ACCORDO CON LA TERZA PARTE (AFFILIATED ENTITY)
ACCORDO CON LA TERZA PARTE (AFFILIATED ENTITY)
Tra
l’Università degli Studi di Firenze – Dipartimento di Scienze Biomediche, Sperimentali e Cliniche '▇▇▇▇▇ ▇▇▇▇▇', di seguito indicato come “Beneficiario”, con sede legale in ▇▇▇▇▇▇▇, ▇▇▇▇▇▇ ▇▇▇ ▇▇▇▇▇ ▇. ▇, ▇▇▇▇▇ ▇▇▇▇▇▇▇, codice fiscale e partita IVA 01279680480, rappresentata dal Direttore del Dipartimento ▇▇▇▇. ▇▇▇▇▇▇ ▇▇▇▇▇
e
l’Azienda Ospedaliero-Universitaria Careggi di seguito indicato come “AOUC o Parte Terza”, con sede in ▇▇▇▇▇ ▇▇▇▇▇▇▇▇▇, ▇ – ▇▇▇▇▇ ▇▇▇▇▇▇▇ – rappresentata dal Direttore Generale dott.ssa ▇▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇▇
Congiuntamente anche “Le Parti”
Premesso che:
- il Beneficiario ha stipulato il contratto n. 101104589 con la European Health and Digital Executive Agency (HADEA), agenzia esecutiva dell’Unione Europea, coi i poteri delegati dalla Commissione Europea, per lo svolgimento del Progetto “IMPlementing geriatric assessment for dose Optimization of CDK 4/6-inhibitors in older bReasT cAncer patieNTs” – IMPORTANT” (IMPORTANT), finanziato dalla Commissione Europea (Ente Finanziatore) nell’ambito del Programma HORIZON EUROPE dell’Unione Europea (di seguito indicato quale “Grant Agreement” o anche solo GA), che si allega al presente accordo;
- in seguito all’amendment apportato al GA del Progetto IMPORTANT in data 23/08/2024, ai sensi dell’Articolo 8 del GA, la Parte Terza, che ha le necessarie competenze, collaborerà con il Beneficiario per la realizzazione del progetto in qualità di “Affiliated Entity”, con diritti e obblighi simili a quelli dei beneficiari: le Affiliated Entities devono eseguire i compiti dell'azione loro attribuiti nell'Annex 1 del GA, conformemente all'articolo 11 del GA. I loro costi sono inclusi nell'Annex 2 del GA e sono presi in considerazione per il calcolo della sovvenzione.
Tutto ciò premesso, le Parti
convengono e stipulano quanto segue
con le premesse e gli allegati facenti parte integrante dell’accordo:
Art. 1 – Interpretazione e rinvio
1.1 Il presente accordo è collegato al GA n. 101104589 ed è stipulato per consentire l’adempimento delle obbligazioni del Beneficiario nei confronti della Commissione Europea e degli altri beneficiari del GA.
1.2 La Parte Terza dichiara di essere a conoscenza del contenuto del GA, dei relativi Annexes e di riceverne una copia.
1.3 Le parole che iniziano con la lettera maiuscola avranno il significato definito nel presente accordo o nel Regolamento che stabilisce il Programma Horizon Europe in Orizzonte Europa o nel GA, compresi i suoi allegati.
Art. 2 – Normativa applicabile
2.1 Il presente accordo sarà disciplinato, oltre che dalle disposizioni qui contenute, dal Grant Agreement e dalle seguenti fonti:
- la base giuridica del Programma Horizon Europe, con riferimento al Regolamento Europeo 2021/695 del Parlamento Europeo e del Consiglio che stabilisce le regole di partecipazione e di diffusione relativamente al Programma Horizon Europe – Programma Quadro per la Ricerca e l’Innovazione attualmente in uso nell’Unione Europea;
- prassi della Commissione, che interpreta e applica la disciplina di cui al punto precedente, con particolare riferimento al documento “Annotated Model Grant Agreement”, ultima versione;
- normativa italiana a integrazione delle precedenti.
Art. 3 – Durata del contratto
3.1 Il presente accordo è valido dalla data della firma apposta da entrambe le parti ma è applicabile per comune consenso tra le Parti, alle azioni già intraprese a partire dalla data di inizio del periodo di ammissibilità stabilito nel GA 01/05/2023, fino alla fine del Progetto indicata nel Data Sheet del GA, incluse eventuali proroghe concesse dalla Commissione Europea
3.2 In caso di concessione di eventuali proroghe alla durata del Progetto, è conseguentemente prorogata anche la durata del presente accordo e UNIFI si impegna a darne comunicazione per iscritto alla Parte Terza.
3.3 La risoluzione non pregiudica i diritti o gli obblighi della Parte Terza sorti prima della data di risoluzione. Ciò include l'obbligo di fornire tutte le relazioni, i reports e tutta la documentazione necessaria per la rendicontazione dei costi sostenuti per il periodo della sua attività.
Art. 4 – Oggetto del Rapporto
4.1 La Parte ▇▇▇▇▇ collaborerà con il Beneficiario svolgendo le attività che sono state inserite nell’Annex I del GA, a seguito dell’approvazione dell’amendment da parte della Commissione e qui di seguito sinteticamente descritte:
a) WP2 – Clinical and technical requirements
• Task 2.1 (Breast cancer challenges and clinical study requirements)
• Task 2.4 (IMPORTANT security and privacy aspects)
b) WP3 - Clinical study final design of IMPORTANT clinical protocol preparation
• Task 3.1 (IMPORTANT study protocol: study initiation package)
c) WP4 - IMPORTANT clinical study execution
• Task 4.1 (IMPORTANT’s patient recruitment, monitoring and randomization)
• Task 4.4 (IMPORTANT trial: midterm recruitment report)
• Task 4.5 (IMPORTANT’s report on dropout’s’ management and patient experience)
d) WP5 - Results analysis and contributions to clinical practice
• Task 5.2 (Analysis report on primary and secondary endpoints and identified contributions)
• Task 5.3 (Analysis report on IMPORTANT indirect results)
e) WP6 - Dissemination, Exploitation, Standardization and Sustainability
• Task 6.1 (Dissemination, exploitation, standardization and sustainability plan)
• Task 6.2 (Interim report on dissemination, exploitation, standardization and sustainability)
• Task 6.3 (Final report on dissemination, exploitation, standardization and sustainability)
4.2 Le Parti convengono che i contenuti del Progetto potranno essere eventualmente aggiornati nel tempo, secondo la procedura stabilita nel GA.
Art. 5 – Obblighi della Parte Terza
5.1 La Parte Terza si obbliga in modo specifico a:
a) svolgere l’attività di cui al precedente art. 4, tenuto conto del particolare contenuto dell’attività e tenendo in considerazione che detta attività è necessaria per adempiere le obbligazioni che nascono dal GA;
b) predisporre entro le tempistiche indicate nel GA tutta la documentazione necessaria per la rendicontazione dei costi sostenuti, secondo le regole dettate dal GA e dai rispettivi Annexes;
c) redigere le relazioni tecnico-scientifiche sull’attività compiuta entro i termini indicati nel GA; detti termini sono considerati essenziali ai fini del presente contratto;
d) rispettare le direttive di massima del Beneficiario emanate per l’attuazione del Progetto, nelle fasi descritte nel GA, e per permettere al Beneficiario medesimo di adempiere agli obblighi di rendicontazione e relazione;
e) mantenere il segreto, anche dopo la fine del presente contratto, sulle informazioni riservate di cui viene a conoscenza, sia che ▇▇▇▇▇▇▇▇▇▇ il Beneficiario, sia che ▇▇▇▇▇▇▇▇▇▇ i terzi;
f) comunicare al Beneficiario, nel più breve tempo possibile, tutti gli eventi che riguardino il presente contratto e in modo particolare quelli che possano compromettere l’esatta esecuzione dell’attività;
g) sottoporsi, anche dopo la fine del presente contratto, ai controlli della Commissione Europea, della Corte dei Conti, dell’OLAF, fornendo tutti i documenti e le informazioni richiesti, permettendo l’accesso nei propri locali e permettendo le ispezioni e verifiche necessarie.
5.2. Le disposizioni di cui ai commi precedenti continuano ad applicarsi anche dopo il termine finale del presente contratto, in quanto ciò sia compatibile con il contenuto di dette obbligazioni.
Art. 6 – Obblighi del Beneficiario
6.1 Il Beneficiario si obbliga a rispettare la normativa applicabile al presente contratto e, in modo specifico:
a) a mettere a disposizione della Parte Terza tutte le informazioni necessarie all’esatta esecuzione dell’attività di cui all’art. 4, tenuto fermo l’obbligo di segretezza;
b) a versare il contributo finanziario spettante nei modi e nell’ammontare previsti nel successivo art. 7;
c) inviare all’Ente Finanziatore i rapporti tecnici e le rendicontazioni finanziarie previste.
6.2 Il Beneficiario assicura il collegamento operativo con il Capofila del Progetto e con l’Ente Finanziatore, mentre i referenti della Parte Terza comunicheranno direttamente solo con quelli del Beneficiario.
