(d’ora in poi anche “Società” o “Titolare del Trattamento”)
E
Henry Schein Krugg S.r.l. / con sede legale in Via dei Lavoratori, n°7, CAP 20090 Buccinasco (MI), P. IVA n° 13088630150 (d’ora in poi anche “HSK” o “Responsabile del Trattamento”)
Premesso che
Il presente accordo tra HSK e la Società (di seguito '“Accordo”) si applica al trattamento di dati personali che rientrano nel Regolamento.
In relazione al Contratto, HSK potrebbe trattare dati personali, anche sensibili, del Titolare del Trattamento;
il Titolare del Trattamento autorizza ad accedere ai soli dati personali, anche sensibili - la cui conoscenza si renda necessaria per l’adempimento delle obbligazioni di cui al Contratto - sia il Responsabile del Trattamento che le persone da quest’ultimo autorizzate;
il Responsabile del Trattamento procederà al trattamento dei dati secondo le istruzioni impartite dal Titolare del Trattamento e documentate nel presente accordo
Tutto ciò premesso, le parti convengono e stipulano quanto segue.
OGGETTO E FINALITA’ DEL TRATTAMENTO.
1.1
La Società, quale Titolare del Trattamento cui competono esclusivamente ed autonomamente le decisioni in ordine alle finalità ed alle modalità di tale trattamento, ai sensi e per gli effetti dell’art. 28 del Regolamento, nomina HSK, che accetta, Responsabile del Trattamento in relazione al Contratto.
Il Titolare del Trattamento, per consentire le operazioni direttamente connesse e strumentali di cui al Contratto, invierà o consegnerà o comunque consentirà al Responsabile del Trattamento l’accesso ai supporti informatici contenenti le proprie banche dati per la finalità di manutenzione hardware e software dei sistemi installati. In particolare, le operazioni di trattamento dei dati personali sono finalizzate a:
a) raccolta;
b) elaborazione, riordino, controllo, riparazione, travaso da procedura a procedura;
c) stampe di controllo;
d) registrazione su supporto magnetico/ottico;
e) comunicazione al Titolare del Trattamento;
f) distruzione e/o cancellazione dei dati oggetto del trattamento.
NATURA DEI DATI PERSONALI TRATTATI.
Il Responsabile del Trattamento avrà accesso ai dati personali e alle informazioni necessarie per l’esecuzione del Contratto.
I dati personali oggetto del Trattamento possono comprendere anche dati di natura sensibile (a titolo esemplificativo biometrici, genetici e sanitari) ai sensi del Regolamento.
Nel caso in cui il Responsabile del Trattamento rilevi la presenza di dati diversi da quelli oggetto dell’Accordo, è tenuto ad informare tempestivamente il Titolare del Trattamento ed a chiedere relative istruzioni a riguardo.
MODALITÀ DEL TRATTAMENTO
Il Titolare del Trattamento autorizza il Responsabile del Trattamento al trattamento dei dati personali mediante strumenti manuali, informatici e telematici comunque idonei a garantire la sicurezza e la riservatezza dei dati stessi;
Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati nel pieno rispetto di quanto previsto dagli artt. 31 e seguenti del Codice Privacy e dal Disciplinare Tecnico – Allegato B al Codice Privacy – in materia di misure minime di sicurezza e dall’art. 32 del Regolamento.
.
CATEGORIE DI INTERESSATI
I dati oggetto del trattamento sono relativi alle seguenti categoria di interessati:
Pazienti assistiti dal Titolare del Trattamento;
Eventuali dipendenti e/o collaboratori del dentista se nel gestionale sono presenti dati relativi a tali categorie.
DURATA DEL TRATTAMENTO E PERIODO DI CONSERVAZIONE DEI DATI
Il trattamento dei dati avrà luogo fino alla data di cessazione del Contratto, salvi gli specifici obblighi che per loro natura sono destinati a permanere (ad es. obblighi di natura civilistica, fiscale e tributaria vigenti). Qualora il rapporto tra le parti venisse meno o perdesse efficacia per qualsiasi motivo o i servizi non fossero più erogati, anche il presente Accordo verrà automaticamente meno senza bisogno di comunicazioni o revoche, ed il Responsabile del Trattamento non sarà più legittimato a trattare i dati del Titolare del Trattamento.
