NOMINA A RESPONSABILE ESTERNO DEL TRATTAMENTO DATI PERSONALI
ai sensi dell’art. 28 del Regolamento UE 2016/679
Il cliente, fornitore e/o committente per il servizio oggetto del contratto/affidamento nomina Etruria P.A. S.r.l., con sede legale in Empoli (FI), via R. Reali, n. 20 – 22, zona Ind. Terrafino, C.F. e P.Iva: 05883740481, quale Responsabile del trattamento dei dati, con la descrizione dettagliata dei compiti ed oneri ai quali saranno tenuti in virtù di tale ruolo secondo quanto segue.
1. Dati trattati da Etruria P.A. S.r.l. nell’erogazione dei servizi di cui al contratto
Il Titolare del trattamento affida al Responsabile esterno il trattamento di tutti i dati personali relativamente ai
compiti indicati nel Contratto stipulato.
2. Natura e finalità del trattamento
Per effetto della presente nomina, Etruria PA S.r.l. è autorizzata esclusivamente al trattamento dei dati personali nella misura e nei limiti necessari all’esecuzione delle attività ad essa assegnate.
In alcun caso i dati potranno essere trattati per finalità diverse rispetto a quanto previsto dal rapporto intercorrente tra il Responsabile e il Titolare del trattamento.
3. Doveri e compiti del Responsabile
Per effetto della presente nomina il Responsabile esterno del trattamento si impegna a garantire la correttezza del trattamento, nonché adeguate misure di sicurezza a protezione dei dati trattati.
Nello specifico il Responsabile esterno dovrà:
– trattare dati personali soltanto su istruzione documentata del Titolare del trattamento;
– trasferire i dati personali verso un Paese terzo extra UE soltanto previa istruzione documentata del Titolare del trattamento. Laddove il trasferimento sia richiesto dal diritto dell’Unione Europea o dalla normativa nazionale cui è soggetto il Titolare, il Responsabile esterno dovrà informare il Titolare circa tale obbligo giuridico prima del trattamento;
– garantire che le persone Incaricate/Autorizzate al trattamento dei dati personali abbiano ricevuto una lettera di incarico con la quale si siano impegnate a rispettare gli obblighi di segretezza e riservatezza, anche per il periodo successivo all’estinzione del rapporto lavorativo intrattenuto con il Titolare del trattamento, in relazione alle operazioni di trattamento da esse eseguite;
– impartire per iscritto, agli Incaricati al trattamento, istruzioni in merito alle operazioni di trattamento dei dati personali e a vigilare sulla loro puntuale applicazione;
– adottare tutte le misure di sicurezza previste dalla normativa ed in particolare, ove applicabili, le misure previste dall’art. 32 del Regolamento;
– assistere il Titolare del trattamento con misure tecniche e organizzative adeguate a proteggere i dati personali e nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 “Sicurezza del Trattamento”, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile esterno del trattamento;
– assistere e informare il Titolare del trattamento nel dare seguito alle richieste dell’Interessato nell’esercizio dei propri diritti;
– collaborare alle attività di revisione, vigilanza e controllo realizzate dal Titolare del trattamento o da un altro soggetto da questi incaricato;
– mettere a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal Regolamento;
– informare tempestivamente il Titolare del trattamento qualora, a suo parere, un’istruzione violi delle disposizioni del Regolamento;
– per quanto concerne l’ mministratore di sistema, il Responsabile del trattamento tenuto al rispetto delle disposizioni relative alla disciplina sugli Amministratori di sistema, incluse le disposizioni contenute nel
provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008, come successivamente modificato dal provvedimento del 25 giugno 2009, impegnandosi a conservare gli estremi identificativi delle 2 persone fisiche preposte quali amministratori di sistema, e a fornirli al Responsabile e al Titolare su richiesta del medesimo;
– garantire di avere la capacità strutturale, tecnica ed organizzativa per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
– redigere il “Registro del trattamento” se tenuto in base a quanto disposto dall’art. 30, commi 2, 3, 4 e 5 del Regolamento (UE) 2016/679.
