Nelle attività di assistenza tecnica la O2 Medical Division potrebbe accedere ai dati personali registrati sul prodotto in assistenza.
Il presente documento disciplina le modalità di trattamento di tali dati personali effettuati dalla O2 Medical Division al fine di dare esecuzione alla richiesta di assistenza.
1. Designazione a Responsabile del trattamento dei dati personali
.
1.1 In esecuzione del suddetto la O2 Medical Division viene designata responsabile del trattamento dei dati personali, ai sensi e per gli effetti dell'art. 28 del Regolamento.
1.2 Il Responsabile del trattamento si obbliga ad eseguire le suddette attività conformemente a quanto previsto nel presente documento.
2. Garanzie
.
2.1 La O2 Medical Division garantisce che:
2.1.1 tratta i Dati personali contenuti nel data base/applicativo solo ai fini dell'assistenza tecnica richiesta
2.1.2 non trasferisce i Dati personali a soggetti terzi
2.1.3 non tratta o utilizza i Dati personali per finalità diverse
2.2 La O2 Medical Division, anche nel rispetto di quanto previsto all'art. 30 del Regolamento, mantiene e compila un registro dei trattamenti dati personali che riporta tutte le informazioni richieste dalla norma.
3. Le misure di sicurezza
.
3.1 La O2 Medical Division non conserva i dati personali cui accede ai fini dell'assistenza tecnologica richiesta.
3.2 La O2 Medical Division , nell'esecuzione delle attività di assistenza tecnologica, adotta appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati, ed in particolare, laddove il trattamento comporti trasmissioni di dati su una rete, da qualsiasi altra forma illecita di trattamento.
3.3 La O2 Medical Division adotta misure tecniche ed organizzative adeguate per salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti, con specifico riferimento alle misure intese a prevenire l'intercettazione di comunicazioni o l'accesso non autorizzato a qualsiasi computer o sistema.
3.4 In linea con i principi di privacy by default, sono trattati, per impostazione predefinita, esclusivamente quei dati personali necessari per l'esecuzione dell'attività di assistenza tecnologica.
4. Soggetti autorizzati ad effettuare i trattamenti - Designazione
.
4.1 La O2 Medical Division garantisce competenze ed affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali (di seguito anche incaricati) effettuati per fornire il servizio di assistenza tecnologica richiesta.
4.2 La O2 Medical Division garantisce che gli incaricati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica, consegnando alla Società le evidenze di tale formazione.
4.3 La O2 Medical Division , con riferimento alla protezione e gestione dei dati personali, impone ai propri incaricati obblighi di riservatezza con riferimento alle informazioni di cui entrano in possesso in esecuzione dell'attività di assistenza.
5. Sub-Responsabili del trattamento di dati personali
.
5.1 Nell'ambito dell'esecuzione del contratto, la O2 Medical Division è autorizzata sin d'ora, alla designazione di altri responsabili del trattamento (“sub-responsabili”), imponendo agli stessi condizioni vincolanti in materia di trattamento dei dati personali non meno onerose di quelle contenute nel presente Accordo.
6. Trattamento dei dati personali fuori dall'area economica europea
.
6.1 La O2 Medical Division non trasferisce dati personali al di fuori dell'Unione Europea.
7. Cancellazione dei dati personali
.
7.1 La O2 Medical Division , in esecuzione delle attività di assistenza tecnologica richiesta, non registra dati personali. Nell'eventualità che ciò accada perché necessario ai fini della somministrazione del servizio, provvede alla loro immediata cancellazione una volta conclusa l'operazione di assistenza.
8. Violazione dei dati personali
.
8.1 Nell'eventualità che, in esecuzione dell'attività di assistenza, La O2 Medical Division rilevi la violazione dei dati personali presenti nei database/software in trattamento, in virtù di quanto previsto dall'art. 33 del Regolamento, comunica nel minor tempo possibile, e comunque non oltre 24 (ventiquattro) ore da quando ne abbia avuto notizia, la suddetta violazione che abbia comportato accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati, ivi incluse quelle che abbiano riguardato i propri sub-Fornitori. Tale comunicazione contiene ogni informazione utile alla gestione del data breach, oltre a:
a) descrivere la natura della violazione dei dati personali
b) le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
c) i recapiti del soggetto competente alla gestione del data breach;
d) la descrizione delle probabili conseguenze della violazione dei dati personali;
e) una descrizione delle misure adottate o che si intende adottare per affrontare la Violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi
8.2 La O2 Medical Division fornisce tutto il supporto necessario alla Società ai fini delle indagini e sulle valutazioni in ordine alla violazione di dati, anche al fine di individuare, prevenire e limitare gli effetti negativi della stessa.