Common use of Responsabile esterno del trattamento dei dati Clause in Contracts

Responsabile esterno del trattamento dei dati. Ai fini dell’esecuzione del presente appalto la ditta dovrà effettuare operazioni di trattamento dei dati personali per conto dell’Azienda. L’Azienda svolge il ruolo di Titolare del trattamento in relazione ai Dati Personali dalla stessa trattati, stabilendo autonomamente le finalità, le modalità ed i mezzi del trattamento. La ditta dovrà essere in possesso di adeguate competenze tecniche e know-how circa gli scopi e le modalità di trattamento dei Dati Personali, delle misure di sicurezza da adottare al fine di garantire la loro riservatezza, la completezza e l’integrità, nonché diretta e completa conoscenza delle norme che disciplinano la protezione degli stessi. La ditta verrà quindi nominata quale Responsabile del Trattamento ai sensi dell’art. 28 del GDPR, con l’incarico di effettuare le operazioni di trattamento sui Dati Personali, di cui entrerà in possesso o ai quali ha comunque accesso, necessarie all’adempimento degli obblighi derivanti dal Contratto e di eventuali servizi accessori allo stesso. La ditta si assumerà e si impegnerà a procedere al trattamento dei Dati Personali attenendosi alle istruzioni ricevute dal Titolare attraverso la relativa nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore. L’incarico di effettuare le operazioni di trattamento sui Dati Personali al Responsabile potrà essere affidato per l’esclusiva ragione che il profilo professionale/societario, in termini di proprietà, risorse umane, organizzative ed attrezzature, è stato ritenuto idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti, che possa sollevare incertezze sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta. Il trattamento deve essere svolto da parte del Responsabile in esecuzione del vigente rapporto contrattuale con l’Azienda e per le finalità ad esso relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità. L’Azienda ha diritto di ottenere dal Responsabile tutte le informazioni relative alle misure organizzative e di sicurezza da questo adottate necessarie per dimostrare il rispetto delle istruzioni e degli obblighi affidati. La stessa Azienda, inoltre, ha il diritto di disporre - a propria cura e spese - verifiche a campione o specifiche attività di audit in ambito protezione dei dati personali e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile. Nell’adempimento delle proprie obbligazioni il fornitore, i suoi dipendenti ed ogni Subfornitore di cui il fornitore si avvalga e che effettui il Trattamento di Dati Personali del Titolare, si obbligano a rispettare il GDPR ed ogni altra istruzione impartita dall’Azienda, nonché a tener conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo italiana, dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati, inerenti il trattamento svolto. Il fornitore si impegna ad effettuare il Trattamento soltanto dei Dati Personali che siano necessari e/o strumentali all’esecuzione del Contratto. Il Fornitore si impegna, sin dalla data di sottoscrizione del presente atto, a rendere disponibili ed a comunicare ai propri Subfornitori soltanto quei Dati Personali che siano strettamente necessari per l’adempimento delle obbligazioni di cui al presente Contratto o di obblighi di legge. Il fornitore si impegna a cooperare con l’Azienda in qualsiasi momento al fine di assicurare il corretto trattamento dei Dati Personali e si impegna a fornire alla stessa Azienda tutte le informazioni o i documenti, che potranno essere richiesti da quest’ultima per l’adempimento degli obblighi di legge e per comprovare l’adozione di misure tecniche e organizzative adeguate, entro 15 giorni dalla richiesta formulata dall’Azienda a mezzo posta elettronica. Il fornitore si obbliga, nei limiti dei propri poteri, al rispetto delle norme che disciplinano il Trattamento dei Dati Personali, ivi incluse le regole stabilite dall’Autorità di Controllo, nonché a garantire che i propri dipendenti ed ogni soggetto della cui cooperazione esso si avvalga rispettino tali norme. In particolare, il Responsabile si impegna a rispettare gli obblighi ed istruzioni di seguito elencati: ✓ adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo inerenti ai Trattamenti svolti dal Responsabile, ovvero dal Gruppo di Lavoro Articolo 29 e dall’istituendo Comitato Europeo per la protezione dei dati; ✓ non trasferire i Dati Personali trattati per conto dell’Azienda al di fuori dell’usuale luogo di lavoro, a meno che tale trasferimento non sia autorizzato dalle competenti pubbliche autorità, anche regolamentari e di vigilanza, o dall’Azienda stessa; ✓ fornire all’Azienda una descrizione dettagliata delle misure fisiche, tecniche ed organizzative applicate al Trattamento dei Dati Personali; ✓ impiegare sistemi di cifratura per tutti i Dati Personali memorizzati su dispositivi di archiviazione digitali o elettronici, come computer portatili, CD, dischetti, driver portatili, nastri magnetici o dispositivi similari: i Dati Personali dovranno essere cifrati nel rispetto della normativa italiana ed europea in materia di protezione dei dati personali e dovrà compiere ogni ragionevole sforzo per assicurare l’aggiornamento degli standard di cifratura in modo da tenere il passo dello sviluppo tecnologico e dei rischi ad esso connaturati, includendo ogni richiesta o indicazione emanata da qualsiasi pubblica autorità competente, anche regolamentare e di vigilanza; ✓ istituire e mantenere il registro delle attività di trattamento ai sensi dell’art. 30 del GDPR e metterlo a disposizione del Titolare ogniqualvolta richiesto; ✓ comunicare all’Azienda il nominativo ed i recapiti di contatto del proprio responsabile della protezione dei dati, se designato ai sensi degli artt. 37 e ss. del GDPR; ✓ assistere la stessa Azienda, relativamente ai Dati Personali oggetto di trattamento, nel garantire – ove applicabili - il rispetto degli obblighi relativi:

