Nomina e Istruzioni per il Responsabile del Trattamento
Con la presente, l’Azienda Ospedaliera/l’Ente Sanitario (“Titolare”) titolare del trattamento dei dati ai sensi del Regolamento (UE) 2016/679 (“Regolamento”), in relazione alle operazioni di trattamento di dati personali compiute da A. Menarini Diagnostics Srl in esecuzione della fornitura di beni e servizi (“Contratto”), designa A. Menarini Diagnostics Srl che accetta, RESPONSABILE DEL TRATTAMENTO anche con funzioni di AMMINISTRATORE DI SISTEMA (“Responsabile”).
1. Ambito della designazione
1.1 Il trattamento di dati da parte del Responsabile è autorizzato solo per le finalità e nei limiti necessari all’esecuzione del Contratto. A. Menarini Diagnostics Srl potrà anche svolgere attività qualificabili come attività di Amministratore di Sistema ai sensi del Provvedimento del Garante 27 novembre 2008 (“Provvedimento”) in relazione ai software/sistemi di cui al Contratto (“Sistemi”) esclusivamente per lo svolgimento delle Attività ivi descritte. Si vedano a tal proposito le previsioni particolareggiate sub paragrafo 3 seguente.
Ai sensi dell’art. 28.3 del Regolamento il tipo di dati personali trattati e la categoria di interessati è definito in relazione alle attività contrattuali. Le Parti danno comunque atto che si tratta di dati sensibili relativi alla salute di pazienti.
1.2 Ove applicabile, in relazione a quanto previsto dal Contratto e/o dall’organizzazione di A. Menarini Diagnostics Srl, tutte le istruzioni di cui al presente documento, compresi gli obblighi di confidenzialità, devono intendersi estese mutatis mutandis anche ai propri collaboratori, dipendenti, autorizzati, responsabili ed amministratori di sistema che riceveranno adeguate istruzioni.
2. Regole del Trattamento e obblighi di carattere generale
2.1 Nello svolgimento del Contratto, ed in particolar modo nell’esecuzione delle operazioni di trattamento di dati personali (“Trattamento”), il Responsabile dovrà usare la massima riservatezza e discrezione in relazione alle informazioni, dati personali e conoscenze acquisiti nell’esercizio/esecuzione del Contratto. Il Responsabile dovrà curare la loro protezione rispettando le misure di sicurezza sia informatiche che fisiche, ed evitare tassativamente ogni possibile condivisione, comunicazione o diffusione delle stesse non strettamente necessarie.
2.2 Il Responsabile dovrà eseguire le operazioni di Trattamento nel rispetto del Regolamento, in particolare trattando sempre i Dati Personali (come definiti dall’art. 4 del Regolamento) in modo lecito, secondo correttezza in ottemperanza ai principi di liceità, correttezza, trasparenza, necessità, pertinenza e non eccedenza previsti dal Regolamento attenendosi alle istruzioni come di seguito definite.
2.3 Le istruzioni cui il Responsabile dovrà attenersi sono contenute nel Contratto, nel presente documento e/o nelle istruzioni che potrà ricevere in futuro dal Titolare.
2.4 Il Titolare ha verificato che il Responsabile è in possesso di adeguate risorse tecniche, informatiche ed organizzative ai sensi della Normativa Privacy.
2.5. Nell’esecuzione di operazioni di Trattamento, il Responsabile dovrà tra l’altro attenersi alle seguenti istruzioni di carattere operativo e comportamentale:
(a) evitare che i documenti cartacei ed elettronici contenenti eventuali dati personali vengano condivisi, dati in consegna o comunque resi accessibili a soggetti ai quali i documenti stessi non siano destinati per specifiche ragioni di lavoro;
(b) per l’eventuale consegna o spedizione di copie od originali di documenti, procedere in modo da ridurre al minimo la possibilità che terzi non autorizzati possano prendere visione degli atti o documenti consegnati, in particolare usando buste sigillate o effettuando la consegna personalmente in mano del destinatario;
(c) archiviare e custodire i supporti elettronici ed i documenti contenenti dati personali all’interno di luoghi\armadi\mobili\cassetti muniti di serratura;
(d) comunicare al Titolare quale Trattamento risulta necessario interrompere, aggiornare o in qualsiasi modo modificare a seguito di mutate esigenze, nel caso in cui le Istruzioni violino la legge, o su specifica richiesta dell’Interessato;
(e) collaborare col Titolare per garantire i diritti degli Interessati ai sensi del Capo III del Regolamento (artt.15 e ss.);
(f) a scelta del Titolare, restituire o distruggere i Dati Personali in proprio possesso o custodia e che a seguito della cessazione o modifica del Contratto, A. Menarini Diagnostics Srl non ha più ragione di trattare.
Tutto quanto sopra specificato si applica sia agli originali di atti o documenti sia alle eventuali copie cartacee, informatiche o su differente supporto.
2.6 A. Menarini Diagnostics Srl potrà ricorrere a un altro responsabile/sub-responsabile per delegare alcune specifiche attività di Trattamento. In particolare, il Titolare autorizza già in questa sede A. Menarini Diagnostics Srl ad avvalersi di eventuali fornitori di software per eseguire le attività di assistenza tecnica di secondo livello sui software stessi riconoscendo che tale sub-responsabile possa anche effettuare attività di Amministratore di Sistema ai sensi del Provvedimento. A. Menarini Diagnostics Srl informerà il Titolare in merito ad eventuali successive modifiche riguardanti l'aggiunta o la sostituzione di altri sub-responsabili del trattamento, dando così al Titolare la possibilità di opporsi. Su tutti i sub-responsabili del trattamento A. Menarini Diagnostics Srl imporrà gli stessi obblighi in materia di protezione dei dati contenuti nel Contratto e in queste Istruzioni. Tali sub-responsabili sono indicati nella proposta economica e/o tecnica.
2.7. A. Menarini Diagnostics Srl garantisce al Titolare l’accesso ai propri uffici per verificare le modalità di esecuzione del trattamento, compreso il profilo della sicurezza, con forme e modalità concordate tra le parti interessate.
3. Istruzioni particolareggiate per gli Amministratori di Sistema
3.1 L’azienda operante quale Amministratore di Sistema garantisce di adottare le specifiche cautele previste dal Provvedimento "Amministratori di sistema" in quanto applicabili, quali, a titolo esemplificativo, la designazione individuale e specifica dei propri amministratori di sistema ed il relativo controllo; la registrazione e conservazione di access log; la gestione delle password, la comunicazione a richiesta del Titolare della lista aggiornata degli amministratori di sistema designati e relative funzioni, evidenziando, se del caso, quelli coinvolti anche solo potenzialmente nel trattamento di dati personali di dipendenti dei Titolari.