I. Scopo del presente atto
Scopo del presente atto è definire le condizioni in base alle quali la Società Neogy s.r.l., in qualità di fornitore ai sensi del contratto di cui il presente atto è allegato, viene nominata responsabile esterno al trattamento dei dati e in quanto tale si impegna a svolgere per conto di Cogeser Energia s.r.l. di seguito Titolare, le operazioni di trattamento dei dati personali definite di seguito.
Nell'ambito delle loro relazioni contrattuali, le parti si impegnano a rispettare la riservatezza dei dati di seguito indicati nonché le norme in vigore applicabili al trattamento dei dati personali previste dal D. Lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” e ss.mm.ii. e dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 applicabile a decorrere dal 25 maggio 2018 (di seguito: GDPR).
II. Descrizione del trattamento concesso al fornitore ex art. 28 del GDPR
Il fornitore è autorizzato a trattare, per conto del Titolare del trattamento, i dati personali necessari per fornire i servizi sottesi al contratto di cui il presente è allegato. Per quanto riguarda l’identificazione dello scopo, la categoria dei dati, nonché le categorie di persone interessate, si rinvia a quanto previsto nella tabella di seguito riportata:
CATEGORIA DEI DATI
|
CATEGORIE DI INTERESSATI
|
Dati personali
|
Clienti
|
III. Durata del contratto
Si rinvia al contratto di cui il presente atto costituisce allegato.
IV. Obblighi del Fornitore nei confronti del Titolare del trattamento
Il fornitore si impegna a rispettare quanto di seguito indicato nel trattamento dei dati.
1. Finalità del trattamento
Il Fornitore si impegna a trattare i dati solo per le finalità che sono oggetto del contratto di cui il presente atto è un allegato. Qualora il Fornitore tratti i dati acquisiti per finalità diverse, esso è considerato Titolare autonomo e in quanto tale risponde delle eventuali violazioni.
2. Trattamento dei dati
Il Fornitore si impegna a trattare i dati in conformità alle istruzioni messe a disposizione da parte del Titolare in allegato al presente documento.
Qualora il Fornitore ritenga che un'istruzione costituisca una violazione del Regolamento europeo della protezione dei dati o di qualsiasi altra disposizione del diritto dell'Unione o della legislazione degli Stati membri relativa alla protezione dei dati, ne informa immediatamente il Titolare del trattamento.
Inoltre, qualora Il Fornitore sia tenuto a trasferire dati a un paese terzo o ad un'organizzazione internazionale a norma del diritto dell'Unione o della legislazione dello Stato membro cui è soggetto, è tenuto ad informare il Titolare del trattamento prima del trattamento, a meno che la legge in materia preveda diversamente, come nel caso di importanti ragioni di pubblico interesse.
3. Formazione del personale autorizzato
Il Fornitore assicura che le persone autorizzate al trattamento dei dati personali previsti nel contratto:
- si impegnino a rispettare gli obblighi legali in materia di riservatezza dei dati personali;
- ricevano adeguata formazione in materia di protezione dei dati personali.
4. Documentazione che il Fornitore mette a disposizione del Titolare
Il Fornitore si impegna a dimostrare la conformità a tutti i suoi obblighi di cui all’art. 28 del GDPR e permette l’esecuzione di revisioni, comprese ispezioni, svolte da parte del Titolare o soggetto terzo nominato e si impegna a contribuire ai relativi audit. Il Fornitore si impegna ad assistere il Titolare nella valutazione sui rischi in materia di protezione dei dati personali trattati, prevista secondo normativa. Il Titolare notifica per iscritto al Responsabile, con almeno 14 (quattordici) giorni di preavviso, la data ed il nominativo delle persone che, per suo conto, effettueranno le operazioni di ispezione e revisione
5. Privacy by design e by default
Il Fornitore si impegna a prendere in considerazione, in relazione ai propri strumenti, prodotti, applicazioni o servizi, i principi di protezione dei dati sin dalla fase di progettazione e per impostazione predefinita.
6. Nomina di subappaltatore da parte del Fornitore
Il Fornitore può richiedere ad un altro fornitore (in seguito denominato "subappaltatore") di svolgere attività specifiche di trattamento dei dati.
Il Fornitore informa il Titolare in anticipo, per iscritto, di eventuali modifiche relative all'aggiunta o alla sostituzione di altri subappaltatori. Queste informazioni devono indicare chiaramente le attività di trattamento subappaltate, l'identità e le informazioni di contatto del Fornitore e le date del subappalto. Il Titolare ha un termine minimo di 3 giorni dalla data di ricezione di tali informazioni per presentare le sue obiezioni. Il subappalto può essere effettuato solo se il Titolare non ha contestato entro il termine concordato, con l’obbligo del Titolare di motivare la sua opposizione.
Sia nel caso di autorizzazione generale o specifica, il subappaltatore è tenuto a rispettare i medesimi obblighi del presente contratto disciplinati in apposito altro per conto e secondo le istruzioni del Titolare. Il Fornitore assicura che il subappaltatore presenti sufficienti garanzie in merito all'attuazione di adeguate misure tecniche e organizzative in modo che il trattamento soddisfi i requisiti richiesti dalla normativa, assumendosene la relativa responsabilità.
