiesta del Cliente, fornirà l’elenco aggiornato dei sub-responsabili.
7. DIRITTO DEGLI INTERESSATI ALL’INFORMATIVA
Spetta al Cliente fornire l’informativa agli interessati.
8. ESERCIZIO DEI DIRITTI DA PARTE DEGLI INTERESSATI
Nei limiti del possibile, il Fornitore deve collaborare per consentire di fornire riscontro alle richieste degli interessati. Quando gli interessati si rivolgono al Fornitore per l’esercizio dei loro diritti, il Fornitore deve inviare queste richieste, non appena vengono ricevute, all’indirizzo PEC o mail indicato dal Cliente.
9. NOTIFICA DELLE VIOLAZIONI DEI DATI PERSONALI
In ordine all’obbligo di notifica di violazioni di dati personali che sussiste in capo al Cliente, Il Fornitore, tenendo conto della natura del trattamento e delle informazioni a sua disposizione, assiste il Cliente nell’individuazione delle violazioni di dati personali comunicando tempestivamente al Cliente le informazioni di cui il Fornitore sia venuto a conoscenza con le seguenti modalità:
– invio di comunicazione all’indirizzo PEC del Cliente presente nel registro INI-PEC / IPA o comunicato direttamente dal Cliente al momento dell’adesione ai servizi.
Tale comunicazione è accompagnata da tutta la documentazione utile al fine di permettere di provvedere, se necessario, alla notifica di tale violazione all’Autorità di Controllo competente nei termini di legge.
Il Fornitore resta a disposizione del Cliente nelle 72 ore successive al momento in cui il Cliente sia venuto a conoscenza della violazione per assisterlo negli adempimenti del caso.
10. AUSILIO DEL FORNITORE PER IL RISPETTO DI ULTERIORI OBBLIGHI
Il Fornitore si rende disponibile a collaborare nell’effettuazione della valutazione di impatto sulla protezione dei dati personali e della consultazione preventiva rivolta all’Autorità di controllo ove i trattamenti che determinino tali obblighi coinvolgano il Fornitore.
11. MISURE DI SICUREZZA
Il Fornitore si impegna a mettere in atto le misure di sicurezza tecniche e organizzative che garantiscono un livello di sicurezza adeguate al rischio.
Più precisamente, il Fornitore è tenuto ad adottare, sui sistemi con cui tratta i dati oggetto del presente accordo, misure adeguate che comprendono, se del caso, tra le altre:
⏺ pseudonimizzazione e cifratura dei dati personali;
⏺ misure che abbiano la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
⏺ misure che abbiano la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
⏺ una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Il Cliente, al momento della adesione al contratto di servizio, può consultare le misure di sicurezza implementate dal Fornitore nella relativa documentazione messa a sua disposizione dal Fornitore stesso.
Qualora il Cliente desideri implementare misure di sicurezza superiori a quelle indicate dal Fornitore, potrà acquistare i relativi servizi aggiuntivi. Il costo dei servizi aggiuntivi sarà quello praticato al momento dell’acquisto.
12. SORTE DEI DATI
Al termine della prestazione del servizio relativo al trattamento dei dati, il Fornitore, salvo la sussistenza di un obbligo di legge che preveda la loro conservazione, si obbliga a restituire gli stessi al Cliente.
La restituzione si accompagna alla distruzione di tutte le copie esistenti in cartaceo e/o nel sistema informatico del Fornitore.
Una volta distrutti i dati, il Fornitore deve comprovarne per iscritto la distruzione.
13. RESPONSABILE PER LA PROTEZIONE DEI DATI (DATA PROTECTION OFFICER, DPO O RPD)
Il Fornitore, ai sensi dell’art. 37 del Regolamento generale sulla protezione dei dati, ha designato il Responsabile per la protezione dei dati (RPD o DPO).
Il DPO nominato è l’Avv. Maria Leda Piedimonte ed è contattabile al seguente indirizzo PEC dpo@messaggipec.it
14. REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO
Il Fornitore dichiara di tenere per iscritto un registro di tutte le attività di trattamento effettuate sulla base del presente accordo contenente tutte le informazioni richiesti dall’art. 30 del Regolamento.
