POLICY GENERALE SULLA PROTEZIONE DEI DATI (GDPR)
1. Dichiarazione della politica
Ogni giorno la nostra azienda riceverà, utilizzerà e archivierà informazioni personali sui nostri clienti, fornitori, candidati a colloquio e colleghi. È importante che queste informazioni siano gestite in modo lecito e appropriato in linea con i requisiti del [Data Protection Act 2018] e del Regolamento generale sulla protezione dei dati (collettivamente indicati come i 'Requisiti di protezione dei dati').
Possiamo i nostri doveri di protezione dei dati seriamente, perché rispettiamo la fiducia che ci viene accordata nell'utilizzo appropriato e responsabile delle informazioni personali.
2. Su questa politica
Questa politica e qualsiasi altro documento a cui si fa riferimento in essa stabiliscono le basi su cui tratteremo eventuali dati personali che raccogliamo o elaboriamo.
Questa politica non fa parte del contratto di lavoro di nessun dipendente e può essere modificata in qualsiasi momento.
Alex Smit è il nostro Responsabile della Protezione dei Dati (DPO) ed è responsabile di garantire la conformità dell'azienda ai Requisiti di Protezione dei Dati e a questa politica. Eventuali domande sull'applicazione di questa politica o eventuali preoccupazioni sul fatto che la politica non sia stata seguita, dovrebbero essere indirizzate in prima istanza al DPO, o segnalate in conformità con la nostra politica di controversie aziendale (fare riferimento al Manuale dell'Impiegato).
3. Cosa si intende per dati personali?
I dati personali significano dati (sia archiviati elettronicamente che su supporto cartaceo) relativi a un individuo vivente che può essere identificato direttamente o indirettamente da tali dati (o da tali dati e altre informazioni a nostra disposizione).
Il trattamento è qualsiasi attività che comporta l'uso di dati personali. Essa include l'ottenimento, la registrazione o la conservazione dei dati, l'organizzazione, la modifica, il recupero, l'uso, la divulgazione, la cancellazione o la distruzione. Il trattamento include anche il trasferimento di dati personali a terzi.
I dati personali sensibili includono dati personali sulla razza o l'origine etnica di una persona, opinioni politiche, credenze religiose o filosofiche, appartenenza sindacale, condizioni genetiche, biometriche, fisiche o mentali, orientamento sessuale o vita sessuale. Possono anche includere dati su reati o condanne penali. I dati personali sensibili possono essere trattati solo in condizioni rigorose, compresa l'approvazione dell'individuo.
4. Principi della Protezione dei Dati
Chiunque tratti dati personali deve garantire che i dati siano:
a. Elaborati in modo equo, lecito e trasparente.
b. Raccolti per scopi specifici, espliciti e legittimi e qualsiasi ulteriore trattamento è completato per uno scopo compatibile.
c. Adeguati, pertinenti e limitati a quanto necessario per gli scopi previsti.
d. Precisi e, ove necessario, aggiornati.
e. Mantenuti in una forma che consenta l'identificazione per non più del necessario agli scopi previsti.
f. Elaborati nel rispetto dei diritti dell'individuo e in modo che garantisca un'adeguata sicurezza dei dati personali, compresa la protezione contro il trattamento non autorizzato o illecito e contro la perdita, la distruzione o il danneggiamento accidentali, utilizzando adeguate misure tecniche o organizzative.
g. Non trasferiti a persone o organizzazioni situate in paesi senza una protezione adeguata e senza aver informato preventivamente l'individuo.
5. Elaborazione Equa e Lecita
I requisiti di protezione dei dati non sono destinati a impedire il trattamento dei dati personali, ma a garantire che esso sia effettuato in modo equo e senza pregiudicare i diritti dell'individuo.
