- welcome to cst, your trusted bank outsourcer
La presente policy riprende alcune terminologie, definizioni e concetti della normativa applicabile a scopo informativo e divulgativo in merito alla stessa.
Si sottolinea che:
i concetti sono volutamente sintetizzati, quindi la lettura della presente policy non esime dalla conoscenza di quanto indicato in modo più esteso dalla normativa;
in caso di elementi di contraddizione tra la presente policy e la normativa applicabile vale quanto definito in quest’ultima;
fatto salvo quanto indicato nel punto precedente, le disposizioni della presente policy devono trovare puntuale applicazione in CST S.r.l., di seguito la “Società”.
La Personal Data Protection Policy disciplina a livello generale la gestione dei dati personali, definisce ruoli e responsabilità inerenti a tale gestione e disciplina alcuni processi specifici. La presente policy potrà essere integrata dall’ulteriore regolamentazione interna adottata dalla Società.
La presente politica e i suoi allegati, le procedure e le istruzioni operative, i verbali dei comitati e ogni altro documento ufficiale interno in materia di privacy, costituiscono l’impianto normativo interno per il trattamento dei dati personali ai sensi dell’art. 29 del Regolamento e sono predisposti affinché chiunque agisca sotto l’autorità del Titolare del trattamento sia adeguatamente istruito nell’esecuzione dei trattamenti dei dati personali.
A tutti i dipendenti e collaboratori della Società.
CST S.r.l. è un’azienda che eroga servizi in outsourcing della funzione cash handling per conto della Banca ed opera nel suo esclusivo interesse fornendo servizi integrati di monitoraggio, contabilizzazione, programmazione e supporto operativo, logistico, statistico ed ispettivo.
Nel corso delle proprie attività e dei servizi erogati, la Società si trova a dover trattare dati personali in qualità sia di Titolare sia di Responsabile del trattamento. Nello specifico si rimanda al documento allegato alla presente policy (Allegato B) da cui emerge l’elenco dei trattamenti dei dati personali individuati ed emersi all’interno dell’organizzazione.
Si precisa che i trattamenti dei dati personali saranno eseguiti esclusivamente in uno Stato Membro dell’Unione Europea (UE) o in uno Stato Membro dello Spazio Economico Europeo (SEE). Eventuali trasferimenti di dati al di fuori di UE e SEE richiedono l’approvazione del Titolare e richiedono che siano attuate le condizioni previste dall’art. 44 e seguenti del Regolamento.
La Società ha inoltre definito una politica di conservazione dei dati personali in considerazione di ogni trattamento di dato personale nonché ha predisposto una politica circa la cancellazione dei dati personali laddove il trattamento dei dati personali non sia più necessario per l’espletamento della finalità specifica del trattamento, documentato nell’Allegato B della policy.
Nell’ambito delle proprie attività relativamente al trattamento dei dati personali sono trattate le seguenti categorie di:
Dati personali: dati comuni e categorie particolari di dati (ad esempio: dati relativi allo stato di salute del lavoratore per assolvere gli obblighi ed esercitare i diritti del titolare o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale nella misura in cui sia autorizzato dal Diritto dell’Unione o degli Stati Membri o da un contratto collettivo);
Soggetti interessati: dipendenti, collaboratori, candidati, fornitori e clienti.
Il Titolare del Trattamento è CST S.r.l., con sede in 50132 Firenze (FI), Via Benedetto Varchi n. 59, Tel. 055 4633501/4633518, info@cstfi.it.
Al titolare spetta definire le finalità e i mezzi del trattamento dei dati personali di CST S.r.l..
Responsabile del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Il Titolare ricorre ai Responsabili del Trattamento nei rapporti di esternalizzazione nei quali siano previsti, da parte della terza parte, trattamenti di dati personali per conto del Titolare.
In tale contesto sarà compito della Società verificare che il rapporto in essere con la terza parte venga contrattualizzato attraverso:
CST individua i Responsabili del Trattamento con riguardo alle società cui sono demandate attività che prevedono un trattamento significativo ed autonomo di dati personali, quali:
Società incaricate di gestire paghe e contributi;
Società che gestiscono buoni pasto;
Società che erogano servizi di recruiting;
Società che si occupano di fornire servizi informatici o di manutenzione del sistema di videosorveglianza;
Società che erogano servizi quali gestione e manutenzione del sito internet.
Nella gestione dei rapporti contrattuali con tali società, il Coordinatore Privacy si assicura che:
Il Coordinatore Privacy mantiene costantemente aggiornato l’elenco dei Responsabili del Trattamento allegato alla presente policy (Allegato C).
Il Coordinatore Privacy ha il compito principale di sorvegliare l’osservanza del Regolamento generale sulla protezione dei dati e della normativa vigente, interna ed esterna, nonché di informare, sensibilizzare e attribuire responsabilità in merito alla gestione dei dati personali.
Il Coordinatore Privacy deve essere formalmente identificato, mediante designazione da parte del Titolare.
I compiti specifici del Coordinatore Privacy sono i seguenti:
Definire le modalità di attuazione degli adempimenti previsti dal Regolamento, redigere e manutenere le policy, le procedure e i modelli relativi a tali attuazioni.
Supportare il Controller o il Processor in ogni attività connessa al trattamento di dati personali.
