Accordo per il trattamento dei dati personali

 

Accordo tra

Il Cliente del servizio QdC® - Quaderno di Campagna® Difesa Integrata Volontaria (di seguito anche “Titolare del trattamento” o “Titolare”), in persona del Legale Rappresentate pro tempore,

e

Image Line S.r.l. Unipersonale con sede legale in Roma, Via Montello, 20, di seguito anche Image Line, nella persona del Legale Rappresentate pro tempore

di seguito indicate anche singolarmente come “la Parte” e congiuntamente come “le Parti”.

 

Premesso che

si conviene e si stipula quanto di seguito riportato.

 

1. Valore delle premesse

Le premesse formano parte integrante e sostanziale del presente Accordo e ad esse le Parti intendono attribuire valore negoziale.

2. Oggetto

Oggetto dell’Accordo è definire le modalità attraverso le quali il Responsabile si impegna ad effettuare, per conto del Titolare, le operazioni di Trattamento dei Dati Personali svolte nel contesto della fornitura del Servizio e per effetto dei contratti e/o ordini di acquisto e/o accordi quadro.

Nel quadro delle loro relazioni contrattuali le Parti hanno sottoscritto questo Accordo al fine di garantirsi reciprocamente il rispetto del Regolamento e delle leggi applicabili sulla protezione dei dati personali, stabilendo le tutele e le procedure necessarie affinché il trattamento avvenga nel rispetto delle suddette norme.

Altresì, con l’Accordo, il Titolare del trattamento ha preso atto che il fornitore presenta garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’Interessato designa Image Line.

3. Definizioni

Ai fini del presente Accordo, i termini di seguito indicati, ove riportati con lettera iniziale maiuscola, avranno il seguente significato:

4. Dettagli sui Trattamenti effettuati dal Responsabile

Lo scopo e le finalità del Trattamento dei Dati Personali del Titolare da parte del Responsabile nel contesto della fornitura del Servizio come richiesto dall’articolo 28, par. 3, del Regolamento sono:

Categorie di dati personali

I Dati Personali oggetto di trattamento si riferiscono alle seguenti categorie di dati:

Interessati

I Dati Personali oggetto di trattamento riguardano le seguenti categorie di Interessati:

5. Obblighi del Responsabile

Il Responsabile si impegna a procedere al Trattamento dei Dati Personali nel rispetto del Regolamento e delle leggi applicabili sulla protezione dei dati che, con la sottoscrizione del presente atto, dichiara di conoscere. In particolare s’impegna a:

Se il Responsabile del trattamento, per l’erogazione del Servizio, è tenuto a procedere ad un trasferimento dei dati verso un paese terzo o un’organizzazione internazionale, in virtù delle leggi dell’Unione o delle leggi dello stato membro al quale è sottoposto, deve informare il Titolare del trattamento di quest’obbligo giuridico prima del trattamento, a meno che le leggi interessate proibiscano una tale informazione per motivi importanti di interesse pubblico.

Il Responsabile del trattamento si impegna a rispettare le istruzioni impartite per iscritto dal Titolare in materia di trattamento di dati personali, dal medesimo comunicate secondo le modalità ritenute più celeri ed opportune.

6. Diritti del Responsabile

Il Responsabile ha diritto di:

7. Obblighi del Titolare

Il Titolare del trattamento s’impegna a:

8. Diritti del Titolare

Il Titolare ha diritto di:

9. Autorizzazione alla designazione di Sub-Responsabili

Il Titolare riconosce e accetta che, per il solo scopo di fornire il Servizio e nel rispetto dei termini del presente Accordo e del Regolamento, il Responsabile del trattamento possa ricorrere ad altri Responsabili del trattamento (di seguito, “Sub-Responsabili”), nel caso in cui lo stesso, per il trattamento dei dati, si avvalga di persone fisiche o giuridiche alle quali abbia eventualmente conferito il compito di svolgere attività e/o prestazioni riconducibili al Servizio.

Pertanto, il Titolare del trattamento fornisce al Responsabile Principale un’autorizzazione generale a ricorrere a Sub-Responsabili, a condizione che il Responsabile:

Spetta al Responsabile assicurare che ogni Sub-Responsabile presenti le stesse garanzie sufficienti alla messa in opera di misure tecniche ed organizzative appropriate, in modo che il trattamento risponda alle esigenze del Regolamento.

10. Diritti degli interessati

Tenendo conto della natura del Trattamento, il Responsabile s’impegna ad assistere il Titolare consentendogli di adempiere agli obblighi che quest’ultimo ha di dar seguito alle richieste degli Interessati nell’esercizio dei diritti loro riconosciuti dal Regolamento, supportandolo, nella misura in cui ciò sia possibile, mediante misure tecniche e organizzative adeguate.