6.3 Resta inteso che, per quanto concerne le attività cliniche inerenti alla sperimentazione di cui il Capofila del Progetto CENTRO OREBRO LANS LANDSTING (Svezia) è Promotore e l’AOUC centro sperimentale satellite, le suddette Parti, congiuntamente con UniFi, converranno gli adempimenti previsti dal protocollo sperimentale in apposito contratto, al netto che le attività studio specifiche potranno essere iniziate solo a valle delle autorizzazioni da parte delle Autorità Competenti.
Art. 7 – Rimborso
7.1 In relazione a quanto previsto all’art.4, il Beneficiario si impegna a trasferire alla Parte Terza un rimborso non superiore a € 51.630,34 (51630/34), per lo svolgimento delle attività previste al precedente art. 4 inerenti alla realizzazione del Progetto, come dovrà risultare dai rendiconti finanziari di cui al precedente art. 5.
7.2 Il rimborso è pari al 100% dei costi ammissibili. Non è previsto alcun co-finanziamento da parte di AOUC.
7.3 L’importo di cui al comma precedente è stabilito nel budget indicato nell’Annex II del GA e corrisponde alle seguenti categorie di spesa:
Personale | €34.304,27 |
Other goods, works and services | €7.000,00 |
Costi indiretti | €10.326,07 |
TOTALE | €51.630,34 |
QUOTA DI FINANZIAMENTO | €51.630,34 |
7.4 La Parte ▇▇▇▇▇ riceverà un prefinanziamento proporzionale alla quota di prefinanziamento ricevuta dal Beneficiario. Per la quota restante verranno seguite le medesime modalità di pagamento previste per tutti i Beneficiari dal GA allegato al presente contratto e dal Consortium Agreement che è stato stipulato tra i Beneficiari del Progetto IMPORTANT, a seguito della verifica della corretta rendicontazione dei costi sostenuti, in adempimento delle regole finanziarie previste dal GA.
7.5 I pagamenti di cui al precedente comma saranno disposti dall’Ente Finanziatore al Beneficiario. Quest’ultimo, a seguito del ricevimento del pagamento delle tranche di finanziamento, provvederà, entro i 30 giorni successivi, a trasferire le quote di spettanza alla Parte Terza.
7.6 Le attività previste dal Progetto non sono soggette a I.V.A., ai sensi del D.P.R. n. 633 del 1972, in quanto si configurano come cessioni di denaro erogate a fondo perduto.
Art. 8 – Responsabili scientifici
La Parte Terza nomina la dott.ssa ▇▇▇▇▇▇▇▇ ▇▇▇▇▇▇▇ quale responsabile scientifico, con incarico della direzione e del coordinamento di tutte le attività previste, nonché responsabile della corretta attuazione della collaborazione per la propria parte di competenza, come prevista dal presente accordo. Il Beneficiario individua il Prof, ▇▇▇▇ Meattini quale supervisore della ricerca affidata.
Art. 9 – Responsabilità della Parte Terza
9.1. La Parte ▇▇▇▇▇ è responsabile per tutti i danni derivanti al Beneficiario dallo svolgimento della sua attività. In particolare la Parte ▇▇▇▇▇ sarà responsabile se, a causa della sua condotta, il Beneficiario non sarà in grado di adempiere, totalmente o parzialmente, agli obblighi nei confronti della Commissione Europea, così come descritti nel GA, e quelli assunti nei confronti degli altri beneficiari.
9.2. La Parte Terza, inoltre, dovrà tenere indenne il Beneficiario dalle pretese di terzi, principalmente dai propri dipendenti ed altri ausiliari.
9.3. Per i danni subiti, il Beneficiario può rivalersi sulle somme dovute alla Parte Terza.
Art. 10 – Scioglimento del contratto prima del termine
10.1. Il Beneficiario potrà risolvere il contratto, a seguito dell’inadempimento o della violazione delle obbligazioni gravanti sulla Parte Terza, in particolare quelle previste dagli artt. 5 e 7 del presente accordo, dandone un preavviso di almeno quindici giorni, a mezzo pec all’indirizzo progetti@pec.aou- ▇▇▇▇▇▇▇.▇▇▇▇▇▇▇.▇▇, nella quale si dichiara la volontà di esercitare il diritto di cui al presente articolo. E’ fatta salva l’applicazione del precedente art. 9.
10.2. La disposizione di cui al precedente comma si applica anche nel caso di cessazione anticipata del GA. In questa ipotesi, la Parte ▇▇▇▇▇ avrà diritto al solo contributo corrispondente all’attività utilmente compiuta fino alla data di cessazione del GA, nei limiti di quanto versato dalla Commissione Europea al Beneficiario.
Art. 11 – Proprietà industriale e intellettuale
11.1 La proprietà di tutte le conoscenze, informazioni, materiali, studi, prodotti e delle metodologie, nonché ogni bene immateriale protetto o suscettibili di protezione ai sensi della normativa nazionale, comunitaria e internazionale in materia di diritti di proprietà intellettuale (collettivamente definiti “Risultati”), sviluppati nell’ambito del Progetto è regolamentata dalla normativa vigente in materia, salvo particolari accordi stipulati tra le parti firmatarie del presente accordo, ferma restando la possibilità dei soggetti istituzionali del Servizio Sanitario Nazionale di fruirne, previa richiesta alle parti firmatarie.
11.2 Ciascuna Parte sarà titolare esclusiva dei Risultati concepiti, attuati e sviluppati autonomamente e con mezzi propri e di ogni relativo diritto di proprietà intellettuale e industriale, nonché di ogni diritto commerciale ed economico, connesso a tali Risultati.
11.3 La proprietà dei Risultati conseguiti congiuntamente dalle Parti (di seguito indicati come Risultati Congiunti) e suscettibili di brevettazione o forme di protezione analoghe, ovvero tutelabili tramite diritti di proprietà intellettuale, sarà ripartita secondo quote proporzionali al contributo inventivo di ciascuna delle Parti coinvolte che hanno contribuito a realizzare tali Risultati congiunti. La quantificazione delle quote e i termini di comproprietà, nonché le condizioni di esercizio e sfruttamento economico, così come le modalità attraverso cui verrà esercitata la titolarità comune dei Risultati congiunti, potranno essere oggetto di un separato accordo di ripartizione fra le Parti contitolari.
11.4 Ciascuna Parte ha diritto di usare liberamente i Risultati congiunti per i propri scopi di ricerca e insegnamento, purché detto uso avvenga con modalità tali da non pregiudicare le azioni di tutela o valorizzazione poste in essere dalle Parti.
11.5 Ciascuno dei comproprietari avrà il diritto di sfruttare commercialmente i Risultati congiunti e di concedere licenze non esclusive a terzi (senza alcun diritto di sublicenza), qualora l’altro comproprietario abbia:
a) preavviso di almeno 45 giorni di calendario; e
b) un compenso a condizioni eque e ragionevoli.
I comproprietari concorderanno preventivamente tutte le misure di protezione e la ripartizione dei relativi costi
11.6 Stante quanto sopra, resta fermo il diritto morale degli autori di venire riconosciuti quali inventori ai sensi dalla vigente normativa in materia di diritti di proprietà intellettuale.
11.7 Le Parti espressamente convengono che tutte le conoscenze, informazioni, materiali, metodi, prodotti nonché ogni bene immateriale protetto o suscettibile di protezione ai sensi della normativa nazionale, comunitaria e internazionale in materia di diritti di proprietà intellettuale (collettivamente indicate come Conoscenze Preesistenti o come Background), di cui una Parte sia titolare o contitolare prima dell’avvio del Progetto e messo a disposizione dell’altra Parte per lo svolgimento del progetto rimarranno di proprietà della Parte stessa, ancorché queste fossero messe a disposizione delle altre Parti per lo svolgimento delle attività del Progetto. Le Parti che avranno accesso a Conoscenze Preesistenti di un’altra Parte, in occasione delle attività del Progetto, saranno obbligate a mantenerle riservate e segrete, e ad utilizzarle solo per le finalità proprie del progetto stesso. In particolare, tali Conoscenze Preesistenti non potranno essere condivise con parti terze senza un precedente permesso scritto da parte della Parte che le detiene.
Art. 12 - Diritti di Accesso
12.1 La Parte Terza farà ogni ragionevole sforzo per garantire l'accuratezza di tutte le informazioni e i dati da essa forniti al Beneficiario e/o altri Beneficiari del Progetto ai sensi del presente Accordo, siano essi protetti da diritti di proprietà intellettuale o meno e garantisce il diritto di divulgare tali informazioni.
12.2 La Parte Terza assume ogni responsabilità nel caso in cui i propri atti nell'ambito del Progetto violino i diritti di proprietà di terzi.
12.3 La Parte Terza garantisce al Beneficiario e agli altri Beneficiari del Progetto i Diritti di Accesso per quanto riguarda il proprio Background e i propri Risultati alle stesse condizioni e modalità previste nel Grant Agreement, agli articoli 16 e suo Annex 5, Sezione “Ownership of results”.
Art. 13- Disseminazione e open science
13.1 La disciplina relativa alla diffusione dei Risultati, è soggetta al Regolamento generale di partecipazione ai progetti di ricerca del Programma Horizon Europe e alle norme del Grant Agreement e dei relativi annessi. In particolare, ogni forma di diffusione dei Risultati dovrà dare evidenza che le attività sono state finanziate nell’ambito del Programma UE Horizon Europe, riportando altresì il riferimento al Grant Agreement.