Presiedere il Comitato Privacy.
Collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA). Supportare i Referenti Privacy in questioni relative al trattamento dei dati personali nelle aree di loro competenza.
Validare le nomine di Processor nei contratti che presentano caratteristiche di unicità.
Verificare e monitorare che la presente policy venga pubblicata e resa accessibile sul portale intranet aziendale o, se non presente, venga rilasciata/distribuita a tutti i dipendenti e collaboratori della Società;
Sorvegliare l’osservanza della presente policy, di altre disposizioni normative relative alla protezione dei dati nonché delle politiche del Controller o del Processor in materia di protezione di dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.
Monitorare i cambiamenti normativi, i provvedimenti e le linee guida delle autorità di controllo e analizzare le eventuali interpretazioni rese da soggetti autorevoli ed affidabili.
Informare, sensibilizzare e formare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati.
Cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento.
Gestire le attività di Data Breach Notification, sia per quanto attiene la comprensione e la valutazione dell’evento, sia per quanto attiene all’eventuale notifica all’autorità Garante e all’eventuale informazione all’interessato.
Essere il punto di contatto degli interessati e gestirne l’esercizio dei diritti.
Il referente di ciascuna area riferisce in materia di protezione dei dati personali circa gli incarichi e le attività di propria competenza.
In CST i referenti privacy sono individuati nelle figure organizzative che coordinano le seguenti aree aziendali:
Area Amministrativa/Risorse Umane
Area Commerciale
Area Acquisti
Area IT
I compiti dei Referenti Privacy sono i seguenti:
Recepire le disposizioni in materia di protezione dei dati personali nella propria area di competenza.
Segnalare al Coordinatore Privacy tematiche inerenti la protezione dei dati su cui è necessario confrontarsi, anche con il coinvolgimento di eventuali Soggetti Autorizzati.
Collaborare con il Coordinatore Privacy nell’identificazione degli adempimenti da porre in essere nell’ambito dalla propria area di competenza e nel monitoraggio dei cambiamenti normativi, affinché possano essere adeguate le disposizioni interne.
Impartire disposizione agli incaricati e ai responsabili affinché le operazioni di trattamento siano effettuate nel rispetto del Regolamento e siano posti in essere gli adempimenti previsti.
Definire, tra gli altri, i tempi di conservazione dei dati in coerenza con le politiche stabilite da CST.
Definire le modalità di archiviazione degli adempimenti affinché gli stessi siano messi a disposizione del Coordinatore Privacy in caso di necessità.
Verificare e monitorare che il trattamento dei dati avvenga effettivamente nel rispetto dei principi del Regolamento, delle disposizioni interne e dell’impianto normativo interno.
Esercitare la facoltà di designare e, sulla base dei poteri conferiti, nominare eventuali Responsabili del Trattamento, riferendo al Coordinatore Privacy in merito alle nomine formalizzate e coinvolgendolo nella redazione di incarichi che presentano caratteristica di unicità rispetto ad incarichi già gestiti.
Esercitare la facoltà di accettare, per conto del Titolare, e sulla base dei poteri conferiti, eventuali nomine di responsabile per trattamenti eseguiti per conto di terzi, riferendo con il Coordinatore Privacy in merito alle nomine accettate e coinvolgendolo nel caso di richieste che presentano caratteristiche di unicità rispetto a quelle già gestite
Fornire la massima disponibilità al Coordinatore Privacy nel caso di attività di audit o di verifica che riguardano la sua area.
Informare tempestivamente il Coordinatore Privacy in caso di identificazione o di sospetto di una violazione (data breach).
Informare tempestivamente il Coordinatore Privacy nel caso un interessato eserciti i propri diritti in base al capo III del Regolamento.
Informare tempestivamente il Coordinatore Privacy nel caso ravvisi eventuali violazioni della normativa, di questa policy o dell’impianto normativo interno.
È un comitato deputato al coordinamento degli aspetti di protezione dei dati personali. Il presidente del comitato è il Coordinatore Privacy, vi partecipano i Referenti Privacy delle funzioni sopraelencate.
Il comitato ha i seguenti compiti:
Riunirsi almeno una volta all’anno, su convocazione del Coordinatore Privacy, allo scopo di analizzare cambiamenti normativi (modifiche alla legge, provvedimenti, pareri e interpretazioni del Garante o di altri soggetti autorevoli, linee guida delle attività di controllo europee, etc.), o questioni relative alla protezione dei dati personali.
Analizzare i cambiamenti interni (organizzativi, logistici, tecnologici, ecc.) e le iniziative interne (ricerche di mercato, iniziative di marketing, organizzazione di convegni, ecc.) nonché i cambiamenti esterni (in seguito a richieste di clienti, di fornitori, o di altri soggetti terzi).
Assegnare compiti e avviare progetti in merito alla protezione dei dati e monitorarne l’avanzamento.
Decidere in merito a questioni relative alla protezione dei dati.
Monitorare l’attuazione delle iniziative avviate.
Si definisce Soggetto Autorizzato qualsiasi lavoratore della Società, con qualsiasi forma contrattuale, che nell’ambito delle proprie mansioni accede a dati personali di persone fisiche, sotto l’autorità del Titolare.
