Data Processing Agreement

Ultimo aggiornamento del 23/09/2020

Premesso che

  • Forwork è la Suite di NSI dedicata alla sorveglianza della salute e sicurezza dei lavoratori in Azienda, in ottemperanza agli obblighi imposti dal D.Lgs n. 81 del 2008;
  • Il presente Data Processing Agreement (nel proseguo, DPA) è parte integrante dei Termini e Condizioni del servizio;
  • Il presente DPA descrive i doveri, i compiti ed i requisiti specifici affinché il trattamento dei dati personali effettuato per conto del Titolare da parte di NSI sia conforme ai requisiti imposti dalla normativa ad oggi in vigore, nazionale e comunitaria, in materia di trattamento di dati personali;
  • I trattamenti effettuati, la natura e la finalità del trattamento, la tipologia di dati personali e le categorie di soggetti interessati oggetto del presente DPA sono:

Categorie di interessati

Lavoratori delle Aziende soggette agli obblighi di cuial D.Lgs 81/2008.

Tipologia di Dati Personali oggetto di trattamento

Dati personali comuni (anagrafici e di contatto).

Natura e finalità del trattamento

Gestione, manutenzione e sviluppo della Suite Forwork per l’erogazione del servizio.

Le premesse costituiscono parte integrante e sostanziale del presente DPA.

Tutto ciò premesso, il Titolare del trattamento designa NSI Nier Soluzioni Informatiche Srl, con sede legale in Via C. Bonazzi n. 2, Castel Maggiore (Bologna), codice fiscale e partita IVA n. 03100430408, (di seguito, Responsabile o NSI), quale Responsabile del trattamento ai sensi dell’art. 28 Regolamento UE 2016/679 per tutta la durata di utilizzo della Suite Forwork ovvero secondo quanto ragionevolmente necessario per la prestazione dei servizi ed in conformità agli obblighi imposti dal presente DPA.

Mediante l’accettazione del presente DPA, il Responsabile si impegna a compiere le attività di trattamento dei dati in modo lecito, trasparente e secondo correttezza nonché nel pieno rispetto delle disposizioni normative applicabili in materia di trattamento dei dati personali, nonché delle seguenti e specifiche istruzioni:

Art. 1 Trattamento di dati personali

1.1 Il Responsabile del trattamento accetta di rispettare ogni normativa o regolamento applicabili in materia di protezione dei dati personali e sulle informazioni oggetto di trattamento non deve compiere operazioni ulteriori e/o diverse da quelle necessarie alla gestione, manutenzione e sviluppo della Suite Forwork, a meno che l’ulteriore attività di trattamento sia richiesta da una legge tempo per tempo vigente e a cui sia soggetto il Responsabile del trattamento.

1.2 Il Titolare autorizza il Responsabile del trattamento a trattare i dati personali secondo quanto ragionevolmente necessario per l’esecuzione del servizio nonché in conformità con i termini e le condizioni del presente DPA.

1.3 L’oggetto dell’attività di trattamento dei dati personali è la prestazione del servizio in favore del Titolare. La descrizione dettagliata dei trattamenti, comprese le informazioni riguardanti la natura e la finalità del trattamento, i tipi di dati personali e le categorie delle persone interessate dal trattamento sono disciplinate nelle premesse al presente DPA, quali parti integranti dello stesso.

Art. 2 Personale del Responsabile

2.1 II Responsabile del trattamento garantisce che il personale coinvolto nel trattamento dei dati personali sia informato della natura confidenziale delle informazioni trattate, abbia ricevuto un'adeguata formazione-istruzione in merito alle proprie responsabilità e abbia sottoscritto uno specifico e adeguato obbligo legale vincolante per tutelare la riservatezza dei dati personali trattati.

2.2 Il Responsabile del trattamento garantisce che l’accesso ai dati personali sia limitato al personale preventivamente autorizzato ad accedere ai dati personali per il perseguimento delle finalità previste dal servizio e dal presente DPA.

Art. 3 Sicurezza e Audit

3.1 Il Responsabile del trattamento adotta misure tecniche e organizzative adeguate a garantire la sicurezza (inclusa la prevenzione dal trattamento non autorizzato, dalla distruzione accidentale o illecita, dalla perdita di disponibilità o alterazione o danneggiamento dei dati, dalla divulgazione non autorizzata ovvero dall'accesso illegittimo ai dati personali), confidenzialità e integrità dei dati personali trattati. Queste misure includono, ai sensi dell’art. 32GDPR, ove opportuno:

  • misure organizzative idonee a garantire che possa accedere ai dati personali solo il personale autorizzato del Responsabile e per le finalità stabilite nel presente DPA e dal contratto principale;
  • deve essere eseguita una valutazione del livello di sicurezza, in particolare analizzando ogni rischio associato al trattamento, ad esempio dovuto alla distruzione accidentale o illegale, perdita, o alterazione, conservazione, accesso, comunicazione o accesso non autorizzato o illegittimo ai dati personali;
  • la pseudonimizzazione e cifratura dei dati personali;
  • la capacità di garantire su base permanente la confidenzialità, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare la disponibilità e l'accesso ai dati personali, in modo tempestivo, in caso di incidente fisico o tecnico;
  • una procedura per testare, determinare e valutare periodicamente l'efficacia delle misure tecniche e organizzative atte a garantire la sicurezza del trattamento dei dati personali;
  • le misure per identificare le vulnerabilità nei sistemi informativi usati per fornire i servizi al Titolare relativi al trattamento dei dati personali.