13.2 Qualsiasi attività di diffusione dei Risultati (es. tramite pubblicazioni, presentazioni o convegni), da parte della Parte Terza, è soggetta alla previa autorizzazione scritta del Beneficiario, a cui sarà sottoposto il testo da pubblicare almeno 60 giorni prima della divulgazione.
Art. 14 – Riservatezza e trattamento dei dati personali
14.1 Tutte le informazioni in qualsiasi forma o modalità, che sono divulgate da una Parte (la "Parte Divulgante") all’altra Parte (il "Destinatario") in relazione al presente Accordo e alla sua esecuzione e che è stato esplicitamente contrassegnato come "riservato" al momento della divulgazione o, quando divulgato oralmente, è stato identificato come riservato al momento della divulgazione e ciò è stato confermato per iscritto entro 15 giorni di calendario dalla divulgazione orale, sono "Informazioni riservate".
14.2 Il Destinatario si impegna per un periodo di 5 anni dopo la scadenza del presente Accordo a:
- non utilizzare le Informazioni riservate se non per lo scopo per il quale sono state divulgate;
- non divulgare Informazioni Riservate senza il previo consenso scritto della Parte Divulgante;
- garantire che la distribuzione interna delle Informazioni riservate da parte di un Destinatario avvenga in base a rigorose esigenze di conoscenza; e
- restituire alla Parte Divulgante, o distruggere, su richiesta, tutte le Informazioni Riservate che sono state divulgate al Destinatario, comprese tutte le loro copie, e cancellare tutte le informazioni memorizzate in un formato leggibile dalla macchina per quanto praticamente possibile. Il Destinatario può conservare una copia nella misura in cui è necessario per conservare, archiviare o conservare tali Informazioni riservate a causa della conformità alle leggi e ai regolamenti applicabili o per la prova degli obblighi in corso a condizione che il Destinatario rispetti gli obblighi di riservatezza qui contenuti in relazione a tale copia per tutto il tempo in cui la copia viene conservata.
14.3 Il Destinatario sarà responsabile dell'adempimento degli obblighi di cui sopra da parte dei propri dipendenti o di terzi coinvolti nell'espletamento dei compiti e si assicurerà che rimangano obbligati, per quanto legalmente possibile, durante e dopo la cessazione della presente Accordo di terza Parte e/o dopo la cessazione del rapporto contrattuale con il dipendente o con terzi.
14.4 Quanto sopra non si applica alla divulgazione o all'uso di Informazioni riservate, se e nella misura in cui il Destinatario può dimostrare che:
- le Informazioni riservate sono diventate o sono rese disponibili pubblicamente con altri mezzi che una violazione degli obblighi di riservatezza del Destinatario;
- la Parte Divulgante informa successivamente il Destinatario che le Informazioni Riservate sono non più riservate;
- le Informazioni Riservate sono già in possesso del Destinatario prima della data della firma del presente Accordo o vengono comunicate al Destinatario senza alcun obbligo di riservatezza da parte di un terzo; o
- le Informazioni riservate, in qualsiasi momento, sono state sviluppate completamente dal Destinatario indipendentemente da tale divulgazione da parte della Parte Divulgante;
- il Destinatario è tenuto a divulgare le Informazioni riservate al fine di ottemperare a leggi o regolamenti applicabili o con un ordine del tribunale o amministrativo.
14.5 Il Destinatario applicherà lo stesso grado di attenzione per quanto riguarda le Informazioni Riservate divulgate come per le proprie Informazioni Riservate.
14.6 Ciascuna Parte avviserà prontamente l'altra Parte per iscritto di qualsiasi divulgazione non autorizzata, appropriazione indebita o uso improprio delle Informazioni Riservate dopo che è venuta a conoscenza di tale divulgazione non autorizzata, appropriazione indebita o uso improprio.
14.7 Le Parti, in riferimento al trattamento dei dati personali, compresi quelli relativi alla salute, degli interessati coinvolti nel Progetto, si qualificano come autonomi titolari del trattamento ai sensi dell’art. 4.7 del Regolamento UE sulla protezione dei dati personali n. 679/2016.
14.8 Le Parti si impegnano al rispetto delle disposizioni in materia di trattamento dei dati personali per finalità di ricerca medica biomedica ed epidemiologica.
14.9 Le Parti, in riferimento al trattamento dei dati personali dei dipendenti e collaboratori che svolgono per loro conto le attività dedotte in convenzione e di quelli che effettuano attività amministrative funzionali alla stipula e gestione dell’Accordo, si qualificano come autonomi titolari del trattamento ai sensi dell’art. 4.7 del Regolamento UE.
14.10 Il conferimento di tali dati tra le Parti è obbligatorio al fine di adempiere a tutti gli obblighi comunque connessi alla gestione ed esecuzione del rapporto instaurato con il presente accordo.
14.11 Le Parti si impegnano a rendere disponibili – anche attraverso la loro pubblicazione sul rispettivo sito istituzionale - le Informazioni sul trattamento dei dati riferibili a dipendenti e collaboratori.
Art. 15 – Copertura assicurativa
15.1 Ciascuna Parte provvederà alla copertura assicurativa per il rischio infortuni del proprio personale.
Art. 16 – Prevenzione della corruzione e conflitto di interessi
16.1 Nell'esecuzione del presente Accordo le Parti sono soggette alla normativa, ove applicabile:
a) legge n.190/2012 in materia di prevenzione della corruzione;
b) decreto legislativo n. 33 del 14 marzo 2013, inerente il "Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazione da parte delle pubbliche amministrazioni", come da ultimo modificato dal D.lgs. 25/05/2016 n. 97;
c) DPR n. 62/2013 Codice di comportamento dei pubblici dipendenti, come da ultimo modificato dal DPR del 13 giugno 2023, n. 81.
16.2 Ogni iniziativa, pertanto, dovrà essere attuata dalle Parti e dai propri professionisti nel pieno rispetto dei principi di correttezza, efficienza, trasparenza, pubblicità, imparzialità e integrità, ivi richiamati, astenendosi in particolare dal porre in essere condotte illecite, attive o omissive, impegnandosi a non tenere alcun comportamento in contrasto con la disciplina anticorruzione e a quella sul conflitto di interessi, anche potenziale.
16.3 I professionisti aziendali coinvolti nelle attività di cui al presente accordo dovranno:
a) ▇▇▇▇▇▇▇si dal prendere decisioni e svolgere attività che possano configurare un conflitto d’interessi, secondo le modalità richiamante dalla sopra citata normativa;
b) osservare il segreto professionale e d’ufficio;
16.4 Le Parti sono tenute a fornire tutte le informazioni richieste dal D.lgs. n. 33 del 2013 ai fini dell’adempimento degli obblighi di pubblicazione sui siti istituzionali.
16.5 Le Parti si impegnano, altresì, a non porre in essere alcun comportamento idoneo a configurare le ipotesi di reato di cui alla normativa richiamata - a prescindere dalla effettiva consumazione del reato o dalla punibilità dello stesso - nonché ad operare nel rispetto delle norme e dei principi ivi enunciati.
Art. 17 – Allegati, incongruenze e modificabilità
17.1 Nel caso in cui i termini del presente accordo siano in conflitto con i termini del GA, prevarranno i termini di quest’ultimo. In tal caso, si renderanno necessarie eventuali variazioni o modifiche al presente accordo e le stesse saranno preventivamente concordate tra le Parti per iscritto.
17.2 Per tutto quanto non espressamente previsto dal presente Accordo si fa rinvio alle vigenti disposizioni in materia. L’entrata in vigore di disposizioni normative di legge, successive al presente Accordo, che rechino una disciplina diversa da quella in esso prevista, comporta la caducazione delle disposizioni incompatibili e la diretta applicazione della disciplina sopravvenuta fino al relativo adeguamento
17.3 Le Parti stabiliscono di comune accordo che ciascuna di esse può richiedere una modifica al contratto. Il contratto si intende modificato quando le modifiche e/o emendamenti saranno accettati da entrambe le parti dell’accordo in forma scritta, anche tramite scambio di corrispondenza PEC:
a) per la Parte Terza: ▇▇▇▇▇▇▇▇@▇▇▇.▇▇▇-▇▇▇▇▇▇▇.▇▇▇▇▇▇▇.▇▇;
b) per il Beneficiario: ▇▇▇▇@▇▇▇.▇▇▇▇▇.▇▇.
Art. 18 – Controversie e legge applicabile
18.1 Per qualsiasi controversia derivante dall’applicazione ed interpretazione della presente convenzione, sarà competente in via esclusiva il Foro di Firenze, con espressa esclusione di qualsiasi altro Foro, generale e facoltativo. Il presente Accordo deve essere interpretato in conformità e disciplinato dalla legge italiana.
Art. 19 – Negoziazione, registrazione e imposta di bollo
19.1 Le Parti dichiarano che il presente Accordo è stato liberamente negoziato e che quindi non necessita di approvazione specifica ex 1341 cc.
19.2 Il presente atto è soggetto a registrazione in caso d’uso ai sensi dell’art. 5 punto 1 del D.P.R. 131/86 e dell’art. 4 della tariffa – Parte II - annessa al medesimo decreto, a cura e spese della parte richiedente.
19.3 Le spese relative all’imposta di bollo, ai sensi dell'art. 2 all. A Tariffa, parte 1° DPR 642/1972, sono poste a carico del Beneficiario.