Il Soggetto Autorizzato, nell’ambito del trattamento di dati personali e di qualsiasi altra informazione aziendale, si deve attenere, ai sensi dell’art. 29 del Regolamento, alle istruzioni scritte presenti nella presente policy e nel resto dell’impianto normativo interno applicabile. Il Soggetto Autorizzato, per quanto attiene al trattamento dei dati personali, può riportare a più Referenti Privacy sulla base delle attività svolte.
Ad ogni Soggetto Autorizzato sono attribuiti i seguenti compiti:
Conoscere il contenuto della presente politica e dell’impianto normativo interno applicabile alla sua mansione.
Osservare e attuare le prescrizioni normative, di questa politica e dell’impianto normativo interno applicabile alla sua mansione.
Collaborare con i Referenti Privacy per l’applicazione dei principi del Regolamento e per il miglioramento delle misure di protezione
Rispettare le disposizioni del Referente Privacy in ordine alla gestione dei trattamenti dei dati nell’ambito delle proprie competenze.
Informare tempestivamente il Referente Privacy di competenza in caso di identificazione o di sospetto di una violazione (data breach).
Informare tempestivamente il Referente Privacy di competenza nel caso un interessato eserciti i propri diritti in base al capo III del Regolamento.
Informare tempestivamente il Referente Privacy o il Coordinatore Privacy nel caso ravvisi eventuali violazioni della normativa, di questa policy o dell’impianto normativo interno.
L’Amministratore di Sistema è qualsiasi figura che svolge un ruolo nella gestione dei sistemi informatici (ICT) determinante dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori dei server, gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
La base normativa di riferimento è costituita dal Provvedimento del Garante doc. web n. 1577499, del 27 novembre 2008.
I compiti e le responsabilità dell’Amministratore di Sistema sono definite ai sensi dell’art. 29 del Regolamento, e sono dettagliate all’interno del modulo di nomina appositamente predisposto (Allegato E – Lettera di nomina ad Amministratore di Sistema).
La Società, per il tramite del Coordinatore Privacy, predispone e aggiorna un piano formativo annuale volto alla sensibilizzazione ed informazione di tutti i dipendenti dell’organizzazione riguardo agli obblighi derivanti dal regolamento e da altre disposizioni vigenti in materia di protezione dei dati personali.
Gli interventi formativi previsti dal piano sono comunicati a tutti i soggetti coinvolti quali, in particolare, i Referenti Privacy e i soggetti autorizzati.
Tali attività formative sono organizzate dal Coordinatore Privacy e possono essere erogate direttamente dalla Società oppure da consulenti esperti in materia di data protection. Le sessioni formative possono essere svolte “in aula” ovvero mediante l’utilizzo di strumenti di formazione on-line, e possono essere tenute sia presso la sede della società che presso sedi previste dai fornitori.
Tutti gli Utenti della Società che, per specifiche esigenze lavorative utilizzino ai fini lavorativi dispositivi quali ad esempio desktop, PC portatili, tablet, palmari, telefonini cellulari e altre apparecchiature portatili, devono prestare la massima cura affinché le informazioni contenute in questi strumenti non vengano compromesse.
Gli assegnatari di tali dispositivi non possono prestarli, noleggiarli o comunque darli in uso a terzi, interni o esterni, non assegnatari.
Non possono essere utilizzati desktop o PC portatili personali per l’attività lavorativa. Eventuali eccezioni devono essere autorizzate dalla Società previa consultazione con la funzione IT.
Tutti i dispositivi informatici e le dotazioni (ad esempio PC, smartphone, scrivania, cassettiera, armadi, ecc.) sono assegnati al lavoratore solo ed unicamente per lo svolgimento delle attività lavorative, precisando che tutti i dati e le informazioni contenute sui supporti di vario genere sono di proprietà della Società.
La Società si riserva il diritto di svolgere attività di audit o accedere per ragioni di servizio a tutte le informazioni presenti sugli strumenti utilizzati ai fini lavorativi. Ove possibile, il lavoratore sarà avvisato prima di accedere alle informazioni, altrimenti in un momento successivo a tale accesso.
Ai fini della gestione della sicurezza come l’analisi degli incidenti, l’individuazione di tentativi di intrusione da parte di terzi e la protezione delle informazioni, le attività svolte dagli utenti come l’utilizzo delle risorse informatiche, le attività sui sistemi operativi, la navigazione Internet potrebbero essere tracciate.
La password iniziale deve essere comunicata in modo riservato all’Utente destinatario e deve essere le seguenti caratteristiche:
La lunghezza minima della password deve essere almeno di otto caratteri. Nel caso in cui il sistema non imponga una password di lunghezza minima l’Utente dovrà comunque attenersi alla disposizione.
Le attività di backup dei dati, di conservazione dei supporti di registrazione e di ripristino delle informazioni sono assoggettate alle seguenti regole:
Sono effettuati backup con frequenza almeno settimanale.
La conservazione dei supporti di registrazione dei dati relativi al backup settimanale avviene in un luogo diverso rispetto al luogo in cui sono presenti i server soggetti a backup. La distanza tra i due luoghi deve garantire la sicurezza fisica della conservazione dei dati in caso di eventi di rischio.
Si assicurano tempi di ripristino dei dati coerenti con le esigenze di utilizzo degli stessi dettati dalle attività di business svolte.