Responsabile esterno del trattamento dei dati. Ai fini dell’esecuzione del presente appalto la ditta dovrà effettuare operazioni di trattamento dei dati personali per conto dell’Azienda. L’Azienda svolge il ruolo di Titolare del trattamento in relazione ai Dati Personali dalla stessa trattati, stabilendo autonomamente le finalità, le modalità ed i mezzi del trattamento. La ditta dovrà essere in possesso di adeguate competenze tecniche e know-how circa gli scopi e le modalità di trattamento dei Dati Personali, delle misure di sicurezza da adottare al fine di garantire la loro riservatezza, la completezza e l’integrità, nonché diretta e completa conoscenza delle norme che disciplinano la protezione degli stessi. La ditta verrà quindi nominata quale Responsabile del Trattamento ai sensi dell’art. 28 del GDPR, con l’incarico di effettuare le operazioni di trattamento sui Dati Personali, di cui entrerà in possesso o ai quali ha comunque accesso, necessarie all’adempimento degli obblighi derivanti dal Contratto e di eventuali servizi accessori allo stesso. La ditta si assumerà e si impegnerà a procedere al trattamento dei Dati Personali attenendosi alle istruzioni ricevute dal Titolare attraverso la relativa nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore. L’incarico di effettuare le operazioni di trattamento sui Dati Personali al Responsabile potrà essere affidato per l’esclusiva ragione che il profilo professionale/societario, in termini di proprietà, risorse umane, organizzative ed attrezzature, è stato ritenuto idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti, che possa sollevare incertezze sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta. Il trattamento deve essere svolto da parte del Responsabile in esecuzione del vigente rapporto contrattuale con l’Azienda e per le finalità ad esso relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità. L’Azienda ha diritto di ottenere dal Responsabile tutte le informazioni relative alle misure organizzative e di sicurezza da questo adottate necessarie per dimostrare il rispetto delle istruzioni e degli obblighi affidati. La stessa Azienda, inoltre, ha il diritto di disporre - a propria cura e spese - verifiche a campione o specifiche attività di audit in ambito protezione dei dati personali e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile. Nell’adempimento delle proprie obbligazioni il fornitoreFornitore, i suoi dipendenti ed ogni Subfornitore di cui il fornitore Fornitore si avvalga e che effettui il Trattamento di Dati Personali del Titolare, si obbligano a rispettare il GDPR ed ogni altra istruzione impartita dall’Azienda, nonché a tener conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo italiana, dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati, inerenti il trattamento svolto. Il fornitore Fornitore si impegna ad effettuare il Trattamento soltanto dei Dati Personali che siano necessari e/o strumentali all’esecuzione del Contratto. Il Fornitore si impegna, sin dalla data di sottoscrizione del presente atto, a rendere disponibili ed a comunicare ai propri Subfornitori soltanto quei Dati Personali che siano strettamente necessari per l’adempimento delle obbligazioni di cui al presente Contratto o di obblighi di legge. Il fornitore Fornitore si impegna a cooperare con l’Azienda in qualsiasi momento al fine di assicurare il corretto trattamento dei Dati Personali e si impegna a fornire alla stessa Azienda tutte le informazioni o i documenti, che potranno essere richiesti da quest’ultima per l’adempimento degli obblighi di legge e per comprovare l’adozione di misure tecniche e organizzative adeguate, entro 15 giorni dalla richiesta formulata dall’Azienda a mezzo posta elettronica. Il fornitore Fornitore si obbliga, nei limiti dei propri poteri, al rispetto delle norme che disciplinano il Trattamento dei Dati Personali, ivi incluse le regole stabilite dall’Autorità di Controllo, nonché a garantire che i propri dipendenti ed ogni soggetto della cui cooperazione esso si avvalga rispettino tali norme. In particolare, il Responsabile si impegna a rispettare gli obblighi ed istruzioni di seguito elencati: ✓ adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo inerenti ai Trattamenti svolti dal Responsabile, ovvero dal Gruppo di Lavoro Articolo 29 e dall’istituendo Comitato Europeo per la protezione dei dati; ✓ non trasferire i Dati Personali trattati per conto dell’Azienda al di fuori dell’usuale luogo di lavoro, a meno che tale trasferimento non sia autorizzato dalle competenti pubbliche autorità, anche regolamentari e di vigilanza, o dall’Azienda stessa; ✓ fornire all’Azienda una descrizione dettagliata delle misure fisiche, tecniche ed organizzative applicate al Trattamento dei Dati Personali; ✓ impiegare sistemi di cifratura per tutti i Dati Personali memorizzati su dispositivi di archiviazione digitali o elettronici, come computer portatili, CD, dischetti, driver portatili, nastri magnetici o dispositivi similari: i Dati Personali dovranno essere cifrati nel rispetto della normativa italiana ed europea in materia di protezione dei dati personali e dovrà compiere ogni ragionevole sforzo per assicurare l’aggiornamento degli standard di cifratura in modo da tenere il passo dello sviluppo tecnologico e dei rischi ad esso connaturati, includendo ogni richiesta o indicazione emanata da qualsiasi pubblica autorità competente, anche regolamentare e di vigilanza; ✓ istituire e mantenere il registro delle attività di trattamento ai sensi dell’art. 30 del GDPR e metterlo a disposizione del Titolare ogniqualvolta richiesto; ✓ comunicare all’Azienda il nominativo ed i recapiti di contatto del proprio responsabile della protezione dei dati, se designato ai sensi degli artt. 37 e ss. del GDPR; ✓ assistere la stessa Azienda, relativamente ai Dati Personali oggetto di trattamento, nel garantire – ove applicabili - il rispetto degli obblighi relativi:

Responsabile esterno del trattamento dei dati. Ai fini dell’esecuzione del presente appalto la ditta dovrà effettuare operazioni di trattamento dei dati personali per conto dell’Azienda. L’Azienda svolge il ruolo di Titolare del trattamento in relazione ai Dati Personali dalla stessa trattati, stabilendo autonomamente le finalità, le modalità ed i mezzi del trattamento. La ditta dovrà essere in possesso di adeguate competenze tecniche e know-how circa gli scopi e le modalità di trattamento dei Dati Personali, delle misure di sicurezza da adottare al fine di garantire la loro riservatezza, la completezza e l’integrità, nonché diretta e completa conoscenza delle norme che disciplinano la protezione degli stessi. La ditta verrà quindi nominata quale Responsabile del Trattamento ai sensi dell’art. 28 del GDPR, con l’incarico di effettuare le operazioni di trattamento sui Dati Personali, di cui entrerà in possesso o ai quali ha comunque accesso, necessarie all’adempimento degli obblighi derivanti dal Contratto e di eventuali servizi accessori allo stesso. La ditta si assumerà e si impegnerà a procedere al trattamento dei Dati Personali attenendosi alle istruzioni ricevute dal Titolare attraverso la relativa nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore. L’incarico di effettuare le operazioni di trattamento sui Dati Personali al Responsabile potrà essere affidato per l’esclusiva ragione che il profilo professionale/societario, in termini di proprietà, risorse umane, organizzative ed attrezzature, è stato ritenuto idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti, che possa sollevare incertezze sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta. Il trattamento deve essere svolto da parte del Responsabile in esecuzione del vigente rapporto contrattuale con l’Azienda e per le