CONTRATTO DI ACCESSO AI DATI

CONTRATTO DI ACCESSO AI DATI PER CONTO DI TERZI

Da un lato, il CLIENTE (di seguito, il CONTROLLORE DEL TRATTAMENTO).

D'altra parte, il FORNITORE (di seguito, il PROCESSORE).

1. Scopo dell'ordine di trattamento

Mediante le presenti clausole, l'entità Lendismart, S.L., incaricata del trattamento, è autorizzata a trattare per conto del CLIENTE, responsabile del trattamento, i dati personali necessari per fornire il servizio di utilizzo del servizio software ai fini della gestione informatizzata delle richieste di finanziamento presso il punto vendita.

Le operazioni di trattamento da effettuare sono: raccolta, conservazione, registrazione, consultazione, controllo incrociato, cancellazione, comunicazione.

2. Identificazione delle informazioni interessate

Per l'esecuzione dei servizi derivanti dall'adempimento dell'oggetto del presente ordine, il TITOLARE DEL TRATTAMENTO mette a disposizione del TITOLARE DEL TRATTAMENTO le informazioni descritte di seguito: nome e cognome, data di nascita, numero di figli e adulti a carico, NIF/NIE, indirizzo, e-mail, telefono, dati economici e dati relativi all'occupazione dei propri clienti e/o dipendenti.

3. Durata

Il presente accordo ha una durata di un anno, rinnovabile automaticamente finché il rapporto commerciale per la fornitura di servizi rimane in vigore.

4. Obblighi dell'incaricato del trattamento

Il responsabile del trattamento e tutto il suo personale sono tenuti a:

A. Utilizzare i dati personali in corso di trattamento, o quelli raccolti per il loro inserimento, solo ai fini del presente ordine. In nessun caso potrà utilizzare i dati per i propri scopi.

B. Trattare i dati secondo le istruzioni del responsabile del trattamento. Se l'incaricato del trattamento ritiene che le istruzioni violino il GDPR o altre disposizioni dell'Unione o degli Stati membri in materia di protezione dei dati, ne informa immediatamente il responsabile del trattamento.

C. Conservare, per iscritto, un registro di tutte le categorie di attività di trattamento svolte per conto del responsabile del trattamento, contenente:

  1. Nome e dati di contatto dell'incaricato o degli incaricati del trattamento e di ciascun responsabile del trattamento per conto del quale l'incaricato agisce e, se del caso, del rappresentante dell'incaricato o del responsabile del trattamento e del responsabile della protezione dei dati.
  2. Le categorie di trattamenti effettuati per conto di ciascun responsabile del trattamento.
  3. Ove applicabile, i trasferimenti di dati personali a un paese terzo o a un'organizzazione internazionale, compresa l'identificazione di tale paese terzo o organizzazione internazionale e, nel caso dei trasferimenti di cui all'articolo 49, paragrafo 1, secondo comma, del GDPR, la documentazione di garanzie adeguate.
  4. Una descrizione generale delle misure di sicurezza tecniche e organizzative relative a:
    • La pseudo-anonimizzazione e la crittografia dei dati personali.
    • La capacità di garantire la continuità della riservatezza, dell'integrità, della disponibilità e della resilienza dei sistemi e dei servizi di trattamento.
    • La capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali, in caso di incidente fisico o tecnico.
    • Il processo di verifica, valutazione e accertamento periodico dell'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.

Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento da esse effettuato possa comportare un rischio per i diritti e le libertà degli interessati, non sia occasionale o riguardi categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, del GDPR, o dati personali relativi a condanne penali e reati di cui all'articolo 10 del GDPR.

D. Non comunicare i dati a terzi, salvo espressa autorizzazione del titolare del trattamento, nei casi legalmente ammissibili.

L'incaricato del trattamento può comunicare i dati ad altri incaricati del trattamento dello stesso titolare, secondo le istruzioni del titolare del trattamento. In questo caso, il responsabile del trattamento deve individuare, in anticipo e per iscritto, il soggetto a cui i dati devono essere comunicati, i dati da comunicare e le misure di sicurezza da applicare per procedere alla comunicazione.

Se l'incaricato del trattamento deve trasferire dati personali a un paese terzo o a un'organizzazione internazionale in base al diritto dell'Unione o degli Stati membri ad esso applicabile, deve informare preventivamente il responsabile del trattamento di tale obbligo giuridico, a meno che tale diritto non lo vieti per importanti motivi di interesse pubblico.

E. Subappalto

L'incaricato del trattamento è autorizzato a subappaltare a società o persone direttamente collegate all'attività dell'incaricato del trattamento i servizi relativi alle seguenti operazioni di trattamento: Clienti/Fornitori e/o Dipendenti.

Anche il subappaltatore, che ha lo status di incaricato del trattamento, è tenuto a rispettare gli obblighi stabiliti nel presente documento per l'incaricato del trattamento e le istruzioni impartite dal titolare del trattamento. Spetta all'incaricato iniziale regolare il nuovo rapporto, in modo che il nuovo incaricato sia soggetto alle stesse condizioni (istruzioni, obblighi, misure di sicurezza) e agli stessi requisiti formali dell'incaricato iniziale, per quanto riguarda il corretto trattamento dei dati personali e la garanzia dei diritti degli interessati. In caso di inadempienza da parte del subincaricato, l'incaricato iniziale rimane pienamente responsabile nei confronti del responsabile del trattamento per il rispetto degli obblighi.

