Labor_DPA
Contratto di nomina a responsabile del trattamento dei dati personali ai sensi dell’art. 28 Regolamento (UE) 2016/679
Premesso che:
a) il Titolare e il Responsabile, come individuati in calce (congiuntamente le “Parti”), hanno sottoscritto un contratto (il “Contratto”) attraverso il quale il secondo si è impegnato a svolgere determinate prestazioni per conto del
primo (i “Servizi”);
b) nell’adempimento delle obbligazioni previste nel Contratto, il Responsabile verrà a conoscenza e tratterà dati personali nella titolarità del Titolare riferiti a diverse categorie di Interessati (rispettivamente, i “Dati Personali”
e gli “Interessati”);
c) l’art. 28 del Regolamento (UE) 2016/679 (“GDPR”) stabilisce che i “trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto”;
d) al contempo, ai sensi del GDPR, qualora “un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti
del presente regolamento e garantisca la tutela dei diritti dell’interessato”;
e) alla luce di quanto sopra, con il presente documento (il “Contratto di Nomina”), il Titolare intende effettuare la nomina del Responsabile ai sensi del citato art. 28 GDPR, in modo da garantire che il trattamento dei Dati Personali avvenga nel pieno rispetto delle disposizioni applicabili in materia di protezione dei dati personali previste dal GDPR, dal D.lgs. 30 giugno 2003, n. 196, da ogni altra previsione normativa in vigore e/o che dovesse essere successivamente emanata, nonché dai provvedimenti emanati dal Garante per la protezione dei Dati Personali, dal c.d. “Article 29 Working Party” e/o dal Comitato europeo per la protezione dei dati (complessivamente, la “Normativa Privacy”).
Tutto ciò premesso, si conviene e si stipula quanto segue
1. Oggetto
1.1. Con il presente Contratto di Nomina, il Titolare nomina il Responsabile del trattamento dei Dati Personali ai sensi dell’art. 28 GDPR, autorizzandolo a compiere esclusivamente le operazioni di trattamento dei Dati Personali che siano necessarie per l’esecuzione dei Servizi (i “Trattamenti”), operazioni meglio indicate nell’Allegato 1 al presente Contratto, impartendo in tal modo le relative istruzioni.
1.2. Il Responsabile accetta la nomina e si impegna a:
(i) trattare i Dati Personali esclusivamente al fine di svolgere i Servizi;
(ii) rispettare le istruzioni fornite dal Titolare, riconoscendo quest’ultimo come l’unico soggetto legittimato a stabilire le modalità, i mezzi e le finalità del Trattamento dei Dati Personali;
(iii) rispettare, nello svolgimento dei Servizi, la Normativa Privacy.
1.3. Fermo restando quanto sopra, il Responsabile è tenuto a indicare al Titolare, per iscritto, l’esistenza di eventuali obblighi normativi o regolamentari che impongano al medesimo Responsabile di non aderire alle istruzioni fornite dal Titolare e/o alla Normativa Privacy.
2. Verifica dei requisiti del Responsabile
2.1. Il Responsabile dichiara e garantisce di avere dichiarato il vero nel corso delle verifiche svolte dal Titolare propedeuticamente al presente Contratto di Nomina e si impegna a comunicare prontamente al Titolare qualsivoglia modifica nel proprio assetto organizzativo o societario che possa avere impatto sull’esito di tali verifiche.
3. Personale del Responsabile
3.1. Il Responsabile dichiara e garantisce che, nell’ambito della propria organizzazione, i Dati Personali sono trattati esclusivamente dai dipendenti, agenti, consulenti, stagisti e collaboratori il cui intervento è strettamente necessario per lo svolgimento dei Servizi (il “Personale”).
3.2. Il Responsabile si impegna a nominare i membri del Personale quali soggetti autorizzati al Trattamento dei Dati Personali e garantisce che essi assumano ogni correlativo obbligo di riservatezza.
3.3. Il Responsabile si impegna a prevedere corsi di formazione periodici in materia di privacy per il Personale.
3.4. Nell’ipotesi in cui il Contratto abbia ad oggetto lo svolgimento da parte del Responsabile dei servizi di amministrazione di sistema, il Responsabile si impegna ad ottemperare a tutti gli obblighi previsti dal Provvedimento del 27 novembre 2008 del Garante per la protezione dei dati personali in materia di amministratori di sistema.
