Termini e Condizioni
1 Informativa relativa al trattamento dei dati personali forniti ai fini del presente contratto
Ai fini del Contratto per le definizioni inerenti i dati personali si deve fare espresso riferimento al Regolamento Ue 2016/679 (di seguito GDPR), ad ogni altra normativa vigente in materia, nonchè; di attuazione del Regolamento stesso.
Fermo restando quanto sopra, si rende noto che i dati personali vengono acquisiti reciprocamente nell’ambito della procedura di affidamento del Contratto e sono trattati per finalità strettamente connesse alla gestione ed esecuzione del Contratto, ovvero per dare esecuzione agli obblighi previsti dalla legge. I dati personali, inoltre, sono raccolti e trattati in modo automatizzato ed in forma cartacea e saranno conservati per tutta la durata del Contratto e successivamente alla sua cessazione, per un tempo non superiore ai termini previsti dalle vigenti disposizioni di legge.
Al riguardo si precisa che:
- Il Titolare del trattamento dei dati in questione è; TripToilet Committente in persona del legale rappresentante pro tempore (di seguito TripToile);
- L’interessato è; la persona fisica i cui dati personali sono trattati ai fini della stipula, gestione ed esecuzione del Contratto (di seguito Interessato);
- I dati personali trattati potranno essere trasmessi a terzi, ovvero sia alle società soggette a direzione e coordinamento di TripToilet o a quest’ultima collegate, sia ad altri soggetti. I suddetti terzi destinatari potranno essere nominati Responsabili del trattamento;
- L’Interessato ha facoltà di esercitare i diritti previsti dagli articoli 15-21 del GDPR (diritto di accedere ai propri dati, richiedere la rettifica, la portabilità o la cancellazione degli stessi, richiedere la limitazione del trattamento dei dati che lo riguardano oppure può opporsi al loro trattamento), ove applicabili, contattando il Titolare del trattamento;
- L’Interessato ha il diritto di proporre un reclamo al Garante per la Protezione dei Dati Personali, con sede in Piazza Venezian. 11 – 00187 Roma; Tel. (+39) 06.696771, email: garante@gpdp.it;
2 Nomina dell’Appaltatore a Responsabile del trattamento dei dati personali
Nei casi in cui l’Appaltatore debba trattare dati personali per conto di TripToilet, con la sottoscrizione del Contratto e per tutta la sua durata, la Società TripToilet, in qualità di Titolare del trattamento dei dati, nomina l’Appaltatore, che accetta, Responsabile del trattamento dei dati personali, ai sensi e per gli effetti dell’articolo 28 del GDPR.
Nel caso in cui l’Appaltatore sia un Raggruppamento Temporaneo di Imprese (RTI)/Consorzio ordinario o un Consorzio stabile, le imprese componenti il Raggruppamento/Consorzio ordinario o il Consorzio stabile e le imprese esecutrici sono nominati responsabili del trattamento.
L’Appaltatore si impegna ad effettuare i trattamenti dei dati personali nel rispetto degli obblighi imposti dal GDPR e delle istruzioni impartite di seguito da TripToilet che vigilerà sulla puntuale osservanza delle suddette istruzioni.
Resta espressamente inteso che, qualora l’Appaltatore risulti inadempiente rispetto agli obblighi di cui al presente, TripToilet avrà diritto di risolvere unilateralmente il Contratto ex art. 1456 c.c..
3 Obblighi e istruzioni
Premesso che l’Appaltatore, in relazione all’esperienza, capacità ed affidabilità dichiarate, ha fornito idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento dati e di essersi adeguato al GDPR, i suoi compiti e responsabilità sono definiti come segue:
- Dovrà trattare i dati personali soltanto su istruzione documentata di TripToilet dove si specificheranno il tipo di dati trattati e le categorie di interessati;
- Dovrà nominare le Persone Autorizzate al trattamento dei dati personali (“Persone Autorizzate”) per il compimento di qualsiasi operazione, anche di mera consultazione, relativa al trattamento dei dati personali inseriti in archivi informatici o cartacei detenuti da TripToilet. Prima dell’inizio delle attività oggetto del Contratto o comunque entro la data che sarà oggetto di specifica comunicazione da parte di TripToilet, l’Appaltatore provvederà inoltre ad inviare a TripToilet una propria dichiarazione avente ad oggetto la nomina e l’elenco nominativo dei propri dipendenti/collaboratori quali “Persone Autorizzate” al trattamento.
