1. Le parti possono concordare altre clausole riguardanti la prestazione del servizio relativo al trattamento dei dati personali specificando ad es. la responsabilità, purché esse non siano incompatibili, direttamente o indirettamente, con le Clausole o ledano i diritti o le libertà fondamentali dell’interessato e la protezione prevista dal RGPD.
14. Inizio e risoluzione
1. Le Clausole sono efficaci dalla data della firma a opera di entrambe le parti.
2. Le parti hanno il diritto di richiedere la rinegoziazione delle Clausole laddove una modifica alla legge o l’inadeguatezza delle Clausole dovessero dare luogo a tale rinegoziazione. In particolare nel caso di mo-difiche e/o integrazioni alle misure di sicurezza da parte del Titolare è necessario che tali momo-difiche ven-gano concordate e comunicate ufficialmente per iscritto al Responsabile del trattamento.
3. Le Clausole sono valide per la durata della prestazione dei servizi relativi al trattamento dei dati personali.
Per la durata della prestazione dei servizi relativi al trattamento dei dati personali le Clausole non possono essere risolte, a meno che le parti abbiano concordato altre Clausole che disciplinino tale prestazione.
4. Se la prestazione dei servizi relativi al trattamento dei dati personali cessa e i dati personali sono cancellati o restituiti al Titolare e al Responsabile del trattamento ai sensi della clausola 11.1 e dell’appendice C.4., le Clausole possono essere risolte per iniziativa di una delle due parti con preavviso scritto.
5. Firma
Per il Responsabile del trattamento
Nome [NOME]
Qualifica [QUALIFICA]
Data [DATA]
Firma (FIRMA)
Per il Sub Responsabile del trattamento
Nome [NOME]
Qualifica [QUALIFICA]
Data [DATA]
Firma (FIRMA)
15. Contatti/punti di contatto del Responsabile e del Sub Responsabile del trattamento
1. Le parti possono mettersi in contatto tra di loro utilizzando i seguenti contatti/punti di contatto:
2. Le parti sono tenute a informarsi costantemente di ogni modifica riguardante i contatti/punti di contatto.
Nome [NOME]
Qualifica [POSIZIONE]
Telefono [TELEFONO]
E-mail [E-MAIL]
Nome [NOME]
Qualifica [POSIZIONE]
Telefono [TELEFONO]
E-mail [E-MAIL]
Appendice A Informazioni sul trattamento
[NOTA: IN CASO DI PLURIME ATTIVITÀ DI TRATTAMENTO, QUESTI ELEMENTI DEVONO ESSERE COMPLE-TATI PER CIASCUNA DI ESSE.]
A.1. Titolare/Titolari del trattamento:
[INDICARE IL TITOLARE O, SE PRESENTI DUE O PIÙ, I TITOLARI DEL TRATTAMENTO].
A.2. La finalità del trattamento dei dati personali da parte del Sub Responsabile del trattamento per conto del Titolare e del Responsabile del trattamento è:
[DESCRIVERE LA FINALITÀ DEL TRATTAMENTO].
A.3. Il trattamento dei dati personali da parte del Sub Responsabile del trattamento per conto del Titolare e del Responsabile del trattamento si riferisce principalmente a (la natura del trattamento):
[DESCRIVERE LA NATURA DEL TRATTAMENTO].
A.4. Il trattamento comprende le seguenti tipologie di dati personali sugli interessati:
[DESCRIVERE LE TIPOLOLOGIE DI DATI PERSONALI TRATTATI].
[AD ESEMPIO]
«Nome, indirizzo di posta elettronica, numero di telefono, numero di identificazione nazionale, dettagli di paga-mento, numero di tessera, tipo di affiliazione, presenze presso il centro fitness e registrazione a specifici corsi di fitness».