15. DOCUMENTAZIONE
Il Fornitore mette a disposizione del Cliente la documentazione necessaria a dimostrare il rispetto di tutti i suoi obblighi e si attiva per consentire gli audit – comprese le ispezioni – e per contribuire agli audit.
16. AMMINISTRATORE DI SISTEMA
Ove occorra e per quanto concerne i trattamenti effettuati per fornire i Servizi, il Fornitore è tenuto altresì al rispetto delle previsioni pro tempore applicabili relative alla disciplina sugli amministratori di sistema contenute nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 modificato in base al provvedimento del 25 giugno 2009 e delle istruzioni specifiche riportate nell’allegato “B”.:
ALLEGATO A
A. DESCRIZIONE DEL TRATTAMENTO
Categorie di interessati i cui dati personali sono trattati.
Soggetti utilizzatori dei servizi (clienti/utenti), altri soggetti.
Categorie di dati personali trattati.
Dati la cui trasmissione è implicita nell’utilizzo di protocolli di comunicazione internet
Si tratta di dati che non vengono raccolti per essere associati a soggetti identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti (es. indirizzi IP).
Finalità’: tali dati vengono trattati per il corretto funzionamento del sito di Quantik e dei servizi forniti e sono acquisiti da sistemi informatici e procedure software nel corso del loro normale esercizio.
Tali dati vengono utilizzati solamente per informazioni statistiche anonime relative all’utilizzo del servizio e per verificarne il corretto funzionamento.
Dati connessi alla registrazione di nomi a dominio
Si tratta di dati identificativi e di contatto che possono essere comunicati a terze parti sempre esclusivamente per le suddette finalità (Autorità di registrazione nazionali ed estere).
Al termine della registrazione del dominio i dati forniti, secondo quanto previsto da ciascuno dei Registri di competenza, verranno pubblicati sul WHOIS (pubblico database che contiene tutti i dati degli intestatari dei nomi a dominio).
Finalità: registrazione di nomi di dominio
Il Responsabile effettuerà, per conto del Cliente , il trattamento di quei dati personali necessari all’esecuzione dei servizi, tra cui: dati identificativi(nome cognome), anagrafici, di contatto (telefono,email, indirizzi), informazioni demografiche, dati relativi ai documenti d’identità, dati di connessione (log o ip), numero di identificazione, identificativo on line..
Natura del trattamento
Trattamento dei dati ai fini dell’esecuzione dei Servizi di cui al Contratto.
Finalità per le quali i dati personali sono trattati per conto del Cliente.
Il trattamento dei dati ai fini dell’esecuzione del Contratto ed, in particolare, ai fini dello svolgimento dei Servizi descritti nel Contratto.
Durata del trattamento
Per l’intero periodo di durata del Contratto così come eventualmente prorogato/rinnovato di comune accordo tra le Parti.
B. ISTRUZIONI
B.1 ISTRUZIONI GENERALI
Il Fornitore è tenuto a rispettare le seguenti istruzioni:
⏺ agire nell’ambito di operatività consentito in base ai rapporti contrattuali in essere potendo effettuare le operazioni funzionali alla realizzazione e gestione delle attività individuate nel contratto, senza eseguire trattamenti ulteriori a quelli meramente necessari per lo svolgimento delle attività concordate;
⏺ mantenere l’assoluto riserbo sui dati personali di cui verranno a conoscenza, anche incidentalmente o per caso fortuito, in ragione dell’esercizio delle funzioni assegnate;
⏺ accedere ai dati solo ed esclusivamente per l’esecuzione delle mansioni delegate;
⏺ mantenere la riservatezza delle credenziali utilizzate per l’accesso ai dati;
⏺ astenersi dall’effettuare qualsiasi copia dei dati senza diversa specifica autorizzazione;
⏺ effettuare le operazioni di estrapolazione solo nel caso di specifica autorizzazione e tenendo traccia dell’avvenuta operazione;
⏺ segnalare al Cliente eventuali criticità che dovessero riscontrare sul piano della sicurezza nello svolgimento dell’attività di competenza.