Il Coordinatore Privacy si assicura mediante la diffusione del presente documento che tutti gli Utenti siano informati delle politiche di backup applicate dalla società.
L’accesso ai Sistemi Informativi è controllato attraverso un processo formale di creazione, modifica e cancellazione degli account assegnati agli Utenti che prevede il coinvolgimento del business per definire privilegi consoni alla mansione svolta.
A ciascun Utente è attribuito un identificativo unico personale (user-ID) associato ad una password per l’autenticazione. Lo user-ID è definito in modo tale da non fornire alcuna indicazione circa i livelli di autorizzazione concessi al relativo Utente.
L’assegnazione e l’utilizzo di utenze privilegiate è limitato e controllato attraverso apposita procedura in capo al Referente Privacy con il supporto della funzione IT.
CST adotta procedure tali da assicurare che i Soggetti Autorizzati gestiscano le informazioni riducendo al minimo l’utilizzo di supporti cartacei.
Nei casi in cui si renda necessario l’uso di informazioni memorizzate su supporti cartacei, questi sono mantenuti in modo ordinato, avvalendosi di appositi raccoglitori e fascicoli che sono custoditi in apposite armadiature o scaffalature.
Nel caso di informazioni critiche, di dati che appartengono alle categorie particolari o, in generale, di dati che possono avere un impatto sulla libertà e dignità degli interessati, i supporti informativi cartacei sono conservati in specifici armadi dotati di chiusura a chiave con accesso ristretto ai soli soggetti autorizzati.
Per ridurre al minimo i rischi di accesso non autorizzato, perdita e modifica delle informazioni, CST adotta le seguenti norme comportamentali.
Nell’ambito della gestione del software sono adottate le seguenti regole:
La casella di posta elettronica assegnata all'Utente è uno strumento di lavoro e deve essere utilizzata esclusivamente per finalità connesse allo svolgimento dell’attività lavorativa.
L’uso dell’email aziendale è assoggettata al rispetto delle seguenti condizioni:
Sono vietate le comunicazioni di natura privata, personale, per scopi estranei allo svolgimento della prestazione lavorativa e/o di collaborazione.
È vietato inviare, senza le necessarie autorizzazioni, materiale protetto da copyright, o vietato dalle leggi in vigore o dalle procedure aziendali nel loro complesso. Nel caso tale materiale sia ricevuto bisogna prontamente darne informazione al proprio responsabile affinché l’azienda possa prendere gli opportuni provvedimenti.
È’ vietato inviare o inoltrare, sia all’interno dell’azienda, sia ad indirizzi esterni, e-mail con messaggi non attinenti all’attività lavorativa e messaggi con “comunicazioni a catena”. I messaggi sospetti (anche indicanti eventuali modalità di rimozione di virus, o con link sospetti) devono essere prontamente segnalati alla funzione IT, evitando di cliccare su link o su allegati.
È vietata la configurazione di client di posta del PC o del Laptop aziendale per accedere alla posta da account non aziendali. Questi possono eventualmente essere acceduti in situazioni di eccezionalità al di fuori dell’orario lavorativo attraverso il browser Internet installato, fermo restando il divieto assoluto di scaricarne gli allegati.
È vietato creare o trasmettere e-mail con contenuti discriminatori, offensivi o in qualunque modo lesivi della dignità umana.
È vietato richiedere l’invio dall’esterno o inviare all’esterno applicativi software.
È vietato utilizzare strumenti di scambio documenti via e-mail non autorizzati a livello aziendale.
Non aprire e-mail e/o allegati con contenuti anomali o sospetti (es. mittenti non aziendali sconosciuti, oppure e-mail con oggetto non coerente con quanto inviato normalmente dal mittente, con descrizione mittente non coerente con indirizzo e-mail del mittente).
Non inviare via posta elettronica le proprie credenziali o le password a destinatari interni o esterni.
Non comunicare la propria password personale di posta, ad alcuno, in nessuna circostanza.
La funzione IT non definisce dei limiti massimi di dimensione delle caselle di posta elettronica in quanto i medesimi vengono archiviati automaticamente ogni 30 giorni.
L’accesso a Internet è consentito esclusivamente per finalità strettamente connesse allo svolgimento della propria attività lavorativa.
Di seguito sono elencate le condizioni per l’utilizzo di Internet.
Il download e l’utilizzo di documenti provenienti da siti web o http nonché il download e l’upload di archivi e file di cui la Società deve possedere regolare licenza o deve comunque essere autorizzata da terzi.
La registrazione a siti e a servizi di newsletter necessari all’attività deve essere autorizzata dalla Società.
La partecipazione a forum professionali e bacheche elettroniche necessarie all’attività lavorativa deve essere autorizzata dalla Società.
L’utilizzo del canale di internet banking deve essere consentito solo ed esclusivamente al personale esplicitamente autorizzato.
L’utilizzo di Internet per scopi diversi da quelli esplicitati dalla Società è vietato.
Non può essere fatto alcun utilizzo di Internet in violazione della normativa vigente.
Non può essere fatto alcun utilizzo di Internet per fini diversi da quelli lavorativi per attività relative alla Società.
Non può essere fatto il download e l’utilizzo di crack, patch, script o applicativi atti ad aggirare o inibire, in qualsiasi modo, protezioni hardware e software ovvero ad ottenere privilegi d’accesso a qualsiasi risorsa di rete non regolarmente attribuiti.