[NOTA: QUESTA DESCRIZIONE DOVREBBE ESSERE IL PIÙ DETTAGLIATA POSSIBILE E, IN OGNI CASO, L’INDICAZIONE DELLE TIPOLOGIE DI DATI PERSONALI DEVE ESSERE ULTERIORE RISPETTO AL SEM-PLICE RINVIO A «DATI PERSONALI DEFINITI NELL’ARTICOLO 4, PARAGRAFO 1, DEL RGPD» OPPURE ALL’INDICAZIONE DELLE CATEGORIE (“ARTICOLI 6, 9 O 10 DEL RGPD”) DI DATI PERSONALI OGGETTO DI TRATTAMENTO.]
A.5. Il trattamento comprende le seguenti categorie di interessati:
[DESCRIVERE LA CATEGORIA DI INTERESSATI].
A.6. Il trattamento dei dati personali da parte del Sub Responsabile del trattamento per conto del Titolare e del Responsabile del trattamento può essere effettuato dalla data di entrata in vigore delle Clausole. Il trattamento ha la seguente durata:
[DESCRIVERE LA DURATA DEL TRATTAMENTO].
Appendice B Ulteriori Sub Responsabili del trattamento autorizzati
Indicare i Sub Responsabili già contrattualizzati, quelli che si intendono contrattualizzare, nonché i loro ulteriori responsabili (fornitori dei sub responsabili), procedendo così per ogni livello di delega.
B.1. Sub-responsabili del trattamento approvati
Dalla data di applicazione delle Clausole, il Titolare del trattamento autorizza il conferimento dell’incarico ai se-guenti Sub Responsabili del trattamento:
NOME PARTITA IVA/
REGISTRO IMPRESE
INDIRIZZO DESCRIZIONE DEL TRATTAMENTO
Il Titolare del trattamento, dalla data di applicazione delle Clausole, autorizza l’utilizzo dei summenzionati Sub Responsabili con riguardo al trattamento rispettivamente descritto. In assenza della previa esplicita autorizzazione scritta del Titolare del trattamento, il Sub Responsabile del trattamento non ha il diritto di incaricare un ulteriore Sub Responsabile di effettuare un trattamento “diverso” rispetto a quello concordato né di richiedere a un altro Sub Responsabile di effettuare il trattamento descritto. Se sono coinvolti sub fornitori di un paese terzo, il Sub Respon-sabile del trattamento garantisce che il sub fornitore in questione garantisca un livello adeguato di protezione dei dati (ad esempio stabilendo un accordo in base alle clausole di protezione dei dati standard dell'UE). Su richiesta, il Sub Responsabile deve dimostrare la conclusione dei suddetti accordi con i suoi sub fornitori.
B.2. Preavviso per l’autorizzazione a ricorrere a ulteriori Sub Responsabili del trattamento
[FACOLTATIVO] [SE APPLICABILE, DESCRIVERE I TERMINI DI PREAVVISO PER L’AUTORIZZAZIONE A RI-CORRERE A ULTERIORI SUB RESPONSABILI DEL TRATTAMENTO]
Nella comunicazione di autorizzazione devono essere specificate le motivazioni che rendano necessaria tale atti-vità, indicando caratteristiche e requisiti dell’ulteriore Sub Responsabile, nonché, modalità e dati oggetto del sub-trattamento al fine di consentire al Titolare l’accertamento della sussistenza dei requisiti strutturali, di capacità economica, di affidabilità, morali, tecnici etc. non inferiori a quelli garantiti dal Sub Responsabile stesso, nonché l’assenza di conflitto di interesse anche potenziale in ordine ad eventuali altre finalità di trattamento svolte dall’ul-teriore Sub Responsabile per conto di terzi, ovvero in contrasto con le finalità oggetto del presente incarico.
Qualora il Titolare del Trattamento sollevi obiezioni è tenuto a dettagliare al Sub Responsabile le relative motiva-zioni. In tal caso, il Sub Responsabile può, a propria discrezione:
a. proporre un altro Sub Responsabile del Trattamento in sostituzione del Sub Responsabile del Trattamento per il quale abbia sollevato obiezioni;
b. adottare misure tese a superare le obiezioni del Titolare.