Inoltre, il Responsabile esterno del trattamento deve:
– raccogliere e registrare i dati personali per scopi determinati, espliciti e legittimi, nonché trattare, custodire e controllare i dati personali in modo lecito e secondo correttezza osservando tutte le disposizioni dettate dal Regolamento (UE) 679/2016;
– assicurare che il trattamento dei dati personali sia pertinente, completo e non eccedente rispetto alle finalità per le quali sono raccolti e successivamente trattati;
– attuare gli obblighi di informazione e acquisizione del consenso, quando richiesto, nei confronti degli Interessati dal trattamento;
– garantire all’interessato l’effettivo esercizio dei diritti previsti dalla normativa di riferimento, in ordine all’accesso ai dati e a tutti i diritti di aggiornamento, rettificazione, cancellazione e di opposizione;
– osservare le eventuali prescrizioni emanate dall’ utorità garante per la protezione dei dati personali.
4. Durata del trattamento
La presente nomina a Responsabile del trattamento ha durata pari a quella del Contratto stipulato tra il Titolare ed Etruria P.A. S.r.l. in relazione al rapporto prescelto.
ll’esaurirsi del rapporto, facendo salve le necessità di conservazione dei dati qualora espressamente richiesto dalla legge, il Responsabile esterno del trattamento cancellerà dai propri server e ulteriori banche dati tutti i dati relativi alle attività oggetto del contratto stesso, compresi i dati personali.
5. Tipologia di dati personali oggetto del trattamento e categorie di interessati
I dati personali che potranno essere trattati dal Responsabile esterno sono: Dati personali anagrafici, quali nome, cognome, codice fiscale e altri elementi di identificazione personaleconnessi alla gestione dei servizi affidati. Il Responsabile esterno potrebbe inoltre, secondo le finalità indicate nel contratto stipulato, venire a conoscenza di
dati personali relativi a condanne penali o reati ai sensi dell’art. 10 del G.D.P.R.
6. Categorie di interessati
I dati personali oggetto del trattamento da parte del Responsabile esterno si potranno riferire alle categorie di interessati alle quali fa riferimento il Contratto stipulato.
7. Sub-responsabili
Per effetto della presente nomina, il Titolare autorizza Etruria PA S.r.l. ad avvalersi di propri sub-responsabili, per l’erogazione di servizi (quali: assistenza, manutenzione, erogazione di servizi aggiuntivi) connessi alla prestazione richiesta riconoscendo ed accettando che ciò possa comportare il trattamento di dati da parte dei medesimi.
Ai fini della nomina di un sub-responsabile, Etruria PA S.r.l. assicura, tramite un contratto scritto, che:
a) il subresponsabile acceda ai dati del Titolare solo nella misura richiesta per adempiere alle obbligazioni al medesimo delegate in conformità con il Contratto;
b) il sub-responsabile assuma gli obblighi di cui all’art. 28 del GDPR;
c) Etruria PA S.r.l. rimanga responsabile nei confronti del Titolare per tutti gli obblighi assunti, anche in relazione alle attività affidate al sub-responsabile. Al fine di consentire al Titolare dei dati un preciso controllo sui suddetti soggetti, nonché di provvedere agli adempimenti sussistenti rispetto a tutta la categoria di detti soggetti, Etruria PA S.r.l. si impegna a conservare aggiornata la lista di tali soggetti nonché apposita documentazione da cui risultino gli obblighi assunti da detti soggetti in relazione agli oneri in materia di trattamento dei dati personali precisati nel presente documento, qualora gli stessi trattino dati nell’ambito del rapporto/servizio prescelto. Etruria PA S.r.l. si impegna ad informare il Titolare, qualora richiesto, in caso di modifiche di tali soggetti.
Per quanto non previsto e non riportato sul presente atto di nomina si rinvia alla normativa vigente in materia di protezione e sicurezza dei dati personali, nonché alla normativa nazionale prevista in materia (in particolare: al Regolamento UE 2016/679 e al Codice in materia di protezione dei dati personali, D.Lgs. n. 196/2003, integrato con le modifiche del D.Lgs. n. 101/2018)
Etruria P.A. S.r.l.