Il Fornitore è poi tenuto a seguire le seguenti istruzioni nella gestione dei dati con propria strumentazione informatica:
⏺ garantire la sicurezza dei sistemi di competenza, assicurando l’adozione di misure adeguate ai rischi;
⏺ in ordine alla dismissione della strumentazione informatica, osservare le procedure prescritte dal Garante Privacy nel provvedimento del 13 ottobre 2008 in materia di dismissione di pc e dispositivi elettronici contenenti banche dati, attivando gli opportuni accorgimenti tecnici idonei a cancellare in maniera definitiva i dati personali ivi memorizzati così da garantire la loro non intelligibilità.
In ordine al trasferimento in Paesi terzi extra UE, il Fornitore è tenuto a:
⏺ avvalersi preferibilmente di strumenti informatici e/o telematici e/o di personale che non determinino il trasferimento di dati in Paesi terzi extra UE, dovendo altrimenti assicurare in ogni caso che il trasferimento dei dati avvenga in conformità alla normativa vigente in materia di protezione dei dati personali.
Nel caso in cui il Fornitore riceva istanze dagli interessati per l’esercizio dei diritti riconosciuti dalla normativa applicabile in materia di protezione dei dati personali dovrà:
⏺ darne tempestiva comunicazione scritta al Cliente allegando copia della richiesta;
⏺ tenendo conto della natura del trattamento, assistere il Cliente con misure tecniche e organizzative adeguate al fine di soddisfare l’obbligo del Cliente di dare seguito alle richieste per l’esercizio dei diritti degli interessati.
Se il Fornitore esercita la loro attività attraverso dipendenti o collaboratori che operano sotto la sua autorità, è tenuto a seguire le seguenti ulteriori istruzioni:
⏺ autorizzare al trattamento le persone di cui si avvalgono e fornire adeguate istruzioni circa le modalità del trattamento, in ottemperanza a quanto disposto dalla legge e dal presente accordo. A titolo esemplificativo e non esaustivo, il Fornitore, nel designare le persone autorizzate al trattamento, dovrà prescrivere che esse abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati e osservare le istruzioni indicate ai punti precedenti;
⏺ vincolare le persone autorizzate al trattamento alla riservatezza o ad un adeguato obbligo legale di riservatezza, mediante apposito e valido accordo di riservatezza o non divulgazione, anche per il periodo successivo all’estinzione del rapporto di collaborazione intrattenuto, in relazione alle operazioni di trattamento da esse eseguite;
⏺ consentire il trattamento di dati personali con strumenti elettronici alle sole persone autorizzate, cui deve essere attribuita specifica password di accesso;
⏺ prescrivere alle persone autorizzate di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’autorizzato;
⏺ prevedere la disattivazione delle credenziali di autenticazione non utilizzate da almeno sei mesi, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le credenziali devono essere disattivate anche in caso di perdita della qualità che consente alla persona autorizzata l’accesso ai dati personali;
⏺ impartire alle persone autorizzate le istruzioni per la corretta gestione degli strumenti elettronici e degli eventuali supporti cartacei utilizzati per svolgere le operazioni di trattamento di dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.
B.2 Istruzioni specifiche per l’attività di amministratore di sistema
Il Fornitore, in ordine al suo ruolo di amministratore di sistema, è tenuto a:
⏺ designare individualmente i soggetti che nell’ambito dei Trattamenti svolti per il Cliente assolvono alla funzione di amministratore di sistema, indicando, nella designazione, l’elencazione analitica degli ambiti di operatività consentiti secondo il profilo di autorizzazione assegnato al singolo amministratore di sistema;
⏺ conservare e fornire al Cliente i riferimenti delle persone fisiche preposte quali amministratori di sistema;
⏺ fornire a coloro che operano quali amministratori di sistema l’informativa privacy.