Qualora gli Interessati esercitino i diritti loro riconosciuti dal Regolamento presso il Responsabile del trattamento presentandogli la relativa richiesta, questi deve avvisare senza ritardo il Titolare inoltrando le istanze tramite i canali di contatto concordati con il Titolare.

11. Restituzione e cancellazione dei dati

Alla cessazione dell’erogazione del Servizio il Responsabile del trattamento, senza alcun costo per il Titolare e senza indebito ritardo, è tenuto a cancellare o, a scelta del Titolare, a restituirgli tutti i Dati Personali, cancellando le copie esistenti, certificando e documentando per iscritto l’esecuzione di tali adempimenti.

12. Violazioni di dati personali

Il Responsabile adotta soluzioni atte a rilevare eventuali violazioni dei dati personali e, al verificarsi di tali violazioni, s’impegna a comunicarle al Titolare tempestivamente. La comunicazione dovrà essere accompagnata da ogni informazione e documentazione utile a permettere al Titolare del trattamento di procedere, se necessario, alla notifica all’autorità di controllo competente ed eventualmente agli Interessati, ai sensi degli art. 33 e ss. del Regolamento.

Nei casi in cui il Responsabile venga a conoscenza di una Violazione dei dati personali dovrà adottare le appropriate misure di salvaguardia atte a contenerla e a mitigarne gli effetti.

13. Misure di sicurezza

Il Responsabile s’impegna ad adottare adeguate misure tecniche e organizzative ai sensi dell’articolo 32 del Regolamento, nonché ogni altra misura eventualmente indicata dal Titolare o comunque eventualmente indicata come adeguata dall’Autorità di Vigilanza con propria circolare, risoluzione o qualsivoglia altro provvedimento eventualmente diversamente denominato, al fine di proteggere i Dati Personali.

Il Responsabile riporta per iscritto le soluzioni individuate ed adottate per rispettare l’obbligo di cui alla clausola precedente.

Il Responsabile garantisce un livello di sicurezza non inferiore a quello previsto dalle misure tecniche e organizzative di seguito descritte.

Organizzazione della sicurezza delle informazioni
Organizzazione interna

Image Line è strutturata come di seguito esposto:

Dispositivi mobili ed accesso da remoto

Sono previste una Policy di sicurezza e adeguati controlli per i dispositivi mobili (laptop, tablet, PC, smartphone, strumenti USB e altri). Su tutti i dispositivi mobili è presente l’antivirus aziendale. Per coloro che lavorano da casa o quelli che viaggiano assiduamente gli accessi VPN ai sistemi aziendali sono tutti regolamentati dall’accesso tramite utente e password.

Sicurezza delle risorse umane

Prima dell’instaurazione del rapporto di lavoro

La sicurezza delle informazioni è definita e dettagliate durante l’assunzione di dipendenti, collaboratori e personale temporaneo attraverso adeguate descrizioni sulle mansioni da svolgere, sulla riservatezza e sulle modalità dell’utilizzo degli strumenti aziendali.

Durante il rapporto di lavoro

I Responsabili si assicurano che i dipendenti e i collaboratori siano consapevoli e rispettino i loro obblighi per garantire la sicurezza delle informazioni e sono stati informati che in caso di data breach (violazione dei dati) deve essere avvisato il referente dell’ufficio amministrazione.

Conclusione o modifiche al rapporto di lavoro

Per quanto riguarda la gestione degli aspetti relativi all’uscita di una persona dalla Società, o nella ipotesi di modifiche alle mansioni ricoperte è stata predisposta una procedura interna.

Dimissione: la persona uscente deve restituire i dispositivi mobili che gli erano stati forniti. I dispositivi sono resettati per eventuale riutilizzo da parte di eventuale nuovo personale in arrivo; l’utente viene disabilitato per evitare l’accesso ai dati, alla VPN ed alla casella di posta elettronica, con l’impostazione di un messaggio automatico di risposta alle e-mail in cui si comunica che la persona in indirizzo non è più dipendente dell’azienda e si richiede di scrivere all’indirizzo della persona che ricoprirà la finzione della persona dimessa.

Cambio mansione: la procedura consiste nella riassegnazione dei permessi in base al nuovo ruolo e l’eventuale recupero dei dispositivi.

Gestione delle risorse del patrimonio aziendale

Tutte le informazioni relative alle risorse del patrimonio aziendale sono inventariate dal referente dell’ufficio amministrazione. È presente una Policy per un “uso corretto” delle stesse.

Controllo degli accessi in generale

L’accesso alla rete e le connessioni sono soggette a limitazioni.

L’accesso alla rete è anch’esso limitato. Ai dati è possibile accedere solo previo inserimento di nome utente e password. Per l’accesso alla rete WI-FI da parte del personale interno è necessario il possesso del proprio nome utente e relativa password.