3.2 Nella valutazione circa l'adeguato livello di sicurezza, il Responsabile del trattamento deve tener conto dei rischi riguardanti il trattamento di dati personali, in particolare per prevenire qualsiasi violazione della sicurezza, secondo quanto definito dalle normative e dai regolamenti sulla protezione dei dati.

3.3 Il Responsabile del trattamento accetta che il Titolare (o i suoi rappresentanti designati), previo ragionevole preavviso, possa ispezionare e verificare le installazioni ed i sistemi informativi per il trattamento dei dati effettuati dal Responsabile (e/o quelle dei suoi Sub-Responsabili) al fine di verificarne la conformità coni termini previsti dal presente DPA o dalla normativa in materia di protezione dei dati personali.

Art. 4 Sub-Responsabili

4.1 Il Responsabile del trattamento può ricorrere a un altro Responsabile solo previa autorizzazione scritta, specifica o generale, del Titolare. Il Responsabile deve fornire, a richiesta del Titolare, previo ragionevole preavviso, la lista dei propri Sub-Responsabili del trattamento in relazione al trattamento di cui all’esecuzione del Servizio. L’accettazione del presente DPA vale quale autorizzazione scritta generale.

4.2 Il Responsabile del trattamento è tenuto ad informare il Titolare in merito alla scelta, aggiunta o sostituzione di qualsiasi ulteriore altro responsabile del trattamento.

4.3 Prima di consentire l'accesso da parte dell’altro responsabile ai dati personali, il Responsabile del trattamento garantisce che tale altro responsabile sia obbligato, attraverso un contratto scritto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, al rispetto degli stessi obblighi in materia di protezione dei dati indicati nel presente DPA.

Art. 5 Diritti degli interessati

5.1 Il Responsabile del trattamento comunicherà senza indebito ritardo al Titolare le istanze pervenute da parte di un Interessato inerenti all’esercizio di un proprio diritto previsto dagli art. 15-22 del Regolamento UE 2016/679.

5.2 Su richiesta del Titolare, il Responsabile del trattamento fornirà una ragionevole assistenza al Titolare nell’evadere le richieste di cui al precedente punto5.1.

Art. 6 Data Breach

6.1 Il Responsabile del trattamento comunica al Titolare, senza ingiustificati ritardi dal momento in cui il Responsabile del trattamento ne sia venuto a conoscenza, l’incidente riguardante la sicurezza o la violazione delle misure di sicurezza che abbiano condotto a un utilizzo non autorizzato, distruzione, perdita, divulgazione, accidentale o illecita, alterazione, accesso illegittimo dei dati personali oggetto di trattamento ovvero qualsiasi altra violazione di sicurezza che comporti una perdita di riservatezza, integrità o disponibilità dei dati personali trattati.

6.2 Nella propria comunicazione, il Responsabile del trattamento deve indicare ogni informazione utile per consentire al Titolare di adempiere ai conseguenti obblighi di notifica alla competente Autorità Garante o di informazione degli interessati coinvolti nell’evento.

6.3 Il Responsabile assiste il Titolare avviando un’analisi finalizzata alla raccolta delle seguenti informazioni:

  • Data e ora in cui si è avuto conoscenza della violazione;
  • Fonte segnalazione;
  • Tipologia violazione e di informazioni coinvolte;
  • Descrizione evento anomalo;
  • Numero interessati coinvolti;
  • Numerosità di dati personali di cui si presume una violazione;
  • Descrizione dei sistemi di elaborazione o di memorizzazione dei dati coinvolti, con indicazione della loro ubicazione.

Art. 7 Valutazione d’impatto

7.1 Il Responsabile assiste il Titolare nel garantire il rispetto degli obblighi relativi alla valutazione d’impatto sulla protezione dei dati nonché alla eventuale consultazione preventiva con l’Autorità di Controllo.

Art. 8 Restituzione o cancellazione di dati personali

8.1 Su richiesta e a scelta del Titolare del trattamento, il Responsabile si impegna a cancellare e/o a restituire tutti i dati personali nel termine di 90 (novanta) giorni dalla data di scadenza del servizio. Il Titolare potrà ottenere la cancellazione dei dati oggetto di trattamento nel caso in cui su questi non vi sia un obbligo giuridico alla conservazione da parte del Responsabile, derivante dalla normativa comunitaria e/o nazionale in vigore.