Firenze, lì
Azienda Ospedaliero-Universitaria Careggi Università degli Studi di Firenze Direttore Generale Il Direttore
Dott.ssa ▇▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇▇ ▇▇▇▇. ▇▇▇▇▇▇ ▇▇▇▇▇
Per presa visione e accettazione dott.ssa ▇▇▇▇▇▇▇▇ ▇▇▇▇▇▇▇
Allegato A – Grant Agreement (comprensivo di Annex I e ▇▇▇▇▇ ▇▇)
Joint Controller Agreement
THIS JOINT CONTROLLER AGREEMENT (hereinafter referred to as “Agreement”) is made on April 30 2024,
BETWEEN
1. The OREBRO LANS LANDSTING, Department of Oncology, Örebro hospital, a public law legal entity, with registered office in Södra Grev Rosengatan, Örebro, Sweden (hereinafter referred to as “the Sponsor”);
2. The REGION UPPSALA, Department of Oncology, a public law legal entity, with registered office in
Akademiska sjukhuset, Uppsala, Sweden (hereinafter referred to as “RUL”);
3. The HUS Group, the joint authority for Helsinki and Uusimaa, Department of Oncology, Helsinki University Hospital, a public law legal entity, established at ▇▇▇▇▇▇▇▇▇▇▇▇▇▇ ▇, ▇▇▇▇▇, ▇▇▇▇▇▇▇▇, ▇▇▇▇▇▇▇ (hereinafter referred to as “HUS”);
4. The Akershus Universitetssykehus HF, Department of Oncology, Akerhus University Hospital, a public law legal entity, established at ▇▇▇▇▇▇▇▇▇▇▇▇ ▇▇, ▇▇▇▇ , ▇▇▇▇▇▇▇▇▇, ▇▇▇▇▇▇ (hereinafter referred to as “AHUS”);
5. The Azienda USL Toscana Centro (hereinafter the “Entity"), headquartered in ▇▇▇▇▇▇ ▇▇▇▇▇ ▇▇▇▇▇ ▇▇▇▇▇ ,▇
– 50122 Firenze - Italy, tax code and VAT no. 06593810481, through its Legal Representative ▇▇▇. ▇▇▇▇▇▇▇ ▇▇▇▇, in the capacity of General Manager (hereinafter referred to as “LHUTC/USL”);
6. The Università degli Studi Firenze, Dipartimento di Scienze Biomediche, Sperimentali e Cliniche “M. Serio”, a public law legal entity, established at ▇▇▇▇▇ ▇▇▇▇▇▇▇▇, ▇▇ – ▇▇▇▇▇ ▇▇▇▇▇▇▇ (hereinafter referred to as “UNIFI”);
7. The Azienda Ospedaliero Universitaria Careggi, Radiation Oncology Unit, a public law legal entity, established at L.go Brambilla, 3 – 50134 - Firenze;
8. The FUNDACIÓ DE RECERCA CLÍNIC BARCELONA-INSTITUT D’INVESTIGACIONS BIOMÈDIQUES AUGUST PI I SUNYER (FRCB-IDIBAPS) with legal address ▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇ ▇▇▇, ▇▇▇▇▇, ▇▇▇▇▇▇▇▇▇, ES (hereinafter referred to as “FRCB-IDIBAPS”);
9. The ΗELLENIC COOPERATIVE ONCOLOGY GROUP/ELLINIKI SYNERGAZOMENI OGKOLOGIKI OMADA, a private law legal entity, established at Messoghion Av. 41, 115 26, Athens, Greece (hereinafter referred to as “HeCOG”);
9.1 The University General Hospital of Patras, a public law legal entity, established at Rio GR 26504, Patras, Greece;
9.2 The St ▇▇▇▇▇▇▇ General Hospital of Patras Oncology unit, a public law legal entity, established at Kalavriton 37, Patras, Greece;
9.3 The University Geberal Hospital ‘’Attikon’’, a public law legal entity, established at ▇ ▇▇▇▇▇▇ ▇▇., ▇▇▇▇▇▇▇▇, ▇▇ ▇▇▇ ▇▇, ▇▇▇▇▇▇, ▇▇▇▇▇▇;
▇.▇ ▇▇▇ ▇▇. Luke’s Hospital, a private law legal entity, established at ▇, ▇▇▇▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇, ▇▇▇▇▇▇▇▇, ▇▇▇▇▇▇, ▇▇▇▇▇;
9.5 The Metropolitan Hospital, a private law legal entity, established at Ethn. Makariou 9str & El. Venizelou 1str, MH, Greece;
9.6 The Ygeia hospital, a private law legal entity, established at Erytrou ▇▇▇▇▇▇▇ 4 Marousi 15123, Greece;
10. The FACHHOCHSCHULE NORDWESTSCHWEIZ – FHNW a public law legal entity, established at
▇▇▇▇▇▇▇▇▇▇▇▇▇▇ ▇, ▇▇▇▇, ▇▇▇▇▇▇▇▇, ▇▇▇▇▇▇▇▇▇▇▇;
11. The Universidad Nacional de Educacion a Distancia UNED, a public law legal entity, established at ▇▇▇▇▇ ▇▇▇▇▇ ▇▇▇▇▇▇▇ ▇▇ ▇▇▇▇▇▇ ▇, ▇▇▇▇▇, ▇▇▇▇▇▇, ▇▇;
12. The Bröstcancerförbundet, BCF, a private legal entity, established at ▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇ ▇▇▇, ▇▇▇ ▇▇, ▇▇▇▇▇▇▇▇▇, ▇▇
13. The Circular Economy Foundation, CEF, a private legal entity, established at ▇▇▇ ▇▇▇▇▇▇▇ ▇▇-▇▇-▇▇, ▇▇▇▇, ▇▇▇▇▇▇▇▇, ▇▇
14. The EUNOMIA LIMITED, EUNL, a private legal entity, established at ▇▇▇▇▇▇ ▇▇▇▇▇, ▇▇ ▇▇▇▇▇ ▇▇▇▇▇▇ ▇▇▇▇▇▇, ▇▇▇▇▇▇▇, ▇▇▇▇▇▇, ▇▇
15. The INSTITUTE FOR MEDICAL TECHNOLOGY ASSESSMENT BV, IMTA, a public legal entity, established at ▇▇▇▇▇▇▇▇▇▇▇▇ ▇▇▇▇▇▇▇ ▇▇, ▇▇▇▇▇▇, ▇▇▇▇▇▇▇▇▇, ▇▇
16. The SECURITY LABS CONSULTING LIMITED, SLC, a private legal entity, established at ▇▇ ▇▇▇▇▇ ▇▇▇▇▇▇ ▇▇▇▇▇▇, ▇▇▇▇▇▇▇, ▇▇▇▇▇▇, ▇▇
17. The CAREACROSS LTD, CARE, a private legal entity, established at ▇ ▇▇▇▇▇ ▇▇▇▇▇▇, ▇▇▇ ▇▇▇, ▇▇▇▇▇▇, ▇▇
18. The Phaze Clinical Research & Pharma Consulting S.A., PHAZE, a private legal entity, established at ▇ ▇ ▇▇▇▇▇▇▇▇▇▇ ▇▇ ▇▇▇ ▇▇▇▇▇▇▇▇, ▇▇▇ ▇▇, ▇▇▇▇▇▇, ▇▇
19. The Panepistimio Patron, UPAT, a public legal entity, established at University Campus Rio Patras, 265 04, Rio Patras, EL
hereinafter, jointly or individually, referred to also as “Joint Controllers” or “Controller(s)” or “Party” or “Parties” relating to the project entitled “IMPlementing geriatric assessment for dose Optimization of CDK 4/6-inhibitors in older bReasT cAncer patieNTs” (hereinafter referred to as “IMPORTANT”)
WHEREAS
A. pursuant to the Grant Agreement of project No. 101104589 (hereinafter referred to as “Grant Agreement”), and the Consortium Agreement, as amended and in force, signed between the European Commission and the project consortium under the title “IMPlementing geriatric assessment for dose Optimization of CDK 4/6-inhibitors in older bReasT cAncer patieNTs” (hereinafter referred to as “IMPORTANT”, the Joint Controllers have entered into cooperation the subject of which is to conduct a joint research project and perform the required activities for it, within a consortium of partners including the above-stated clinical partners (hereinafter referred to as the “Cooperation”);
B. performing said activities involves the processing of personal data as defined in art. 4(1) of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing
Directive 95/46/EC (hereinafter referred to as “General Data Protection Regulation” or “GDPR” or “Regulation”);
C. on concluding this Agreement, the Parties, seek to regulate the terms of processing of personal data in such a way that they meet the provisions of the GDPR, and the applicable national data protection laws;
D. art. 26 of the Regulation provides that “where two or more controllers jointly determine the purposes and means of processing, they shall be joint controllers”;
E. in light of how the Grant Agreement and the Consortium Agreement is to be implemented, the Parties shall act as Joint Controllers with regard to the processing of personal data, pursuant to and in accordance with art. 26 of the Regulation, and, with this Agreement, they undertake to jointly determine the purposes and means of the processing and to regulate the respective data protection roles and responsibilities;
F. in the context of the respective responsibilities as determined by this Agreement, the Joint Controllers must always fulfil their obligations in compliance with said Agreement and ensure that the data are processed without violating the applicable laws in force and in full compliance with the provisions of the national data protection laws, where applicable.