Non può essere utilizzato software peer-to-peer per lo scambio di file.
Non possono essere utilizzati instant messaging al di fuori degli strumenti aziendali il cui utilizzo è limitato alle attività lavorative.
È vietata la navigazione in siti con contenuti pornografici, pedopornografici, osceni, discriminatori, razzisti o che ledano in qualsiasi modo la dignità individuale.
È vietato rivelare o diffondere al pubblico informazioni confidenziali o di proprietà della Società.
Non può essere spedito, ricevuto o promosso materiale che possa essere dannoso, molesto o intimidatorio per altre persone.
È vietato l’uso di Internet ai fini di gaming.
È vietato scaricare materiale in violazione del diritto d’autore.
È vietato scaricare file audio o video non attinenti all’attività lavorativa.
È vietato scaricare autonomamente software, anche se provvisto di regolare licenza d’uso. Nei casi sia necessario deve essere contattata la funzione IT.
È vietato modificare o mascherare le impostazioni di rete assegnate (i.e. IP address) o aggirare o disabilitare i dispositivi preposti alla gestione della sicurezza e delle comunicazioni in rete (i.e. Firewall, Proxy, Router, ecc.).
Il processo di Data Protection Governance deve garantire il tempestivo e corretto adeguamento del sistema di gestione della protezione dei dati personali ai cambiamenti normativi (modifiche alla legge, provvedimenti, pareri e interpretazioni del Garante o di altri soggetti autorevoli, linee guida delle attività di controllo europee, etc.), alle modifiche interne (organizzativi, logistici, tecnologici, ecc.), a nuove iniziative della Società (ricerche di mercato, iniziative di marketing, organizzazione di convegni, ecc.), alle dinamiche del contesto esterno (in seguito a richieste di clienti, di fornitori, o di altri soggetti terzi).
Il processo di Data Protection Governance è attuato principalmente attraverso i comunicati e gli incontri annuali del Comitato il cui scopo è appunto compiere analisi e orientare le questioni relative alla protezione dei dati personali, assegnare compiti e avviare progetti, secondo le prassi di autorizzazione in essere, in merito alla protezione dei dati e monitorarne l’avanzamento.
|
Attività |
Owner |
Tempi |
|
Organizzazione degli incontri annuali del Comitato, convocazione dei Referenti Privacy e della relativa agenda |
Coordinatore Privacy |
n/a |
|
Partecipazione agli incontri, analisi dei cambiamenti, definizione di iniziative o progetti inerenti la protezione dei dati personali e follow-up sulle attività in corso. |
Comitato Privacy |
n/a |
|
Formalizzazione del verbale del Comitato |
Coordinatore Privacy |
Entro una settimana dalla riunione |
|
Tenuta degli archivi dei verbali |
Coordinatore Privacy |
n/a |
Per “violazione di dati personali” o “data breach” si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Come previsto dall’articolo 33 del GDPR in materia di notifica di violazione dei dati personali di persone fisiche, il Titolare del trattamento deve notificare ogni violazione all'Autorità di Controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, essa deve essere corredata con i motivi del ritardo.
Pertanto, chiunque venga a conoscenza di una violazione di dati personali deve darne tempestiva comunicazione via email al Coordinatore Privacy fornendo dettagliata descrizione. La comunicazione al Coordinatore Privacy può anche avvenire tramite il Referente Privacy dell’area interessata. Nell’eventualità di una violazione riguardante il trattamento dei dati personali affidato ad un Responsabile esterno, sarà quest’ultimo a dover informare tempestivamente il Coordinatore Privacy di CST non appena venuto a conoscenza della violazione.
A titolo esemplificativo si riportano di seguito alcune casistiche di violazione di dati personali:
La notifica di violazione dei dati personali di persone fisiche all’autorità di controllo deve avere i seguenti contenuti minimi:
Qualora la violazione dei dati personali possa rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve comunicare la violazione all'interessato senza ingiustificato ritardo (Articolo 34 del GDPR).
La comunicazione all'interessato di una violazione dei dati personali deve descrivere con un linguaggio semplice e chiaro la natura della violazione dei dati personali e deve contenere almeno le seguenti informazioni:
La Comunicazione della violazione dei dati personali all'interessato non è obbligatoria se è soddisfatta una delle seguenti condizioni:
|
Attività |
Owner |
Tempi |
|
Identificazione o sospetto dell’evento di data breach |
Chiunque |
n/a |
|
Comunicazione scritta (e-mail) al Coordinatore Privacy, eventualmente per mezzo del Referente Privacy competente |
Chiunque |
Al sospetto dell’avvenuto evento e comunque non oltre 2h |
|
Creazione di un Comitato di Crisi attraverso l’identificazione dei soggetti che possono dare un contributo determinante all’esecuzione dell’analisi dell’evento. Il Comitato di Crisi deve includere al minimo il Coordinatore Privacy, il Referente Privacy dell’area impattata ed un referente IT. |
Coordinatore Privacy |
Dopo una pre-analisi e comunque non oltre le 4h |
|
In caso affermativo il Comitato di Crisi esegue l’analisi e la valutazione del rischio per i diritti e le libertà delle persone fisiche e prevede la raccolta e la verifica delle seguenti informazioni:
I rischi che possono determinare l’obbligo di notifica prevedono che la violazione possa causare danni fisici, materiali o immateriali alla persona fisica, quali a titolo esemplificativo e non esaustivo:
|
Comitato di Crisi |
Entro il secondo giorno (48h) |
|
A seconda della valutazione che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche, sono previste le seguenti attività:
|
Coordinatore Privacy |
Entro le 72 ore dall’identificazione dell’evento |
|
Tenuta di un registro degli eventi e redazione dei verbali |
Coordinatore Privacy |
n/a |
|
Predisposizione di un fascicolo sull’evento da esibirsi, su richiesta, al Garante |
Coordinatore Privacy |
Entro 5 gg dalla notifica |
Il Capo III del Regolamento disciplina i diritti dell’interessato, che sono declinati come segue:
Il diritto ad essere informato dell’esecuzione dei trattamenti, sia nel caso in cui l’acquisizione dei dati siano presso l’interessato, sia nel caso in cui l’acquisizione dei dati sia presso una terza parte. Il diritto all’informazione dell’interessato deve includere anche la modalità chiara per l’esercizio dei propri diritti (artt. 12, 13 e 14 del Regolamento).