finalità ad esso relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità. L’Azienda ha diritto di ottenere dal Responsabile tutte le informazioni relative alle misure organizzative e di sicurezza da questo adottate necessarie per dimostrare il rispetto delle istruzioni e degli obblighi affidati. La stessa Azienda, inoltre, ha il diritto di disporre - a propria cura e spese - verifiche a campione o specifiche attività di audit in ambito protezione dei dati personali e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile. Nell’adempimento delle proprie obbligazioni il fornitoreFornitore, i suoi dipendenti ed ogni Subfornitore di cui il fornitore Fornitore si avvalga e che effettui il Trattamento di Dati Personali del Titolare, si obbligano a rispettare il GDPR ed ogni altra istruzione impartita dall’Azienda, nonché a tener conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo italiana, dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati, inerenti il trattamento svolto. Il fornitore Fornitore si impegna ad effettuare il Trattamento soltanto dei Dati Personali che siano necessari e/o strumentali all’esecuzione del Contratto. Il Fornitore si impegna, sin dalla data di sottoscrizione del presente atto, a rendere disponibili ed a comunicare ai propri Subfornitori soltanto quei Dati Personali che siano strettamente necessari per l’adempimento delle obbligazioni di cui al presente Contratto o di obblighi di legge. Il fornitore Fornitore si impegna a cooperare con l’Azienda in qualsiasi momento al fine di assicurare il corretto trattamento dei Dati Personali e si impegna a fornire alla stessa Azienda tutte le informazioni o i documenti, che potranno essere richiesti da quest’ultima per l’adempimento degli obblighi di legge e per comprovare l’adozione di misure tecniche e organizzative adeguate, entro 15 giorni dalla richiesta formulata dall’Azienda a mezzo posta elettronica. Il fornitore Fornitore si obbliga, nei limiti dei propri poteri, al rispetto delle norme che disciplinano il Trattamento dei Dati Personali, ivi incluse le regole stabilite dall’Autorità di Controllo, nonché a garantire che i propri dipendenti ed ogni soggetto della cui cooperazione esso si avvalga rispettino tali norme. In particolare, il Responsabile si impegna a rispettare gli obblighi ed istruzioni di seguito elencati: ✓ adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo inerenti ai Trattamenti svolti dal Responsabile, ovvero dal Gruppo di Lavoro Articolo 29 e dall’istituendo Comitato Europeo per la protezione dei dati; ✓ non trasferire i Dati Personali trattati per conto dell’Azienda al di fuori dell’usuale luogo di lavoro, a meno che tale trasferimento non sia autorizzato dalle competenti pubbliche autorità, anche regolamentari e di vigilanza, o dall’Azienda stessa; ✓ fornire all’Azienda una descrizione dettagliata delle misure fisiche, tecniche ed organizzative applicate al Trattamento dei Dati Personali; ✓ impiegare sistemi di cifratura per tutti i Dati Personali memorizzati su dispositivi di archiviazione digitali o elettronici, come computer portatili, CD, dischetti, driver portatili, nastri magnetici o dispositivi similari: i Dati Personali dovranno essere cifrati nel rispetto della normativa italiana ed europea in materia di protezione dei dati personali e dovrà compiere ogni ragionevole sforzo per assicurare l’aggiornamento degli standard di cifratura in modo da tenere il passo dello sviluppo tecnologico e dei rischi ad esso connaturati, includendo ogni richiesta o indicazione emanata da qualsiasi pubblica autorità competente, anche regolamentare e di vigilanza; ✓ istituire e mantenere il registro delle attività di trattamento ai sensi dell’art. 30 del GDPR e metterlo a disposizione del Titolare ogniqualvolta richiesto; ✓ comunicare all’Azienda il nominativo ed i recapiti di contatto del proprio responsabile della protezione dei dati, se designato ai sensi degli artt. 37 e ss. del GDPR; ✓ assistere la stessa Azienda, relativamente ai Dati Personali oggetto di trattamento, nel garantire – ove applicabili - il rispetto degli obblighi relativi:: alla sicurezza del trattamento; alla notifica di una violazione dei Dati Personali all'Autorità di controllo ai sensi dell’art. 33 del GDPR; alla comunicazione di una violazione dei Dati Personali all'interessato ai sensi dell’art. 34 del GDPR; alla valutazione d'impatto sulla protezione dei Dati Personali ai sensi dell’art. 35 del GDPR; alla consultazione preventiva ai sensi dell’art. 36 del GDPR. La ditta dovrà, inoltre, rispettare le seguenti prescrizioni: In caso di violazione dei dati personali consistente nella violazione di sicurezza, che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati e tali da mettere a rischio i diritti e le libertà degli individui i cui dati personali sono trattati dal Responsabile per conto dell’Azienda (c.d. data breach), il Responsabile deve: informare l’Azienda tempestivamente e in ogni caso al massimo entro e non oltre 24 ore dalla scoperta dell’evento, di ogni violazione dei dati personali trattati per conto dell’Azienda che presenti un rischio per i diritti e le libertà delle persone fisiche e fornire tutti i dettagli completi della violazione subita: in particolare, fornendo una descrizione della natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni dei dati in questione, l’impatto della violazione dei dati personali sull’Azienda e sugli interessati coinvolti e le misure adottate per mitigare i rischi; fornire assistenza all’Azienda per far fronte alla violazione e alle sue conseguenze soprattutto in capo agli interessati coinvolti. Il Responsabile si attiverà per mitigare gli effetti delle violazioni, proponendo tempestive azioni correttive all’Azienda ed attuando tempestivamente tutte le azioni correttive approvate e/o richieste dalla stessa. La ditta dovrà identificare e designare le persone autorizzate ad effettuare operazioni di trattamento sui dati di titolarità dell’Azienda, individuando l’ambito autorizzativo consentito ai sensi dell’art. 29 del GDPR e provvedendo alla relativa formazione ed a fornire le relative istruzioni. Adozione della documentazione in materia di protezione dei dati personali prevista dalla normativa italiana ed europea e relative procedure concernenti le adeguate misure tecniche e organizzative. In caso di ricevimento di istanze provenienti dagli interessati, finalizzate all’esercizio dei propri diritti, la ditta deve: dare tempestiva comunicazione scritta al titolare; coordinarsi, per quanto di propria competenza, con le funzioni aziendali designate dal titolare per gestire le relazioni con gli interessati; assistere e supportare il titolate del trattamento con misure tecniche e organizzative adeguate, al fine di soddisfare l’obbligo dell’Azienda di dare seguito alle richieste per l’esercizio dei diritti degli interessati.

