Data Processing Agreement (DPA)

nomina responsabile esterno al trattamento dati ex art. 28 GDPR

Il Titolare del Trattamento, così come individuato nell’Offerta e definito come Committente nelle Condizioni Generali di Contratto di Sviluppo Software

Premesso che:

  • è Titolare autonomo del trattamento dei dati (di seguito “Titolare”);
  • la normativa vigente in materia di protezione dei dati personali individua le modalità da adottare per il trattamento dei dati personali ed individua i soggetti che, in relazione all’attività svolta, sono tenuti agli adempimenti previsti dalla stessa legge;
  • il Titolare, può nominare un Responsabile dei trattamenti e lo individua tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento delle informazioni, ivi compreso il profilo relativo alla sicurezza, eseguendo i compiti affidati per iscritto dal Titolare ed effettuando il trattamento attenendosi alle istruzioni impartite dallo stesso;
  • il Titolare intende avvalersi dei Servizi di Sviluppo Software offerti da parte della Software House Keus s.r.l.;
  • ai sensi dell’art. 4, punto 8 del Regolamento 679/2016 (GDPR) il Responsabile della protezione dei dati personali è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del titolare;
  • la Software house possiede adeguati requisiti di esperienza, capacità e affidabilità sufficienti per mettere in atto misure tecniche e organizzative adeguate e per svolgere il ruolo di responsabile esterno del trattamento dei dati personali;

tutto ciò premesso,

NOMINA come Responsabile del trattamento

ai sensi dell’art. 28 GDPR, KEUS s.r.l. C.F. e P.IVA 05526240287, con sede in Via Vincenzo Stefano Breda, 35010 Limena (PD), per l’attività di sviluppo di Software Saas come meglio dettagliata nell’Offerta, nelle Condizioni Generali di Contratti di Sviluppo Software e gli ulteriori documenti ivi richiamati.

Ai fini dell’esecuzione dell’accordo, il Responsabile effettua il trattamento di tutti i dati personali, ivi compresi quelli particolari, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati e, dunque, necessari all’espletamento di tutti gli adempimenti connessi all’incarico conferito. Per l’esecuzione delle attività, dei servizi e delle prestazioni il Titolare mette a disposizione i dati e le informazioni necessarie.

Il Responsabile è tenuto a:

  1. provvedere affinché tutte le operazioni di trattamento informatico e manuale dei dati personali, nei limiti delle proprie competenze e attribuzioni e dunque per i soli fini indicati nel contratto, siano effettuate nel rispetto della normativa vigente e dei regolamenti aziendali in materia di tutela dei dati personali;
  2. trattare i dati secondo le istruzioni impartite dal Titolare;
  3. nominare per iscritto gli “Incaricati del trattamento” attribuendo i livelli di autorizzazione all’accesso ai dati e a impartire agli stessi idonee istruzioni per iscritto circa le modalità di esecuzione delle attività demandate, vigilando sul rispetto delle istruzioni impartite;
  4. aggiornare periodicamente l’individuazione dell’ambito di trattamento consentito ai singoli incaricati e provvedere a mantenere un elenco aggiornato degli stessi;
  5. garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate formalmente alla riservatezza o abbiano un adeguato obbligo legale di riservatezza e abbiano ricevuto la formazione necessaria in materia di protezione dei dati personali;
  6. aggiornare periodicamente l’elenco dei trattamenti dei dati personali e le relative banche dati gestite dall’azienda e tenere, ove applicabile, un registro (come previsto dall’art. 30 del GDPR) in formato elettronico di tutte le categorie di attività relative al trattamento;
  7. tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, a mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre e se del caso:
  1. la pseudonimizzazione e la cifratura dei dati personali;
  2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
  1. tenere i dati personali trattati in esecuzione del contratto di cui alle premesse separati rispetto a quelli eventualmente trattati per conto di altre terze parti applicando una segregazione fisica e logica, ove possibile;
  2. garantire la stretta osservanza dell’incarico ricevuto, escludendo qualsiasi trattamento o utilizzo dei dati personali di titolarità della Società non coerente con gli specifici trattamenti svolti in adempimento del contratto;
  3. informare e coinvolgere tempestivamente il Titolare di tutte le questioni riguardanti il trattamento dei dati personali ed in particolare nel caso di richieste di informazioni, controlli, ispezioni ed accessi da parte del Garante privacy;
  4. tenendo conto della natura del trattamento, assistere il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
  5. assistere il Titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento ed in particolare a collaborare nelle comunicazioni di violazioni di dati personali, negli adempimenti della valutazione di impatto e consultazione preventive;
  6. su scelta del Titolare, a cancellare o restituire i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e a cancellare le copie esistenti, salvo che il diritto dell’Unione o degli Stati preveda la conservazione;
  7. mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del presente accordo e contribuire alle attività di revisione, comprese le ispezioni, realizzati dal Titolare o da un altro soggetto da questi incaricato, informando immediatamente il Titolare qualora, a suo parere, un’istruzione violi il regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati;
  8. comunicare al Titolare qualsiasi variazione della situazione oggettiva o delle sue proprie caratteristiche soggettive, tali da compromettere il corretto espletamento dei compiti,
  9. avvertire prontamente il Titolare, entro tre (3) giorni lavorativi, in merito alle eventuali richieste degli interessati che dovessero pervenire al Responsabile, inviando copia delle istanze ricevute e collaborare al fine di garantire il pieno esercizio da parte degli interessati di tutti i diritti previsti dall’articolo 7;
  10. avvisare immediatamente, e comunque entro tre (3) giorni lavorativi, il Titolare di qualsiasi richiesta o comunicazione da parte dell’Autorità Garante o di quella Giudiziaria o di Pubblica Sicurezza eventualmente ricevuta, inviando copia delle istanze per concordare congiuntamente il riscontro.

Il Responsabile è sin da ora autorizzato alla nomina di Sub-responsabili. Nel caso in cui il Responsabile del trattamento ricorra ad un Sub-responsabile del trattamento per l’esecuzione di specifiche attività di trattamento, per conto del Titolare, sul Sub-responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel presente atto per il Responsabile esterno del trattamento, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento. Nel caso in cui il Sub-responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile iniziale conserva nei confronti del Titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi del Sub-responsabile anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso non gli è imputabile

La presente nomina opera fino alla conclusione dell’incarico conferito al Responsabile, a cui la presente afferisce, pertanto la durata del trattamento sarà limitata sino al perdurare del contratto in essere tra le parti, salvo diverso accordo tra le parti.