Il presente accordo per la nomina a Responsabile del Trattamento dei Dati (di seguito DPA) è parte integrante e sostanziale del contratto (di seguito indicato come Contratto), stipulato tra Shazark s.r.l (di seguito Società) ed il Cliente nel quale sono definiti, i termini e le condizioni applicabili ai servizi offerti da Shazark s.r.l. (nel seguito Servizi "Servizi").

La presente DPA e le altre disposizioni del Contratto sono complementari. Tuttavia, in caso di conflitto, la presente DPA prevale sul Contratto.

1. PREMESSE

1.1 Nel rispetto di quanto disposto dall'articolo 28 del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito GDPR), il presente contratto definisce le modalità, le condizioni e le istruzioni in base alle quali il Responsabile, nell’erogare i Servizi definiti nel Contratto, deve trattare i dati personali del Cliente. Il trattamento dei Dati Personali da parte di Shazark s.r.l. in qualità di Titolare del trattamento non è compreso nella presente DPA.

1.2. La Società, in considerazione dell'esperienza maturata, della sua organizzazione e professionalità, dimostra di presentare garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento dei dati personali effettuato nell’ambito del Contratto, soddisfi i requisiti richiesti dall’articolo 28 del GDPR e garantisca la tutela dei diritti degli interessati.

1.3 Ai fini dell’interpretazione di quanto pattuito nel presente DPA il Cliente agisce come Titolare del trattamento mentre Shazark come Responsabile del trattamento. Le definizioni di Titolare e Responsabile del trattamento sono quelle indicate nell’articolo 4 del GDPR.

2. Oggetto

2.1 Con l’accettazione del Contratto la presente DPA si considera perfezionata ed accettata dal Cliente che, ai sensi dell’articolo 28 del GDPR, nomina Shazark s.r.l. Responsabile del trattamento relativamente ai dati personali trattati nell’ambito dell’esecuzione del Contratto.

2.2 Il Responsabile dovrà predisporre la propria organizzazione interna in modo da soddisfare le specifiche esigenze di protezione dei dati personali e si obbliga a trattare i dati personali del Titolare garantendo quanto segue:

a) eseguire i soli trattamenti dei dati personali necessari ad adempiere il Contratto;

b) non comunicare a terzi in alcun modo e non utilizzare per altri fini i dati personali e comunque mantenere la più completa riservatezza sui dati trattati e sulle tipologie di trattamento effettuate;

c) non trasferire i dati in un paese extra UE e, nel caso ciò si rivelasse necessario, informare il Titolare delle soluzioni adottate in adempimento alle prescrizioni normative;

d) adottare le misure tecniche e organizzative idonee a garantire un'adeguata protezione dei dati forniti dal Titolare, che soddisfino i requisiti dell'articolo 32 GDPR e successive modifiche e integrazioni.

In particolare, il Responsabile si obbliga ad implementare le misure tecnico organizzative per garantire un livello di sicurezza adeguato al rischio, considerando in speciale modo i rischi che possono derivare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trattati. A titolo meramente indicativo e non esaustivo il Responsabile ha implementato:

▪misure di sicurezza fisiche: tese a prevenire l'accesso di soggetti non autorizzati nei locali dove è collocata l’infrastruttura informatica all’interno della quale sono memorizzati i dati del Cliente;

▪controlli di identità e accesso: utilizzando un sistema di autenticazione, nonché una politica di

gestione delle password;

▪sistema di contenimento: che a seconda dei Servizi isoli fisicamente o logicamente i clienti gli uni dagli altri;

▪procedure di autenticazione: per utente e amministratore, nonché per tutelare l'accesso alle funzioni di amministratore;

▪un sistema di gestione degli accessi: per attività di supporto e manutenzione che operi sui principi del privilegio minimo e della necessità di comunicazione;

▪procedure e misure: per tracciare le azioni svolte sul suo sistema informatico.

La descrizione di dette misure è contenuta nel documento “Documentazione Sicurezza” pubblicato sul nostro sito. Al riguardo il Cliente ritiene tali misure adeguate in relazione a quanto previsto ai sensi dell'articolo 32 del GDPR.

Nel caso in cui il Cliente, rispetto a quanto descritto nella documentazione sopra richiamata, ritenga le misure organizzative e tecniche non adeguate o ne richieda ulteriori e/o di diverse, dovrà formalmente manifestare tale richiesta.