Responsabile esterno del trattamento dei dati. Ai fini dell’esecuzione Nell’ambito dell’attività oggetto del presente appalto la ditta dovrà effettuare operazioni contratto, l’appaltatore potrà venire a conoscenza e trattare dati comuni e sensibili relativi ai servizi offerti agli utenti dell’ASL di Taranto. L’appaltatore pertanto ai sensi dell’art.29 del Codice in materia di protezione dei dati personali, è nominato Responsabile del trattamento dei dati, per gli adempimenti previsti nel contratto, nei limiti e per la durata dello stesso. I dati personali per conto dell’Azienda. L’Azienda svolge il ruolo di Titolare oggetto del trattamento sono strettamente necessari per adempiere al contratto stesso. L’appaltatore, in relazione ai Dati Personali dalla stessa trattati, stabilendo autonomamente le finalità, le modalità ed i mezzi qualità di Responsabile del trattamento. La ditta dovrà essere in possesso di adeguate competenze tecniche e know-how circa gli scopi e le modalità di trattamento dei Dati Personalidati, delle misure ha il compito e la responsabilità di sicurezza da adottare al fine di garantire la loro riservatezza, la completezza e l’integrità, nonché diretta e completa conoscenza delle norme che disciplinano la protezione degli stessi. La ditta verrà quindi nominata quale Responsabile del Trattamento ai sensi dell’art. 28 del GDPR, con l’incarico di effettuare le operazioni di trattamento sui Dati Personali, di cui entrerà in possesso o ai quali ha comunque accesso, necessarie all’adempimento degli obblighi derivanti dal Contratto e di eventuali servizi accessori allo stesso. La ditta si assumerà e si impegnerà adempiere a procedere al trattamento dei Dati Personali attenendosi alle istruzioni ricevute dal Titolare attraverso la relativa nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore. L’incarico di effettuare le operazioni di trattamento sui Dati Personali al Responsabile potrà essere affidato quanto necessario per l’esclusiva ragione che il profilo professionale/societario, in termini di proprietà, risorse umane, organizzative ed attrezzature, è stato ritenuto idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti, che possa sollevare incertezze sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta. Il trattamento deve essere svolto da parte del Responsabile in esecuzione del vigente rapporto contrattuale con l’Azienda e per le finalità ad esso relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità. L’Azienda ha diritto di ottenere dal Responsabile tutte le informazioni relative alle misure organizzative e di sicurezza da questo adottate necessarie per dimostrare il rispetto delle istruzioni e degli obblighi affidati. La stessa Azienda, inoltre, ha il diritto di disporre - a propria cura e spese - verifiche a campione o specifiche attività di audit in ambito protezione dei dati personali e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile. Nell’adempimento delle proprie obbligazioni il fornitore, i suoi dipendenti ed ogni Subfornitore di cui il fornitore si avvalga e che effettui il Trattamento di Dati Personali del Titolare, si obbligano a rispettare il GDPR ed ogni altra istruzione impartita dall’Azienda, nonché a tener conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo italiana, dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati, inerenti il trattamento svolto. Il fornitore si impegna ad effettuare il Trattamento soltanto dei Dati Personali che siano necessari e/o strumentali all’esecuzione del Contratto. Il Fornitore si impegna, sin dalla data di sottoscrizione del presente atto, a rendere disponibili ed a comunicare ai propri Subfornitori soltanto quei Dati Personali che siano strettamente necessari per l’adempimento delle obbligazioni di cui al presente Contratto o di obblighi di legge. Il fornitore si impegna a cooperare con l’Azienda in qualsiasi momento al fine di assicurare il corretto trattamento dei Dati Personali e si impegna a fornire alla stessa Azienda tutte le informazioni o i documenti, che potranno essere richiesti da quest’ultima per l’adempimento degli obblighi di legge e per comprovare l’adozione di misure tecniche e organizzative adeguate, entro 15 giorni dalla richiesta formulata dall’Azienda a mezzo posta elettronica. Il fornitore si obbliga, nei limiti dei propri poteri, al rispetto delle norme che disciplinano il Trattamento dei Dati Personali, ivi incluse le regole stabilite dall’Autorità di Controllo, nonché a garantire che i propri dipendenti ed ogni soggetto della cui cooperazione esso si avvalga rispettino tali norme. In particolare, il Responsabile si impegna a rispettare gli obblighi ed istruzioni di seguito elencati: ✓ adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo inerenti ai Trattamenti svolti dal Responsabile, ovvero dal Gruppo di Lavoro Articolo 29 e dall’istituendo Comitato Europeo per la protezione dei dati; ✓ non trasferire i Dati Personali trattati per conto dell’Azienda al di fuori dell’usuale luogo di lavoro, a meno che tale trasferimento non sia autorizzato dalle competenti pubbliche autorità, anche regolamentari e di vigilanza, o dall’Azienda stessa; ✓ fornire all’Azienda una descrizione dettagliata