DPA

DATA PROCESSING AGREEMENT

(Accordo sul trattamento dei dati ai sensi dell’art. 28 del Regolamento 679/2016 “GDPR”)

Questo data processing agreement (“DPA”) integra il Contratto di Assistenza Sistemistica Prioritaria S. Flex (il “Contratto”) che si può richiedere via email a marketing@servintek.com e si applica al trattamento dei dati personali per conto del CLIENTE (di seguito anche “Titolare” o la “Società”) come parte di servizi offerti dal FORNITORE (di seguito anche il “Responsabile”) con il Contratto.

Se non diversamente stabilito, la presente versione del DPA è effettivo e rimane in forza fino al termine del Contratto.

1. Definizioni

I seguenti termini utilizzati nel DPA avranno i seguenti significati:

1. “Normativa applicabile”: l’insieme delle norme rilevanti in materia di protezione dei dati personali alle quali il Titolare è soggetto incluso il Regolamento europeo 2016/679 in materia di protezione dei dati personali (General Data Protection Regulation “GDPR”) e il D. Lgs. 196/2003 (“Codice Privacy”) nonché in ogni tempo, ogni linea guida, norma di legge, codice o provvedimento rilasciato o emesso dagli organi competenti o da altre autorità di controllo, ivi inclusi i Provvedimenti del Garante per la protezione dei dati personali.
2. “Titolare del trattamento”, “responsabile del trattamento”, “interessato”, “dati personali” e “trattamento” hanno il significato dato dalla Normativa applicabile.
3. “Misure tecniche e organizzative di sicurezza” sono le misure intese a proteggere i dati personali dalla distruzione accidentale o illegale o dalla perdita, alterazione, divulgazione o accesso non autorizzato, in particolare quando il trattamento comporta la trasmissione di dati su una rete, come previste dalla Normativa applicabile all’art. 32 GDPR e tutte le ulteriori misure tecniche ed organizzative necessarie a garantire un livello di sicurezza adeguato al rischio, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento posto in essere, come del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
4. “Data breach”: Si intende l’ipotesi in cui si verifica una violazione dei dati personali secondo l’art. 33 GDPR.
5. “Garante”: si intende l’autorità competente responsabile per la protezione dei dati.
6. “Sub-responsabile/i” Si intende qualsiasi responsabile del trattamento incaricato dal (i) Responsabile o (ii) da qualsiasi altro “sub-responsabile” di trattare dati personali per conto del Responsabile, sempre in conformità alle istruzioni del Titolare.

2. Oggetto del DPA

Le incombenze e le responsabilità oggetto del presente DPA vengono affidate al Responsabile sulla base delle dichiarazioni dallo stesso fornite alla Società e della successiva verifica da parte della Società della loro rispondenza al vero circa le caratteristiche di esperienza, capacità e affidabilità che vengono richieste dalla legge (art. 28 GDPR) per chi esercita la funzione di Responsabile.

Il Responsabile si dichiara disponibile e competente per la piena attuazione di quanto ivi disposto, conferma di essere a conoscenza degli obblighi che assume in relazione al dettato del GDPR, conferma, altresì, di disporre di una propria organizzazione che dichiara idonea a consentire il trattamento dei dati nel rispetto delle prescrizioni legislative, ivi compreso il profilo della sicurezza, e si impegna a procedere al trattamento dei dati personali attenendosi alle istruzioni impartite nel rispetto di quanto imposto dall’art. 28, lettera a) del GDPR.

Nei limiti delle proprie competenze e attribuzioni, il Responsabile garantisce l’osservanza degli obblighi di legge, sempre conformemente alle direttive e sotto la vigilanza del Titolare.

Onde consentire al Responsabile di espletare i compiti e le attribuzioni meglio specificati in seguito, con il presente DPA vengono fornite le specifiche istruzioni per l’assolvimento del compito assegnato.

Il Titolare ed il Responsabile riconoscono che questo DPA ed il Contratto rappresentano le istruzioni documentate da parte del Titolare con riferimento al trattamento da parte del Responsabile.

Ai fini di questo DPA, il Responsabile tratterà solamente dati personali che si riferiscono:

1. alle seguenti categorie di interessati:
2. alle seguenti categorie di dati personali:

Il Responsabile tratterà i dati personali esclusivamente al fine di dare esecuzione al Contratto.

3. Misure tecniche ed organizzative – Audit e diritti di verifica del Titolare

Il Responsabile ha adottato ed implementato Misure tecniche ed organizzative di sicurezza adeguate in base a quanto previsto dalla Normativa applicabile.

Il Titolare si riserva la facoltà di effettuare, anche tramite l’invio presso i locali del Responsabile di propri funzionari a ciò delegati, o tramite l’invio di apposite check list, verifiche tese a vigilare sulla puntuale osservanza delle disposizioni di legge e delle presenti istruzioni.

4. Correzioni, cancellazione o blocco di dati

Il Responsabile può solamente correggere, cancellare o bloccare il trattamento dei dati personali a beneficio del Titolare e quando ha avuto istruzioni dal Titolare in tal senso. Se l’interessato fa richiesta direttamente al Responsabile per la correzione o la cancellazione dei propri dati personali, il Responsabile indirizzerà la predetta richiesta al Titolare senza ritardo alcuno.

