Data Processing Agreement
Art. 28 Reg. UE 2016/679?
Le presenti condizioni si applicano, in mancanza di un diverso accordo sottoscritto fra le Parti, fra ciascun cliente di Otto Bock Soluzioni Ortopediche S.r.l. a socio unico (in seguito “Mandante”) e Otto Bock Soluzioni Ortopediche S.r.l. a socio unico, c.f. e P.IVA 02372010351, con sede legale in Via Turati, 5/7, 40054 Budrio (BO), IT, in persona del suo legale rappresentante Alessandro Coppi (in seguito “Mandatario”), ogniqualvolta, in virtù di un diverso contratto, il Mandante affidi a Otto Bock Soluzioni Ortopediche S.r.l. a socio unico incarichi che comportano il trattamento diretto o indiretto di dati personali.
Premesse
Fra il Mandante ed il Mandatario è vigente un rapporto contrattuale avente ad oggetto la fornitura di protesi ortopediche, ortesi e/o ausili, sia costruiti su misura che in serie (in seguito “Contratto Principale”);
Ai fini dell’esecuzione del Contratto Principale, il Mandatario dovrà trattare alcuni dati personali di cui il Mandante è titolare del trattamento, assumendo conseguentemente il ruolo di responsabile del trattamento;
Il titolare del trattamento di dati personali può designare un soggetto esterno quale responsabile del trattamento, purché fornisca idonea garanzia del pieno rispetto delle vigenti disposizioni in materia, ivi compreso il profilo della sicurezza;
Ai sensi dell’art. 28, par. 3, Reg. UE 2016/679 è richiesta alle parti la conclusione di un contratto che vincoli il responsabile del trattamento al titolare del trattamento e che disciplini la materia, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Dato atto che le premesse costituiscono parte integrante del presente contratto, le parti stipulano le seguenti
Condizioni contrattuali
1. Oggetto
Con la stipula del presente contratto, il Mandante designa il Mandatario, che accetta, quale responsabile del trattamento, secondo la definizione di cui all’articolo 4 Reg. UE 2016/679, con riferimento alle operazioni di trattamento dei dati personali di seguito determinate. La designazione quale responsabile del trattamento non dà diritto a compensi aggiuntivi rispetto a quelli previsti per il Contratto Principale.
2. Operazioni di trattamento
Il Mandatario potrà trattare dati personali per conto del Mandante nello svolgimento di tutte le operazioni necessarie alla realizzazione di protesi ortopediche, ortesi e/o ausili o comunque finalizzate a dare esecuzione al Contratto Principale.
3. I dati oggetto di trattamento, le categorie di soggetti interessati e le finalità
Ai fini dell’esecuzione delle operazioni sopra menzionate, il Mandatario potrà trattare dati personali riferiti ai pazienti/assistiti del Mandante, anche appartenenti alle categorie di cui all’art. 9 Reg. UE 2016/679 ed in particolare dati sanitari e relativi allo stato di salute dei pazienti, dati riguardanti amputazioni o handicap, schede misura, immagini, misure corporee etc.
Il Mandatario tratterà i suddetti dati personali al solo fine di dare esecuzione al Contratto Principalestipulato con il Mandante.
4. Modalità del trattamento
Il Mandatario potrà trattare i dati personali oggetto del presente contratto sia mediante schede ed archivi in formato cartaceo che ricorrendo a strumenti elettronici, in entrambi i casi adottando misure di sicurezza adeguate e idonee a minimizzare i rischi per i diritti e le libertà delle persone fisiche interessate, in conformità con quanto disposto dall’art. 32 Reg. UE 2016/679.
5. Categorie di soggetti aventi accesso ai dati personali
L’accesso ai dati personali oggetto del presente contratto dovrà essere limitato a personale dipendente del Mandatario o comunque sottoposto alla sua autorità ai sensi dell’art. 29 Reg. UE 2016/679, purché debitamente autorizzato, istruito e vincolato ad un obbligo di riservatezza.
Il trattamento dei dati personali oggetto del presente contratto potrà essere consentito anche da parte di sub-responsabili del trattamento appositamente nominati nel rispetto di quanto disposto dall’art. 28 Reg. UE 2016/679 e dall’art. 8 del presente contratto, nonché dal personale sottoposto alla loro autorità.
6. Obblighi del mandante
Il Mandante si impegna a:
fornire ai soggetti interessati una corretta informativa sul trattamento dei loro dati personali, conformemente a quanto previsto dall’art. 13 Reg. UE 2016/679. É responsabilità esclusiva del Mandante quella di informare gli interessati;
garantire che i dati personali oggetto delle operazioni di trattamento affidate al Mandatario siano raccolti e trasmessi rispettando ogni prescrizione della normativa applicabile. Il Mandante è l’unico responsabile della determinazione delle basi giuridiche in forza delle quali è autorizzato il trattamento;
documentare per iscritto al Mandatario ogni istruzione riguardante il trattamento dei dati personali che non sia già contenuta nel presente contratto;
assicurare, prima e durante il trattamento ad opera del Mandatario, la conformità con tutte le obbligazioni di cui al Reg. UE 2016/679 e le altre normative vigenti in materia;
minimizzare il trattamento dei dati personali, comunicando al Mandatario solo ed esclusivamente i dati necessari all’esecuzione dell’incarico e ricorrendo, ove possibile, alla pseudonimizzazione.
