Skip to content

Accordo sul trattamento dei dati personali

TRA 

L’Utilizzatore NEXUS

Qui di seguito denominato “il Titolare del trattamento” 

Da un lato

E


La società VISIONIX – Luneau Technology Operations, società per azioni semplificata (société par actions simplifiée), registrata con il numero SIREN 08615020800048, iscritta al registro di Évreux, e avente sede legale in 2 rue Roger Bonnet, 27340, Pont de l'arche, Francia


Qui di seguito denominata “il Responsabile del trattamento” 

    dall’altro lato


Di seguito denominati collettivamente “le Parti” e singolarmente “la Parte”



-    Dato a carattere personale (DCP) o Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile, direttamente o indirettamente, in particolare con riferimento a un identificativo come un nome, un numero di identificazione, dati di localizzazione, un identificativo online, o a uno o più fattori specifici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

-    Dati sensibili: informazioni relative all'origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, all'appartenenza sindacale, ai dati genetici, ai dati biometrici utilizzati per identificare in modo univoco una persona fisica, ai dati relativi alla salute, alla vita sessuale o all'orientamento sessuale. Questi dati sono soggetti a una protezione rafforzata basata sul principio del divieto di raccolta e trattamento. Tuttavia, l'Articolo 9.2 del GDPR prevede una serie di eccezioni (tra cui il consenso).

-    Trattamento (di Dati personali): operazione o insieme organizzato di operazioni effettuate sui Dati personali (raccolta, consultazione, strutturazione, conservazione, modifica, comunicazione, ecc.)

-    Titolare del trattamento: il soggetto che determina le finalità e i mezzi del trattamento, definisce lo scopo dell'operazione effettuata sui Dati personali e definisce il modo in cui verrà attuato il trattamento dei Dati personali. Stabilisce le finalità dell'utilizzo dei dati, gli strumenti che saranno utilizzati per il trattamento e le relative tempistiche, ecc.

-    Responsabile del trattamento: il soggetto che compie operazioni sui Dati personali per conto e in base alle istruzioni del Titolare del trattamento.

-    Responsabile della protezione dei dati (RPD) o DPO: il Responsabile della protezione dei dati, spesso indicato come DPO, è responsabile della gestione e della conformità al GDPR e alla LIL (Loi Informatique et Libertés) all'interno dell'organizzazione all’interno della quale è stato nominato.

-    Violazione di dati: incidente di sicurezza che comporta, in maniera accidentale o illecita, la distruzione, perdita, alterazione, divulgazione non autorizzata di dati a carattere personale trasmessi, memorizzati o altrimenti trattati, o l’accesso non autorizzato a tali dati.  

-    Dispositivo medico (DM): qualsiasi strumento, apparecchio, attrezzatura, software, impianto, reagente, materiale o altro articolo, destinato dal fabbricante a essere utilizzato, da solo o in combinazione, nell'uomo per una o più delle finalità mediche di cui all'Articolo 2 del REGOLAMENTO (UE) 2017/745 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 5 aprile 2017 relativo ai dispositivi medici.


ARTICOLO 1: OGGETTO
Nell'ambito della fornitura delle nostre Soluzioni e della piattaforma NEXUS, come sottoscritto nel Contratto, ai professionisti della salute visiva, il Responsabile del trattamento è portato a trattare dati personali per conto e in conformità alle istruzioni del Titolare del trattamento.

Lo scopo di queste clausole è quello di definire le condizioni in base alle quali il Titolare del trattamento si impegna a svolgere operazioni di trattamento di Dati a carattere personale per conto e in conformità alle istruzioni del Titolare del trattamento, nell'ambito del Contratto.

Nell'ambito delle loro relazioni contrattuali, le Parti si impegnano a rispettare le normative vigenti applicabili al trattamento dei dati personali e, in particolare, il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016: Regolamento generale sulla protezione dei dati (di seguito "GDPR").


ARTICOLO 2: INFORMAZIONI RELATIVE AL TRATTAMENTO OGGETTO DELL’ACCORDO DI TRATTAMENTO DEI DATI

Il Responsabile del trattamento fornisce i servizi e le soluzioni definiti nel Contratto.