Now therefore, the Parties hereby agree as follows:
ARTICLE 1 DEFINITIONS
1. For the purposes of this Agreement, the Parties agree that the following terms shall have the following meaning:
(1) “Controller/Joint Controller” means any natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data;
(2) “Personal data” means any information relating to an identified or identifiable natural person (hereinafter referred to as “data subject”);
(3) “Third country” means any country that is not a member of the European Union or the European Economic Area or any international organisation;
(4) “Processor” means any natural or legal person, public authority, agency or other body which processes personal data on behalf of the Controller;
(5) “Data Protection Law” means the GDPR as well as other provisions of EU Member State’s national law applicable to a relevant Party, passed in relation to personal data protection, including in particular the provisions of the given Controller’s national law;
(6) “Processing” means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;
(7) “General Data Protection Regulation”, “GDPR”, or “Regulation”, -means the Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive
95/46/EC; wherever this Agreement refers to specific Articles of GDPR, it shall also apply to the corresponding provisions in national legislation guaranteeing a similar level of safety;
(8) “Cooperation” means the cooperation between Controllers defined in Recital A;
(9) “Agreement” means this Agreement on Joint Control of personal data;
(10) “Consortium Agreement” means the agreement referred to in Recital A
(11) “Grant Agreement” means the agreement referred to in Recital A
ARTICLE 2
DOCKING CLAUSE
1. Any entity that is not a Party to this Agreement may, with the agreement of all the Parties, accede to this Agreement at any time as a joint controller by signing the Annexes and signing the Agreement.
2. Once the Annexes are completed and the Agreement signed, the acceding entity shall be treated as a Party to this Agreement and have the rights and obligations of a joint controller.
3. The acceding entity shall have no rights or obligations resulting from this Agreement from the period prior to becoming a Party.
ARTICLE 3
SUBJECT-MATTER OF THE AGREEMENT
1. This Agreement between the Parties sets out the respective responsibilities in relation to meeting the obligations arising from the GDPR and the applicable national data protection laws. It also establishes the respective obligations regarding the exercise of the rights of data subjects and the respective roles regarding the communication of information pursuant to articles 13 and 14 of the GDPR.
2. By means of the Grant Agreement and the Consortium Agreement, the Parties undertake to collaborate on the research project IMPORTANT, in relation to which they shall jointly determine the purposes and means of the processing activities that will take place in the context of conducting a clinical trial and two other research activities, namely the Patient Companion App and the Mind Compassion Training, as described in the respective Work Packages of the Grant Agreement and the Trial Protocol (as included in the Deliverable
3.1 that was submitted to the European Commission on the 23 Feb, 2024, hereinafter “Clinical Protocol”
3. For those phases of the process where there is no mutual agreement on the processing purposes and means, each Party shall be deemed an autonomous controller pursuant to article 4(7) of the Regulation.
4. The Annexes to this Agreement form an integral part of this Agreement.
ARTICLE 4
CATEGORIES OF PERSONAL DATA
1. In order to achieve the purposes indicated in art. 2, the Parties may process the following types of personal data (including medical, clinical, physiological, behavioural, psychosocial, and real-world data):
- date of birth
- sex
- information about health
- medical information that we collect during the study
- patient’s responses to the questionnaires during the study
- e-mail address
- time availablity
- bank account for reimbursement of study participation costs
- trial participation status
- country of residence
- link to clinic
- click-stream of using the digital patient companion application
- opinion regarding the recommendation content provided by the digital patient companion application
- opinion regarding the usability of the digital patient companion application
- feedback regarding improvement opportunities for the digital patient companion application
- feedback regarding improvement opportunities of information or services provided to the patient
- feedback regarding improvement opportunities of trial implementation
• Baseline
o Demographics (age, sex, socioeconomic status)
o Prior medical history (co-morbidities, concomitant medications)
o Tumor-related characteristics
▪ Anatomical and biological characteristics of primary and metastatic disease
▪ Number and site of metastatic lesions
o Treatment-related characteristics
▪ Prior surgical procedures for breast cancer
▪ Type, duration (including dates for initiation and end, reason for discontinuation) of prior oncological therapy
o Physical examination (weight, height, WHO performance status, tumor status if feasible)
o Patient-reported outcomes (CGA, QoL)
o Toxicity
• Treatment phase
o Tumor assessment
o Dose modifications
o Patient-reported outcomes (CGA, QoL)
o Toxicity
o Patient-reported outcomes
o Supportive treatment of interest
o Survival status
• Post-treatment phase
o Subsequent treatment
o Survival status
• Comprehensive geriatric assessment (CGA)
• Quality of life (QoL)
2. The Parties agree that it is not possible to retain or process personal data that has been shared for longer than the time required to achieve the agreed objectives. As an exception to that established above, the
Parties may continue to retain shared personal data for the IMPORTANT periods provided for by the applicable law.
3. The Parties shall process the data for the aforementioned purposes in accordance with reasons of public interest in the area of public health (art.6(1)(c) and art.9(2)(i)) of the Regulation and based on the consent of the data subjects (art.6(1)(a) and art.9(2)(a)) of the Regulation.
4. For the purposes of executing the Cooperation and this Agreement, the Parties may also process personal data of the Scientific Supervisor designated by each Party and his/her team of collaborators. In these cases, the data shall be processed as necessary for the legitimate interests pursued by the controllers or a third party in accordance with article 6(1)(f) of the Regulation.
ARTICLE 5
OBLIGATIONS OF THE JOINT CONTROLLERS
1. Each Party guarantees that they will comply with the data protection laws in force and that they will abide by the principle of lawfulness in the data processing conducted under their joint controllership.
2. The Parties shall agree on the decisions concerning the purposes and means of processing the data and are jointly required to prepare and keep up to date all the documentation concerning fulfilment of the obligations as provided for by the data protection laws in force. The Parties undertake to keep a record of the processing activities in accordance with art. 30 of the Regulation and, in particular, to record the type of processing, differentiating also between the phases conducted under a single or joint controllership.
3. For this reason, the Parties undertake to promptly inform each other in the event of detecting any irregularity or deviation from that established in this Agreement or provided for by the data protection laws in force. More specifically, each Party shall inform and promptly involve the other Party in the event of any request for information, audits, inspections or access by the supervisory authority.
4. The Parties shall ensure that the only data processed shall be those strictly necessary to achieve the above purposes and to fulfil the obligations provided for by national and European Union laws and regulations as well as by the provisions of the supervisory authorities including the Data Protection Authorities to which the Parties are subject.
5. If the Parties are required to perform a data protection impact assessment pursuant to art. 35 of the Regulation in relation to the data processing for which they are Joint Controllers, the Parties shall cooperate to perform it jointly, designating a contact person or team for each organisation.
6. Within their organisations, the Parties shall ensure that all personnel, employees, and collaborators involved in the data processing are duly assigned and that:
(a) they process the data based on the instructions of the Joint Controller of the organisation to which they belong, for the purposes and within the limits of the processing activities indicated in this Agreement
(b) they ensure maximum professionalism and reliability in the performance of the assigned duties
(c) they abide by the rules of confidentiality and are subject to an adequate legal obligation of confidentiality
(d) they receive the necessary data protection training.
7. The joint controllers have clarified and agreed on their respective roles and responsibilities regarding complying with the obligations imposed on controllers by the GDPR as shown in Annex A of the present
agreement and this is communicated in detail to the data subjects in the information sheets accompanying the informed consent forms for each research activity.
ARTICLE 6 PERSONAL DATA COLLECTION
1. The Parties shall ensure that they abide by the principle of data minimisation in accordance with art. 5(1)(c) of the Regulation.
2. The types and amount of data to be collected from participating patients (data subjects) during the conduct of the study (and other provisions such as the frequency of data collection, provisions on access limitation, types of data analysis, etc.), have been defined in detail in the trial protocol, the Data Management Plan (Deliverable 1.2) and the Trial Ethical Review Report (Deliverable 1.4) as well as Deliverable 7.1 already submitted to the Commission and the research protocols of the two parallel projects and the Data Protection Impact Assessment, strictly on the basis of their necessity, relevance, and adequacy to achieving the purpose of the study. They shall also be specified and confirmed in the upcoming Interim Data Management Plan to be submitted end of October 2024. The Parties fully agree to abide by the arrangements described therein.
3. The parties will only process personal data that are adequate, relevant, and limited to what is necessary in relation to the purposes of the research project (as determined in the context of the Grant Agreement and the trial protocol and not further processed in a manner that is incompatible with those purposes. Regarding the means of personal data processing, this will be performed on the systems provided by sponsor as described in detail in Deliverables Deliverable D1.2 and D2.4 and the systems of the partners leading the two parallel projects. Parties which need not directly process personal data in the context of their role in the project will not have access to any personal data concerning the research activities of the project.
ARTICLE 7
INFORMATION TO BE PROVIDED TO THE DATA SUBJECTS
1. The Controllers who collects the personal data undertake to provide the data subjects, free of charge and in a concise, clear, intelligible and easily accessible format, with the information contained in articles 13 and
14 of the Regulation concerning the data processing carried out for the purposes of executing the Cooperation, and to obtain the express, free and specific consent of the data subjects to the processing of their data for the purposes of the Cooperation.