Resta inteso che laddove la nomina di un ulteriore Sub Responsabile del Trattamento sia eseguita nell’ambito di un – o sia comunque configurabile come – subappalto di opere/servizi da parte del Sub Responsabile/appaltatore il medesimo procederà a incaricare tale ulteriore Sub Responsabile del Trattamento esclusivamente previa auto-rizzazione da parte del Titolare ai sensi della legge applicabile. Nel caso di Sub Responsabili soggetti al Codice degli Appalti, il Sub Responsabile informa preventivamente il Titolare dei requisiti di partecipazione (ed eventual-mente dei criteri di aggiudicazione), in modo da non dover ripetere il processo di selezione in caso di opposizione del Titolare.
Se sono coinvolti sub fornitori di un paese terzo, il Sub Responsabile del trattamento garantisce che il sub forni-tore in questione garantisca un livello adeguato di protezione dei dati (ad esempio stabilendo un accordo in base
alle clausole di protezione dei dati standard dell'UE). Su richiesta, il Sub Responsabile deve dimostrare la conclu-sione dei suddetti accordi con i suoi sub fornitori.
Clausole contrattuali tipo dicembre 2019
Pagina 14 di 24
Appendice C Istruzioni relative all’uso dei dati personali C.1. Oggetto del/istruzioni per il trattamento
Il trattamento dei dati personali da parte del Sub Responsabile del trattamento per conto del Titolare e del Responsabile del trattamento è effettuato dal Sub Responsabile del trattamento che svolge quanto segue:
[DESCRIVERE IL TRATTAMENTO CHE IL SUB RESPONSABILE DEL TRATTAMENTO È STATO INCARICATO DI ESEGUIRE].
L’ELENCO DI SEGUITO RIPORTATO HA CARATTERE ESEMPLIFICATIVO E NON ESAU-STIVO.
Il Sub Responsabile del Trattamento si impegna a mettere in atto e a mantenere le misure di sicurezza previste dal piano di gestione rischi predisposto (indicare se dal Titolare o dal Re-sponsabile) e noto ad entrambe le Parti.
Il Sub Responsabile del trattamento s’impegna a mettere in opera le misure di sicurezza pre-viste da norme e migliori prassi attuali e future, a cui si impegna a conformarsi (senza ulteriori oneri per il Titolare), tra cui a titolo esemplificativo e non esaustivo:
EVADERE/INTEGRARE secondo l’oggetto del contratto
•Le norme specifiche in materia di Privacy eventualmente applicabili al Sub Responsabile (per esempio Regolamento ePrivacy);
•Le disposizioni attuative emanate dalla Commissione Europea in materia di Privacy;
•Le disposizioni emanate dal Comitato Europeo per la Protezione dei Dati;
•Le Linee Guida del gruppo di lavoro (WP) Art.29;
•Le Opinioni e Raccomandazioni del gruppo di lavoro (WP) Art.29;
•Le norme nazionali italiane (per esempio derivanti dalla L.25 ottobre 2017, n. 163, art. 13);
•Le autorizzazioni generali e specifiche del Garante;
•Misure di garanzia per il trattamento dei dati genetici, biometrici e relative alla salute (Art. 2-septies del Codice Privacy)
•I provvedimenti del Garante applicabili, in particolare:
-Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008;
-Rifiuti di apparecchiature elettriche ed elettroniche (Raee) e misure di sicurezza dei dati per-sonali - 13 ottobre 2008;
-Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie - 8 maggio 2014 e relative FAQ;
-Provvedimento in materia di videosorveglianza - 8 aprile 2010;
-Adempimenti semplificati per il customer care (inbound) - 15 novembre 2007 -RFID Etichette intelligenti: prescrizioni - 9 Marzo 2005;
-Provvedimento generale prescrittivo in tema di biometria - 12 novembre 2014;
-Sistemi di localizzazione dei veicoli nell’ambito del rapporto di lavoro - 4 ottobre 2011;
-Sistemi di videosorveglianza per il controllo della procedura di raccolta del campione urinario a fini certificatori o di cura della salute - 15 maggio 2013;
•Le Linee Guida del Garante in materia di:
-Posta elettronica e internet – 1° marzo 2007;
-Trattamento di dati personali per profilazione on line - 19 marzo 2015;
Clausole contrattuali tipo dicembre 2019
Pagina 15 di 24
-Trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati – 15 maggio 2014;
-Dossier sanitario - 4 giugno 2015
-Svolgimento di indagini di customer satisfaction in ambito sanitario - 5 maggio 2011;
•Le norme del Codice Privacy non in contrasto con il Regolamento Europeo e non oggetto di abrogazione/modifica
•Le buone prassi in materia di sicurezza o Privacy:
-Proposte da ENISA (Agenzia europea per la sicurezza delle reti e dell'informazione);
- Emanate dall’Agenzia per l’Italia Digitale -Proposte da associazioni:
Center for Internet Security;
Critical Security Controls for Effective Cyber Defense;
-ISO 27001, ISO 29151, ISO 27002, ISO 27005, ISO 27035.