Il Responsabile del trattamento è autorizzato, per tutta la durata del Contratto e dell'utilizzo delle Soluzioni Visionix, a trattare, per conto del Titolare del trattamento, i dati personali necessari per la seguente finalità principale: 

-    Messa a disposizione della piattaforma Nexus ai professionisti della salute visiva


2.1    E, più specificamente, le seguenti sotto-finalità: 

-    Hosting di dati di telemedicina


Per gli Operatori/Ottici:
-    raccogliere le informazioni necessarie per misurare la refrazione
-    generare il rapporto di sintesi che consente la realizzazione di dispositivi di correzione visiva
-    mettersi in relazione con il medico incaricato di analizzare e convalidare le misurazioni effettuate con i DM (convalidare le correzioni visive), ove necessario

Per i professionisti della salute visiva:
-    raccogliere e visualizzare le informazioni necessarie per misurare la refrazione e diagnosticare le patologie oculari
-    generare un rapporto di sintesi che consenta ai professionisti della salute visiva di strutturare la propria perizia e adattare il proprio intervento
-    raccogliere le informazioni aggiuntive necessarie al professionista della salute visiva per prescrivere le correzioni visive.

2.2    Le categorie di dati trattati dal Responsabile del trattamento per conto del Titolare del trattamento sono le seguenti:

-    Dati di identificazione: dati personali dei pazienti inseriti dall'Operatore nelle soluzioni Visionix, ossia: nome, cognome, data di nascita, sesso, codice interno
-    Dati di contatto: Paese, città
-    Dati professionali: informazioni relative ai professionisti della salute visiva che possono emergere durante l'utilizzo della soluzione. 
-    Dati necessari per remunerare i professionisti della salute visiva
-    Dati sensibili: dati raccolti per mezzo delle Soluzioni Visionix: etnia (informazione importanti nel campo della salute visiva), dati sanitari (misurazioni utilizzate per definire la formula di correzione delle lenti, misurazioni del segmento posteriore e anteriore dell'occhio che consentono al professionista della salute visiva di diagnosticare eventuali patologie). Anamnesi medica e altre informazioni sanitarie, se i pazienti decidono di fornirle.
-    Scambi tra gli utilizzatori della piattaforma Nexus


2.3    Categorie di persone interessate dal trattamento dei dati: 

-    Pazienti = utenti finali
-    Professionisti della salute visiva coinvolti nell'utilizzo delle Soluzioni Visionix
-    Operatori/ottici


2.4    Trattamento effettuato sui Dati da Visionix in qualità di Responsabile del trattamento:

Raccolta
Registrazione (archiviazione)
Trasmissione
Hosting
Pseudonimizzazione
Utilizzo (generazione di referti)
Distruzione



2.5    Dati di contatto del DPO di Visionix: 

Nome e cognome: Yossi Constantinis
Email: dpo@visionix.com
Indirizzo: VISIONIX - Luneau Technology Operations, alla c. a. del DPO, 2 rue Roger Bonnet, 27340, Pont de l'arche, Francia


ARTICOLO 3: INFORMAZIONI RELATIVE AL TRATTAMENTO EFFETTUATO PER FINALITÀ PROPRIE DELLA SOCIETÀ VISIONIX - LUNEAU TECHNOLOGY OPERATIONS

Il Responsabile del trattamento è autorizzato, per tutta la durata del Contratto e dell'utilizzo delle Soluzioni Visionix, a trattare i dati per la o le proprie finalità e per suo conto, per il o i seguenti scopi:

-    Miglioramento dei servizi (R&S), sulla base di dati che non consentono l'identificazione diretta da parte di Visionix - Luneau Technology Operations 
-    Produzione di rapporti di analisi/studi statistici anonimi (sulla base di dati pseudonimizzati o anonimizzati), in particolare in relazione al monitoraggio dei propri Dispositivi Medici (al fine di soddisfare i propri obblighi legali).


ARTICOLO 4: OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO NEI CONFRONTI DEL TITOLARE DEL TRATTAMENTO DEI DATI 

Il Responsabile del trattamento si impegna a:

1.    Trattare i Dati esclusivamente per la o le finalità previste dagli articoli 2 e 3 del presente accordo sul trattamento. 