Al termine delle operazioni di trattamento affidate con il presente Accordo, nonché all’atto della cessazione per qualsiasi causa del trattamento, il Responsabile del Trattamento, a discrezione del Titolare e su richiesta di quest’ultimo, è tenuto a:
(i)
restituire al Titolare i dati personali oggetti del trattamento; oppure
(ii)
provvedere alla loro integrale distruzione salvi solo i casi in cui la conservazione dei dati sia richiesta da norme di legge od altri fini (contabili, fiscali, ecc.).
In entrambi i casi previsti nel precedente articolo 5.2, il Responsabile del Trattamento provvederà a rilasciare al Titolare del Trattamento, dietro sua richiesta, apposita dichiarazione per iscritto contenente l’attestazione che presso il Responsabile del Trattamento non esiste alcuna copia dei dati personali e delle informazioni di titolarità del Titolare del Trattamento.
OBBLIGHI E DIRITTI DEL TITOLARE DEL TRATTAMENTO.
Il Titolare del Trattamento dichiara di aver preso conoscenza delle misure di sicurezza e dell’organizzazione utilizzate HSK per lo svolgimento del Contratto e del connesso trattamento di dati personali di cui al presente Accordo, ritenendole idonee alle finalità dichiarate nonché conformi alla vigente normativa in tema di Privacy.
Il Titolare del Trattamento dichiara che i dati trasmessi al Responsabile del Trattamento sono pertinenti e non eccedenti le finalità per le quali sono stati raccolti e successivamente trattati.
I dati personali e/o le categorie particolari di dati personali, oggetto delle operazioni di trattamento affidate al Responsabile del Trattamento, sono raccolti e trasmessi rispettando ogni prescrizione della normativa applicabile, restando inteso che rimane a carico del Titolare l’obbligo di individuare la base legale del trattamento dei dati personali degli interessati, nonché l’adempimento degli altri eventuali obblighi facenti capo esclusivamente allo stesso (a titolo esemplificativo l’informativa e la richiesta del consenso degli interessati). Si precisa, inoltre che l’adempimento degli obblighi che rimangono in capo alla Società, quale Titolare del Trattamento, sono anche idonei a garantire la legittimità del trattamento richiesto a HSK.
Il Titolare del Trattamento rimane responsabile del trattamento delle informazioni attuate tramite procedure applicative sviluppate secondo sue specifiche e/o attraverso propri strumenti informatici o di telecomunicazioni.
Qualora oggetto del trattamento siano dati sensibili, il Titolare del Trattamento si impegna ad adempiere ai propri obblighi in materia di protezione di dati personali - applicando le garanzie specifiche stabilite dalla vigente normativa per il trattamento di tale categoria di dati - e a comunicare al Responsabile del Trattamento le istruzioni necessarie a garantire la corretta gestione dei medesimi.
Il Titolare del Trattamento avrà diritto ad esercitare poteri di vigilanza e controllo sulla puntuale osservanza delle istruzioni impartite al Responsabile del Trattamento.
Il Titolare del Trattamento si impegna a comunicare per iscritto al Responsabile del Trattamento qualsiasi variazione si dovesse rendere necessaria nelle operazioni di trattamento dei dati.
OBBLIGHI E DIRITTI DEL RESPONSABILE DEL TRATTAMENTO.
Il Responsabile del Trattamento deve trattare i dati personali in modo lecito, secondo correttezza, nel rispetto di quanto disposto dal Regolamento.
Il Responsabile del Trattamento deve svolgere le operazioni di trattamento dei dati unicamente per gli scopi come sopra individuati, con divieto esplicito di utilizzare i dati per scopi o finalità diversi.
Il Responsabile del Trattamento deve attenersi alle istruzioni di volta in volta ricevute dal Titolare del Trattamento in merito alla sorte dei dati personali trattati, al fine di limitarne l‘utilizzo per un tempo non eccedente quello necessario per gli scopi per i quali i dati sono stati raccolti.
Il Responsabile del Trattamento deve consentire agli interessati l‘esercizio dei diritti di accesso e di controllo di cui alla normativa vigente, nei limiti in cui tale diritto è loro riconosciuto.
Il Responsabile del Trattamento deve adottare le misure di sicurezza minime per il trattamento del dati personali, secondo le indicazioni previste dal Regolamento, nonché secondo le istruzioni che sono impartite dal Titolare del Trattamento con il presente Accordo, impegnandosi nel frattempo ad adottare le misure di sicurezza atte a prevenire e/o evitare la comunicazione o diffusione illecita dei suddetti Dati personali, il rischio di distruzione o perdita, anche accidentale, dei dati personali stessi, di accesso non autorizzato o di trattamento non autorizzato o non conforme alle finalità della raccolta.