[Nella misura in cui l’art. 32 del GDPR, il quale prevede che la messa in opera delle misure di sicurezza spetti al Titolare del Trattamento e al Responsabile del Trattamento, si raccomanda di determinare precisamente le responsabilità di ciascuna parte riguardo alle misure da met-tere in opera]
C.2. Sicurezza del trattamento
Il livello di sicurezza tiene conto di quanto segue:
[TENUTO CONTO DELLA NATURA, DELL’AMBITO DI APPLICAZIONE, DEL CONTESTO E DELLE FINALITÀ DELL’ATTIVITÀ DI TRATTAMENTO NONCHÉ DEL RISCHIO PER I DI-RITTI E LE LIBERTÀ DELLE PERSONE FISICHE, DESCRIVERE GLI ELEMENTI CHE SONO ESSENZIALI PER IL LIVELLO DI SICUREZZA]
[AD ESEMPIO]
«del fatto che il trattamento prevede un grande volume di dati personali disciplinati dall’articolo 9, RGPD, sulle categorie particolari di dati personali, cosicché si dovrebbe stabilire un alto livello di sicurezza».
Il Sub Responsabile del trattamento ha conseguentemente il diritto e l’obbligo di prendere decisioni sulle misure di sicurezza tecniche e organizzative che dovranno essere applicate per creare il livello necessario (e concordato) di sicurezza dei dati.
Tuttavia, il Sub Responsabile del trattamento è tenuto ad attuare quantomeno e in ogni caso le seguenti misure concordate con il Titolare e il Responsabile del trattamento:
[DESCRIVERE I REQUISITI PER LA PSEUDONIMIZZAZIONE E CIFRATURA DEI DATI PERSONALI]
[DESCRIVERE I REQUISITI PER ASSICURARE SU BASE PERMANENTE LA RISERVA-TEZZA, L’INTEGRITÀ, LA DISPONIBILITÀ E LA RESILIENZA DEI SISTEMI E DEI SERVIZI DI TRATTAMENTO]
[DESCRIVERE I REQUISITI PER LA CAPACITÀ DI RIPRISTINARE TEMPESTIVAMENTE LA DISPONIBILITÀ E L’ACCESSO DEI DATI PERSONALI IN CASO DI INCIDENTE FISICO O TECNICO]
Clausole contrattuali tipo dicembre 2019
Pagina 16 di 24
[DESCRIVERE I REQUISITI PER LE PROCEDURE PER TESTARE, VERIFICARE E VALU-TARE REGOLARMENTE L’EFFICACIA DELLE MISURE TECNICHE E ORGANIZZATIVE AL FINE DI GARANTIRE LA SICUREZZA DEL TRATTAMENTO]
[DESCRIVERE I REQUISITI PER L’ACCESSO AI DATI ONLINE]
[DESCRIVERE I REQUISITI PER LA PROTEZIONE DEI DATI DURANTE LA TRASMIS-SIONE]
[DESCRIVERE I REQUISITI PER LA PROTEZIONE DEI DATI DURANTE LA CONSERVA-ZIONE]
[DESCRIVERE I REQUISITI PER LA SICUREZZA FISICA DEL LUOGO IN CUI SONO TRAT-TATI I DATI PERSONALI]
[DESCRIVERE I REQUISITI PER L’USO DEL TELELAVORO/LAVORO DA CASA]
[DESCRIVERE I REQUISITI PER IL LOG-IN]
[PIANO DI GESTIONE RISCHI]
MISURE MINIME DI SICUREZZA ICT PER LE PUBBLICHE AMMINISTRAZIONI
C.3. Assistenza al Titolare e al Responsabile del trattamento