Il diritto di accesso dell’interessato (art. 15 del Regolamento) in base al quale l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali. In questo caso deve essere informato in merito all’esistenza di garanzie adeguate; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un'autorità di controllo; g) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine; h) l'esistenza di un processo decisionale automatizzato, compresa la profilazione […].
Il diritto di rettifica (art. 16 del Regolamento) in base al quale l'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa
Il diritto alla cancellazione («diritto all'oblio») (art. 17 del Regolamento) in base al quale l'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano, se sussiste uno dei motivi seguenti: a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) l'interessato revoca il consenso su cui si basa il trattamento come unico fondamento giuridico c) l'interessato esercita il diritto di opposizione; d) i dati personali sono stati trattati illecitamente; e) i dati personali devono essere cancellati per adempiere un obbligo legale; f) i dati personali riguardano un minore di anni 16 e sono stati raccolti relativamente all'offerta di servizi della società dell'informazione. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione, adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. I diritti alla cancellazione non si applicano nella misura in cui il trattamento sia necessario: a) per l'esercizio del diritto alla libertà di espressione e di informazione; b) per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento; c) per motivi di interesse pubblico nel settore della sanità pubblica; d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici; e) per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
Il diritto alla limitazione (art. 18 del Regolamento) in base al quale, nei casi previsti dall’articolo, come situazione transitoria o su richiesta dell’interessato, l'interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento (ovvero una sospensione temporanea che può divenire definita nel caso si verifichino i presupposti per cui viene chiesta la limitazione).
L’obbligo, da parte del titolare, di notificare a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all'interessato tali destinatari qualora l'interessato lo richieda (art. 19 del Regolamento).
L'interessato ha il diritto della portabilità (art. 20 del Regolamento), ovvero di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora il trattamento si basi sul consenso o su un contratto ai sensi dell'articolo ed il trattamento sia effettuato con mezzi automatizzati.
L’interessato ha il diritto di opposizione (art. 21 del Regolamento), ovvero si può opporre in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano nei casi in cui lo stesso si basi sull’esercizio del legittimo interesse del titolare e nel caso in cui i dati personali siano trattati per finalità di marketing, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto (l’articolo precisa ulteriori casi non ritenuti applicabili alla Società).
L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Quanto sopra non si applica se il trattamento è eseguito nell’esecuzione di un contratto tra interessato e titolare, se autorizzato del diritto dell’Unione e se si basa sul consenso esplicito dell’interessato.
I Referenti Privacy, supportati dal Coordinatore Privacy, verificano che i trattamenti siano eseguiti previa la fornitura, ove dovuta, della necessaria informativa.
In caso di esercizio da parte dell’interessato di uno o più dei propri diritti (portabilità, opposizione, trattamento automatico), il titolare fornisce risposta entro 30 giorni dalla ricezione della richiesta. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, dandone informazione all’interessato entro 30 giorni dal ricevimento della richiesta.
|
Attività |
Owner |
Tempi |
|
Ricezione dell’esercizio dei diritti da parte dell’interessato |
Chiunque |
n/a |
|
Comunicazione al Coordinatore Privacy, eventualmente per mezzo del Referente Privacy |
Chiunque |
All’avvenuto evento e comunque non oltre 1 giorno |
|
Creazione del Gruppo di Risposta, attraverso l’identificazione dei soggetti che per poteri o informazioni possono dare un contributo determinante all’esecuzione di quanto segue. Il Gruppo di Risposta deve includere al minimo il Coordinatore Privacy, il Referente Privacy dell’area impattata ed un referente per funzione IT. |
Coordinatore Privacy |
Dopo una pre-analisi e comunque non oltre 2 giorni |
|
Definisce un piano di lavoro per l’analisi della richiesta. Il piano di lavoro include la definizione di un piano di comunicazione. |
Gruppo di Risposta |
Dopo una pre-analisi e comunque non oltre 2 giorni |
|
Riscontro all’interessato |
Coordinatore Privacy |
Entro 30 giorni dalla richiesta dell’interessato |
|
Eventuale notifica ad altri titolari |
Coordinatore Privacy |
Entro 15 giorni dalla richiesta dell’interessato |
|
Tenuta di un registro degli eventi e redazione dei verbali |
Coordinatore Privacy |
n/a |
|
Predisposizione di un fascicolo sull’evento da esibirsi, su richiesta al Garante |
Coordinatore Privacy |
Entro 5 gg dal riscontro all’interessato |
L’evoluzione tecnologica dei sistemi per l’informazione sta portando ad una più veloce e più profonda condivisione delle informazioni e dei dati. Tra questi vi sono i dati personali, relativi alle persone fisiche. Tali dati non sono limitati ai dati identificativi, ma sono costituiti da qualsiasi informazione che ci riguarda. Ad esempio attraverso anche la semplice navigazione in Internet, senza nemmeno accorgerci, divulghiamo i nostri dati personali che possono essere utilizzati per studiare le nostre abitudini di consumo. L’evoluzione della normativa in materia di protezione dei dati mira a definire delle regole per limitare questa invasività nella vita personale, pur riconoscendo i diritti delle società a svolgere attività di marketing.