F. Mantenere il dovere di segretezza sui dati personali ai quali ha accesso in virtù del presente incarico, anche dopo la cessazione dello stesso.

G. Garantire che le persone autorizzate al trattamento dei dati personali si impegnino, espressamente e per iscritto, a rispettare la riservatezza e a osservare le corrispondenti misure di sicurezza, di cui devono essere debitamente informate.

H. Tenere a disposizione del responsabile la documentazione che attesti il rispetto dell'obbligo stabilito nella sezione precedente.

I. Garantire la formazione necessaria in materia di protezione dei dati personali alle persone autorizzate al trattamento dei dati personali.

J. Assistere il responsabile del trattamento nel rispondere all'esercizio dei diritti di:

  1. Accesso, rettifica, cancellazione e obiezione
  2. Limitazione del trattamento

L'incaricato del trattamento deve risolvere, per conto del responsabile del trattamento ed entro il termine stabilito, le richieste di esercizio dei diritti di accesso, rettifica, cancellazione e opposizione, limitazione del trattamento, portabilità dei dati e diritto a non essere oggetto di decisioni automatizzate personalizzate, in relazione ai dati oggetto dell'ordine.

K. Diritto all'informazione

È responsabilità del titolare del trattamento fornire il diritto all'informazione al momento della raccolta dei dati.

L. Notifica di violazioni della sicurezza dei dati

L'incaricato del trattamento dovrà notificare al responsabile del trattamento, senza indebito ritardo e in ogni caso non oltre 48 ore, e per posta elettronica, qualsiasi violazione della sicurezza dei dati personali sotto il suo controllo di cui venga a conoscenza, insieme a tutte le informazioni pertinenti per la documentazione e la comunicazione dell'incidente.

La notifica non è richiesta quando è improbabile che tale violazione della sicurezza costituisca un rischio per i diritti e le libertà delle persone fisiche.

Se disponibili, devono essere fornite almeno le seguenti informazioni:

  1. Descrizione della natura della violazione dei dati personali, comprese, se possibile, le categorie e il numero approssimativo di soggetti interessati e le categorie e il numero approssimativo di registrazioni di dati personali interessate.
  2. Il nome e i dati di contatto del responsabile della protezione dei dati o di un altro punto di contatto per ottenere ulteriori informazioni.
  3. Descrizione delle possibili conseguenze della violazione dei dati personali.
  4. Una descrizione delle misure adottate o proposte per porre rimedio alla violazione dei dati personali, comprese, se del caso, le misure adottate per attenuare i possibili effetti negativi.

Se e nella misura in cui non è possibile fornire le informazioni simultaneamente, le informazioni saranno fornite gradualmente senza indebiti ritardi.

M. Supportare il responsabile del trattamento nell'esecuzione delle valutazioni d'impatto sulla protezione dei dati, ove opportuno.

N. Supportare il responsabile del trattamento nell'esecuzione di consultazioni preliminari con l'autorità di controllo, se del caso.

O. Mettere a disposizione del responsabile del trattamento tutte le informazioni necessarie a dimostrare il rispetto dei suoi obblighi, nonché per le verifiche o le ispezioni effettuate dal responsabile del trattamento o da un altro revisore autorizzato dal responsabile del trattamento.

P. Misure di sicurezza

L'operatore deve attuare le misure dettagliate nel proprio documento di sicurezza.

In ogni caso, dovrebbe mettere in atto meccanismi per:

  • Garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.
  • Ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidenti fisici o tecnici.
  • Verificare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative attuate per garantire la sicurezza del trattamento.
  • Pseudonimizzare e criptare i dati personali, ove opportuno.

Q. Designare un responsabile della protezione dei dati e comunicarne l'identità e i dati di contatto al titolare del trattamento.

Non applicabile

Il responsabile della protezione dei dati deve essere nominato quando:

  1. Il trattamento è effettuato da un'autorità o da un organismo pubblico, ad eccezione delle autorità giudiziarie che agiscono nell'esercizio delle loro funzioni.
  2. Le attività principali del responsabile del trattamento o dell'incaricato del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
  3. Le attività principali del responsabile del trattamento o dell'incaricato del trattamento consistono nel trattamento su larga scala di categorie particolari di dati personali e di dati relativi a condanne penali e reati.

R. Destinazione dei dati

L'incaricato del trattamento restituisce al responsabile del trattamento i dati personali e, se del caso, i supporti su cui sono memorizzati al termine del servizio.

La restituzione deve comportare la cancellazione completa dei dati presenti nelle apparecchiature informatiche utilizzate dal responsabile del trattamento.

Tuttavia, l'incaricato del trattamento può conservarne una copia, con i dati debitamente bloccati, per tutto il tempo in cui la responsabilità può derivare dall'esecuzione del servizio.

5. Obblighi del responsabile del trattamento

È responsabilità del controllore:

  • a) Consegnare all'incaricato del trattamento i dati di cui alla clausola 2 del presente documento.
  • b) Effettuare una valutazione dell'impatto sulla protezione dei dati personali dei trattamenti che l'incaricato del trattamento deve effettuare.
  • c) Effettuare le opportune consultazioni preliminari.
  • d) Assicurare, prima e durante il trattamento, la conformità dell'incaricato del trattamento al GDPR.
  • e) Supervisionare il trattamento, compresa l'esecuzione di ispezioni e verifiche.