Il Sub Responsabile del trattamento, per quanto possibile, in conformità all’ambito e alla mi-sura dell’assistenza specificati nel prosieguo, deve prestare assistenza al Titolare e al Re-sponsabile del trattamento ai sensi delle Clausole 9.1 e 9.2, attuando le seguenti misure tec-niche e organizzative:
[DESCRIVERE L’AMBITO DI APPLICAZIONE E LA MISURA DELL’ASSISTENZA CHE DEVE FORNIRE IL SUB RESPONSABILE DEL TRATTAMENTO]
ELENCARE IN OGNI CASO LE MODALITA’ PER IL SUPPORTO AGLI ARTT.12-22 DEL GDPR “TRASPARENZA ED ESERCIZIO DEI DIRITTI DELL’INTERESSATO”, ART. 24 DEL GDPR “RESPONSABILITÀ DEL TRATTAMENTO”, ART. 25 DEL GDPR “PRIVACY BY DE-SIGN & BY DEFAULT”, ARTT. 32-36 DEL GDPR “SICUREZZA DEL TRATTAMENTO, DATA BREACH E VALUTAZIONE D’IMPATTO”
[DESCRIVERE LE SPECIFICHE MISURE TECNICHE E ORGANIZZATIVE CHE IL SUB RE-SPONSABILE DEL TRATTAMENTO ADOTTA PER FORNIRE ASSISTENZA AL TITOLARE E AL RESPONSABILE DEL TRATTAMENTO]
C.4. Periodo di conservazione/procedure di cancellazione
[INDICARE IL PERIODO DI CONSERVAZIONE/PROCEDURE DI CANCELLAZIONE PER IL SUB RESPONSABILE DEL TRATTAMENTO, SE APPLICABILE]
SPECIFICARE LE OPERAZIONI SUI DATI ALLA FINE DEL TRATTAMENTO (CANCELLA-ZIONE O ANONIMIZZA(CANCELLA-ZIONE DEI DATI)
PRECISARE LA LOGICA DI CANCELLAZIONE/DE IDENTIFICAZIONE, IN PARTICOLARE QUANDO L’INFORMAZIONE E’ FORTEMENTE STRUTTURATA
Clausole contrattuali tipo dicembre 2019
Pagina 17 di 24
Il Titolare e il Responsabile hanno il diritto di verificare che il Sub Responsabile abbia comple-tato in modo appropriato la restituzione o la cancellazione dei dati. Il Titolare può effettuare tale verifica tramite una terza parte, a condizione che la terza parte non abbia una relazione competitiva con il Sub Responsabile stesso.
Il Sub Responsabile deve conservare la riservatezza di tutti i dati che gli sono stati resi noti oltre la fine delle presenti clausole che rimarranno valide oltre la fine dell'Accordo principale e fintanto che il Sub Responsabile ha dati personali forniti o raccolti per il Titolare e il Respon-sabile.
[AD ESEMPIO]
«I dati personali sono conservati per [INDICARE IL TERMINE O L’INCIDENTE], dopo di che sono automaticamente cancellati dal Sub Responsabile del trattamento.
Al termine della prestazione dei servizi relativi al trattamento dei dati personali, il Sub Respon-sabile del trattamento cancella o restituisce i dati personali ai sensi della clausola 11.1, a meno che il Titolare o il Responsabile del trattamento abbiano modificato, dopo la firma del contratto, la scelta iniziale. Tale modifica deve essere documentata e conservata per iscritto, anche elet-tronicamente, unitamente alle Clausole».