L’Europa si è fatta promotrice di una serie di iniziative a livello normativo. Dalla Convenzione di Strasburgo (n. 108 del 28/01/81), ratificata con la L. 98 del 21/02/1989, all’accordo di Schengen e successivamente alla Direttiva 95/46/CE e alla Direttiva 2002/58/CE, ispiratrici dell’attuale Codice Privacy, D.Lgs. 196/2003.
Nel 2016 è stato pubblicato il Regolamento generale sulla protezione dei dati, Regolamento UE 2016/679, (di seguito “Regolamento”, o “GDPR” – General Data Protection Regulation –), primo tassello di una serie di riforme attraverso le quali la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione Europea e dei residenti nell'Unione Europea, sia all'interno che all'esterno dei confini dell'Unione europea (UE).
Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, ha efficacia dal 25 maggio 2018. Il GDPR abroga la direttiva sulla protezione dei dati (Direttiva 95/46/EC).
Il Regolamento sancisce i seguenti principi applicabili ai dati personali (art. 5).
I dati personali sono:
trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; […] («limitazione della finalità»);
adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; […] («limitazione della conservazione»);
trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
La società, nella sua qualità di titolare del trattamento, è competente per il rispetto di tali principi e in grado di comprovarlo («responsabilizzazione»).
Sulla base di quanto definito dal Regolamento nell’art. 6, il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona; salvo che non ricorra uno dei seguenti casi:
l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto […]
il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato;
il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;
il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato;
il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;
il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri […];
il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali […];
il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica […];
il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici […].
Secondo quanto definito dall’art. 10 il trattamento dei dati personali relativi alle condanne penali e ai reati […] deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica
Il Codice Privacy prevedeva che i dati personali potessero essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti e trattati.
Uno degli adempimenti espressamente previsti dal Regolamento che ha un impatto rilevante sia dal punto di vista organizzativo (ad esempio, definizione della policy), sia per gli interventi richiesti per l’adeguamento dei sistemi informativi, è quello legato alla definizione dei tempi di conservazione dei dati ed alla loro conseguente cancellazione al termine di questi.
L’art. 13, 2 comma, lett. a), del Regolamento prevede di indicare un periodo di conservazione dei dati personali oppure, laddove non possibile, i criteri utilizzati per determinare tale periodo.
La determinazione dei tempi di conservazione può avvenire in base ad una normativa, o in base ad una valutazione del Titolare laddove una norma non esista. In questo secondo caso il Titolare dovrà giustificare i tempi di conservazione da lui determinati, purché proporzionato rispetto alla finalità del trattamento.
Per tale ragione il medesimo dato, se utilizzato per finalità differenti, potrebbe avere tempi di conservazione diversi, che devono essere opportunamente gestiti.
Il Regolamento, oltre a confermare la definizione di un’autorità di controllo per ogni Stato Membro, ne disciplina la competenza, i compiti ed i poteri e disciplina inoltre i protocolli di comunicazione tra autorità a livello europeo ed i relativi meccanismi di coordinamento.
In Italia l’autorità di controllo prende nome di Garante per la protezione dei dati personali.
Il Regolamento istituisce inoltre a livello europeo il Comitato Europeo per la protezione dei dati, composto dal vertice delle autorità di controllo locali al quale assegna maggiori poteri rispetto a quelli posseduti dal gruppo di lavoro dei garanti ex art. 29 della Direttiva 95/46/CE, detto WP29.