Alla scadenza del DPA, il Responsabile restituirà al Titolare tutti i dati in suo possesso forniti dal Titolare, oppure a cancellarli secondo le istruzioni che riceverà dal titolare, fatto salvo comunque il diritto del Responsabile di conservarne copia ove ciò sia espressamente richiesto dalla legge.

5. Istruzioni generali del Responsabile

Il Responsabile si impegna a:

1. tenere un registro, come previsto dall’art. 30 del GDPR, in formato elettronico, di tutte le categorie di attività relative al trattamento svolte per conto della Società, contenente:

• il nome e i dati di contatto del Responsabile e del Titolare e, laddove applicabile, del Responsabile della protezione dei dati;
• le categorie dei trattamenti effettuati per conto del Titolare;
• ove possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative adottate;

2. non diffondere o comunicare a terzi i dati trattati per dare esecuzione al Contratto se non nei casi previsti dal Contratto stesso o in base a specifiche istruzioni del Titolare;
3. garantire l’affidabilità di qualsiasi dipendente che accede ai dati personali del Titolare ed assicurare, inoltre, che gli stessi abbiano ricevuto adeguate istruzioni e formazione con riferimento alla protezione e gestione dei dati personali, e che siano vincolati al rispetto di obblighi di riservatezza non meno onerosi di quelli previsti nel presente DPA;
4. adottare le Misure tecniche ed organizzative di sicurezza;

5. procedere alla nomina del proprio/i amministratore/i di sistema, in adempimento di quanto previsto dal provvedimento del Garante del 27.11.08, pubblicato in G.U. n. 300 del 24.12.2008, ove ne ricorrano i presupposti;
6. assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile e garantire l’esercizio del diritto alla portabilità dei dati personali trattati per dare esecuzione del Contratto, ai sensi dell’art. 20 del GDPR, assicurando che gli stessi possano essere trasmessi in un formato strutturato, di uso comune e leggibile da qualsiasi dispositivo automatico;
7. notificare alla Società, senza ingiustificato ritardo ai sensi dell’art. 33 del GDPR, nel caso in cui si verifichi un Data breach anche presso i propri eventuali Sub-responsabili; la notifica deve contenere tutti i requisiti previsti dall’art. 33, 3° comma del GDPR (la natura delle violazioni, gli interessati coinvolti, le possibili conseguenze e le nuove misure di sicurezza implementate);

8. avvertire prontamente la Società in merito alle eventuali richieste degli interessati che dovessero pervenire al Responsabile inviando copia delle istanze ricevute all’indirizzo PEC indicato nell’articolo relativo alle comunicazioni e collaborare al fine di garantire il pieno esercizio da parte degli interessati di tutti i diritti previsti dalla Normativa applicabile;
9. adottare adeguati processi e ogni altra misura tecnica idonea ad attuare le istruzioni fornite dal Titolare, incluse:
   1. le procedure idonee a garantire il rispetto dei diritti e delle richieste formulate al Titolare dagli interessati relativamente ai loro dati personali;
   2. l’adozione di adeguate interfacce o sistemi di supporto che consentano di garantire e fornire informazioni agli interessati così come previsto dalla Normativa applicabile;

• procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta del Titolare, dei dati personali di ogni interessato;

1. procedure atte a garantire la cancellazione o il blocco dell’accesso ai dati personali a richiesta del Titolare;

10. avvisare immediatamente il Titolare di qualsiasi richiesta o comunicazione da parte dell’Autorità Garante o di quella Giudiziaria eventualmente ricevuta inviando copia delle istanze agli indirizzi di contatto indicati in Contratto per concordare congiuntamente il riscontro;
11. predisporre idonee procedure interne finalizzate alla verifica periodica della corretta applicazione e della congruità degli adempimenti posti in essere ai sensi della Normativa applicabile, attuate in accordo con il Titolare anche in applicazione delle Misure tecniche e organizzative di sicurezza;
12. garantire la stretta osservanza dell’incarico ricevuto, escludendo qualsiasi trattamento o utilizzo dei dati personali non coerente con gli specifici trattamenti svolti in adempimento dell’incarico medesimo;
13. ottemperare tempestivamente alle richieste del Titolare;
14. prima di iniziare il trattamento e, ove occorra, in qualsiasi altro momento, informare il Titolare se, a suo parere, una qualsiasi istruzione fornita dal Titolare si pone in violazione di legge.

6. Ulteriori obblighi del Responsabile

Il Responsabile, compatibilmente con quanto previsto dal presente DPA ed in conformità con le previsioni dell’art. 28 del GDPR, sarà altresì soggetto al seguente obbligo di riservatezza; a tal fine ogni persona che abbia accesso ai dati personali appartenenti al Titolare, sotto i termini del presente DPA, si impegna a mantenere la riservatezza ed è informata di qualsiasi speciale necessità derivante dal Contratto e della limitazione d’uso a specifici scopi.

7. Sub-responsabili

Il Responsabile è autorizzato sin da subito ad avvalersi di eventuali sub-responsabili. In tal caso, sarà onere del Responsabile avvisare senza ritardo il Titolare affinché quest’ultimo possa eventualmente opporsi, sulla base di ragionevoli motivazioni.

8. Durata

Il DPA rimarrà in vigore sino alla scadenza del Contratto.

9. Legge applicabile e foro competente

La legge applicabile ed il foro competente sono i medesimi stabiliti nel Contratto