Estratto Accordo di contitolarità

/
Estratto Accordo di contitolarità

estratto accordo di contitolarità pa group

ACCORDO DI CONTITOLARITÀ EX. ART.26 REG. REGOLAMENTO PRIVACY UE 2016/679
/
Estratto Accordo di contitolarità

estratto accordo di contitolarità pa group

ACCORDO DI CONTITOLARITÀ EX. ART.26 REG. REGOLAMENTO PRIVACY UE 2016/679

Premesso:

  • Che il REGOLAMENTO (UE) 2016/679 del 27 aprile 2016, che entrerà in vigore in Italia in data 25.05.18, (GDPR regolamento generale sulla protezione dei dati), prevede l’insieme delle norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE

  • Che l’art. 26 GDPR prevede espressamente la possibilità che allorquando due o più titolari del trattamento determinino congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati. L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato. Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.

  • Che il PA Group, comprensivo delle società Partners Associates SpA (società capogruppo), PA Abs Srl, PA Expertise Srl, PA Evolution Srl, Inasset Srl, Up Solutions Srl, PA-4tune Srl, EasyConn Srl (società contitolari) condivide scopi, modalità e finalità del trattamento di dati personali.

  • Che è volontà delle singole Aziende definire un accordo di contitolarità ai sensi e per gli effetti dell’art. 26 del GDPR

Un tanto specificato, le società di cui alle premesse concordano la specificazione e suddivisione di obblighi e responsabilità in merito al trattamento dei dati come delineato dal GDPR e di seguito riportato:

Le premesse costituiscono parte integrante del presente accordo

1. Definizioni

Ai fini del presente accordo si intende per:

a. “Gruppo”, il gruppo di imprese controllate da Partners Associates SpA (di seguito PA SpA), oltre alla medesima

b. “Contitolari”, le società facenti parte del PA Group o comunque controllate dalla PA SpA, oltre alla stessa PA SpA e qui di seguito elencate: PA SpA, PA Abs Srl, PA Expertise Srl, PA Evolution Srl, Inasset Srl, Up Solutions Srl, PA-4tune Srl, EasyConn Srl;

c. “Capogruppo”, la società PA SpA

d. “GDPR” il Regolamento Privacy UE 2016/679, al quale si rinvia espressamente per ogni ulteriore definizione.

2. Trattamento dei dati personali – condivisione
Con il presente accordo si prevede che nel rispetto del sistema organizzativo interno al PA Group, potrà esser condiviso il trattamento dei seguenti dati:

  • Tutti i dati personali, o amministrativi, o riferiti ai rapporti di lavoro (candidati, lavoratori dipendenti e/o autonomi e/o collaboratori) ovvero relativi ai clienti e/o fornitori, potranno essere condivisi tra i rispettivi contitolari e PA SpA per le finalità strettamente necessarie alla stessa Capogruppo per erogare servizi professionali specifici e personalizzati, in considerazione delle rispettive richieste di business avanzate dalle singole Società del Gruppo, ovvero predisporre banche dati comuni in una logica di efficienza ed efficacia aziendale del medesimo Gruppo.

  • Tutti i dati di cui sopra potranno essere trattati da PA Evolution Srl e Inasset Srl per le finalità strettamente necessarie alla gestione ed organizzazione del server del gruppo ovvero di piattaforme telematiche comunque denominate.

3. 

4. Redazione delle informative ex art. 13 e 14 GDPR
La PA SpA, ai fini del presente accordo, s’impegna, nei confronti degli altri contitolari, a effettuare relativamente all’informazione e accesso ai dati personali, oggetto di trattamento, i seguenti interventi:

Per quanto attiene alle informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato PA SpA adotterà misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli del GDPR 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34, relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro; le informazioni verranno fornite per iscritto o con mezzi elettronici.

Per quanto attiene alle informazioni da fornire qualora i dati personali siano raccolti presso l’interessato, la PA SpA fornirà all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

a. l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b. i dati di contatto del responsabile della protezione dei dati

c. le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d. qualora il trattamento si basi sull’articolo 6 GDPR, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e. i destinatari e le categorie di destinatari dei dati personali;

f. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

g. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la     cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

h. qualora il trattamento sia basato sull’articolo 6 GDPR, paragrafo 1, lettera a), oppure sull’articolo 9 GDPR, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; il diritto di proporre reclamo a un’autorità di controllo;

i. se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

j. l’esistenza di un accordo di contitolarità il cui contenuto essenziale viene messo a disposizione degli interessati presso la sede della PA SpA, individuata quale punto di contatto per gli interessati nell’ambito dell’accordo di contitolarità;

k. la condivisione del trattamento dei dati tra contitolari nel rispetto dell’accordo di cui al punto j).