Il Responsabile del Trattamento, per quanto di propria competenza, è tenuto in forza della normativa vigente e del presente Accordo, per sé e per le persone autorizzate al trattamento che collaborano con la sua organizzazione, a dare attuazione alle misure di sicurezza previste dalla normativa pro tempore vigente in materia di trattamento di dati personali fornendo assistenza alla Società nel garantire il rispetto della medesima. Il Responsabile del Trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, deve assicurarsi che le misure di sicurezza predisposte ed adottate siano idonee a garantire un livello di sicurezza adeguato al rischio.
Il Responsabile del Trattamento applicherà le misure di sicurezza richieste ai sensi dell’art. 32 del Regolamento, al fine di garantire:
- se del caso, la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.
Il Responsabile del Trattamento redige, per quanto di sua competenza, il registro dei trattamenti contenente i nominativi di ogni titolare del trattamento per conto del quale agisce, indicando, inoltre, le categorie di trattamenti svolte per ogni titolare di trattamento. Inoltre, dovrà predisporre le più elevate misure di sicurezza organizzative e tecniche, volte ad evitare l’accesso non autorizzato ai dati del Titolare del Trattamento, il trattamento non conforme alle finalità concordate o l’alterazione dei dati personali.
Il Responsabile del Trattamento, nell’ambito della propria struttura aziendale, provvederà ad individuare le persone fisiche autorizzate/incaricate del trattamento. Contestualmente alla designazione, il Responsabile del Trattamento si fa carico di fornire adeguate istruzioni scritte alle persone autorizzate al trattamento circa le modalità del trattamento, in ottemperanza a quanto disposto dalla legge e dal presente Accordo. A titolo esemplificativo e non esaustivo, il Responsabile del Trattamento, nel designare per iscritto le persone autorizzate al trattamento, dovrà prescrivere che essi abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati. Dovrà, inoltre, verificare che questi ultimi applichino tutte le disposizioni in materia di sicurezza relativa alla custodia delle parole chiave (trattamenti elettronici). Dovrà, infine, verificare che conservino in luogo sicuro i supporti non informatici contenenti atti o documenti con categorie particolari di dati (dati sensibili o giudiziari) o la loro riproduzione, adottando contenitori con serratura (trattamenti cartacei di dati sensibili). Sarà cura del Responsabile del Trattamento vincolare le persone autorizzate al trattamento alla riservatezza o ad un adeguato obbligo legale di riservatezza, anche per il periodo successivo all’estinzione del rapporto di collaborazione intrattenuto con il Responsabile del Trattamento, in relazione alle operazioni di trattamento da esse eseguite
Il Responsabile del Trattamento, su richiesta della Società, coadiuverà quest’ultima nelle eventuali procedure davanti all’Autorità di Controllo competente e all’Autorità Giudiziaria in relazione alle attività rientranti nella sua competenza di cui al presente Accordo.
Nell’eventualità in cui il Responsabile del Trattamento venga a conoscenza di violazioni di dati personali si impegna ad informare tempestivamente la Società e a fornire la più ampia collaborazione alla medesima, nonché alle Autorità di Controllo competenti e coinvolte, al fine di soddisfare ogni applicabile obbligo imposto dalla normativa pro tempore applicabile (es. notifica della violazione dei dati personali all’Autorità Controllo compente; eventuale comunicazione di una violazione dei dati personali agli interessati).
Il Responsabile assiste altresì la Società nel garantire il rispetto degli obblighi relativi alla eventuale valutazione d’impatto sulla protezione dei dati nonché alla eventuale consultazione preventiva all’Autorità di Controllo.
Nel caso in cui il Responsabile del Trattamento riceva istanze dagli interessati per l’esercizio dei diritti loro riconosciuti dalla normativa applicabile in materia di protezione dei dati personali dovrà:
- darne tempestiva comunicazione scritta alla Società allegando copia della richiesta;
- assistere la Società, tenendo conto della natura del trattamento, con misure tecniche e organizzative adeguate al fine di soddisfare l’obbligo della medesima Società di dare seguito alle richieste per l’esercizio dei diritti degli interessati.