2.    Trattare i Dati personali esclusivamente per conto del Titolare del trattamento e in conformità alle istruzioni documentate di quest'ultimo, in particolare per quanto riguarda la sicurezza dei sistemi informatici. Se il Responsabile del trattamento ritiene che un'istruzione costituisca una violazione del GDPR o di qualsiasi altra disposizione giuridica dell'Unione o degli Stati membri in materia di protezione dei dati, ne dovrà informare immediatamente il Titolare del trattamento. Inoltre, se il Responsabile del trattamento è tenuto a procedere a un trasferimento di dati a un Paese terzo o a un'organizzazione internazionale, in virtù del diritto dell'Unione o del diritto dello Stato membro a cui è soggetto, deve informare il Titolare del trattamento di tale obbligo giuridico prima del trattamento, a meno che il diritto in questione non vieti tale informazione per importanti motivi di interesse pubblico. Inoltre, nel contesto del Contratto, il trattamento dei Dati affidati a Sub-responsabili del trattamento può dare luogo a trasferimenti al di fuori dell'UE e sarà, se del caso, soggetto a una decisione di adeguatezza o di adozione di garanzie appropriate (in particolare clausole contrattuali standard), in conformità agli articoli 45 e seguenti del GDPR.

3.    Garantire la riservatezza dei dati personali trattati nell’ambito del Contratto.

4.    Astenersi dal:
•    Divulgare, in qualsiasi forma, in toto o in parte, i Dati personali trattati;
•    Copiare o conservare, in qualsiasi forma e per qualsiasi scopo, in toto o in parte, le informazioni o i Dati personali contenuti nei supporti o nei documenti che gli sono stati affidati o che ha raccolto durante l'esecuzione del Contratto, ad eccezione dei casi qui contemplati.
 
5.    Assicurarsi che le persone autorizzate a trattare i Dati Personali ai sensi dei termini dell’Accordo per il trattamento dei dati:
•    Si impegnino a rispettare la riservatezza o siano soggette a un appropriato obbligo legale di riservatezza,
•    Ricevano la formazione necessaria in materia di protezione dei dati a carattere personale.

6.    Tengano conto, per quanto riguarda strumenti, prodotti, applicazioni o servizi, dei principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita.

7.    Sub-responsabili del trattamento

Per svolgere le attività di trattamento di cui sopra, il Responsabile del trattamento è autorizzato a rivolgersi agli enti elencati nell'allegato sottostante, "Sub-responsabile/i del trattamento". 

In caso di reclutamento di altri Sub-responsabili del trattamento, il Responsabile del trattamento deve ottenere la specifica autorizzazione scritta preventiva del Titolare del trattamento.

Il Sub-responsabile del trattamento dei dati è tenuto a rispettare gli obblighi dell’accordo per il trattamento dei dati per conto e in conformità alle istruzioni del Titolare del trattamento. Spetta al Responsabile iniziale il compito di assicurarsi che il Sub-responsabile presenti le stesse garanzie sufficienti in merito all'implementazione di misure tecniche e organizzative adeguate, in modo che il trattamento soddisfi i requisiti del GDPR. Se il Sub-responsabile non adempie ai suoi obblighi in materia di protezione dei dati, il Responsabile iniziale rimane pienamente responsabile, nei confronti del Titolare del trattamento, dell'adempimento dei suoi obblighi da parte del Sub-responsabile.

8.    Diritto all'informazione degli interessati

Il Titolare del trattamento ha la responsabilità di informare gli interessati delle operazioni di trattamento che effettua in proprio e per suo conto.  È responsabilità del Responsabile del trattamento informare gli interessati in merito alle operazioni di trattamento che effettua per proprio conto e a quelle che effettua per conto del Titolare del trattamento al momento della raccolta dei Dati, mediante uno specifico modulo di informativa.