In conformità ai requisiti di protezione dei dati, tratteremo dati personali solo quando ciò sia necessario per uno scopo lecito. Gli scopi leciti includono (tra gli altri): se l'individuo ha dato il proprio consenso, se il trattamento è necessario per adempiere a un contratto con l'individuo, per conformità a un obbligo legale, o per l'interesse legittimo dell'azienda. Quando vengono trattati dati personali sensibili, devono essere soddisfatte condizioni aggiuntive.
6. Trattamento a scopi limitati
Durante lo svolgimento della nostra attività commerciale, potremmo raccogliere ed elaborare i dati personali. Ciò potrebbe includere dati che riceviamo direttamente da un soggetto (ad esempio, compilando moduli o corrispondendo con noi per posta, telefono, email o in altri modi) e dati che riceviamo da altre fonti (inclusi, ad esempio, dati di localizzazione, partner commerciali, subappaltatori nei servizi tecnici, di pagamento e di consegna, agenzie di riferimento creditizio e altri).Elaboreremo i dati personali solo per scopi specifici stabiliti nel Calendario 1 o per eventuali altri scopi specificamente consentiti dai Requisiti di Protezione dei Dati. Comunicheremo tali scopi al soggetto quando raccogliamo per la prima volta i dati o il prima possibile dopo.
7. Notifica agli Individui
Se raccogliamo dati personali direttamente da un individuo, lo informeremo su:
a. Lo scopo o gli scopi per i quali intendiamo trattare tali dati personali, nonché la base legale per il trattamento.
b. Qualora ci affidiamo agli interessi legittimi dell'azienda per trattare dati personali, gli interessi legittimi perseguiti.
c. I tipi di terzi, se presenti, con cui condivideremo o divulgheremo tali dati personali.
d. Come gli individui possono limitare l'uso e la divulgazione dei loro dati personali.
e. Informazioni sul periodo in cui le loro informazioni verranno conservate o sui criteri utilizzati per determinare tale periodo.
f. Il loro diritto di richiedere da noi in qualità di responsabile il accesso e la rettifica o cancellazione dei dati personali o la limitazione del trattamento.
g. Il loro diritto di opporsi al trattamento e il loro diritto alla portabilità dei dati.
h. Il loro diritto di revocare il consenso in qualsiasi momento (se il consenso è stato dato) senza pregiudicare la liceità del trattamento effettuato prima del ritiro del consenso.
i. Il diritto di presentare reclamo presso l'Ufficio del Commissario per l'Informazione.
j. Altre fonti da cui provengono i dati personali relativi all'individuo e se provengono da fonti accessibili al pubblico.
k. Se la fornitura dei dati personali è un obbligo legale o contrattuale, o un requisito necessario per stipulare un contratto, nonché se l'individuo è obbligato a fornire i dati e le eventuali conseguenze del mancato il conferimento dei dati.
Se riceviamo dati personali su un individuo da altre fonti, forniremo loro queste informazioni il prima possibile (oltre a informarli sulle categorie di dati personali interessati) ma al più tardi entro 1 mese.
Informeremo anche i soggetti interessati i cui dati personali trattiamo che siamo il responsabile del trattamento di tali dati, i nostri dati di contatto e chi è il DPO.
8. Trattamento Adeguato, Pertinente e non Eccessivo
Raccoglieremo dati personali solo nella misura in cui è necessario per lo specifico scopo notificato al soggetto interessato.
9. Dati Precisi
Ci assicureremo che i dati personali che deteniamo siano accurati e aggiornati. Verificheremo l'accuratezza di eventuali dati personali al momento della raccolta e a intervalli regolari successivi. Adotteremo tutte le misure ragionevoli per distruggere o modificare dati inesatti o obsoleti.
10. Trattamento Tempestivo
Non conserveremo i dati personali più a lungo di quanto sia necessario per lo scopo o gli scopi per cui sono stati raccolti. Adotteremo tutte le misure ragionevoli per distruggere o cancellare dai nostri sistemi tutti i dati non più necessari.
