Contratto di Nomina Responsabile del Trattamento

Tra ERGON INFORMATICA S.R.L., Via per Salvatronda 21 – 31033 CASTELFRANCO VENETO (TV), P.IVA/C.F. 02229190265 e rappresentata da GIANNI TIEPPO,

(qui di seguito, “il Titolare del trattamento”)

da una parte,

e MEDICA WORK SRL – Via Dante Alighieri 5/4 Romano D’Ezzelino (VI) P. IVA 04186660249, qui di seguito Responsabile del trattamento

dall’altra,

Si conviene e stipula quanto di seguito riportato,

1. Oggetto

Oggetto delle presenti condizioni è definire le modalità nelle quali il Responsabile del trattamento si impegna ad effettuare per conto del Titolare le operazioni di trattamento dei dati personali e sensibili definiti di seguito.

Nel quadro delle loro relazioni contrattuali, le parti si impegnano a rispettare la regolamentazione in vigore applicabile al trattamento dei dati a carattere personale (personali) e, in particolare, il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 applicabile a partire dal 25 maggio 2018 (di seguito, “il regolamento europeo sulla protezione dei dati”).

1. Descrizione delle prestazioni del Responsabile del trattamento

Il Responsabile del trattamento è autorizzato a trattare per conto del Titolare del trattamento dei dati a carattere personale necessari per fornire il servizio od i servizi seguenti:

gestione del rapporto di incarico professionale, per gli adempimenti di legge previsti per lo svolgimento dell’attività di medicina del lavoro.

I dati a carattere personale (personali) trattati sono i dati personali e sensibili dei dipendenti di ERGON INFORMATICA S.R.L., Via per Salvatronda 21 – 31033 CASTELFRANCO VENETO (TV), P.IVA/C.F. 02229190265

III. Durata del contratto

Il presente contratto entra in vigore a far data dal 19/12/2023

1. Obblighi del Responsabile del trattamento di fronte al Titolare del trattamento

Il Responsabile del trattamento si impegna a:

1. Trattare i dati solo per la finalità o le finalità sopra specificate e per l’esecuzione delle prestazioni contrattuali.

2. Trattare i dati conformemente alle istruzioni documentate del Titolare del trattamento annesso al presente contratto. Se il Responsabile del trattamento considera che una istruzione costituisca una violazione del regolamento europeo sulla protezione dei dati o di tutte le altre disposizioni delle leggi dell’Unione o delle leggi degli stati membri relative alla protezione dei dati, deve informare immediatamente il Titolare del trattamento. Inoltre, se il Responsabile del trattamento è tenuto a procedere ad un trasferimento dei dati verso un paese terzo o un’organizzazione internazionale, in virtù delle leggi dell’Unione o delle leggi dello stato membro al quale è sottoposto, deve informare il Titolare del trattamento di quest’obbligo giuridico prima del trattamento, a meno che le leggi interessate proibiscano una tale informazione per motivi importanti di interesse pubblico.

3. Garantire la riservatezza dei dati a carattere personale (personali) trattati nell’ambito del presente contratto.

4. Controllare che le persone autorizzate a trattare i dati a carattere personale in virtù del presente contratto:

- Si impegnino a rispettare la riservatezza o siano sottoposti ad un obbligo legale appropriato di segretezza;

- Ricevano la formazione necessaria in materia di protezione dei dati a carattere personale;

- Si impegnino a rispettare il Codice di Deontologia Medica.

5. Tenere conto, utilizzando i materiali, i prodotti, le applicazioni od i servizi, dei principi di protezione dei dati a partire da quando questi vengono progettati e della protezione dei dati di default.

6. Ulteriore Responsabile del trattamento

Il Responsabile del trattamento può ricorrere ad un altro Responsabile del trattamento (di seguito, “sub Responsabile del trattamento”) per gestire attività di trattamento specifiche.

II Titolare ha il diritto di richiedere in ogni momento l’elenco dei sub responsabili e l’indicazione delle attività di trattamento delegate, l’identità e gli indirizzi del sub Responsabile del trattamento ed i dati del contratto di esternalizzazione.

Il Titolare del trattamento dispone di un tempo massimo di 30 giorni a partire dalla data di ricevimento di questa informazione per presentare le proprie obiezioni. L’eventuale obiezione prevede l’interruzione del trattamento dati da parte del sub responsabile.

7. Diritto di informazione delle persone interessate

Spetta al Titolare del trattamento fornire l’informativa di cui agli art. 13-14 alle persone interessate per le operazioni del trattamento al momento della raccolta dei dati.

Per quanto possibile, il Responsabile del trattamento deve assistere il Titolare del trattamento nell’espletamento dei propri obblighi di far seguito alle domande di esercizio dei diritti delle persone interessate: diritto di accesso, di rettifica, di cancellazione e di opposizione, diritto alla limitazione del trattamento, diritto a trasportare i dati, diritto di non essere oggetto di una decisione individuale automatizzata (compreso il profilo).