9.    Esercizio dei diritti degli interessati

Per quanto possibile, il Responsabile del trattamento deve assistere il Titolare del trattamento nell'adempimento del suo obbligo di rispondere alle richieste di esercizio dei diritti degli interessati: diritto di accesso, rettifica, cancellazione e opposizione, diritto di limitare il trattamento, diritto alla portabilità, ecc.
Nel caso in cui gli interessati facciano richiesta di esercitare i propri diritti al Responsabile del trattamento, il Responsabile del trattamento deve rispondere, in nome e per conto del Titolare del trattamento ed entro i limiti di tempo stabiliti dal GDPR, alle richieste degli interessati nella misura in cui tali richieste riguardano dati oggetto del presente accordo sul trattamento dei dati personali.



10.    Notifica di violazioni dei dati personali

Il Responsabile del trattamento dovrà notificare al Titolare del trattamento qualsiasi violazione dei dati personali il prima possibile dopo esserne venuto a conoscenza.  

Con il consenso del Titolare del trattamento, il Responsabile notificherà all'autorità di vigilanza competente ai sensi dell'Articolo 55 del GDPR, in nome e per conto del Titolare del trattamento, le violazioni dei dati a carattere personale nel minor tempo possibile e, se possibile, entro e non oltre 72 ore dopo esserne venuto a conoscenza, a meno che la violazione in questione non sia suscettibile di comportare un rischio per i diritti e le libertà delle persone fisiche.

In caso di rischio elevato per i diritti e le libertà delle persone fisiche, previo consenso del Titolare del trattamento, il Responsabile del trattamento dovrà, in nome e per conto del Titolare del trattamento, comunicare all'interessato nel minor tempo possibile la violazione dei dati personali.
La comunicazione all'interessato dovrà descrivere, in termini chiari e semplici, la natura della violazione dei dati personali e dovrà contenere come minimo:
•    una descrizione della natura della violazione dei dati personali, comprese, se possibile, le categorie e il numero approssimativo di persone interessate dalla violazione e le categorie e il numero approssimativo di registrazioni di dati personali interessati;
•    il nome e i dati di contatto del Responsabile della Protezione dei Dati o di un altro punto di contatto da cui ottenere ulteriori informazioni;
•    la descrizione delle probabili conseguenze della violazione dei dati personali;
•    la descrizione delle misure adottate o proposte dal Titolare del trattamento per porre rimedio alla violazione dei dati personali, comprese, se del caso, le misure atte a mitigarne eventuali conseguenze negative.


11.    Assistenza da parte del Responsabile nell'ambito del rispetto degli obblighi da parte del Titolare del trattamento

Il Responsabile assiste il Titolare del trattamento nell'esecuzione di analisi d'impatto relative alla protezione dei dati o nell'esecuzione di consultazioni preventive con l'autorità di vigilanza.

12.    Misure di sicurezza

Il Responsabile si impegna a implementare misure di sicurezza tecniche e organizzative adeguate, tenendo conto dello stato dell'arte, dei costi, della natura, della portata, del contesto e delle finalità del trattamento, al fine di garantire un livello di sicurezza commisurato ai rischi, e in particolare:

•    Pseudonimizzazione e crittografia dei dati in base alla criticità dei dati stessi 
•    Mezzi per garantire:
o    La riservatezza delle informazioni, impedendone la divulgazione a terzi non autorizzati;
o    L'integrità delle informazioni, impedendone la modifica o distruzione, accidentale o intenzionale, al di fuori dell’ambito del trattamento;
o    La disponibilità delle informazioni e dei sistemi informativi utilizzati nell’ambito del trattamento, e la costante resilienza dei sistemi e dei servizi di trattamento;
o    La tracciabilità delle operazioni effettuate sulle informazioni;
•    Mezzi che consentano di ripristinare la disponibilità dei dati personali, e l'accesso a questi ultimi, entro tempi adeguati in caso di incidente fisico o tecnico;
•    Procedura tesa a testare, analizzare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

A questo proposito, il Responsabile del trattamento ha implementato in particolare le seguenti misure: 