Art. 9 Efficacia e risoluzione

9.1 Il presente DPA avrà efficacia a partire dalla data di accettazione da parte del Titolare, effettuabile mediante specifico checkbox al momento di primo accesso alla Suite Forwork, e non avrà più efficacia nel momento in cui il servizio si concluderà, purché le disposizioni che avranno ancora effetto per loro natura ed espressione, incluso l’art. 8 del presente DPA inerente alla restituzione o cancellazione di dati personali, proseguano oltre la scadenza del servizio.

Art. 10 Amministrazione del Sistema

10.1 Premesso che il Provvedimento Generale del Garante italiano per la protezione dei dati personali “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – del 27 novembre2008” ha introdotto alcuni adempimenti specifici per gli amministratori di sistema in conseguenza delle funzioni per mezzo delle quali alcune operazioni di trattamento comportano particolari e più ampi privilegi per l’accesso ai dati personali, ovvero quando le attività siano esercitate in un contesto che renda tecnicamente possibile l'accesso, anche incidentale, a dati personali, da ciò derivando la necessità di predisporre una maggiore tutela agli accessi ai dati personali.

10.2 Premesso altresì che, l’Amministratore del sistema è stato scelto in quanto fornisce sufficienti ed idonee garanzie di esperienza, capacità ed affidabilità circa l’applicazione delle norme in materia di protezione dei dati personali, anche con specifico riferimento alla sicurezza dei dati personali trattati.

10.3 Il Titolare affida al Responsabile la funzione di Amministratore del sistema Suite Forwork, precisando le seguenti istruzioni:

  • Il Responsabile provvederà a designare ciascun amministratore (persona fisica) dei sistemi del Titolare garantendo altresì l’esperienza, la capacità e affidabilità del soggetto designato;
  • A richiesta del Titolare, previo ragionevole preavviso, il Responsabile provvederà a comunicare gli estremi identificativi delle persone fisiche amministratori di sistema, con le funzioni ad essi attribuite;
  • Il Responsabile renderà operativi sistemi di log per la registrazione immodificabile delle autenticazioni informatiche (access log) degli amministratori di sistema designati, con conservazione almeno semestrale delle stesse;
  • Il Responsabile verificherà, con cadenza almeno annuale, gli accessi degli amministratori di sistema in modo da verificare la loro rispondenza alle misure organizzative, tecniche e di sicurezza del Responsabile riguardanti i trattamenti dei dati personali effettuati per conto del Titolare;
  • Gli Amministratori di Sistema designati dal Responsabile dovranno accedere ai sistemi informatici tramite credenziali univoche o in seconda istanza solo se strettamente necessario, utilizzando credenziali tecniche o generiche per l’amministrazione dei sistemi.

10.4 La funzione di Amministratore del sistema affidata al Responsabile del trattamento decorre dalla data di accettazione del presente DPA e avrà durata sino alla conclusione del servizio.

Art. 11 Responsabilità e Manleve

11.1 Il Responsabile del trattamento si obbliga a tenere indenne e manlevare il Titolare da qualsivoglia perdita, costo, sanzione, danno e da qualsivoglia responsabilità ascritta a quest’ultimo e derivante dalla violazione, da parte del Responsabile medesimo, di propri autorizzati o di propri altri responsabili, delle disposizioni contenute nel presente DPA e/o delle disposizioni vigenti in materia di protezione dei dati personali. In tali ipotesi, pertanto, il Responsabile sarà chiamato a rispondere della violazione commessa e, conseguentemente, sarà tenuto a farsi carico delle eventuali sanzioni irrogate dalle competentiAutorità nonché delle eventuali richieste risarcitorie avanzate da terzi nei confronti del Titolare.

11.2 Qualora il Responsabile violi una delle disposizioni del presente accordo, determinandole finalità ed i mezzi del trattamento, lo stesso sarà considerato a tutti gli effetti quale titolare delle attività di trattamento per le quali ha determinato, in autonomia ed in violazione del presente DPA, finalità e mezzi del trattamento.

Art. 12 Garanzie del Titolare

12.1 Il Titolare garantisce al Responsabile che i dati oggetto del trattamento:

  • sono pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati;
  • in ogni caso, i dati personali e/o le categorie particolari di dati personali, oggetto delle operazioni di trattamento affidate al Responsabile, sono raccolti e trasmessi rispettando ogni prescrizione della normativa applicabile. Resta inteso che rimane a carico del Titolare l’onere di individuare la base giuridica idonea al trattamento dei dati personali degli interessati.

Art. 13 Disposizioni finali e rinvio

13.1 L’accettazione del presente DPA non prevede alcun compenso aggiuntivo in favore del Responsabile.

13.2 Per quanto non espressamente previsto, si rinvia alle disposizioni generali vigenti in materia di protezione di dati personali.

Art.14 Contatti DPO del Responsabile

14.1 L’indirizzo di contatto del Responsabile della Protezione dei Dati personali del Responsabile è: dpo@nsi.it