11. Elaborazione in conformità ai diritti dell'interessato
Elaboreremo tutti i dati personali nel rispetto dei diritti degli interessati, in particolare il loro diritto a:
a. Conferma se i dati personali che li riguardano sono in fase di trattamento o meno.
b. Richiedere l'accesso a tutti i dati detenuti su di loro da un responsabile del trattamento
c. Richiedere la rettifica, la cancellazione o la limitazione di trattamento dei loro dati personali.
d. Presentare reclamo presso un'autorità di controllo.
e. Opporsi al trattamento, compreso il marketing diretto.
12. Sicurezza dei dati
Adotteremo adeguate misure di sicurezza contro il trattamento illecito o non autorizzato dei dati personali, e contro la distruzione, danneggiamento, perdita, alterazione illecita, divulgazione non autorizzata o accesso a dati personali trasmessi, archiviati o altrimenti elaborati. Se si verificano trasferimenti di dati illeciti, ci sarà una indagine da parte dell'ufficiale competente e si applicheranno le procedure disciplinari aziendali.
Metteremo in atto procedure e tecnologie per mantenere la sicurezza di tutti i dati personali dal momento della determinazione dei mezzi di trattamento e dal momento della raccolta dei dati fino al momento della distruzione. I dati personali saranno trasferiti solo a un responsabile del trattamento se accetta di conformarsi a tali procedure e politiche, oppure se mette in atto misure adeguate di sua iniziativa.
Mantremo la sicurezza dei dati proteggendo la riservatezza, l'integrità e la disponibilità dei dati personali, definite come segue:
a. La riservatezza significa che solo le persone autorizzate possono accedere ai dati.
b. L'integrità significa che i dati personali devono essere accurati e adatti allo scopo per cui sono elaborati.
c. La disponibilità significa che gli utenti autorizzati dovrebbero poter accedere ai dati se ne hanno bisogno per scopi autorizzati. I dati personali dovrebbero quindi essere memorizzati nel sistema informatico centrale della nostra azienda anziché sui singoli PC.
Le procedure di sicurezza includono:
a. Controlli d'accesso. Qualsiasi estraneo visto nelle aree di accesso controllate dovrebbe essere segnalato.
b. Scrivanie e armadietti sicuri con serratura. Le scrivanie e gli armadietti dovrebbero essere tenuti chiusi a chiave se contengono informazioni riservate di qualsiasi tipo. (Le informazioni personali sono sempre considerate riservate.)
c. Minimizzazione dei dati.
d. Metodi di smaltimento. I documenti cartacei dovrebbero essere distrutti a strisce. I dispositivi di archiviazione digitale dovrebbero essere fisicamente distrutti quando non sono più necessari.
e. Attrezzature. Il personale deve assicurarsi che i monitor individuali non mostrino informazioni riservate ai passanti e che facciano il logout dal PC quando viene lasciato incustodito.
13. Richieste di Accesso ai Dati da Parte dell'Interessato
Gli individui devono fare una richiesta formale per le informazioni che deteniamo su di loro. I dipendenti che ricevono una richiesta dovrebbero inoltrarla immediatamente al DPO o a un membro delle Risorse Umane.
Quando riceviamo richieste telefoniche, divulgheremo solo i dati personali che deteniamo nei nostri sistemi se sono soddisfatte le seguenti condizioni:
a. Verificheremo l'identità del chiamante per assicurarci che le informazioni siano fornite solo a una persona che ne ha diritto.
b. Suggeriremo al chiamante di inviare la loro richiesta per iscritto se non siamo sicuri dell'identità del chiamante e quando la loro identità non può essere verificata.
Dove viene fatta una richiesta in forma elettronica, i dati saranno forniti elettronicamente se possibile.
I nostri dipendenti si rivolgeranno al loro responsabile di linea per assistenza in situazioni difficili.
14. Modifiche a questa Politica
Ci riserviamo il diritto di modificare questa politica in qualsiasi momento. Quando opportuno, notificheremo le modifiche tramite banner sui cookie sul sito web.