•    Crittografia del database, dei flussi e dei materiali
•    Pseudonimizzazione dei dati in modo che non possano essere identificati dal Responsabile del trattamento.
•    Partizionamento
•    Controllo degli accessi logici, in particolare policy di gestione delle autorizzazioni, account personale con autenticazione forte, verifica della robustezza delle password e archiviazione sicura delle password crittografate.
•    Logging per tracciare gli accessi e gestire gli incidenti
•    Archiviazione sicura
•    Impegno alla riservatezza da parte del personale e dei Responsabili del trattamento
•    Securizzazione dei server (certificazione ISO 27001 - HDS del servizio di hosting)
•    Hosting su server situati esclusivamente in Europa
•    Backup giornalieri e server ridondanti
•    Misure organizzative quali:
    Integrazione della protezione della privacy nei progetti
    Gestione del personale
    Gestione di terze parti
    Nomina di un responsabile della protezione dei dati
    Definizione di procedure interne per la violazione dei dati e l'esercizio dei diritti

13.    Copia e destinazione dei Dati personali al termine del Contratto

Il Responsabile del trattamento si impegna, al termine del Contratto, o in caso di risoluzione anticipata del contratto, a non conservare alcuna copia dei dati personali ospitati, a meno che non sia diversamente richiesto dalle normative applicabili al Responsabile del trattamento, in particolare in quanto produttore di dispositivi medici.

14.    Registro delle categorie di attività di trattamento

Il Responsabile del trattamento dichiara di tenere un registro scritto di tutte le categorie di attività di trattamento svolte per conto del Titolare del trattamento, tra cui:

•    Il nome e i dati di contatto del Titolare del trattamento per conto del quale agisce, degli eventuali Responsabili del trattamento e, se del caso, del delegato alla protezione dei dati;
•    Le categorie dei trattamenti effettuati per conto del Titolare del trattamento;
•    Ove applicabile, i trasferimenti di dati personali a un Paese terzo o a un'organizzazione internazionale, compresa l'identificazione di tale Paese terzo o organizzazione internazionale e, nel caso dei trasferimenti di cui al secondo comma dell'Articolo 49(1) del Regolamento Europeo sulla Protezione dei Dati, i documenti che attestano l'esistenza di garanzie adeguate;
•    Per quanto possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative, che includa tra l'altro, in base alle esigenze: 
o    Pseudonimizzazione e crittografia dei dati personali;
o    Mezzi che consentano di garantire la riservatezza, l'integrità, la disponibilità e la resilienza continue dei sistemi e dei servizi di trattamento;
o    Mezzi che consentano di ripristinare la disponibilità dei dati personali, e l'accesso a questi ultimi, entro tempi adeguati in caso di incidente fisico o tecnico;
o    Procedura tesa a testare, analizzare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

15.    Documentazione e audit

Il Responsabile del trattamento fornirà al Titolare del trattamento la documentazione o la certificazione atta a dimostrare il rispetto dei propri obblighi.
Il Responsabile del trattamento consente l'esecuzione di attività di audit, comprese le verifiche pratiche delle garanzie contrattuali da parte del Titolare del trattamento, entro i limiti di eventuali elementi protetti da segreto aziendale, segreto professionale o diritto/i di proprietà intellettuale.
Si precisa che qualsiasi audit di sicurezza tecnica o organizzativa del Responsabile del trattamento viene effettuato a spese del Titolare del trattamento, da parte di un revisore competente e indipendente, nominato di comune accordo con il Responsabile del trattamento e in presenza di quest'ultimo.


ARTICOLO 5: OBBLIGHI DEL TITOLARE DEL TRATTAMENTO NEI CONFRONTI DEL RESPONSABILE DEL TRATTAMENTO

Il Titolare del trattamento si impegna a:

1.    Fornire al Responsabile del trattamento i dati previsti nel presente documento.
2.    Documentare per iscritto qualsiasi istruzione relativa al trattamento dei dati da parte del Responsabile del trattamento.
3.    Assicurarsi, preventivamente e per tutta la durata del trattamento, che il Responsabile del trattamento rispetti gli obblighi previsti dal GDPR.

Nell'ambito della supervisione del trattamento, il Titolare del trattamento può effettuare audit e ispezioni presso il Responsabile del trattamento.
Il Titolare del trattamento può, su richiesta degli interessati, inviare una copia delle presenti clausole e una descrizione sintetica delle misure di sicurezza, nonché una copia di qualsiasi ulteriore accordo per il trattamento stipulato in conformità alle presenti clausole, a meno che le presenti clausole o l’accordo non contenga(no) informazioni commerciali, nel qual caso può ritirare tali informazioni.