C.5. Luogo del trattamento
Il trattamento dei dati personali ai sensi delle Clausole non può essere effettuato in luoghi diversi da quelli che seguono, senza la previa autorizzazione scritta da parte del Titolare o del Responsabile del trattamento:
[INDICARE DOVE HA LUOGO IL TRATTAMENTO] [INDICARE IL SUB RESPONSABILE O L’ULTERIORE SUB-RESPONSABILE DEL TRATTAMENTO CHE USA L’INDIRIZZO]
Clausole contrattuali tipo dicembre 2019
Pagina 18 di 24
C.6. Istruzioni sul trasferimento di dati personali verso paesi terzi
[DESCRIVERE UN’ISTRUZIONE SUL TRASFERIMENTO DEI DATI PERSONALI VERSO UN PAESE TERZO O UN’ORGANIZZAZIONE INTERNAZIONALE]
[INDICARE LA BASE GIURIDICA DEL TRASFERIMENTO DI CUI AL CAPO V DEL RGPD]
Se il Titolare e il Responsabile del trattamento non forniscono nelle Clausole o successiva-mente istruzioni documentate riguardanti il trasferimento dei dati personali verso un paese terzo, il Sub Responsabile del trattamento non ha diritto di eseguire tale trasferimento nell’am-bito delle Clausole.
C.7. Procedure per le attività di revisione da parte del Titolare del trattamento, comprese le ispezioni, relativamente al trattamento di dati personali da parte del Sub Responsa-bile
[DESCRIVERE LE PROCEDURE PER LE ATTIVITÀ DI REVISIONE DA PARTE DEL TITO-LARE E DEL RESPONSABILE DEL TRATTAMENTO, COMPRESE LE ISPEZIONI, RELATI-VAMENTE AL TRATTAMENTO DI DATI PERSONALI DA PARTE DEL SUB RESPONSA-BILE]
Ad esempio:
«Il Sub Responsabile del trattamento deve disporre [INDICARE IL TERMINE] a spese del [SUB RESPONSABILE/RESPONSABILE DEL TRATTAMENTO/TITOLARE DEL TRATTA-MENTO] di una [RELAZIONE DI REVISIONE/RELAZIONE DI ISPEZIONE] effettuata da un terzo indipendente riguardante la conformità del Sub Responsabile stesso al RGPD, a dispo-sizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole.
Le parti hanno concordato che le seguenti tipologie di [RELAZIONE DI REVISIONE/RELA-ZIONE DI ISPEREVISIONE/RELA-ZIONE] possono essere usate in ottemperanza alle Clausole:
[INDICARE LE RELAZIONI DI REVISIONE/RELAZIONI DI ISPEZIONE APPROVATE]
La [RELAZIONE DI REVISIONE/RELAZIONE DI ISPEZIONE] è trasmessa senza ingiustifi-cato ritardo al Titolare e al Responsabile del trattamento a titolo informativo. Il Titolare e il Responsabile del trattamento possono contestare l’ambito e/o la metodologia applicati alla relazione e richiedere in questi casi una nuova revisione/ispezione con un ambito modificato e/o una diversa metodologia.
Sulla base dei risultati ottenuti da tale attività di revisione/ispezione, il Titolare e il Responsabile del trattamento possono richiedere l’adozione di ulteriori misure per garantire la conformità al RGPD, a disposizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole.
Al Titolare e al Responsabile del trattamento o a un loro rappresentante è inoltre consentito l’accesso per ispezionare, anche fisicamente, i luoghi in cui è effettuato il trattamento dei dati personali a opera del Sub Responsabile del trattamento, compresi le strutture fisiche e i sistemi utilizzati e collegati al trattamento. Tale ispezione è effettuata quando il Titolare e il Respon-sabile del trattamento lo ritengono necessario».
[OPPURE]
Clausole contrattuali tipo dicembre 2019
Pagina 19 di 24
«Il Titolare e il Responsabile del trattamento o un loro rappresentante effettuano [INDICARE IL TERMINE] un’ispezione fisica dei luoghi in cui è svolto il trattamento dei dati personali a opera del Sub Responsabile del trattamento, compresi le strutture fisiche e i sistemi utilizzati e collegati al trattamento, al fine di accertare la conformità del Sub Responsabile del tratta-mento al RGPD, a disposizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole.
