ACCORDO PER LA PROTEZIONE DEI DATI PERSONALI STIPULATO AI SENSI DELL'ART. 28 DEL REGOLAMENTO UE 679/2016

Le parti:

  • Il soggetto che sta procedendo con l’iscrizione al programma online DUVRIFACILE (qui di seguito per brevità “TITOLARE").

  • SEA Gruppo S.r.l. con sede legale in via P. Borsellino, 12/D – Fano (PU) codice fiscale, partita Iva 01213360413 con rappresentante legale Sig. Sandro Cangiotti, C.F. CNGSDR64L29L500Q (qui di seguito per brevità “RESPONSABILE").

Premesso:

  1. Che con l’iscrizione si diventa parte del presente contratto;

  2. Che i termini di utilizzo del programma sono parte integrante del presente contratto;

  3. Che il TITOLARE ha intenzione di utilizzare il programma online “DUVRIFACILE” per la produzione del Documento Unico per la Valutazione dei rischi da Interferenze (DUVRI) che richiede una serie di dati e informazioni necessarie alla predisposizione del documento;

  4. Che il programma online DUVRIFACILE richiede la creazione di un database in cui confluiscono i dati e informazioni caricati dall’utente stesso. Tale database è situato presso il locale di SEA Gruppo S.r.l. in via P. Borsellino, 12/D – Fano (PU) e di cui si allegano le misure di sicurezza applicate (ALLEGATO 1);

  5. Che l’utente, tramite accesso alla sua area riservata, provvederà a creare, gestire e conservare il DUVRI in autonomia. Non sussiste, quindi, alcun impegno da parte del Responsabile di conservazione documentale;

  6. Che con la registrazione e l’utilizzo del presente programma online DUVRIFACILE, il TITOLARE sottoscrive i termini del presente contratto, accettandone le clausole, nonché riconoscendo adeguate le misure di sicurezza indicate nell’ALLEGATO 1; pertanto il responsabile, vista anche la gratuità, non può essere chiamato ad una azione risarcitoria per eventuali violazioni, non dipendenti da un comportamento doloso del Responsabile stesso;

  7. Che il responsabile non risponde in alcun modo del contenuto dei documenti prodotti dal programma online DUVRIFACILE e dati inseriti dal TITOLARE;

  8. Che l’utente ha richiesto ai soggetti indicati e interessati al DUVRI il consenso all’invito, tramite e-mail, da parte del Responsabile, al download del documento stesso;

  9. Che per la produzione online del documento DUVRI il responsabile deve necessariamente appoggiarsi ad un web server che verrà, di seguito, nominato come sub-responsabile, le cui attività sono indicate nell’ALLEGATO 2;

  10. Che il Responsabile presenta garanzie sufficienti per mettere in atto le misure tecniche ed organizzative adeguate al Regolamento UE 2016/679 e collabora con il titolare per l’esercizio dei diritti dell’interessato;

 

Ciò premesso:

IL TITOLARE

autorizza il Responsabile a trattare i dati e le informazioni immesse dal TITOLARE:

Trattamento Documento Unico per la Valutazione dei rischi da Interferenze (DUVRI).
Finalità Predisposizione DUVRI.
Durata del trattamento I trattamenti avranno luogo fintanto che l’utente non procede con la cancellazione del proprio profilo dal programma online DUVRIFACILE.
Tipi di dati trattati dati personali comuni, quali nome, cognome, e-mail, indirizzo.
Categoria interessati Dati necessari per la compilazione del DUVRI.
Soggetti destinatari della comunicazione Soggetti autorizzati interni.
Accesso e Diffusione Non è consentito l’accesso ai soggetti non autorizzati dal TITOLARE e la diffusione dei dati.
Trasferimenti all'estero Non è consentito il trasferimento all’estero dei dati personali
Modalità del trattamento Trattamento elettronico dei dati personali.

 

OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO

Il Responsabile si impegna a:

  • Trattare i dati secondo le istruzioni del TITOLARE. Se ritiene che una qualsiasi delle istruzioni impartite violi il Regolamento UE 2016/679 o qualsiasi altra disposizione in termini di protezione dei dati deve informare tempestivamente il TITOLARE.

  • Non trasferire i dati personali verso un paese terzo o un’organizzazione internazionale, se non espressamente autorizzato dal TITOLARE (intendendo trasferimento anche forme di conservazione elettronica o copie di sicurezza in remoto - rif. Cloud computing).

  • Garantire che le persone autorizzate (dipendenti e collaboratori) al trattamento dei dati personali si impegnino, espressamente e per iscritto, a non usare, rivelare, divulgare in qualsiasi forma, anche per il periodo successivo al termine del rapporto di lavoro o di collaborazione, i dati personali conosciuti a seguito dell’autorizzazione ricevuta.

  • Adottare tutte le misure di sicurezza così come richiesto dall'art. 32 del Regolamento UE 2016/679 e allegate al presente accordo (ALLEGATO A). In particolare, garantisce che i dati personali oggetto di trattamento saranno custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

  • Collaborare con il TITOLARE del trattamento al fine di soddisfare l’obbligo dello stesso di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III artt. dal 15 al 22 del RGPD 679/2016 e ad assistere il TITOLARE del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del Regolamento.

  • A dar la possibilità di cancellare dal database tutti i dati inseriti dal TITOLARE mediante la cancellazione del profilo utente.

  • Mettere a disposizione del TITOLARE del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dalla normativa in vigore.

  • Rendersi disponibile alle attività di revisione, comprese le ispezioni, effettuate dal TITOLARE e responsabile del trattamento o da un altro soggetto da questo incaricato.