Ne consegue che se il Subappaltatore non rispetta i suoi obblighi di protezione dei dati, il Fornitore rimane pienamente responsabile nei confronti del Titolare per l'esecuzione degli obblighi del subappaltatore - ferma comunque la possibilità per il Titolare di esperire un’azione diretta nei confronti dei Sub-responsabili, nel quale caso il Titolare mantiene esente Neogy da ogni responsabilità che ne possa derivare.
7. Obbligo di informativa agli interessati
Il Titolare è responsabile di fornire le informazioni previste per la tutela dei dati alle persone interessate dalle attività di trattamento al momento della raccolta dei dati e di mettere a disposizione degli interessati la lista aggiornata dei responsabili esterni al trattamento dei dati.
8. Esercizio dei diritti delle persone
Quando possibile, il Fornitore assiste il Titolare del trattamento nel rispetto dell'obbligo di adempiere alle richieste di esercizio dei diritti dei soggetti interessati.
Il Fornitore si impegna a comunicare tempestivamente ed entro 5 giorni lavorativi al Titolare le richieste degli interessati aventi ad oggetto i trattamenti disciplinati dal presente atto e a collaborare con il medesimo nella gestione.
9. Notifica di violazioni dei dati personali
Il Fornitore comunica al Titolare del trattamento ogni incidente e violazione dei dati personali senza ingiustificato ritardo ed entro 48 ore dall’avvenuta conoscenza della violazione a mezzo email all’indirizzo dpo@cogeser.it.
Tale notifica è accompagnata da ogni documentazione pertinente affinché il Titolare, se necessario, informi l'Autorità di Controllo competente.
La notifica deve contenere almeno:
-
una descrizione della natura della violazione di dati personali tra cui, se possibile, le categorie e il numero approssimativo di persone colpite dalla violazione e le categorie e il numero approssimativo di record di dati personali in questione;
-
il nome del responsabile della protezione dati o altro punto di contatto dal quale possono essere ottenute ulteriori informazioni;
-
la descrizione delle probabili conseguenze della violazione dei dati personali;
-
la descrizione delle misure prese dal Titolare del trattamento o le misure che intende adottare per porre rimedio alla violazione dei dati personali, tra cui, se del caso, misure destinate ad attenuare le possibili conseguenze negative.
Se, e nella misura in cui non sia possibile fornire simultaneamente tutte queste informazioni, le informazioni possono essere comunicate in un momento successivo, senza ritardo ingiustificato.
Sarà cura del Titolare del trattamento, informare immediatamente l'interessato della violazione dei dati personali, qualora la violazione possa creare un rischio elevato per i diritti e le libertà di una persona fisica, attraverso comunicato stampa o altro strumento idoneo.
10. Assistenza del Fornitore nel rispetto degli obblighi da parte del Titolare del trattamento
Il Fornitore assiste il Titolare del trattamento dei dati nell’esecuzione delle valutazioni d'impatto sulla protezione dei dati e se necessaria, nell'esecuzione della consultazione preventiva dell'autorità di vigilanza.
11. Misure di sicurezza
Il Fornitore si impegna ad attuare le misure tecniche e organizzative adeguate al servizio oggetto del contratto ai sensi dal GDPR art. 32.
12. Misure di trattamento dei dati dopo la cessazione dei servizi
Come da istruzioni, il Fornitore si impegna a distruggere tutti i dati personali trattati oppure trasferirli al Titolare entro 45 giorni, salvo l’ipotesi in cui il Fornitore sia tenuto a conservare le informazioni raccolte in adempimento di obblighi di legge. La restituzione deve essere accompagnata dalla distruzione di tutte le copie nei sistemi informativi del Fornitore. Nel caso in cui i dati vengano conservati, il Fornitore può indicare i motivi e i criteri di conservazione dei dati.
13. Responsabile per la protezione dei dati
Il Fornitore comunica al Titolare del trattamento il nome e il contatto della persona nominata responsabile della protezione dei dati, se prevista, ai sensi dell'articolo 37 del Regolamento europeo sulla protezione dei dati.
14. Tenuta del registro delle attività di trattamento
Ove applicabile, Il Fornitore dichiara di tenere per iscritto il registro delle attività di trattamento dei dati in maniera conforme a quanto previsto dalla normativa.
V. Obblighi del Titolare nei confronti del Fornitore
Il Titolare del trattamento si impegna a:
-
documentare per iscritto tutte le istruzioni relative al trattamento dei dati da fornire al Fornitore;
-
vigilare sui trattamenti dei dati, compresa la conduzione di audit e ispezioni nei confronti del Fornitore.
VI. Responsabilità del Fornitore
Secondo quanto previsto dalla normativa, qualora il Titolari del trattamento e il Fornitore siano coinvolti nello stesso trattamento e siano considerati responsabili dell'eventuale danno causato agli interessati, ognuna delle parti è responsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato. Qualora il Titolare del trattamento o il Fornitore del trattamento abbia pagato l'intero risarcimento del danno, tale Titolare del trattamento o responsabile del trattamento ha il diritto di rivalsa nei confronti dell’altra parte coinvolta nel trattamento per il risarcimento della quota parte corrispondente alla sua responsabilità per il danno, conformemente alle condizioni previste dalla normativa.
Qualora il Fornitore dovesse effettuare trattamenti di dati personali ulteriori rispetto a quanto pattuito nel contratto di prestazione di cui il presente atto fa parte, le parti si impegnano a definire preventivamente i ruoli ai sensi del GDPR e di stipulare eventualmente una nomina aggiuntiva per tali trattamenti