Oltre all’ispezione pianificata, il Titolare e il Responsabile del trattamento possono effettuare un’ispezione nei confronti del Sub Responsabile del trattamento quando lo ritengono neces-sario»
[E, SE APPLICABILE]
«I costi, se del caso, sostenuti dal Titolare e dal Responsabile del trattamento per l’ispezione fisica restano a carico di questi. Tuttavia, il Sub Responsabile del trattamento ha l’obbligo di destinare le risorse (soprattutto in termini di tempo) necessarie affinché il Titolare e il Respon-sabile del trattamento possano effettuare l’ispezione.»
C.8. [SE APPLICABILE] Procedure per le attività di revisione, comprese le ispezioni, del trattamento di dati personali svolto da ulteriori sub-responsabili
[SE APPLICABILE, DESCRIVERE LE PROCEDURE PER LE ATTIVITÀ DI REVISIONE DA PARTE DEL TITOLARE E DEL RESPONSABILE DEL TRATTAMENTO, COMPRESE LE ISPEZIONI, RELATIVAMENTE ALTRATTAMENTO DI DATI PERSONALI SVOLTO DA UL-TERIORI SUB-RESPONSABILI]
[AD ESEMPIO]
«Il Sub Responsabile del trattamento deve disporre [INDICARE IL TERMINE] a spese del [SUB RESPONSABILE/RESPONSABILE DEL TRATTAMENTO/TITOLARE DEL TRATTA-MENTO] di una [RELAZIONE DI REVISIONE/RELAZIONE DI ISPEZIONE] effettuata da un terzo indipendente riguardante la conformità dell’ulteriore Sub Responsabile del trattamento al RGPD, a disposizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole.
Le parti hanno concordato che le seguenti tipologie di [RELAZIONE DI REVISIONE/RELA-ZIONE DI ISPEREVISIONE/RELA-ZIONE] possono essere usate in ottemperanza alle Clausole:
[INDICARE LE RELAZIONI DI REVISIONE/RELAZIONI DI ISPEZIONE APPROVATE]
La [RELAZIONE DI REVISIONE/RELAZIONE DI ISPEZIONE] è trasmessa senza ingiustifi-cato ritardo al Titolare e al Responsabile del trattamento a titolo informativo. Il Titolare e il Responsabile del trattamento possono contestare l’ambito e/o la metodologia applicati alla relazione e richiedere in questi casi una nuova revisione/ispezione con un ambito modificato e/o una diversa metodologia.
Sulla base dei risultati ottenuti da tale attività di revisione/ispezione, il Titolare e il Responsabile del trattamento possono richiedere l’adozione di ulteriori misure per garantire la conformità al RGPD, a disposizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole.
Clausole contrattuali tipo dicembre 2019
Pagina 20 di 24
Al Titolare, al Responsabile e al Sub Responsabile del trattamento o a un loro rappresentante è inoltre consentito l’accesso per ispezionare, anche fisicamente, i luoghi in cui è effettuato il trattamento dei dati personali a opera dell’ulteriore Sub Responsabile del trattamento, com-presi le strutture fisiche e i sistemi utilizzati e collegati al trattamento. Tale ispezione è effet-tuata quando il Sub Responsabile del trattamento (o il Titolare o il Responsabile del tratta-mento) lo ritengono necessario.
La documentazione di tali ispezioni è trasmessa tempestivamente al Titolare, al Responsabile e al Sub Responsabile del trattamento a titolo informativo. Il Titolare, il Responsabile e il Sub Responsabile del trattamento possono contestare l’ambito e/o la metodologia applicati alla relazione e richiedere in questi casi una nuova ispezione con un ambito modificato e/o una diversa metodologia».
[OPPURE]
«Il Titolare, il Responsabile e il Sub Responsabile del trattamento o un loro rappresentante effettuano [INDICARE IL TERMINE] un’ispezione fisica dei luoghi in cui è svolto il trattamento
«Il Titolare, il Responsabile e il Sub Responsabile del trattamento o un loro rappresentante effettuano [INDICARE IL TERMINE] un’ispezione fisica dei luoghi in cui è svolto il trattamento