delle misure fisiche, tecniche ed organizzative applicate al Trattamento dei Dati Personali; ✓ impiegare sistemi di cifratura per tutti i Dati Personali memorizzati su dispositivi di archiviazione digitali o elettronici, come computer portatili, CD, dischetti, driver portatili, nastri magnetici o dispositivi similari: i Dati Personali dovranno essere cifrati nel rispetto disposizioni della normativa italiana ed europea vigente in materia di protezione dei dati personali (inclusi i provvedimenti del Garante) e di osservare scrupolosamente quanto in essa previsto, nonché le istruzioni impartite dal Titolare del trattamento. Il Responsabile esterno del trattamento dovrà compiere ogni ragionevole sforzo assolvere, in particolare, i seguenti compiti, indicati a titolo esemplificativo e non esaustivo: - garantire la riservatezza delle informazioni, dei documenti e degli atti, dei quali venga a conoscenza durante l’esecuzione della prestazione ed imporre l’obbligo di riservatezza a tutte le persone che, direttamente e/o indirettamente, per assicurare l’aggiornamento degli standard ragioni del loro ufficio verranno a conoscenza di cifratura in modo da tenere informazioni riservate; - utilizzare i dati solo per le finalità connesse allo svolgimento dell’attività oggetto del contratto, con divieto di qualsiasi altra diversa utilizzazione. Il Responsabile esterno non produce copie dei dati personali e non esegue nessun tipo di trattamento che non sia attinente allo scopo dei servizi offerti; non potrà, inoltre, diffondere, né comunicare, dati oltre ai casi previsti nel contratto o necessari per l’adempimento dello stesso. In nessun caso il passo dello sviluppo tecnologico Responsabile esterno acquisisce la proprietà intellettuale di dati e dei rischi informazioni trattati nell’ambito di svolgimento del contratto; - adottare preventive misure di sicurezza atte ad esso connaturatieliminare o, includendo ogni richiesta comunque, a ridurre al minimo, qualsiasi rischio di distruzione o indicazione emanata da qualsiasi pubblica autorità competenteperdita, anche regolamentare e accidentale, dei dati personali trattati, di vigilanza; ✓ istituire e mantenere il registro delle attività accesso non autorizzato o di trattamento non consentito o non conforme, nel rispetto delle disposizioni contenute nell’art. 31 del D.Lgs. 30 giugno 2003, n. 196; - adottare e rispettare tutte le misure di sicurezza previste dagli articoli 33, 34, 35 e 36 del D.Lgs. 30 giugno 2003, n. 196, che configurano il livello minimo di protezione richiesto in relazione ai rischi indicati nell’art. 31 e analiticamente specificate nell’allegato B (“Disciplinare tecnico in materia di misure minime di sicurezza”) del citato decreto. Qualora, ai sensi delle norme concernenti le misure minime di sicurezza, risulti necessario un adeguamento delle stesse, il Responsabile esterno provvede, nei termini di legge, al relativo adeguamento, senza alcun costo per la stazione appaltante; - rispettare le istruzioni e le procedure in materia di privacy, adottate dall’ASL di Taranto per garantire la sicurezza dei dati personali; in particolare, qualora gli Incaricati del Responsabile esterno accedano, per esigenze di servizio, alle sedi o al sistema informativo del Titolare, il Responsabile esterno risponderà di eventuali violazioni ai sensi dell’art. 30 2049 del GDPR codice civile; - adempiere agli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione dei dati personali anche dopo che l’incarico è stato portato a termine o revocato; - avvisare, tempestivamente, il Titolare qualora ricevesse ispezioni o richieste di informazioni, documenti od altro, da parte del Garante, in merito ai trattamenti effettuati per la stazione appaltante; - fornire al Titolare, a semplice richiesta e metterlo a disposizione secondo le modalità indicate da quest’ultimo, i dati e le informazioni necessari per consentire, allo stesso, di svolgere una tempestiva difesa in eventuali procedure instaurate davanti al Garante o all’Autorità Giudiziaria e relative al trattamento dei dati personali connessi all’esecuzione del contratto in vigore tra le parti; - consentire che il Titolare ogniqualvolta richiesto– come imposto dalla normativa – effettui verifiche periodiche in relazione al rispetto delle presenti disposizioni; ✓ - comunicare all’Azienda il nominativo ed i recapiti di contatto al Titolare, del proprio responsabile della protezione trattamento qualsiasi disfunzione possa in qualche modo compromettere la sicurezza dei dati, se designato ai sensi degli artt. 37 Si precisa che tale nomina sarà valida per il tempo necessario ad eseguire le operazioni affidate dal Titolare e sssi considererà revocata a completamento dell’incarico. del GDPR; ✓ assistere la stessa Azienda, relativamente ai Dati Personali oggetto All’atto della cessazione delle operazioni di trattamento, nel garantire – ove applicabili - il rispetto Responsabile esterno dovrà restituire tutti i dati personali del Titolare, a quest’ultimo, e provvedere ad eliminare definitivamente dal proprio sistema informativo, e dagli archivi cartacei, i medesimi dati o copie degli obblighi relativi:stessi, dandone conferma per iscritto al Titolare.