5. Registrazione del consenso ex art. 6 GDPR
La PA SpA ai fini del presente accordo si impegna nei confronti degli altri contitolari a effettuare la registrazione del consenso al trattamento dei dati secondo i criteri di liceità come esplicati ex art. 6 GDPR; la PA SpA dovrà dimostrare che l’interessato ha prestato, preferibilmente in forma scritta, il proprio consenso al trattamento dei propri dati personali.

6. 

7. Responsabili del trattamento ex art. 28 GDPR
Le società del gruppo PA SpA, ai fini del presente accordo predisporranno in autonomia l’eventuale nomina del proprio responsabile del trattamento dei dati (responsabile interno, data officer che coadiuverà il titolare negli obblighi privacy) mediante la stipulazione di un contratto che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, con le modalità stabilite ex art. 28 comma 3 GDPR. La società PA SpA, ferma restando l’autonomia decisionale di ogni contitolare, coordinerà tali nomine, predisponendo le regole basilari e comuni per tutti i contratti di ognuna dei contitolari, nel rispetto dei principi del GDPR.

Le società del gruppo PA SpA, ai fini del presente accordo predisporranno in autonomia l’eventuale nomina del proprio responsabile del trattamento dei dati (responsabile esterno, soggetto che tratta dati per conto del titolare) mediante la stipulazione di un contratto che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, con le modalità stabilite ex art. 28 GDPR. La società PA SpA, ferma restando l’autonomia decisionale di ogni contitolare, coordinerà tali nomine predisponendo le regole basilari e comuni per tutti i contratti di ognuna dei contitolari, nel rispetto dei principi del GDPR.

8. Responsabili del trattamento sotto l’autorità del titolare o responsabile ex art. 29 GDPR
Le società del gruppo PA SpA, ai fini del presente accordo predisporranno in autonomia la nomina del proprio “incaricato” ex art. 29 del trattamento dei dati (incaricato soggetto che ha accesso ai dati personali e agisce sotto l’autorità del titolare o responsabile negli obblighi privacy) mediante apposita lettera d’incarico, che vincoli tale soggetto come previsto ex art. 29 GDPR. La società PA SpA, ferma restando l’autonomia decisionale di ogni contitolare, coordinerà tale incarico predisponendo le regole basilari e comuni per tutte le lettere d’incarico di ognuna dei contitolari, nel rispetto dei principi del GDPR.

9. Amministratore di sistema
Ogni società del PA Group predisporrà, in autonomia, la nomina del proprio amministratore di sistema (soggetto interno o esterno cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un supporto informatico o di un sistema di base dati e consentirne l’utilizzazione). Le società PA Evolution Srl e Inasset Srl, ferma restando l’autonomia decisionale di ogni contitolare, coordineranno tale incarico predisponendo le regole basilari e comuni per tutti gli incarichi di ognuna dei contitolari.

10. Sicurezza del trattamento ex art. 32 RGDP

A. Sicurezza dei dati personali trattati con supporti informatici o telematici

PA Evolution Srl e Inasset Srl ai fini del presente accordo si impegnano nei confronti degli altri contitolari alla verifica e attuazione delle misure di sicurezza del trattamento dei dati personali (tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche) mettendo in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza informatico adeguato al rischio, che comprendono, tra le altre e se del caso:

a. la pseudonimizzazione e la cifratura dei dati personali (data masking);
b. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento ( Sys & Ntw Protection – High Availability System, Back Up System);
c. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d. la predisposizione di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (definizione di internal Audit, Test e simulation).

Nel valutare l’adeguato livello di sicurezza, PA Evolution Srl e Inasset Srl dovranno tenere conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. PA SpA dovrà prevedere che chiunque abbia accesso informatico a dati personali non tratti tali dati se non è istruito in tal senso da PA Evolution Srl e Inasset srl. La società PA SpA coordinerà l’attività di PA Evoution Srl e Inasset Srl al fine di rendere uniforme la sicurezza del trattamento all’interno del gruppo societario.

B. Misure di sicurezza dei dati personali non trattati con supporti informatici o telematici

I singoli contitolari, ai fini del presente accordo predisporranno ed effettueranno in autonomia le ulteriori misure di sicurezza diverse da quelle succitate per la conservazione ed il trattamento dei dati nel rispetto del GDPR quali, in via esemplificativa e non esaustiva, la tenuta cartacea e non degli archivi; PA SpA predisporrà, a tal fine, specifiche regole di condotta alle quali ciascun contitolare dovrà attenersi.

11. 

12. 