La Società provvederà a valutare la richiesta e, qualora implementabili, quotare la modifica richiesta con una specifica offerta;

e) verificare periodicamente l'adeguatezza delle misure di sicurezza, valutando se mutamenti

all'attività di trattamento non determinino l'adozione di misure di sicurezza diverse e più adeguate. f) istruire e formare adeguatamente le persone che operano sui dati personali sotto la sua autorità;

g) comunicare al Titolare, non appena ne abbia avuto conoscenza, eventuali violazioni dei dati personali anche sospette o incidenti di sicurezza da cui possano derivare tali violazioni;

h) assistere il Titolare al fine di soddisfare l'obbligo di quest’ultimo di dare seguito alle richieste per l'esercizio dei diritti dell'interessato;

i) mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto dei suddetti obblighi e consentire e contribuire alle attività di vigilanza, comprese le ispezioni, realizzate dal Titolare, da un altro soggetto da questi incaricato o dall’Autorità di controllo.

l) fornire piena collaborazione al Titolare del Trattamento in relazione alle attività di verifica.

Il Titolare, durante le attività di verifica, si impegna a non pregiudicare e/o bloccare la normale attività lavorativa del Responsabile.

m) procedere, alla cessazione delle sue funzioni, alla cancellazione o restituzione al titolare di tutti i dati personali eliminandone le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati.

3. Ricorso ad altri responsabili

Nell’esecuzione del Contratto la Società potrà avvalersi della collaborazione di propri fornitori di servizi. In questo caso, nominerà detti fornitori responsabili del trattamento tramite stipula di specifico contratto che preveda gli stessi obblighi previsti dal presente DPA. Il Cliente in qualità di Titolare, con il perfezionamento del presente DPA, autorizza espressamente la Società a coinvolgere fornitori terzi necessari per l’erogazione dei servizi oggetto del Contratto. Il Responsabile, previa richiesta del Cliente, renderà disponibile l’elenco aggiornato dei sub-responsabili

4. Obblighi del Cliente

4.1 Qualora il Cliente operi quale Responsabile del trattamento in nome di titolari terzi, garantisce alla Società quanto segue:

▪di aver ricevuto le necessarie autorizzazioni dal terzo (titolare);

▪di avere informato il terzo che la Società è stata nominata sub-responsabile del trattamento;

▪sia stato sottoscritto con il terzo un accordo pienamente coerente con i termini e le condizioni del presente DPA e del Contratto;

▪tutte le informazioni comunicate o rese disponibili dalla Società, nel rispetto del presente DPA,siano debitamente comunicate al terzo;

4.2 Il Titolare del trattamento si obbliga affinché:

a) il trattamento dei dati personali, nell’ambito dell'esecuzione del Contratto, abbia una base legale specificate nell’articolo 6 del GDPR ;

b) gli interessati siano informati del trattamento dei loro dati personali in modo conciso, trasparente,comprensibile e di facile accesso, utilizzando un linguaggio chiaro e semplice come previsto dal GDPR;

c) gli interessati siano informati e abbiano in qualunque momento la possibilità di esercitare facilmente i loro diritti sui dati, come previsto dal GDPR.

4.3 Il Cliente è responsabile dell'adozione delle misure tecniche e organizzative appropriate per garantire la sicurezza di risorse, sistemi, applicazioni e operazioni non di responsabilità della Società. In particolare il Cliente, dichiara di essere consapevole, che l’accesso al servizio è garantito previa autenticazione con le proprie credenziali.

Le credenziali sono strettamente personali e non possono essere cedute a terzi. Il mantenimento della segretezza delle credenziali è ad esclusivo carico del cliente, il quale sarà il solo responsabile per qualsiasi attività posta in essere tramite l’utilizzo delle stesse.

Tutte le operazioni effettuate tramite l’utilizzo delle credenziali comportano l’automatica attribuzione al Cliente delle operazioni condotte. Pertanto, il Cliente riconosce ed accetta che la Società potrà utilizzare qualsiasi informazione ricavabile dai propri sistemi informatici per monitorare l’accesso ai Servizi per provare le operazioni effettuate dal Cliente.

5. Durata del DPA

Le parti concordano che il DPA avrà efficacia dall’attivazione dei Servizi e sarà valido per tutta la durata del Contratto.

6. Responsabilità

6.1 La Società potrà essere ritenuta responsabile unicamente per i danni causati dal trattamento quando:

(I) non abbia rispettato gli obblighi del GDPR specificatamente legati ai Responsabili del trattamento

(II) abbia agito contro istruzioni validamente scritte dal Cliente.

In tali casi, si applicherà quanto previsto dal Contratto sulla responsabilità della Società.

7. Cancellazione dei Dati Personali

Alla scadenza del Contratto o di un singolo Servizio (in particolare in caso di conclusione o mancato rinnovo), il Cliente dichiara di accettare che la Società provvederà a cancellare automaticamente ed in modo irreversibile, dai propri sistemi informatici, tutte le informazioni (inclusi informazioni, dati, file, sistemi, applicazioni, siti Web e altro materiale)dati personali che il Cliente ha provveduto a memorizzare su detti sistemi informatici.

Shazark s.r.l.