Responsabile esterno del trattamento dei dati. Ai fini dell’esecuzione Nell’ambito dell’attività oggetto del presente appalto la ditta dovrà effettuare operazioni di trattamento dei contratto, l’appaltatore potrà venire a conoscenza e trattare dati personali per conto dell’Aziendacomuni e sensibili relativi ai servizi offerti agli utenti della stazione appaltante. L’Azienda svolge il ruolo di Titolare del trattamento in relazione ai Dati Personali dalla stessa trattati, stabilendo autonomamente le finalità, le modalità ed i mezzi del trattamentoPertanto l’azienda u.l.s.s. La ditta dovrà essere in possesso di adeguate competenze tecniche e know-how circa gli scopi e le modalità di trattamento dei Dati Personali, delle misure di sicurezza da adottare al fine di garantire la loro riservatezza, la completezza e l’integrità, nonché diretta e completa conoscenza delle norme che disciplinano la protezione degli stessi. La ditta verrà quindi nominata n. 4 provvederà a nominare l’appaltatore quale Responsabile del Trattamento Trattamento, ai sensi dell’art. 28 del GDPRRegolamento UE 2016/679 (Regolamento Generale per la Protezione dei Dati – nel prosieguo “RGPD”), con l’incarico di effettuare le operazioni di trattamento sui Dati Personali, di cui entrerà in possesso o ai quali ha avrà comunque accesso, necessarie all’adempimento degli obblighi derivanti dal Contratto e di eventuali servizi accessori allo stesso. La ditta L’appaltatore, con la sottoscrizione dell’accordo di nomina, accetterà tutti i termini ivi indicati, confermerà la diretta e approfondita conoscenza degli obblighi che si assumerà e si impegnerà a procedere al trattamento dei Dati Personali attenendosi alle istruzioni ricevute dal Titolare attraverso la relativa suddetta nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore. L’incarico L’appaltatore prenderà atto che l’incarico di effettuare le operazioni di trattamento sui Dati Personali al quale Responsabile potrà essere sarà affidato per l’esclusiva ragione che il profilo professionale/societario, in termini di proprietà, risorse umane, organizzative ed attrezzature, è sarà stato ritenuto idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti, che possa sollevare incertezze sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta. Il trattamento deve dovrà essere svolto da parte del Responsabile in esecuzione del vigente rapporto contrattuale con l’Azienda e per le finalità ad esso relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità. L’Azienda ha diritto di ottenere dal Responsabile tutte le informazioni relative alle misure organizzative e di sicurezza da questo adottate necessarie per dimostrare il rispetto delle istruzioni e degli obblighi affidati. La stessa Azienda, inoltre, ha il diritto di disporre - a propria cura e spese - verifiche a campione o specifiche attività di audit in ambito protezione dei dati personali e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile. Nell’adempimento delle proprie obbligazioni il fornitorel’appaltatore, i suoi dipendenti ed ogni Subfornitore eventuale Subappaltatore di cui il fornitore l’appaltatore si avvalga avvarrà e che effettui effettueranno il Trattamento di Dati Personali del Titolare, si obbligano obbligheranno a rispettare il GDPR RGPD ed ogni altra istruzione impartita dall’Azienda, nonché a tener conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo italiana, dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati, inerenti il trattamento svolto. Il fornitore L’appaltatore si impegna impegnerà ad effettuare il Trattamento soltanto dei Dati Personali che siano necessari e/o strumentali all’esecuzione del Contratto. Il Fornitore L’appaltatore si impegnaimpegnerà, sin dalla data di sottoscrizione del presente attodella suddetta nomina, a rendere disponibili ed a comunicare ai propri Subfornitori eventuali Subappaltatori soltanto quei Dati Personali che siano strettamente necessari per l’adempimento delle obbligazioni di cui al presente Contratto affidamento o di obblighi di legge. Il fornitore L’appaltatore si impegna impegnerà a cooperare con l’Azienda in qualsiasi momento al fine di assicurare il corretto trattamento dei Dati Personali e si impegna impegnerà a fornire alla stessa Azienda tutte le informazioni o i documenti, che potranno essere richiesti da quest’ultima per l’adempimento degli obblighi di legge e per comprovare l’adozione di misure tecniche e organizzative adeguate, entro 15 giorni dalla richiesta formulata dall’Azienda a mezzo posta elettronica. Il fornitore L’appaltatore si obbligaobbligherà, nei limiti dei propri poteri, al rispetto delle norme che disciplinano il Trattamento dei Dati Personali, ivi incluse le regole stabilite dall’Autorità di Controllo, nonché a garantire che i propri dipendenti ed ogni soggetto della cui cooperazione esso si avvalga avvarrà rispettino tali norme. In particolare, il Responsabile si impegna a rispettare gli obblighi ed istruzioni di seguito elencati: ✓ adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo inerenti ai Trattamenti svolti dal Responsabile, ovvero dal Gruppo di Lavoro Articolo 29 e dall’istituendo Comitato Europeo per la protezione dei dati; ✓ non trasferire i Dati Personali trattati per conto dell’Azienda al di fuori dell’usuale luogo di lavoro, a meno che tale trasferimento non sia autorizzato dalle competenti pubbliche autorità, anche regolamentari e di vigilanza, o dall’Azienda stessa; ✓ fornire all’Azienda una descrizione dettagliata delle misure fisiche, tecniche ed organizzative applicate al Trattamento dei Dati Personali; ✓ impiegare sistemi di cifratura per tutti i Dati Personali memorizzati su dispositivi di archiviazione digitali o elettronici, come computer portatili, CD, dischetti, driver portatili, nastri magnetici o dispositivi similari: i Dati Personali dovranno essere cifrati nel rispetto della normativa italiana ed europea in materia di protezione dei dati personali e dovrà compiere ogni ragionevole sforzo per assicurare l’aggiornamento degli standard di cifratura in modo da tenere il passo dello sviluppo tecnologico e dei rischi ad esso connaturati, includendo ogni richiesta o indicazione emanata da qualsiasi pubblica autorità competente, anche regolamentare e di vigilanza; ✓ istituire e mantenere il registro delle attività di trattamento ai sensi dell’art. 30 del GDPR e metterlo a disposizione del Titolare ogniqualvolta richiesto; ✓ comunicare all’Azienda il nominativo ed i recapiti di contatto del proprio responsabile della protezione dei dati, se designato ai sensi degli artt. 37 e ss. del GDPR; ✓ assistere la stessa Azienda, relativamente ai Dati Personali oggetto di trattamento, nel garantire – ove applicabili - il rispetto degli obblighi relativi:.