In particolare, ove applicabile e in considerazione delle attività di trattamento affidategli, il Responsabile del Trattamento dovrà:
- permettere alla Società di fornire agli interessati i propri dati personali in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, nonché di trasmettere i dati ad altro titolare;
- permettere alla Società di garantire in tutto o in parte i diritti di opposizione e limitazione del trattamento.
Il Responsabile del Trattamento dovrà eseguire i trattamenti funzionali alle mansioni ad esso attribuite in relazione al Contratto o derivanti da istruzioni di cui al presente Accordo, anche con riferimento all’eventuale trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale.
7.14
Qualora sorgesse la necessità di trattamenti sui dati personali diversi ed eccezionali rispetto a quelli normalmente eseguiti, il Responsabile dovrà informare preventivamente la Società.
7.15
La Società autorizza per iscritto il Responsabile del Trattamento a ricorrere a eventuali ulteriori responsabili del trattamento (“sub-responsabile/i”), nell’esecuzione del presente Accordo.
Nel caso in cui il Responsabile del Trattamento faccia effettivo ricorso a sub-responsabili, il Responsabile del Trattamento medesimo si impegna a selezionare sub-responsabili tra soggetti che per esperienza, capacità e affidabilità forniscano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti di cui alla normativa pro tempore applicabile e garantisca la tutela dei diritti degli interessati.
Il Responsabile del Trattamento si impegna, altresì, a stipulare specifici contratti, o altri atti giuridici, con i sub-responsabili a mezzo dei quali il Responsabile del Trattamento descriva analiticamente i loro compiti e imponga a tali soggetti di rispettare i medesimi obblighi, con riferimento alla disciplina sulla protezione dei dati personali, imposti dalla Società sul Responsabile del Trattamento ai sensi della normativa pro tempore vigente e degli applicabili provvedimenti speciali della competente Autorità di Controllo, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento.
Il Responsabile del Trattamento, con la sottoscrizione del presente Accordo, si impegna a comunicare alla Società, che ne faccia richiesta al seguente indirizzo email:
privacy@henryschein.itle categorie di sub – responsabili di cui la stessa potrà avvalersi per l’esecuzione del presente Accordo.
In particolare, i dati potranno essere comunicati a:
Fornitori di Henry Schein Krugg quali società di costruzione/riparazione/vendita di strumenti medici/odontoiatrici e società di assistenza informatica.
Resta inteso che HSK si impegna a comunicare per iscritto alla Società l’intervenuto aggiornamento delle categorie dei sub - responsabili ivi indicate, dando così alla Società la possibilità di opporsi a tali modifiche, posto comunque che l’eventuale opposizione della Società, debba essere motivata in conformità dei principi di correttezza e buona fede in esecuzione dei contratti e, in ogni caso, potrà essere ritenuta ammissibile solo nell’ipotesi di carenza oggettiva e/o garanzie sufficienti dei sub-responsabili in materia di protezione e sicurezza dei dati.
Il Responsabile del Trattamento mette a disposizione del Titolare del Trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente Accordo e della normativa applicabile, consentendo e contribuendo alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato. A tale scopo il Responsabile del Trattamento riconosce al Titolare del Trattamento, e agli incaricati dal medesimo, il diritto di ottenere informazioni circa lo svolgimento delle operazioni di trattamento o del luogo in cui sono custoditi dati o documentazione relativi al presente Accordo. In ogni caso, il Responsabile del Trattamento si impegna per sé e per i terzi incaricati, a che le informazioni fornite al Titolare del Trattamento a fini di verifica siano utilizzate solo per tali finalità. Il Responsabile del Trattamento sarà, inoltre, tenuto a comunicare tempestivamente al Titolare del Trattamento istanze degli interessati, contestazioni, ispezioni o richieste dell’Autorità di Controllo e dalle Autorità Giudiziarie, ed ogni altra notizia rilevante in relazione al trattamento dei dati personali.
CORRISPETTIVO
8.1
Il corrispettivo per lo svolgimento delle suddette operazioni di trattamento deve ritenersi ricompreso nel corrispettivo già concordato nel contratto di manutenzione o in un preventivo a parte se trattasi di travasi o operazioni di riparazione non rientranti nel canone di manutenzione.
VARIE
9.1
Ogni modifica, integrazione o aggiornamento della presente nomina dovrà essere predisposta per iscritto.
9.2
Con il presente Accordo si intende espressamente revocare e sostituire ogni altro contratto o accordo tra le parti inerente al trattamento di dati personali.