7. Obblighi del Mandatario
Nel trattare i dati personali oggetto del presente contratto, il Mandatario si impegna a:
rispettare le istruzioni fornite dal Mandante, purché in linea con quanto disposto e richiesto dal Reg. UE 2016/679 e dalle disposizioni nazionali ed europee vigenti in materia;
trattare i dati soltanto per le finalità sopra menzionate;
garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati;
designare i dipendenti autorizzati a trattare i dati personali, garantire che questi mantengano su di essi la massima riservatezza e che vengano debitamente istruiti e formati in materia di protezione dei dati personali;
adottare misure tecniche ed organizzative adeguate a garantire la protezione dei dati personali, conformemente all’art. 32 Reg. UE 2016/679, in particolare tutelandoli dalla distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale;
assistere il Mandante nel dar seguito alle richieste dei soggetti interessati relative al trattamento dei loro dati personali conformemente al capo III del Reg. UE 2016/679;
assistere il Mandante al rispetto degli obblighi di cui agli articoli 33 e 34 Reg. UE 2016/679 in caso di Data Breach;
assistere il Mandante al rispetto degli obblighi di cui agli articoli 35 e 36 Reg. UE 2016/679 nel predisporre una Data Protection Impact Assessment;
mettere a disposizione del Mandante tutte le informazioni necessarie a dimostrare il rispetto degli obblighi derivanti dal presente contratto e dal Reg. UE 2016/679, anche consentendo al Mandante di svolgere ispezioni e controlli;
informare il Mandante nel caso in cui ritenga che un’istruzione impartitagli ai fini dell’esecuzione del presente contratto non sia conforme alle norme del Reg. UE 2016/679 o alle norme nazionali in materia di trattamento dei dati personali;
non trasferire i dati in Paesi non appartenenti all’Unione Europea al di fuori dei casi consentiti dagli artt. 44-50 Reg. UE 2016/679;
comunicare al Mandante ogni Data Breach entro un termine di 24 ore da quando ne viene a conoscenza e fornire tutte le informazioni e la documentazione necessaria affinché il Mandante possa, ove necessario, notificare il Data Breach all’Autorità Garante.
8. Autorizzazione alla nomina di sub-responsabili
Il Mandante autorizza espressamente il Mandatario a servirsi di altre società facenti parti del Gruppo Ottobock quali soggetti sub-responsabili del trattamento. Nell’ipotesi in cui i sub-responsabili si trovino al di fuori dell’Unione Europea, il Mandatario si obbliga a rispettare le prescrizioni di cui agli artt. 44-50 Reg. UE 2016/679:
In particolare, il Mandante autorizza la nomina quali sub-responsabili del trattamento delle seguenti società:
Ottobock SE & Co. KGaA, con sede in Germania, Max-Näder-Straße 15, 37115 Duderstadt;
Sycor GmbH, con sede in Germania, Heinrich-von-Stephan-Strasse 1-5, 37073 Gottinga;
Otto Bock Italia S.r.l. a socio unico, con sede in Italia, Via Turati, 5/7, 40054 Budrio (BO).
É responsabilità del Mandatario quella di assicurare che i sub-responsabili forniscano misure tecniche ed organizzative adeguate a garantire la protezione dei dati personali, conformemente all’art. 32 Reg. UE 2016/679 e corrispondenti a quelle promesse dal Mandatario nel presente contratto.
Il Mandatario dovrà imporre ai sub-responsabili, mediante un contratto stipulato ai sensi dell’art. 28 Reg. UE 2016/679, gli stessi obblighi in materia di protezione dei dati personali contenuti nel presente contratto.
La nomina di ulteriori eventuali sub-responsabili del trattamento dovrà essere espressamente autorizzata dal Mandante.
9. Data Protection Officer
Il Mandatario ha nominato un Responsabile della Protezione dei Dati (RPD), detto anche Data Protection Officer (DPO) in conformità con l’art. 37 Reg. UE 2016/679 nella persona dell’Avv. Massimo Bacci, il quale può essere contattato all’indirizzo privacy.italia@ottobock.com.
Eventuali variazioni del Data Protection Officer verranno comunicate a cura del Mandatario o saranno reperibili sul suo sito web del Mandatario.
10. Durata del trattamento
Il presente contratto produce i suoi effetti a partire dalla data di sottoscrizione delle parti e rimarrà in vigore fino alla cessazione delle attività svolte dal Mandatario in favore del Mandante, indipendentemente dalla causa di detta cessazione. Il trattamento avrà una durata non superiore a quella necessaria al raggiungimento delle finalità per le quali i dati sono stati raccolti.
In ogni caso, il Mandante ha diritto di revocare, in qualsiasi momento e senza bisogno di motivazione, l’affidamento del trattamento di dati personali, fatto salvo ogni eventuale obbligo di legge e/o contenzioso.
11. Cessazione del trattamento
Al momento della cessazione degli effetti del presente contratto, il Mandatario si impegna a distruggere, cancellare e comunque non conservare i dati forniti dal Mandante in adempimento del Contratto Principale, fatti salvi i dati la cui conservazione risulta necessaria a adempiere obblighi di legge o a difendere in giudizio un diritto del Mandatario avente pari rango rispetto al diritto alla protezione dei dati personali.