Responsabile esterno del trattamento dei dati. Ai fini dell’esecuzione del presente appalto la ditta dovrà effettuare operazioni di trattamento dei dati personali per conto dell’Azienda. L’Azienda svolge il ruolo di Titolare del trattamento in relazione ai Dati Personali dalla stessa trattati, stabilendo autonomamente le finalità, le modalità ed i mezzi del trattamento. La ditta dovrà essere in possesso di adeguate competenze tecniche e know-how circa gli scopi e le modalità di trattamento dei Dati Personali, delle misure di sicurezza da adottare al fine di garantire la loro riservatezza, la completezza e l’integrità, nonché diretta e completa conoscenza delle norme che disciplinano la protezione degli stessi. La ditta verrà quindi nominata quale Responsabile del Trattamento ai sensi dell’art. 28 del GDPR, con l’incarico di effettuare le operazioni di trattamento sui Dati Personali, di cui entrerà in possesso o ai quali ha comunque accesso, necessarie all’adempimento degli obblighi derivanti dal Contratto e di eventuali servizi accessori allo stesso. La ditta si assumerà e si impegnerà a procedere al trattamento dei Dati Personali attenendosi alle istruzioni ricevute dal Titolare attraverso la relativa nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore. L’incarico di effettuare le operazioni di trattamento sui Dati Personali al Responsabile potrà essere affidato per l’esclusiva ragione che il profilo professionale/societario, in termini di proprietà, risorse umane, organizzative ed attrezzature, è stato ritenuto idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti, che possa sollevare incertezze sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta. Il trattamento deve essere svolto da parte del Responsabile in esecuzione del vigente rapporto contrattuale con l’Azienda e per le finalità ad esso relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità. L’Azienda ha diritto di ottenere dal Responsabile tutte le informazioni relative alle misure organizzative e di sicurezza da questo adottate necessarie per dimostrare il rispetto delle istruzioni e degli obblighi affidati. La stessa Azienda, inoltre, ha il diritto di disporre - a propria cura e spese - verifiche a campione o specifiche attività di audit in ambito protezione dei dati personali e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile. Nell’adempimento delle proprie obbligazioni il fornitoreFornitore, i suoi dipendenti ed ogni Subfornitore di cui il fornitore Fornitore si avvalga e che effettui il Trattamento di Dati Personali del Titolare, si obbligano a rispettare il GDPR ed ogni altra istruzione impartita dall’Azienda, nonché a tener conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo italiana, dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati, inerenti il trattamento svolto. Il fornitore Fornitore si impegna ad effettuare il Trattamento soltanto dei Dati Personali che siano necessari e/o strumentali all’esecuzione del Contratto. Il Fornitore si impegna, sin dalla data di sottoscrizione del presente atto, a rendere disponibili ed a comunicare ai propri Subfornitori soltanto quei Dati Personali che siano strettamente necessari per l’adempimento delle obbligazioni di cui al presente Contratto o di obblighi di legge. Il fornitore Fornitore si impegna a cooperare con l’Azienda in qualsiasi momento al fine di assicurare il corretto trattamento dei Dati Personali e si impegna a fornire alla stessa Azienda tutte le informazioni o i documenti, che potranno essere richiesti da quest’ultima per l’adempimento degli obblighi di legge e per comprovare l’adozione di misure tecniche e organizzative adeguate, entro 15 giorni dalla richiesta formulata dall’Azienda a mezzo posta elettronica. Il fornitore Fornitore si obbliga, nei limiti dei propri poteri, al rispetto delle norme che disciplinano il Trattamento dei Dati Personali, ivi incluse le regole stabilite dall’Autorità di Controllo, nonché a garantire che i propri dipendenti ed ogni soggetto della cui cooperazione esso si avvalga rispettino tali norme. In particolare, il Responsabile si impegna a rispettare gli obblighi ed istruzioni di seguito elencati: ✓ adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo inerenti ai Trattamenti svolti dal Responsabile, ovvero dal Gruppo di Lavoro Articolo 29 e dall’istituendo Comitato Europeo per la protezione dei dati; ✓ non trasferire i Dati Personali trattati per conto dell’Azienda al di fuori dell’usuale luogo di lavoro, a meno che tale trasferimento non sia autorizzato dalle competenti pubbliche autorità, anche regolamentari e di vigilanza, o dall’Azienda stessa; ✓ fornire all’Azienda una descrizione dettagliata delle misure fisiche, tecniche ed organizzative applicate al Trattamento dei Dati Personali; ✓ impiegare sistemi di cifratura per tutti i Dati Personali memorizzati su dispositivi di archiviazione digitali o elettronici, come computer portatili, CD, dischetti, driver portatili, nastri magnetici o dispositivi similari: i Dati Personali dovranno essere cifrati nel rispetto della normativa italiana ed europea in materia di protezione dei dati personali e dovrà compiere ogni ragionevole sforzo per assicurare l’aggiornamento degli standard di cifratura in modo da tenere il passo dello sviluppo tecnologico e dei rischi ad esso connaturati, includendo ogni richiesta o indicazione emanata da qualsiasi pubblica autorità competente, anche regolamentare e di vigilanza; ✓ istituire e mantenere il registro delle attività di trattamento ai sensi dell’art. 30 del GDPR e metterlo a disposizione del Titolare ogniqualvolta richiesto; ✓ comunicare all’Azienda il nominativo ed i recapiti di contatto del proprio responsabile della protezione dei dati, se designato ai sensi degli artt. 37 e ss. del GDPR; ✓ assistere la stessa Azienda, relativamente ai Dati Personali oggetto di trattamento, nel garantire – ove applicabili - il rispetto degli obblighi relativi:

Responsabile esterno del trattamento dei dati. Ai fini dell’esecuzione del presente appalto la ditta dovrà effettuare operazioni di trattamento dei dati personali per conto dell’Azienda. L’Azienda svolge il ruolo di Titolare del trattamento in relazione ai Dati Personali dalla stessa trattati, stabilendo autonomamente le finalità, le modalità ed i mezzi del trattamento. La ditta dovrà essere in possesso di adeguate competenze tecniche e know-how circa gli scopi e le modalità di trattamento dei Dati Personali, delle misure di sicurezza da adottare al fine di garantire la loro riservatezza, la completezza e l’integrità, nonché diretta e completa conoscenza delle norme che disciplinano la protezione degli stessi. La ditta verrà quindi nominata quale Responsabile del Trattamento ai sensi dell’art. 28 del GDPR, con l’incarico di effettuare le operazioni di trattamento sui Dati Personali, di cui entrerà in possesso o ai quali ha comunque accesso, necessarie all’adempimento degli obblighi derivanti dal Contratto e di eventuali servizi accessori allo stesso. La ditta si assumerà e si impegnerà a procedere al trattamento dei Dati Personali attenendosi alle istruzioni ricevute dal Titolare attraverso la relativa nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore. L’incarico di effettuare le operazioni di trattamento sui Dati Personali al Responsabile potrà