2. The informed consents form including the required information has already drafted and has been agreed by the Parties.
ARTICLE 8
RIGHTS OF THE DATA SUBJECTS
1. The Parties agree that requests by data subjects to exercise their rights may be submitted to the Data Protection Officer (DPO) as provided for by art. 26(3) of the Regulation. The contact information of the persons designated as point of contacts for the data subjects is provided in point 3 of the ANNEX A.
2. The Joint Controllers must cooperate with and assist each other in responding to the requests of the data subjects by providing the information and details necessary to ensure a prompt response to the data subject in accordance with the deadlines indicated in art. 12, paragraphs 3 and 4 of the Regulation.
3. The Controllers/Controller who collects the personal data undertake to communicate without delay any change to the designated contact persons indicated above, including any changes to telephone numbers, addresses and other contact details.
ARTICLE 9 NOTIFICATION OF DATA BREACHES
1. The Parties are mutually obliged to inform one another and the IMPORTANT Privacy and Ethics Committee in the event of any data breach within one (1) business day of becoming aware of said event. Said notification must be accompanied by all the documentation necessary to allow, where necessary, the competent supervisory authority to be informed. It should also indicate the nature of the data breach, the data subject category, the contact details of the person that can provide further information, and any actions taken or planned.
2. The Parties undertake to cooperate with regard to the internal investigations in the respective organisations and to jointly prepare the data breach notification as well as, where necessary, the notification to be sent to the data subject pursuant to art. 34 of the Regulation.
3. For the purposes set out in this paragraph, the Parties indicate hereunder the respective email addresses, which can be the email address of their respective DPO or a contact person if there is no appointed DPO, to which any information regarding any possible data breaches must be sent:
- For the Sponsor: ▇▇▇▇▇.▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇.▇▇
- For the RUL: primary: ▇▇▇▇▇▇.▇▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇▇.▇▇, secondary: ▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇▇▇▇▇.▇▇
- For the HUS: ▇▇▇▇▇▇▇▇▇▇▇▇@▇▇▇.▇▇
- For the AHUS: ▇▇▇▇▇▇▇▇▇.▇▇▇▇▇▇▇▇▇▇@▇▇▇▇.▇▇
- For the LHUTC/USL: ▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇.▇▇▇▇▇▇▇.▇▇
- For the UNIFI: ▇▇▇▇▇▇▇▇▇▇▇@▇▇▇▇.▇▇▇▇▇.▇▇
-For the AOUC: ▇▇▇.▇▇▇@▇▇▇-▇▇▇▇▇▇▇.▇▇▇▇▇▇▇.▇▇
- For the FRCB-IDIBAPS: ▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇@▇▇▇▇▇▇▇.▇▇▇▇▇▇.▇▇▇, in CC: ▇▇▇▇▇▇▇@▇▇▇▇▇▇▇.▇▇▇▇▇▇.▇▇▇, ▇▇▇▇▇▇▇▇@▇▇▇▇▇▇.▇▇▇
- For the HeCOG: ▇_▇▇▇▇▇▇▇@▇▇▇▇▇.▇▇▇▇▇.▇▇,▇▇▇▇▇▇▇▇@▇▇▇▇▇▇.▇▇
– For the HeCOG subsite The University General Hospital of Patras: ▇▇▇▇▇▇@▇▇▇.▇▇
– For the HeCOG subsite The St ▇▇▇▇▇▇▇ General Hospital of Patras Oncology unit: ▇▇▇▇▇▇▇▇▇▇▇▇▇@▇▇▇▇▇▇▇.▇▇▇
– For the HeCOG subsite The University General Hospital ‘’Attikon’’: ▇.▇▇▇▇▇▇▇▇▇▇▇▇▇▇@▇▇▇▇▇▇▇.▇▇
– For the HeCOG subsite St. Luke’s Hospital: ▇▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇.▇▇
– For the HeCOG subsite The Metropolitan Hospital: ▇▇▇▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇▇▇▇-▇▇▇▇▇▇▇▇.▇▇
– For the HeCOG subsite The Ygeia hospital: ▇.▇▇▇▇▇▇@▇▇▇▇▇▇.▇▇
- For the FHNW: ▇▇▇▇▇.▇▇▇▇▇▇▇▇@▇▇▇▇.▇▇
- For the UNED: ▇▇▇▇▇▇▇▇▇▇@▇▇▇.▇▇▇▇.▇▇
- For the BCF: ▇▇▇▇▇.▇▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇.▇▇
- For the CEF: ▇▇▇@▇▇▇▇▇▇▇▇.▇▇▇▇▇▇▇▇▇▇
- For the EUNL: ▇▇▇▇▇@▇▇▇▇▇▇▇.▇▇▇
- For the IMTA: ▇▇.▇▇▇▇▇▇▇▇▇▇▇@▇▇▇.▇▇
- For the SLC: ▇▇▇▇.▇▇▇▇▇▇▇▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇▇▇▇.▇▇
- For the CARE: ▇▇▇▇▇▇.▇▇▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇▇.▇▇▇
- For the PHAZE: ▇▇▇@▇▇▇▇▇▇▇▇▇▇▇▇▇.▇▇▇, ▇▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇▇▇▇▇.▇▇▇
- For the UPAT: ▇▇▇@▇▇▇▇▇▇▇.▇▇
ARTICLE 10 PERSONAL DATA RETENTION
1. The Parties shall retain the processed personal data for which they are the Joint Controllers in a structured, commonly used, machine-readable format for the period of time indicated in the terms of the Cooperation.
2. In accordance with art. 5 paragraph 1(e) of the Regulation, the processed personal data will be retained for the whole duration of the Cooperation, considering any potential extension to the initial duration in case of an amendment of the Grant Agreement, or for a shorter period as long as these personal data are required to fulfil the execution of the Cooperation.
3. After the above-mentioned period of personal data IMPORTANT, the processed personal data will be archived, in a pseudonymised format, in accordance with the applicable legal requirements.
4. To conduct the activities relating to the dissemination and exploitation of the results of the Cooperation, as indicated in the Grant Agreement, all personal data will be kept pseudonymised for up to 5 years after the end of the Cooperation. The processed personal data may also be retained for a longer period if it is reasonably necessary to comply with any legal obligations, meet any regulatory requirements, resolve any disputes or litigation, or as otherwise needed to enforce the data protection legislation, the privacy policy of the Cooperation, and prevent fraud and abuse.
ARTICLE 11
ENTRUSTING PROCESSORS WITH PROCESSING OF PERSONAL DATA
1. The Controllers jointly consent to each of them entrusting Processors with processing of personal data subject to this Agreement on terms and to the degree defined by this Agreement and Article 28 of the GDPR.
2. Each Controller may entrust Processors with processing of personal data under this Agreement only for the purposes of this Agreement, Consortium Agreement and the Cooperation.
3. Processors can only carry out specific personal data processing activities on behalf of a Controller once the Controller has entered into a contract with such a Processor laying down the obligations of the latter related
to personal data protection in a manner ensuring sufficient guarantees of technical and organisational measures for the processing to meet the requirements of the GDPR.
4. A Processor may carry out specific personal data processing activities on behalf of a Controller without entering into the contract referred to in the above paragraph as long as it is possible pursuant to another legal instrument under EU law or national law, which binds the Processor and the Controller.
5. At the time of the signing of the present Agreement, the parties do not use any processors for the purposes of the trial subject to the IMPORTANT project, though the use of external hospitals or satellite sites is being discussed as a possibility in Sweden. The Parties shall promptly inform each other of any addition of data processors and they undertake to appoint only those persons that offer suitable guarantees in relation to security and compliance with data protection laws and the provisions of this Agreement. Additionally, the Parties shall provide detailed information on its Processors on request to the data subject.
ARTICLE 12
TRANSFERS OF PERSONAL DATA TO THIRD COUNTRIES
1. In accordance with the provisions of the Cooperation, the personal data shall be processed within the territory of the European Union except from limited personal data is to be processed in Switzerland for which an adequacy decision exists. In case that, during the Data Processing, Personal Data is transferred by one Party to member states outside the European Economic Area, the Parties will ensure appropriate safeguards according to Articles 44 – 50 GDPR. In cases the transfer may be based on an adequacy decision, the Parties will document such case. In other cases, compliance may be achieved by the Standard Contractual Clauses according to the decision of the European Commission Implementing Decision 2021/914 (“SCC”). In case the European Commission publishes new Sets of SCC, which overrides the existing SCC, the Parties shall conclude these new SCC in due time as set out in the relevant European Commission Implementing Decision. In case the data importer receiving Personal Data uses Processors, it will ensure entering into the applicable module or version of the SCC (at the time of the execution of this Agreement: Module 3). If so, in case of inconsistencies between provisions of SCC and provisions of this Agreement, this inconsistency shall be resolved by giving such provisions of the SCC priority over the respective provisions of this Agreement.
2. In the event that, for technical or operational reasons, the Parties need to use the services of persons located outside of the European Union, they agree that the transfer of personal data shall be limited only to the specific processing activities for which the Parties are Joint Controllers and shall be subject to the provisions of chapter V of the Regulation.
ARTICLE 13 DATA SECURITY
1. The Parties shall each ensure compliance with all the data security requirements by adopting the technical and organisational data security measures indicated in Annex B to this Agreement, in accordance with articles 24 and 32 of the Regulation.
2. The Parties shall ensure that the implementation and operation of their systems and applications are compliant with the requirements of the Regulation and in particular with the principles of data protection by design and by default.