- Dovrà garantire che le Persone Autorizzate al trattamento dei dati personali si siano impegnate a osservare le prescrizioni di legge, nonché ogni indicazione di TripToilet e a mantenere riservate informazioni e dati personali appresi in conseguenza, o anche solo in occasione dell’esecuzione del Contratto, salvo espressa autorizzazione di TripToilet e fatta eccezione per i casi espressamente previsti dalla legge. TripToilet si riserva la facoltà di richiedere al Fornitore l’elenco delle Persone Autorizzate al trattamento al fine di ottemperare agli obblighi previsti dal GDPR o da altre prescrizioni di legge o per motivi di sicurezza nazionale o interesse pubblico;
- Dovrà adottare tutte le misure di sicurezza di cui all’art. 32 del GDPR, nonché ogni altra misura preventiva dettata dall’esperienza idonee ad evitare trattamenti dei dati non consentiti o non conformi alle finalità per le quali i dati sono trattati; dovrà inoltre fornire idonea collaborazione nella attuazione di dette misure, nella notifica e comunicazione dell’eventuale violazione dei dati personali e nella valutazione di impatto sulla protezione dei dati, al fine di assicurare la riservatezza e la sicurezza dei dati e ridurre al minimo i rischi di distruzione o perdita accidentale dei dati stessi;
- Dietro espressa richiesta di TripToilet dovrà fornire l’elenco dei paesi e dei data center nei quali sono trattati i dati personali per conto di TripToilet;;
- Potrà trasferire i dati verso un paese terzo o un’organizzazione internazionale al di fuori dell’Unione Europea solo nei casi previsti e alle condizioni stabilite dal GDPR, salvo che lo richieda il diritto dell’Unione Europea o la legge nazionale cui l’Appaltatore è; soggetto. In tal caso, l’Appaltatore si impegna ad informare prontamente TripToilet circa tale obbligo giuridico, salvo il divieto di divulgazione di tale informazione per rilevanti motivi di sicurezza nazionale o interesse pubblico;
- Tenuto conto della natura del trattamento, si obbliga ad assistere TripToilet con proprie misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo di TripToilet di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
- Dovrà assistere TripToilet nel garantire il rispetto degli obblighi di cui agli articoli dal 32 al 36 del GDPR, tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento;
- Dovrà, su richiesta di TripToilet, cancellare e/o restituire tutti i dati personali dopo che è; terminata la prestazione dei servizi relativi al trattamento e cancellare le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati, dandone prova a TripToilet;
- Ove nominato un Responsabile della protezione dei dati ai sensi dell’art. 37 del GDPR dovrà essere comunicato a TripToilet;
- Dovrà mettere a disposizione di TripToilet tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del GDPR contribuendo alle attività di revisione, comprese le ispezioni, realizzate da TripToilet o da un altro soggetto da questi incaricato;
- In caso di violazione di dati personali o presunta tale dovrà comunicarlo tempestivamente a TripToilet entro 24 ore dall’avvenuta conoscenza dell’evento e senza ingiustificato ritardo;
E’ fatto divieto al Fornitore trattare dati personali per finalità ulteriori rispetto all’esecuzione del Contratto.
In particolare, laddove non sia necessario ai fini dell’esecuzione del Contratto, è; fatto divieto al Fornitore effettuare, a titolo esemplificativo ma non esaustivo, estrazioni massive di dati personali, anche mediante l’eventuale utilizzo di “RPA – Robotic Process Automation” (o “automi”), a meno che non siano preventivamente autorizzati dal Committente.
4 Risarcimento e Responsabilità
Ai sensi dell’art. 82 del GDPR l’Appaltatore risponde per il danno causato dal trattamento se non ha adempiuto agli obblighi del Contratto o ha agito in modo difforme o contrario rispetto alle istruzioni di TripToilet.
L’Appaltatore risponderà altresì in prima persona, nei confronti di TripToilet e degli interessati, nel caso in cui un Sub-Responsabile da lui incaricato ometta di adempiere ai propri obblighi in materia di protezione dei dati personali.
In caso di danni ulteriori subiti da TripToilet in conseguenza del comportamento del Fornitore o di uno dei suoi Sub-Responsabili, TripToilet si riserva il diritto di chiedere un ulteriore risarcimento pari sarà proporzionato al danno subito.
TripToilet o l’Appaltatore sono esonerati dalla responsabilità, se dimostrano che l’evento dannoso non è; in alcun modo loro imputabile.
5 Durata
La predetta nomina a Responsabile del trattamento, sarà revocata automaticamente al Fornitore alla scadenza del rapporto contrattuale o al momento della risoluzione per qualsiasi causa dello stesso, fermo restando il rispetto di tutte le prescrizioni di cui al precedente art.2.1 riguardo ai trattamenti ancora in corso anche per l’adempimento di prescrizioni contrattuali.
6 Sub-responsabile
Qualora, per specifiche attivtà di trattamento, l’Appaltatore intenda avvalersi per l’esecuzione del Contratto di soggetti esterni alla sua organizzazione, questi dovranno essere nominati sub-responsabili ai sensi dell’articolo 28 comma 4 del GDPR (di seguito Sub-responsabili o Sub-responsabile). I Sub-responsabili dovranno attenersi agli stessi obblighi che il presente Contratto impone al Responsabile. In particolare, nel rispetto di quanto previsto alle lettere b) e c) del paragrafo 3 “Obblighi e istruzioni”, ciascun Sub-responsabile provvederà a nominare, a sua volta, le eventuali risorse impiegate nei trattamenti quali “Persone Autorizzate” al trattamento dei dati personali.
Prima dell’inizio delle attività oggetto del Contratto e comunque entro la data che sarà oggetto di specifica comunicazione da parte di TripToilet, il Sub-Responsabile provvederà inoltre ad inviare a TripToilet una propria dichiarazione avente ad oggetto la nomina e l’elenco nominativo dei propri dipendenti/collaboratori quali “Persone Autorizzate” al trattamento.
7 Amministratori di sistema
Poiché il personale del Fornitore e/o dei suoi Sub-responsabili, qualora autorizzati potrebbero svolgere funzioni riconducibili alla qualifica di “amministratori di sistema” secondo la normativa vigente, l’Appaltatore si obbliga a mettere a disposizione, su richiesta di TripToilet, l’elenco dei propri collaboratori e/o dei collaboratori dei Sub-responsabili, autorizzati e nominati “amministratori di sistema”, nonché di tutti coloro che possano potenzialmente intervenire sui dati personali di titolarità di TripToilet.
L’Appaltatore si impegna inoltre a mantenere un registro dei log di accesso, disconnessione e tentativi di accesso dei propri collaboratori e/o dei collaboratori dei Sub-responsabili, qualora autorizzati, che siano stati nominati “amministratori di sistema” e che in tale loro qualità abbiano la potenziale possibilità di intervenire sui dati personali la cui titolarità è; di TripToilet per un tempo di sei mesi, con impegno di consegnarli a TripToilet su semplice richiesta scritta di quest’ultima ed entro 3 giorni di calendario.