I diritti d’accesso da parte degli utenti sono controllati dalla registrazione iniziale dell’utente fino alla rimozione del profilo e si procede regolarmente alla revisione e all’aggiornamento dei diritti di accesso. Le password scadono automaticamente ogni 180 giorni e sono stati stabiliti i requisiti in merito alla lunghezza ed alla complessità delle stesse.

Responsabilità degli utenti

Gli utenti, sia esterni che interni all’azienda, sono consapevoli delle loro responsabilità attraverso il mantenimento del controllo degli accessi, ad es. scegliendo password complesse e mantenendole riservate come descritto nella policy aziendale.

Sicurezza

Apparecchiatura

L’apparecchiatura in ambito ICT, i servizi di supporto e il cablaggio sono sicuri e manutenuti. Non è ammesso far fuoriuscire l’apparecchiatura e le informazioni dal loro luogo di riferimento se non previa autorizzazione della Direzione e nel rispetto delle misure indicate nella policy interna. Le informazioni sono distrutte prima di procedere allo smaltimento o al riciclo dei dispositivi sui cui erano conservate. Non sono presenti apparecchiature non protette.

Protezione da malware

È presente il controllo dei malware e gli utenti sono stati formati mediante la policy interna. In azienda è presente il Firewall e su ogni computer è installato l’antivirus aziendale.

Backup

Idonei backup sono eseguiti e custoditi coerentemente ad una Policy per i backup. I servizi accessori che non contengono dati sensibili vengono salvati con cadenza giornaliera e mantenuti per 6 mesi.

Autenticazione e monitoraggio

Gli accessi da parte degli utenti e degli amministratori di sistema avvengono previo inserimento delle credenziali di autenticazione e adeguatamente protette.

Controllo di software operativi

L’installazione di software sui sistemi operativi è controllata. E’ presente la policy interna che vieta l’installazione di qualsiasi software se non previa autorizzazione della Direzione.

Gestione delle vulnerabilità tecniche

Le vulnerabilità tecniche sono corrette con idonee patch, e sono previste regole per l’installazione dei software da parte degli utenti. Gli Aggiornamenti dei sistemi operativi, dei software e antivirus sono rilasciati periodicamente su tutti i dispositivi aziendali.

Sicurezza delle comunicazioni

Gestione della sicurezza della rete

Le reti e i servizi in rete sono resi sicuri, ad esempio attraverso la loro separazione.

Rapporti con i fornitori

Sicurezza delle informazioni nei rapporti coi fornitori

E’ prevista una policy per la scelta dei fornitori e la verifica che il servizio erogato sia privacy by design.

14. Audit e verifiche

Il Responsabile s’impegna a mettere a disposizione del Titolare tutta la documentazione e le informazioni necessarie per dimostrare il rispetto degli obblighi nascenti dall’Accordo, consentendo e contribuendo alle attività di revisione - comprese verifiche e ispezioni - realizzate dal Titolare o da un altro soggetto da questi incaricato.

Il Responsabile riconosce a accetta che il Titolare, con un preavviso di almeno 30 giorni lavorativi, potrà chiedere al Responsabile la collaborazione per lo svolgimento, all’interno della struttura del Responsabile, di operazioni di verifica dell’esatto adempimento di quanto pattuito. L’attività di verifica potrà concretizzarsi sia attraverso attività di audit ed ispezione effettuate dal Titolare, direttamente o attraverso personale da questo incaricato, presso la sede del Responsabile del trattamento, sia attraverso la richiesta allo stesso di espletare attività di autovalutazione rispetto alle misure di sicurezza adottate ed all’osservanza delle misure impartite fornendone, a richiesta, documentazione per iscritto. In ogni caso il Titolare s’impegna affinché l’attività di verifica eventualmente svolta presso la sede del Responsabile del trattamento si svolga nel più breve tempo possibile – negli orari di ufficio e in giorni lavorativi – in modo tale da non arrecare disturbo al regolare svolgimento dell’attività del Responsabile.

15. Informativa ex art. 13 del Regolamento Europeo 2016/679

Ai sensi dell’art. 13 del Regolamento Europeo 2016/679 il Responsabile tratta di dati del Titolare per adempiere alle normali operazioni necessarie per adempimenti di obblighi contrattuali e di legge. In ogni momento il Responsabile potrà richiedere l’informativa estesa e esercitare i diritti di cui agli art. 15 e scrivendo a privacy@imageline.it.

16. Validità, cessazione e modifiche

Il presente Accordo è da ritenersi valido per tutta la durata dell’erogazione del Servizio da parte del Responsabile e delle operazioni di Trattamento ad esso connesse.

Le parti possono proporre eventuali modifiche all’Accordo, ove le ritengano ragionevolmente necessarie anche per soddisfare i requisiti delle leggi applicabili alla protezione dei Dati Personali.

 

© Image Line srl Unipersonale • P.IVA IT 01070780398 • Cap. Soc. 500.000€ I.V.
Termini e condizioniPrivacy PolicyCondizioni d'acquistoPagamento sicuro