4. Sub-responsabili
4.1. Il Titolare autorizza sin da ora il Responsabile ad avvalersi di soggetti terzi per lo svolgimento dei Servizi subdelegando loro il Trattamento dei Dati Personali (i “Sub-responsabili”), il cui elenco potrà essere in ogni tempo richiesto dal Titolare al Responsabile.
4.2. Il Responsabile si impegna ad avvalersi esclusivamente di Sub-responsabili che presentino garanzie sufficienti
per mettere in atto misure tecniche e organizzative adeguate a rispettare i requisiti del GDPR e a garantire la tutela dei diritti dell’Interessato.
5. Sicurezza dei Dati Personali
5.1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del Trattamento dei Dati Personali, come anche del rischio per i diritti e le libertà delle persone fisiche, il Responsabile si obbliga a mettere in atto le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, ai sensi della Normativa Privacy e, in particolare, nel rispetto dell’art. 32, paragrafo
1, GDPR, come indicate e condivise nel corso delle verifiche svolte dal Titolare di cui al precedente art. 2.
5.2. Il Responsabile si obbliga, inoltre, a monitorare il buon funzionamento dei sistemi e delle misure di sicurezza adottate, nonché il rispetto di queste da parte dei soggetti che trattano i Dati Personali ai sensi del precedente art. 3, impegnandosi ad aggiornare le misure di sicurezza implementate alla luce della tipologia dei Dati Personali e dei Trattamenti che sono necessari per la prestazione dei Servizi nonché tenendo conto dello sviluppo delle prassi e della normativa in tema di misure di sicurezza.
6. Diritti degli Interessati
6.1. Al fine di consentire al Titolare di dare seguito alle richieste ricevute per l’esercizio dei diritti degli Interessati, il Responsabile si obbliga a:
(i) comunicare, senza ritardo, al Titolare ogni richiesta di esercizio dei diritti previsti dal GDPR, ricevuta, direttamente o tramite un Sub-responsabile, dagli Interessati;
(ii) assistere il Titolare nel dare seguito alle richieste ricevute, impegnandosi, tra l’altro, a:
a. cancellare i Dati Personali su richiesta del Titolare effettuata a seguito dell’esercizio del diritto all’oblio da parte dell’Interessato;
b. segnalare al Titolare quali siano i Dati Personali in proprio possesso relativi all’Interessato che abbia esercitato il diritto di accesso;
c. assistere il Titolare nella fornitura in un formato strutturato di uso comune e leggibile da dispositivo automatico dei Dati Personali che riguardano l’Interessato che abbia esercitato il diritto alla portabilità;
d. rettificare i Dati Personali su richiesta del Titolare effettuata a seguito dell’esercizio del diritto di rettifica da parte dell’Interessato;
e. limitare il Trattamento dei Dati Personali su richiesta del Titolare effettuata a seguito dell’esercizio del diritto di limitazione da parte dell’Interessato;
f. cessare su richiesta del Titolare, effettuata a seguito dell’esercizio del diritto di opposizione da parte dell’Interessato, i Trattamenti dei Dati Personali oggetto della richiesta.
6.2. A seguito della cessazione del Contratto di Nomina, il Responsabile, qualora autorizzato o comunque tenuto a compiere ulteriori Trattamenti dei Dati Personali ai sensi del seguente art. 9.3, si impegna sin d’ora a:
(i) comunicare, senza ritardo, al Titolare ogni richiesta di esercizio dei diritti ricevuta;
(ii) assistere il Titolare nel dare seguito alle richieste ricevute.
7. Violazione dei Dati Personali
7.1. Il Responsabile si impegna a comunicare al Titolare, per iscritto, al momento in cui ne è venuto a conoscenza e comunque senza ingiustificato ritardo, ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali (“Violazione”) subita da sé o da qualsivoglia Sub-responsabile.