3. Each Party undertakes to regularly check the compliance and adequacy of said measures and to provide the relative documentation to the other Party if requested.
ARTICLE 14
LIABILITY OF THE JOINT CONTROLLERS
1. The Parties have joint liability in respect of the data subjects for any damage caused by processing in violation of the applicable data protection laws in force; a Party will not be liable if it can prove it is not in any way responsible for the event giving rise to the damage.
2. If one Party has paid the entire amount of compensation for damages, said Party shall have the right of recourse against the other Party involved in order to obtain reimbursement of the part of the compensation for damages paid corresponding to the latter's share of liability for the damage caused.
ARTICLE 15 INSPECTIONS AND AUDITS
1. Each of the Parties acknowledges the right of the other to carry out audits on the operations related to the processing of personal data conducted under the remit of the joint project. To this end, each Party has the right to organise - at its own expense - spot checks or specific audit or reporting activities in relation to data protection and security, availing themselves of personnel expressly authorised to perform said tasks, at the premises of the other Party.
2. Each Party shall make available all the documentation necessary to demonstrate compliance with their obligations, to facilitate the conduct of audits and inspections and to contribute to the same.
ARTICLE 16
REQUIREMENT TO COLLABORATE IN ADMINISTRATIVE OR JURIDICAL PROCEEDINGS
1. The Parties undertake to assist each other in relation to any administrative or judicial proceedings initiated by data subjects or by the supervisory authority consequent to the data processing activities with which this Agreement is concerned.
ARTICLE 17
DATA PROTECTION OFFICER
1. Each of the Parties who are to have access to personal data or is obliged by law to have a DPO or has voluntarily appointed one, makes it known that they have appointed a Data Protection Officer (DPO) the contact details of whom are as follows:
For the Sponsor
Address: Regionkansliet, enheten för juridik och informationssäkerhet, Region Örebro län, Box1613, 701 16 Örebro
E-mail: ▇▇▇▇▇.▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇.▇▇
For the RUL
Address: Dataskyddsombudet, ▇▇▇▇▇▇ ▇▇▇▇▇▇▇, ▇▇▇ ▇▇ ▇▇▇▇▇▇▇ Telephone number: ▇▇▇-▇▇▇ ▇▇ ▇▇
E-mail: ▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇▇▇▇▇.▇▇
For the HUS
Address: PL 440, 00029 HUS
For the AHUS
Address: Personvernombud, Akershus universitetssykehus HF, Postboks 1000, 1478 Lorenskog E-mail: ▇▇▇▇▇▇▇▇▇.▇▇▇▇▇▇▇▇▇▇@▇▇▇▇.▇▇
For the LHUTC/USL
E-mail: ▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇.▇▇▇▇▇▇▇.▇▇
E-mail: ▇▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇.▇▇▇▇▇▇▇.▇▇ (Privacy Office)
For the UNIFI
Address: ▇▇▇▇▇▇ ▇▇▇ ▇▇▇▇▇, ▇ – ▇▇▇▇▇ ▇▇▇▇▇▇▇ E-mail: ▇▇▇▇▇▇▇@▇▇▇.▇▇▇▇▇.▇▇
For the AOUC
Address: ▇.▇▇ ▇▇▇▇▇▇▇▇▇, ▇ – ▇▇▇▇▇ - ▇▇▇▇▇▇▇ E-mail: ▇▇▇@▇▇▇-▇▇▇▇▇▇▇.▇▇▇▇▇▇▇.▇▇
For the FUNDACIÓ DE RECERCA CLÍNIC BARCELONA-INSTITUT D’INVESTIGACIONS BIOMÈDIQUES ▇▇▇▇▇▇ ▇▇ ▇ ▇▇▇▇▇▇ (“FRCB-IDIBAPS”)
E-mail: ▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇@▇▇▇▇▇▇▇.▇▇▇▇▇▇.▇▇▇
For the HeCOG
Address: Messoghion Av. 41, 115 26, Athens, Greece E-mail: ▇_▇▇▇▇▇▇▇@▇▇▇▇▇.▇▇▇▇▇.▇▇
Fax: ▇▇▇ ▇▇▇ ▇▇▇▇▇▇▇
For the HeCOG subsite The University General Hospital of Patras
Telephone number: +30210-6216997, ▇▇▇▇▇▇▇▇▇▇▇▇▇
For the HeCOG subsite The St ▇▇▇▇▇▇▇ General Hospital of Patras Oncology unit
E-mail: ▇▇▇▇▇▇▇▇▇▇▇▇▇@▇▇▇▇▇▇▇.▇▇▇
For the HeCOG subsite The University General Hospital ‘’Attikon’
E-mail: ▇.▇▇▇▇▇▇▇▇▇▇▇▇▇▇@▇▇▇▇▇▇▇.▇▇
Telephone number: ▇▇▇▇▇▇▇▇▇▇▇▇▇
For the HeCOG subsite St. Luke’s Hospital
Telephone number: ▇▇▇▇▇▇▇▇▇▇▇▇▇
For the HeCOG subsite The Metropolitan Hospital
E-mail: ▇▇▇▇▇▇▇▇▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇▇▇▇-▇▇▇▇▇▇▇▇.▇▇
For the HeCOG subsite The Ygeia hospital
Telephone number: (▇▇▇) ▇▇▇ ▇▇▇▇▇▇▇
For the FHNW
Adress: Fachhochschule Nordwestschweiz FHNW, ▇▇▇▇▇ ▇▇▇▇▇▇▇▇, Direktionspräsidium, ▇▇▇▇▇▇▇▇▇▇▇▇▇▇ ▇, ▇▇▇▇ ▇▇▇▇▇▇▇▇, ▇▇▇▇▇▇▇▇▇▇▇
For the UNED
Adress: ▇/ ▇▇▇▇▇ ▇▇▇▇▇▇▇, ▇▇, ▇▇ ▇▇▇▇▇▇ ▇▇▇▇▇-▇▇▇▇▇▇ Telephone number: ▇▇▇ ▇▇▇ ▇▇▇ ▇▇▇
For the BCF
Adress: ▇▇▇▇▇ ▇▇▇▇▇▇▇, Bröstcancerförbundet, ▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇ ▇▇ ▇, ▇▇▇▇▇ ▇▇▇▇▇▇▇▇▇, SE E-mail: ▇▇▇▇▇.▇▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇.▇▇
For the CEF
Dr. ▇▇▇▇▇▇▇▇▇ ▇▇▇▇▇▇▇ Address: Rue Breydel 34-36-40
E-Mail: ▇▇▇▇▇▇▇▇▇.▇▇▇▇▇▇▇@▇▇▇▇▇▇▇▇.▇▇▇▇▇▇▇▇▇▇
For the EUNL
N/A
For the IMTA
Adress: ▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇, Burg. ▇▇▇▇▇▇▇ ▇▇, ▇▇▇▇ ▇▇, ▇▇▇▇▇▇▇▇▇, ▇▇▇ ▇▇▇▇▇▇▇▇▇▇▇ E-mail: ▇▇▇▇▇▇.▇▇▇▇▇▇▇▇@▇▇▇.▇▇
For the SLC
Adress: ▇▇▇▇ ▇▇▇▇▇▇▇▇▇▇▇▇▇, ▇ ▇▇▇▇▇▇▇ ▇▇▇., ▇▇▇ ▇▇▇▇▇▇, ▇▇▇▇▇, ▇▇▇▇▇▇, ▇▇▇▇▇▇ E-mail: ▇▇▇▇.▇▇▇▇▇▇▇▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇▇▇▇.▇▇
For the CARE
Address: ▇ ▇▇▇▇▇ ▇▇▇▇▇▇, ▇▇▇ ▇▇▇, ▇▇▇▇▇▇, ▇▇ E-Mail: ▇▇▇▇▇▇.▇▇▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇▇.▇▇▇
For the PHAZE
Address: Phaze S.A. ▇ ▇. ▇▇▇▇▇▇▇▇▇▇ ▇▇▇. ▇▇▇ ▇▇, ▇▇▇ ▇▇▇▇▇▇▇▇, ▇▇▇▇▇▇, ▇▇▇▇▇▇, Attn to: Ms. ▇▇▇ ▇▇▇▇▇▇ E-Mail: ▇▇▇@▇▇▇▇▇▇▇▇▇▇▇▇▇.▇▇▇
For the UPAT
Address: Patras University, University Campus, Rio 26504 Patras GREECE E-mail: ▇▇▇@▇▇▇▇▇▇▇.▇▇
Tel. +302610 962855
ARTICLE 18
TERMINATION OF THE JOINT CONTROLLERSHIP
1. The Agreement shall be concluded for the period of implementation of the Cooperation and as long as and until, after the termination of the Cooperation, obligations still have to be fulfilled.
2. Upon termination of this Agreement, regardless of the reason, each Party shall remain an independent Data Controller.
2. The Parties shall agree on the technical, organisational and procedural means necessary for the delivery and disposal of the personal data subject to joint processing.
ARTICLE 19 FINAL PROVISIONS
1. It remains understood that this Agreement does not entitle the Joint Controllers to any specific remuneration, indemnity or reimbursement for the activities performed, other than that already provided for in the Convention entered into by the Parties as indicated in this Agreement.
2. Any other matter not explicitly regulated in this Agreement shall be subject to the provisions of applicable data protection laws in force.
