Nomina a Responsabile esterno del trattamento dei
dati personali ex art. 28 Regolamento 676/2016 UE

Alla società

People Lab srl,

Via Oldofredi, 45

MILANO

Codice Fiscale e Partita IVA n. 0421284096

Oggetto: Nomina a Responsabile esterno del trattamento dei dati personali

Il Cliente,
in qualità di Titolare del trattamento dei dati personali, nella persona del legale rappresentante pro tempore, di seguito Titolare del Trattamento o Cliente;

premesso che

– People Lab srl, in forza del contratto di fornitura e del conseguente accordo di licenza, fornisce al cliente il software Adiuvet;

– in ragione del summenzionato rapporto contrattuale, People Lab srl pone in essere un trattamento di dati personali, rispetto ai quali il Cliente è Titolare del Trattamento;

– si rende pertanto necessario procedere alla nomina di People Lab srl Responsabile del trattamento dei dati, così come previsto dall’art. 28 del Regolamento 679/2016 (GDPR);

– People Lab possiede adeguati requisiti di esperienza, capacità e affidabilità sufficienti per mettere in atto misure tecniche e organizzative adeguate e per svolgere il ruolo di Responsabile esterno del trattamento dei dati personali, di cui al sopra citato art. 28 GDPR

NOMINA

Responsabile esterno dei dati personali

People Lab srl, con sede in Milano, Via Oldofredi 45.

People Lab srl, in qualità di Responsabile esterno del trattamento, è tenuta a trattare i dati personali nel rispetto dei principi GDPR e attenendosi alle istruzioni del Titolare del trattamento.

Oggetto del trattamento

Le attività svolte da Peole Lab srl in favore del Titolare comportano il trattamento dei seguenti dati personali:

•          dati comuni/dati di contatto (come, a titolo esemplificativo e non esaustivo, nome, cognome, residenza, indirizzo mail, numero di telefono)

Compiti del Responsabile esterno

People Lab srl è tenuta a:

1. trattare i dati nel rispetto dei principi del trattamento dei dati previsti nel regolamento, solo per i fini indicati nel contratto, e per la durata dello stesso;

2. trattare i dati secondo le istruzioni documentate del Titolare del trattamento dei dati;

3. garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate formalmente alla riservatezza o abbiano un adeguato obbligo legale di riservatezza e abbiano ricevuto la formazione
necessaria in materia di protezione dei dati personali;

4. redigere, ai sensi dell’art. 30, p. 2 GDPR, qualora ne ricorrano i presupposti, il registro delle attività di trattamento;

5. tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà
delle persone fisiche, a mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del
caso:

a. la pseudoanonimizzazione e la cifratura dei dati personali;

b. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di
trattamento;

c. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento

6. mettere a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del presente accordo o contratto e consentire e
contribuire alle attività di revisione, comprese le ispezioni, realizzati dal Titolare del trattamento o da un altro soggetto da questi incaricato;

7. informare e coinvolgere tempestivamente il Titolare di tutte le questioni riguardanti il trattamento dei dati personali ed in particolare nel caso di richieste di informazioni,
controlli, ispezioni ed accessi da parte del Garante privacy o delle Autorità preposte;

8. tenendo conto della natura del trattamento, ad assistere il Titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di
soddisfare l’obbligo del Titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;

9. assistere il Titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del
trattamento ed in particolare a collaborare nelle comunicazioni di violazioni di dati personali, negli adempimenti della valutazione di impatto e consultazione preventive;

10. informare immediatamente il Titolare del trattamento qualora, a suo parere, un’istruzione violi il regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

11. rispettare le condizioni di cui ai paragrafi 2 e 4 dell’art. 28, GDPR, per ricorrere ad un altro Responsabile del trattamento.

12. su scelta del Titolare del trattamento, cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellare le copie esistenti (salvo che il diritto dell’Unione o
degli Stati membri preveda la conservazione dei dati).

Codici di condotta e meccanismi di certificazione

L’adesione da parte del Responsabile del trattamento a un codice di condotta o a meccanismi di certificazione può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 dell’art. 28 GDPR.

[Versione documento 1.0]