7.2. Al fine di consentire al Titolare di porre in essere gli adempimenti richiesti dal GDPR e, in particolare, di effettuare la notifica al Garante per la protezione dei dati personali e, laddove la Violazione presenti un rischio per i diritti e le libertà degli Interessati, la comunicazione agli Interessati, la notifica di cui al precedente paragrafo dovrà contenere almeno le seguenti informazioni:
a) descrizione della natura della Violazione dei Dati Personali;
b) indicazione, ove possibile, delle categorie e del numero, almeno approssimativo, di Interessati i cui Dati Personali sono oggetto della Violazione;
c) descrizione delle probabili conseguenze della Violazione dei Dati Personali;
d) descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla Violazione dei Dati
Personali e per attenuarne i possibili effetti negativi.
7.3. Il Responsabile si obbliga ad assistere il Titolare in ogni attività di investigazione relativa alla Violazione subita, nonché di mitigazione ed eliminazione delle conseguenze da essa derivate.
8. Valutazione d’impatto sulla protezione dei dati
8.1. Il Responsabile si impegna a fornire assistenza al Titolare per l’adempimento dei suoi obblighi in materia di valutazione d’impatto sulla protezione dei dati, ivi inclusa l’eventuale consultazione del Garante per la protezione dei dati personali, con riferimento ai Trattamenti svolti dal Responsabile.
9. Durata del Contratto di Nomina e obblighi del Responsabile conseguenti alla cessazione
9.1. Il presente Contratto di Nomina avrà durata pari a quella del Contratto e la sua efficacia cesserà, salvo quanto previsto al successivo paragrafo 9.3, alla data in cui il Contratto cesserà per qualsivoglia motivo (la “Data di Cessazione”).
9.2. Alla Data di Cessazione, il Responsabile si impegna ad interrompere immediatamente ogni Trattamento effettuato per conto del Titolare e, a restituire o cancellare i Dati Personali, secondo quanto di volta in volta deciso dal Titolare, nonché qualunque copia sia stata fatta degli stessi entro 10 (dieci) giorni lavorativi dalla Data di Cessazione.
9.3. Fermo restando quanto previsto al precedente paragrafo, è fatto salvo il diritto del Responsabile di trattare i Dati Personali anche successivamente alla Data di Cessazione al solo ed esclusivo fine di ottemperare a specifici obblighi disposti da leggi o regolamenti applicabili, nei limiti e per la durata da questi previsti, previa comunicazione scritta degli stessi al Titolare entro il medesimo termine di 10 (dieci) giorni lavorativi dalla Data di Cessazione.
10. Audit
10.1. Il Responsabile si impegna a rendere disponibili al Titolare, qualora richiesto da quest’ultimo con almeno 10 (dieci) giorni lavorativi di preavviso, tutte le informazioni necessarie a dimostrare l’adempimento degli obblighi previsti dal presente Contratto di Nomina, consentendo al Titolare l’esercizio del proprio potere di controllo relativamente ai Trattamenti dei Dati Personali effettuati in qualità di Responsabile del Trattamento. Il Responsabile prende atto che siffatte verifiche ed ispezioni potranno essere svolte dal Titolare per il tramite di soggetti interni o esterni alla propria organizzazione.
10.2. Il Titolare si impegna a condurre tale attività di controllo esclusivamente per quanto strettamente necessario a verificare il rispetto del Contratto di Nomina e della Normativa Privacy, durante il normale orario di lavoro e secondo modalità idonee a non disturbare irragionevolmente la normale attività del Responsabile e/o Subresponsabile. Ogni costo relativo all’attività ispettiva sarà a carico del Titolare.
11. Ispezioni o indagini delle autorità
11.1. Il Responsabile si obbliga ad informare il Titolare, senza ritardo e per iscritto, in merito ad ispezioni ricevute da parte del Garante per la protezione dei dati personali o di qualsiasi altra autorità, inclusa l’Autorità giudiziaria, e a collaborare ad eventuali ispezioni od indagini relative al Titolare.
12. Trasferimento dei Dati Personali
12.1. Il Responsabile, salvo un espresso consenso rilasciato per iscritto dal Titolare, si obbliga a non trasferire i Dati Personali verso Paesi terzi od organizzazioni internazionali. Ogni trasferimento dei Dati Personali, anche all’interno dell’Unione Europea, ivi inclusi i trasferimenti dei Dati Personali tra il Titolare, il Responsabile ed eventuali Sub-responsabili, dovrà avvenire secondo modalità idonee ad assicurarne la sicurezza, nel rispetto di quanto richiesto dall’art. 5 del presente Contratto di Nomina.