Qualora le persone interessate esercitino tale diritto presso il Responsabile del trattamento presentandogli la relativa richiesta, il Responsabile del trattamento deve inoltrare queste domande di ricevimento per posta elettronica ad info@ergon.it.

8. Notifica della violazione di dati a carattere personale

Il Responsabile del trattamento notifica al Titolare del trattamento ogni violazione di dati a carattere personale nel tempo massimo di 24 ore dopo esserne venuto a conoscenza. Tale notifica è accompagnata da ogni documentazione utile per permettere al Titolare del trattamento, se necessario, di notificare questa violazione all’autorità di controllo competente.

9. Assistenza del Responsabile del trattamento nell’attuazione degli obblighi del Titolare del trattamento

Il Responsabile del trattamento assiste il Titolare del trattamento nella realizzazione di analisi d’impatto relative alla protezione dei dati, conformemente all’articolo 35.

Il Responsabile del trattamento assiste il Titolare del trattamento nella consultazione preventiva dell’autorità di controllo, prevista dall’articolo 36.

10. Misure di sicurezza

Il Responsabile del trattamento s’impegna a mettere in opera le seguenti misure di sicurezza:

• formazione ai propri incaricati e ai sub responsabili in merito alla normativa;
• la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
• misure tecniche specifiche.

11. Disposizione dei dati al termine delle prestazioni contrattuali

Al termine della prestazione dei servizi relativi al trattamento di questi dati, il Responsabile del trattamento s’impegna a rimandare tutti i dati a carattere personale al Titolare del trattamento.

Il rinvio deve essere accompagnato dalla distruzione di tutte le copie esistenti nei sistemi di informazione del Responsabile del trattamento. Una volta distrutte, il Responsabile del trattamento deve documentare per iscritto la distruzione.

12. Responsabile della protezione dei dati

Il Responsabile del trattamento comunica al Titolare del trattamento il nome ed i dati del proprio Responsabile della protezione dei dati, qualora ne abbia designato uno conformemente all’articolo 37 del regolamento europeo sulla protezione dei dati.

13. Registro delle categorie di attività di trattamento

Il Responsabile del trattamento dichiara di tenere per iscritto un registro di tutte le categorie di attività di trattamento effettuate per conto del Titolare del trattamento e che comprendono:

- Il nome ed i dati del Titolare del trattamento per conto del quale lui tratta, degli eventuali Responsabili e, se applicabili, del Responsabile della protezione dei dati;

- Le categorie di trattamenti effettuati per conto del Titolare del trattamento;

- Se applicabili, i trasferimenti di dati a carattere personale verso un paese terzo o ad una organizzazione internazionale e, nel caso di trasferimenti previsti dall’articolo 49, paragrafo 1, secondo comma del regolamento europeo sulla protezione dei dati, i documenti che attestano l’esistenza di opportune garanzie;

- Per quanto possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative, ivi compresi, fra gli altri, secondo le necessità:

- La pseudonimizzazione e la numerazione dei dati a carattere personale;

- I mezzi che permettono di garantire la segretezza, l’integrità, la disponibilità e la resilienza costanti dei sistemi e dei servizi di trattamento;

- I mezzi che permettono di ristabilire la disponibilità dei dati a carattere personale e l’accesso a questi nei tempi appropriati in caso di incidente fisico o tecnico;

- Una procedura che mira a testare, ad analizzare ed a valutare regolarmente l’efficacia delle misure tecniche ed organizzative per assicurare la sicurezza del trattamento.

14. Documentazione

Il Responsabile del trattamento mette a disposizione del Titolare del trattamento la documentazione necessaria per dimostrare il rispetto di tutti gli obblighi e per permettere la realizzazione di revisioni, comprese le ispezioni, da parte del Titolare del trattamento o di un altro revisore che lui ha incaricato, e contribuire a queste revisioni.

1. Obblighi del Titolare del trattamento di fronte al Responsabile del trattamento

Il Titolare del trattamento s’impegna a:

1. Fornire al Responsabile del trattamento i dati previsti al punto II delle presenti clausole;
2. Documentare per iscritto tutte le istruzioni riguardanti il trattamento dei dati da parte del Responsabile del trattamento;
3. Vigilare, in anticipo e durante la durata di tutto il trattamento, sul rispetto degli obblighi previsti dal regolamento europeo sulla protezione dei dati da parte del Responsabile del trattamento
4. Supervisionare il trattamento, comprese le revisioni e le ispezioni da parte del Responsabile del trattamento.

CASTELFRANCO VENETO (TV), 19/12/2023