essere affidato per l’esclusiva ragione che il profilo professionale/societario, in termini di proprietà, risorse umane, organizzative ed attrezzature, è stato ritenuto idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti, che possa sollevare incertezze sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta. Il trattamento deve essere svolto da parte del Responsabile in esecuzione del vigente rapporto contrattuale con l’Azienda e per le finalità ad esso relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità. .L’Azienda ha diritto di ottenere dal Responsabile tutte le informazioni relative alle misure organizzative e di sicurezza da questo adottate necessarie per dimostrare il rispetto delle istruzioni e degli obblighi affidati. La stessa Azienda, inoltre, ha il diritto di disporre - a propria cura e spese - verifiche a campione o specifiche attività di audit in ambito protezione dei dati personali e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile. Nell’adempimento delle proprie obbligazioni il fornitoreFornitore, i suoi dipendenti ed ogni Subfornitore di cui il fornitore Fornitore si avvalga e che effettui il Trattamento di Dati Personali del Titolare, si obbligano a rispettare il GDPR ed ogni altra istruzione impartita dall’Azienda, nonché a tener conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo italiana, dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati, inerenti il trattamento svolto. Il fornitore Fornitore si impegna ad effettuare il Trattamento soltanto dei Dati Personali che siano necessari e/o strumentali all’esecuzione del Contratto. Il Fornitore si impegna, sin dalla data di sottoscrizione del presente atto, a rendere disponibili ed a comunicare ai propri Subfornitori soltanto quei Dati Personali che siano strettamente necessari per l’adempimento delle obbligazioni di cui al presente Contratto o di obblighi di legge. Il fornitore Fornitore si impegna a cooperare con l’Azienda in qualsiasi momento al fine di assicurare il corretto trattamento dei Dati Personali e si impegna a fornire alla stessa Azienda tutte le informazioni o i documenti, che potranno essere richiesti da quest’ultima per l’adempimento degli obblighi di legge e per comprovare l’adozione di misure tecniche e organizzative adeguate, entro 15 giorni dalla richiesta formulata dall’Azienda a mezzo posta elettronica. Il fornitore Fornitore si obbliga, nei limiti dei propri poteri, al rispetto delle norme che disciplinano il Trattamento dei Dati Personali, ivi incluse le regole stabilite dall’Autorità di Controllo, nonché a garantire che i propri dipendenti ed ogni soggetto della cui cooperazione esso si avvalga rispettino tali norme. In particolare, il Responsabile si impegna a rispettare gli obblighi ed istruzioni di seguito elencati: ✓ :adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo inerenti ai Trattamenti svolti dal Responsabile, ovvero dal Gruppo di Lavoro Articolo 29 e dall’istituendo Comitato Europeo per la protezione dei dati; ✓ non trasferire i Dati Personali trattati per conto dell’Azienda al di fuori dell’usuale luogo di lavoro, a meno che tale trasferimento non sia autorizzato dalle competenti pubbliche autorità, anche regolamentari e di vigilanza, o dall’Azienda stessa; ✓ fornire all’Azienda una descrizione dettagliata delle misure fisiche, tecniche ed organizzative applicate al Trattamento dei Dati Personali; ✓ impiegare sistemi di cifratura per tutti i Dati Personali memorizzati su dispositivi di archiviazione digitali o elettronici, come computer portatili, CD, dischetti, driver portatili, nastri magnetici o dispositivi similari: i Dati Personali dovranno essere cifrati nel rispetto della normativa italiana ed europea in materia di protezione dei dati personali e dovrà compiere ogni ragionevole sforzo per assicurare l’aggiornamento degli standard di cifratura in modo da tenere il passo dello sviluppo tecnologico e dei rischi ad esso connaturati, includendo ogni richiesta o indicazione emanata da qualsiasi pubblica autorità competente, anche regolamentare e di vigilanza; ✓ istituire e mantenere il registro delle attività di trattamento ai sensi dell’art. 30 del GDPR e metterlo a disposizione del Titolare ogniqualvolta richiesto; ✓ comunicare all’Azienda il nominativo ed i recapiti di contatto del proprio responsabile della protezione dei dati, se designato ai sensi degli artt. 37 e ss. del GDPR; ✓ assistere la stessa Azienda, relativamente ai Dati Personali oggetto di trattamento, nel garantire – ove applicabili - il rispetto degli obblighi relativi:: alla sicurezza del trattamento; alla notifica di una violazione dei Dati Personali all'Autorità di controllo ai sensi dell’art. 33 del GDPR; alla comunicazione di una violazione dei Dati Personali all'interessato ai sensi dell’art. 34 del GDPR; alla valutazione d'impatto sulla protezione dei Dati Personali ai sensi dell’art. 35 del GDPR; alla consultazione preventiva ai sensi dell’art. 36 del GDPR. La ditta dovrà, inoltre, rispettare le seguenti prescrizioni: In caso di violazione dei dati personali consistente nella violazione di sicurezza, che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati e tali da mettere a rischio i diritti e le libertà degli individui i cui dati personali sono trattati dal Responsabile per conto dell’Azienda (c.d. data breach), il Responsabile deve: informare l’Azienda tempestivamente e in ogni caso al massimo entro e non oltre 24 ore dalla scoperta dell’evento, di ogni violazione dei dati personali trattati per conto dell’Azienda che presenti un rischio per i diritti e le libertà delle persone fisiche e fornire tutti i dettagli completi della violazione subita: in particolare, fornendo una descrizione della natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni dei dati in questione, l’impatto della violazione dei dati personali sull’Azienda e sugli interessati coinvolti e le misure adottate per mitigare i rischi; fornire assistenza all’Azienda per far fronte alla violazione e alle sue conseguenze soprattutto in capo agli interessati coinvolti. Il Responsabile si attiverà per mitigare gli effetti delle violazioni, proponendo tempestive azioni correttive all’Azienda ed attuando tempestivamente tutte le azioni correttive approvate e/o richieste dalla stessa. La ditta dovrà identificare e designare le persone autorizzate ad effettuare operazioni di trattamento sui dati di titolarità dell’Azienda, individuando l’ambito autorizzativo consentito ai sensi dell’art. 29 del GDPR e provvedendo alla relativa formazione ed a fornire le relative istruzioni. Adozione della documentazione in materia di protezione dei dati personali prevista dalla normativa italiana ed europea e relative procedure concernenti le adeguate misure tecniche e organizzative. In caso di ricevimento di istanze provenienti dagli interessati, finalizzate all’esercizio dei propri diritti, la ditta deve: dare tempestiva comunicazione scritta al titolare; coordinarsi, per quanto di propria competenza, con le funzioni aziendali designate dal titolare per gestire le relazioni con gli interessati; assistere e supportare il titolate del trattamento con misure tecniche e organizzative adeguate, al fine di soddisfare l’obbligo dell’Azienda di dare seguito alle richieste per l’esercizio dei diritti degli interessati.