13. Legge applicabile e foro competente
13.1. Quanto alla scelta della legge applicabile nonché del foro competente per ogni controversia relativa al presente Contratto di Nomina, le Parti richiamano le pattuizioni tra di esse stipulate nel Contratto, ivi da intendersi integralmente trascritte, stante il carattere collegato e di stretta dipendenza e funzionalità tra i due contratti esistente.
_____________________
Il titolare
_____________________
Il responsabile
ALLEGATO I: I Trattamenti dei Dati Personali effettuati dal Fornitore nello svolgimento dei Servizi e categorie di Interessati coinvolti
| Per il SERVIZIO di | Finalità del trattamento | Descrizione del trattamento | Dati Personali | Interessati coinvolti |
| PAYROLL | Amministrazione del personale, gestione paghe e contributi | Trattamento dei dati personali dei dipendenti (e collaboratori v. interessati coinvolti) dei propri clienti | Dati anagrafici e relativi al rapporto di lavoro con dati economici e dati relativi al contratto di lavoro applicato. Oltre ai dati comuni e finanziari si trattano anche categorie particolari quali: l’iscrizione a sindacato, valutazione professionale di dipendenti e collaboratori, minori e stato di famiglia, dati giudiziari e relativi alla salute. | Dipendenti, apprendisti, stagisti e tirocinanti, collaboratori, amministratori, soci, ex-dipendenti, collaboratori familiari |
| HR AUDIT | Verifica compliance della gestione amministrativa del rapporto di lavoro con dipendenti e collaboratori | Trattamento dei dati personali dei dipendenti (e collaboratori v. interessati coinvolti) dei propri clienti | Dati anagrafici e relativi al rapporto di lavoro con dati economici e dati relativi al contratto di lavoro applicato. Oltre ai dati comuni e finanziari si trattano anche categorie particolari quali: l’iscrizione a sindacato, valutazione professionale di dipendenti e collaboratori, minori e stato di famiglia, dati giudiziari e relativi alla salute. | Dipendenti, apprendisti, stagisti e tirocinanti, collaboratori, amministratori, soci, ex-dipendenti, collaboratori familiari |
| LABOUR CONSULTING | Gestione del rapporto di lavoro di dipendenti e collaboratori | Trattamento dei dati personali dei dipendenti (e collaboratori v. interessati coinvolti) dei propri clienti | Dati anagrafici e relativi al rapporto di lavoro con dati economici e dati relativi al contratto di lavoro applicato. Oltre ai dati comuni e finanziari si trattano anche categorie particolari quali: l’iscrizione a sindacato, valutazione professionale di dipendenti e collaboratori, minori e stato di famiglia, dati giudiziari e relativi alla salute. | Dipendenti, apprendisti, stagisti e tirocinanti, collaboratori, amministratori, soci, ex-dipendenti, collaboratori familiari |
| SKILL DESIGN | Definizione modello organizzativo aziendale | Trattamento dati relative alla posizione lavorativa in azienda | Dati anagrafici e relativi al rapporto di lavoro con dati economici e dati relativi al contratto di lavoro applicato | Dipendenti, apprendisti, stagisti e tirocinanti, collaboratori, amministratori, soci. |
| SKILL ALIGNMENT | Valutazione del personale per definire, misurare e riallineare le competenze chiave | Trattamento dati relative alla posizione lavorativa in azienda e valutazione delle prestazioni | Dati anagrafici e relativi al rapporto di lavoro con dati economici e dati relativi al contratto di lavoro applicato | Dipendenti, apprendisti, stagisti e tirocinanti, collaboratori, amministratori, soci. |
| PEOPLE PLACEMENT | Valutazione delle competenze per finalità di collocazione lavorativa | Trattamento dati relative alla posizione lavorativa in azienda e valutazione delle prestazioni | Dati anagrafici e relativi al rapporto di lavoro con dati economici e dati relativi al contratto di lavoro applicato | Dipendenti, apprendisti, stagisti e tirocinanti, collaboratori, amministratori, soci. |