  • Informare il TITOLARE tramite e-mail, senza ingiustificato ritardo dopo esserne venuto a conoscenza, qualsiasi violazione dei dati trattati nell’ambito contrattuale (DATA BREACH).

  • Registrare tale attività nel registro dei trattamenti del responsabile di cui all’art. 30 paragrafo 2.

 

POSSIBILITA’ DI NOMINA DI ALTRI SUB-RESPONSABILI

Con il presente accordo, il Titolare autorizza il responsabile ad avvalersi di altro responsabile per la conservazione online dei dati immessi dallo stesso durante la produzione del Documento Unico per la Valutazione dei rischi da Interferenze (DUVRI).

Il responsabile individuato è OVH srl - Largo Volontari del Sangue n.10 - 20097 San Donato Milanese (MI).

Su tale altro sub-responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel presente accordo.

Qualora il sub-responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile conserva nei confronti del Titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile.

L’elenco dettagliato dei sub-responsabili può essere richiesto direttamente al responsabile. Ogni successiva variazione dei sub-responsabili verrà comunicata tramite e-mail.

 

DURATA E CESSAZIONE DEL TRATTAMENTO

Il presente atto di designazione a responsabile esterno del trattamento è produttivo di effetti fintanto che il Titolare non procede con la cancellazione del proprio profilo utente dal programma “DUVRIFACILE”.

In caso di cancellazione del profilo, vengono cancellate, per default con effetto dal momento della cancellazione stessa, tutte le copie esistenti.

 

OBBLIGHI DEL TITOLARE

Il Titolare del trattamento:

  • Attesta di aver raccolto i dati personali e di averne disponibilità nel rispetto di quanto previsto dal Regolamento UE 2016/679 e del D.LGS. 196/2003

  • Si obbliga a collaborare con il responsabile per gli adempimenti previsti dalla normativa in materia privacy, in particolare quelli richiamati dal D.Lgs. 81/08.

Il Responsabile esterno per accettazione

 

ALLEGATO 1

ISTRUZIONI OPERATIVE

Dati particolari trattati

Ogni soggetto incaricato al trattamento dovrà essere autorizzato unicamente dal RESPONSABILE.

misure di sicurezza adottate dalla SEA Groppo s.r.l. per la custodia del Documento Unico per la Valutazione dei rischi da Interferenze (DUVRI):

Misure di sicurezza adottate

Organizzazione interna

L’organizzazione definisce i ruoli e le responsabilità per la sicurezza delle informazioni e assegnarli singolarmente a soggetti determinati. Ove necessario, i compiti sono separati per ruoli e persone al fine di evitare conflitti di interesse e prevenire attività inappropriate.

Regolamenti interni

È prevista una policy di sicurezza e adeguati controlli per il trattamento di dati personali e l’utilizzo di strumenti informatici utilizzati nel corso dell’attività.

Sicurezza locali e apparati

Le aree in cui sono custoditi i dati cartacei sono caratterizzate da misure che controllano l’accesso fisico ai locali. In ogni caso, l’accesso è limitato alle sole persone espressamente autorizzate.

Autenticazione

I sistemi ed i servizi sono accessibili solo attraverso il superamento di una procedura di autenticazione che prevede l’utilizzo di credenziali associate agli incaricati. Ogni credenziale di autenticazione viene assegnata ad un unico operatore che la utilizzerà in modo esclusivo. Tutti gli utenti autorizzati sono identificati nel sistema informatico attraverso una username assegnata in modo univoco agli stessi. L’accesso ad ogni ambiente o strumento elettronico avviene attraverso credenziali di autenticazione. Ogni incaricato viene formato, tramite il rilascio di un “mansionario privacy”, sulle regole minime di composizione della password e sulle modalità di modifica periodica della stessa.

log management

Ogni sistema viene configurato per loggare ogni evento significativo.

Sistema di autorizzazione

L’accesso ai dati è controllato attraverso profili di autorizzazione definiti a livello del sistema operativo dalla piattaforma che ospita l’applicazione e a livello applicativo. Ad ogni incaricato/responsabile, prima di iniziare il trattamento, viene configurato un profilo di autorizzazione. Il sistema stabilisce a quali aree del sistema informatico l’incaricato possa accedere e quali azioni, una volta entrato, possa compiere.

Controllo integrità dei dati

Sono attivi sistemi di controllo per presenza di virus nei file system dei PC, oltre che sui messaggi di posta elettronica. In particolare, esso prevede l’adozione di programmi diretti a prevenire la vulnerabilità degli strumenti elettronici da un lato contrastando gli attacchi esterni dall’altro provvedendo alla correzione dei difetti insiti negli strumenti stessi. In relazione alla correzione dei difetti, esso opera l’aggiornamento costante dei prodotti e la verifica periodica dell’installazione e della configurazione dei prodotti software. È attivo un sistema di antivirus che monitorizza tutta la rete aziendale e che tempestivamente aggiornato ogni volta che la casa produttrice rilascia un nuovo software. Vi è un sistema di firewall che filtra le comunicazioni in entrata e in uscita. Annualmente viene effettuato un test di vulnerabilità del sistema.

Backup e ripristino dei dati

Sono in atto politiche di backup per i dati.

Gestione della sicurezza

Sono in atto policy per la sicurezza dei dati personali relativamente all’utilizzo del PC, navigazione in internet, utilizzo della posta elettronica.

Criptografia

La società utilizza un sistema di criptografia dei “dati sanitari” che viene applicata sia sul database interno che sui backup periodici.