3. Any amendments to this Agreement must be made in writing and only through a written declaration agreed between the Parties.
4. In the event that any clause of this Agreement is or becomes invalid, even partially, that shall not affect the remaining clauses.
5. With this Agreement, the Parties expressly intend to revoke and replace any other contract or agreement existing between them in relation to the processing of personal data.
ARTICLE 20 EFFECTIVE DATE
This Agreement shall enter into force on the day stated at the beginning and shall remain in effect until its expiry, whether original or extended, or until it is rescinded or terminated early for whatever reason.
For the OREBRO LANS LANDSTING
Name: ▇▇▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇ Title: Dr. Sponsor Investigator Signature:
For the REGION UPPSALA
Name: ▇▇▇▇-▇▇▇▇▇ ▇▇▇▇▇▇▇▇, Title: Director of Research Signature:
For the HUS Group Name: ▇▇▇▇▇▇▇ ▇▇▇▇▇▇▇ Title: Director of HUS CCC Signature:
For the Akershus Universitetssykehus HF
Name: ▇▇▇▇▇ ▇. ▇▇▇▇▇▇▇▇ Title: Head of Department Signature:
For the Azienda USL Toscana Centro
Name: ▇▇▇. ▇▇▇▇▇▇▇ ▇▇▇▇
Title: General Manager – Azienda USL Toscana Centro
Signature:
For the Università degli Studi Firenze
Name: ▇▇▇▇. ▇▇▇▇▇▇ ▇▇▇▇▇
Title: Director of the Department Signature:
For the Azienda Ospedaliero Universitaria Careggi, Radiation Oncology Unit
Name: Dr.ssa ▇▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇▇ Title: General Director Signature:
For the FUNDACIÓ DE RECERCA CLÍNIC BARCELONA-INSTITUT D’INVESTIGACIONS BIOMÈDIQUES ▇▇▇▇▇▇ ▇▇ ▇ ▇▇▇▇▇▇ (“FRCB-IDIBAPS”)
Name: Mr. ▇▇▇▇▇ ▇▇▇▇▇ I Prat Title: Managing DIrector Signature:
For the ΗELLENIC COOPERATIVE ONCOLOGY GROUP/ELLINIKI SYNERGAZOMENI OGKOLOGIKI OMADA
Name: Prof. Emer. ▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇▇▇ Title: Chairman & CEO
Signature:
For HeCOG subsite The University General Hospital of Patras
Name: ▇▇▇▇▇▇▇ ▇▇▇▇▇▇▇ Title: Professor Signature:
For HeCOG subsite The St ▇▇▇▇▇▇▇ General Hospital of Patras Oncology unit
Name: ▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇▇▇▇▇▇
Title: Medical Oncologist Head In The Oncology Unit St ▇▇▇▇▇▇▇ General Hospital Of Patras Signature:
For the HeCOG subsite The University General Hospital ‘’Attikon’
Name: ▇▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇ Title: Study Coordinator Signature:
For the HeCOG subsite St. Luke’s Hospital
Name: ▇▇▇▇▇ ▇▇▇▇▇▇▇▇▇▇▇ Title: DPO
Signature:
For the HeCOG subsite The Metropolitan Hospital
Name: ▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇
Title: Director of 4th Oncology Dept. Signature:
For the HeCOG subsite The Ygeia hospital
Name: ▇▇▇▇▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇
Title: Director of second oncology clinic Signature:
For the FACHHOCHSCHULE NORDWESTSCHWEIZ
Name: ▇▇▇▇▇▇ ▇▇▇▇▇▇▇ Title: Prof. Dr.
Signature:
For the Universidad Nacional de Educacion a Distancia
Name: ▇▇▇▇▇▇▇ ▇▇ ▇▇▇▇ ▇▇▇▇▇▇▇
Signature:
For the Bröstcancerförbundet
Name: ▇▇▇▇▇ ▇▇▇▇▇▇ Title: Generalsekreterare Signature:
For the Circular Economy Foundation
Name: Dr. ▇▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇ Title: CEF Director Signature:
For the EUNOMIA LIMITED
Name: ▇▇▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇▇ Title: Senior Project Manager Signature:
For the INSTITUTE FOR MEDICAL TECHNOLOGY ASSESSMENT BV
Name: ▇▇▇▇▇ ▇▇▇-▇▇ ▇▇▇▇▇
Title: Statutory Director iMTA BV Signature:
For the SECURITY LABS CONSULTING LIMITED
Name: ▇▇▇▇ ▇▇▇▇▇▇▇▇▇▇▇▇▇ Title: DPO
Signature:
For the CAREACROSS LTD
Name: ▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇ Title: CEO
Signature:
For the Phaze Clinical Research & Pharma Consulting S.A.
Name: ▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇ Title: Managing Director Signature:
For the Panepistimio Patron Name: ▇▇▇▇. ▇▇▇▇▇▇▇▇ ▇▇▇▇▇▇ Title: Rector
Signature:
ANNEX A
ESSENCE OF THE JOINT CONTROLLER AGREEMENT PURSUANT TO ART. 26(2) GDPR
In accordance with art. 26(2) of Regulation (EU) 2016/679 (hereinafter also “Regulation”), the clinical partners of the “IMPORTANT” project, under Grant Agreement of No. 101104589 , as amended and in force, signed between the European Commission and the IMPORTANT project consortium) and the IMPORTANT Consortium, in their capacity as Joint Data Controllers, shall provide the following information in order to make clear to the data subjects the essence of the internal agreement between the Joint Controllers in relation to the IMPORTANT research project.
1. WHY ARE THE IMPORTANT PARTNERS JOINT DATA CONTROLLERS?
They have jointly decided on the purposes and means of the processing involved in the IMPORTANT project and in this context, they have worked together on the finalization of the trial protocol and the consent form together with the required information to be provided to the data subjects.
2. HOW ARE THE ROLES SHARED?
Under the internal agreement between the Joint Controllers, the -partners have agreed on how to jointly or individually fulfil the obligations provided for by the Regulation. This concerns in particular the exercise of the rights of data subjects and the fulfilment of information obligations pursuant to articles 13 and 14 of the Regulation.
Processing operation | Person responsible |
Personal data collection | Each controller for its own patients in case of controllers who are clinical sites or for the participants in the research activity led by it, in the case of controllers who are not clinical sites |
Provision of information pursuant to articles 13 and 14 of the Regulation | Each controller for its own patients in case of controllers who are clinical sites or for the participants in the research activity led by it, in the case |
of controllers who are not clinical sites | |
Obtainment of consent | Each controller for its own patients or for the participants in the research activity led by it |
Personal data storage | Each controller for its own patients or for the participants in the research activity led by it The Sponsor for all collected data in pseudonymized form |
Personal data access | Each controller for its own patients or for the participants in the research activity led by it The Sponsor for all collected data in pseudonymized form |
Response to data subject requests | The Sponsor (through its DPO) DPOs of the rest of the controllers will handle requests of their own patients or participants in the research activity led by them, if addressed to them. |
Adoption of security measures | Each controller for its own patients or participants in the research activity led by it and the Sponsor for all data submitted in the technical |
systems used for the trial. |
3. TO WHOM CAN DATA SUBJECTS ADDRESS THEIR REQUEST?
Data subjects can submit their requests to the Data Protection Officer (DPO). In particular, data subjects can exercise the rights conferred on them by articles 15-21 of the Regulation, including the right of access, the right to rectification or erasure, the right to the restriction of processing, the right to object and the right to data portability, though it is understood that as per Art.26(2) of the Regulation, the data subject may exercise his or her rights under this Regulation in respect of and against each of the controllers.
To this end, the data subjects can send a written request to the following addresses:
Data Protection Officer (DPO) of the Sponsor
Address:
Regionkansliet, enheten för juridik och informationssäkerhet, Region Örebro län, Box1613, 701 16 Örebro E-mail:
▇▇▇▇▇.▇▇▇▇▇▇@▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇.▇▇
ANNEX B
SECURITY MEASURES
The Parties confirm that they will ensure the security of the personal data that it handles with regard to the processing conducted for the execution of the Cooperation through the following security measures (implemented be each of the Parties), taking into account the nature, scope, context and purpose of the processing, as well as the risks for the rights and freedoms of natural persons:
A. Signed confidentiality statements of personnel processing personal data.
B. Ensuring effective procedure of data destruction of files containing personal data either in hard or soft form.
C. Training of personnel on how they should handle personal data and guidance through specific instructions via circulars (eg. use of unpredictable passwords, detection and reporting of security breaches, proper use of e-mail and removable storage devices).
D. Carrying out scheduled Audits on whether all measures are followed.
E. Permission Policy: Password protected, controlled and authorized access.
F. Activity on data processing software is restricted so that only specified members of the personnel can edit or delete data.
G. Password Management Policy, which contains rules regarding the minimum and maximum length of passwords, character restrictions, password history and frequency of password changes.
H. Lock of access after three/four repeated unsuccessful attempts.
I. Access logging to allow future access control. IA. Automated systems detecting user's activity.
IB. Backup schedule, backup frequency and downloading.
IC. Effective anti-virus and firewall software and systematic updates of the said security software. ID. Viewing and monitoring users’ log files.
IE. Use of encryption.
IF. All technical and organisational security measures described in the Data Management Plans (Deliverable
1.2 (submitted) and Deliverable 1.3 (for submission Oct 31, 2024).