13. Data breach ex art. 33 GDPR
PA SpA nel momento in cui venisse a conoscenza direttamente, ovvero tramite un qualsiasi contitolare, di una avvenuta violazione dei dati personali trattati, dovrà notificare la violazione all’Autorità di controllo competente, senza ingiustificato ritardo e, se possibile, entro 72 ore dall’avvenuta conoscenza. Detta notifica deve in ogni caso essere preceduta da una valutazione del rischio per gli interessati, ad opera della stessa PA SpA, eventualmente avvalendosi delle competenze di PA Evolution Srl e Inasset Srl PA SpA provvederà alle notifiche di cui all’art. 33 comma 2 GDPR. Ciascun contitolare provvederà a fornire a PA SpA la documentazione di cui al terzo comma dell’art. 33.

14. Diritto di oblio, limitazione di trattamento, obbligo di notifica, diritto alla portabilità dei dati, ex art. 17, art. 18, art. 19 e art. 20 GDPR
PA SpA provvederà a garantire all’interessato l’esercizio dei diritti di cui al presente articolo; a tal fine ciascun contitolare dovrà attenersi alle indicazioni che saranno impartite dalla stessa PA SpA per la concreta attuazione dei presenti diritti dell’interessato.
PA SpA, ricevuta debita comunicazione dai rispettivi contitolari, provvederà a garantire all’interessato l’esercizio dei diritti di cui al presente articolo; a tal fine ciascun contitolare, oltre a effettuare tale succitata debita comunicazione, dovrà attenersi alle indicazioni che saranno impartite dalla stessa PA SpA per la concreta attuazione dei presenti diritti dell’interessato.

15. 

16. Responsabilità e diritto al risarcimento ex art. 82 GDPR
Fermo restando quanto previsto dall’art. 26 comma 3, art. 28 e art 82 comma 4 GDPR con riferimento alla possibilità di ciascun interessato a esercitare i propri diritti nei confronti di ciascun titolare del trattamento, le parti intendono definire, con il presente accordo, le rispettive singole responsabilità contrattuali ex art. 1218 c.c., conseguenti all’eventuale inadempimento di un’obbligazione assunta, relativamente al trattamento di dati personali qui delineati.
PA SpA, in qualità di capogruppo, assumerà una responsabilità contrattuale, solo ed esclusivamente relativamente agli obblighi alla stessa riconducibili e definiti nel presente accordo, nei confronti degli altri contitolari, per ogni eventuale violazione del GDPR che abbia determinato per un interessato un danno risarcibile ai sensi dell’art. 82 comma 1 GDPR.
PA Evolution Srl e Inasset Srl, in qualità di responsabili per l’attuazione delle misure di sicurezza informatica, per tutte le società del gruppo, assumeranno una responsabilità contrattuale, solo ed esclusivamente relativamente agli obblighi alla stessa riconducibili ex art. 32 GDPR come definiti nel presente accordo, nei confronti degli altri contitolari, per ogni eventuale violazione del GDPR medesimo che abbia determinato, per un interessato, un danno risarcibile ai sensi dell’art. 82 comma 1 GDPR.
Ogni contitolare del PA Group assumerà comunque una responsabilità contrattuale relativamente agli eventuali obblighi, alla stessa riconducibili, che possano sorgere dalla nomina e dall’operato dei responsabili interni e dalla nomina e dall’operato dei responsabili esterni ex art. 28 GDPR, nonché dalla nomina e dall’operato degli incaricati ex art. 29 GDPR.
Medesimamente ogni Contitolare del PA Group assumerà comunque una responsabilità contrattuale relativamente agli eventuali obblighi, agli stessi riconducibili, ai sensi del presente accordo.
Ferma restando la possibilità di ciascun interessato ad esercitare i propri diritti nei confronti di ciascun contitolare del trattamento, ogni società del Gruppo potrà esercitare un diritto di rivalsa nei confronti delle altre società che abbiano assunto in capo a sé una specifica responsabilità come delineata nel presente accordo.
Il contitolare del trattamento che ha ottemperato all’intero risarcimento del danno potrà successivamente proporre un’azione di regresso contro gli altri contitolari (art. 82 comma 5 GDPR).
Un tanto premesso si precisa che il danno risarcibile (qualora ne sussistano i presupposti) è sia il danno materiale che immateriale, causato da una violazione del GDPR (art. 82 comma 1 GDPR).

17. Disposizioni finali
Per ogni altro aspetto non trattato esplicitamente nel presente accordo, le parti rinviano espressamente al testo GDPR ed eventuali successive modifiche.

18. Decorrenza
Il presente accordo avrà decorrenza ed efficacia a far data dal 22.02.19

Udine, 22/02/2019