Nel corso delle proprie attività e dei servizi erogati, la Società si trova a trattare dati personali in qualità sia di Titolare del trattamento sia di Responsabile del trattamento. Nello specifico si fornisce un elenco dei trattamenti dei dati personali individuati ed emersi all’interno dell’organizzazione:
|
Titolare |
Funzione e descrizione attività |
Finalità del trattamento |
Categorie di Responsabili |
Periodo di conservazione |
|
CST S.r.l. |
Risorse Umane - Amministrazione del personale: Gestione rapporto contrattuale, gestione anagrafica, gestione adempimenti fiscali, previdenziali e assicurativi, gestione richieste (ferie, assenze, maternità, permessi) |
Instaurazione e gestione del rapporto di lavoro |
-Studio di consulenza del lavoro che gestisce paghe e contributi; -Società che gestiscono gli adempimenti fiscali; -Società che gestiscono i buoni/pasto; |
Termini di legge in materia civile e fiscale |
|
CST S.r.l. |
Risorse Umane - Gestione del personale: Gestione formazione del personale (piano di formazione, esiti della formazione e valutazioni periodiche), gestione organizzazione interna; gestione valutazione dei risultati. |
Gestione del rapporto di lavoro |
/ |
Termini di legge in materia civile e fiscale |
|
CST S.r.l. |
Risorse Umane - Ricerca e selezione del personale: Gestione del rapporto con il candidato (raccolta delle esigenze, reclutamento, realizzazione colloquio) |
Ricerca e selezione del personale |
Società di recruiting |
Per tutta la durata del processo di selezione e, successivamente, per 5 anni. |
|
CST S.r.l. |
Amministrazione, Finanza e Controllo - Gestione fatturazione ciclo attivo |
Gestione adempimenti amministrativo-contabili |
/ |
Termini di legge in materia civile e fiscale |
|
CST S.r.l. |
Amministrazione, Finanza e Controllo - Gestione fatturazione ciclo passivo. |
Gestione adempimenti amministrativo-contabili |
/ |
Termini di legge in materia civile e fiscale |
|
CST S.r.l. |
Amministrazione, Finanza e Controllo - Gestione tesoreria (gestione cassa e pagamenti) |
Gestione adempimenti amministrativo-contabili |
/ |
Termini di legge in materia civile e fiscale |
|
CST S.r.l. |
Amministrazione, Finanza e Controllo – Gestione rischio di credito/solvibilità del Cliente |
Gestione rischio di credito |
/ |
Termini di legge in materia civile e fiscale |
|
CST S.r.l. |
Salute e sicurezza sul lavoro - Gestione salute e sicurezza sul lavoro: Gestione sorveglianza sanitaria, gestione denunce malattie professionali, gestione infortuni, gestione primo soccorso |
Gestione salute e sicurezza sul lavoro |
/ |
Termini di legge in materia civile e fiscale |
|
CST S.r.l. |
Facility Management - Gestione del sistema di videosorveglianza |
Sicurezza del lavoro e tutela del patrimonio aziendale |
Società che si occupano di servizi di manutenzione del sistema di videosorveglianza |
[…] |
|
CST S.r.l. |
Commerciale – Gestione del rapporto con il Cliente: Gestione delle offerte commerciali, gestione anagrafica e gestione del rapporto con il Cliente |
Instaurazione e gestione del rapporto commerciale |
/ |
Termini di legge in materia civile e fiscale |
|
CST S.r.l. |
Acquisti – Gestione del rapporto con il Fornitore: Gestione selezione ed anagrafica dei fornitori, gestione contrattualizzazione e gestione ordini di acquisto |
Instaurazione e gestione del rapporto di approvvigionamento |
/ |
Termini di legge in materia civile e fiscale |
|
CST S.r.l. |
Acquisti – Gestione qualifica del Fornitore: Gestione qualifica dei dipendenti del Fornitore |
Gestione del rapporto con il Fornitore |
/ |
Termini di legge in materia civile e fiscale |
|
CST S.r.l. |
Legale – Gestione dei contenziosi: Gestione dei contenziosi stragiudiziali e giudiziali di qualsiasi natura |
Tutelare un diritto in sede giudiziale |
/ |
Per tutta la durata del contenzioso |
|
CST S.r.l. |
Sistemi Informativi – Gestione della sicurezza informatica: Gestione sicurezza informatica e di rete, del log management (ivi inclusi i log degli amministratori di sistema) e del controllo dei flussi comunicativi (e.g. darktrace) |
Tutela del patrimonio informativo aziendale |
Società che si occupano di fornire i servizi informatici |
1 anno dalla generazione del log |
|
CST S.r.l. |
Sistemi Informativi – Gestione strumenti informatici: Gestione dei sistemi e processi informatici (es. applicativi di gestione amministrativa) |
Tutela del patrimonio informativo aziendale |
Società che si occupano di fornire i servizi informatici |
Termini di legge in materia civile e fiscale |
|
CST S.r.l. |
Sistemi Informativi – Gestione della posta elettronica aziendale dei dipendenti |
Gestione del rapporto di lavoro |
Società che si occupano di fornire i servizi informatici |
6 mesi dalla cessazione del rapporto di lavoro |
|
CST S.r.l. |
Sistemi Informativi – Gestione sistemi informatici: Supporto IT on-site e remoto (es. help desk/assistenza tecnica) |
Supporto assistenza IT |
Società che si occupano di fornire i servizi informatici |
Termini di legge in materia civile e fiscale |
|
CST S.r.l. |
Marketing - Gestione del sito: Gestione del sito internet aziendale della società (es. cookie) |
Marketing |
Società che si occupano di fornire il sito aziendale |
Si rimanda alla cookie policy del sito |
|
Responsabile |
Titolare del trattamento |
Funzione/Processo |
Descrizione attività |
Finalità del trattamento |
|
CST S.r.l. |
Banca/Cliente |
Operations – Gestione della rendicontazione dei versamenti |
Controllo e verifica della rendicontazione delle operazioni, nello specifico dei versamenti, eseguite nello sportello ATM |
Gestione rendicontazione sportelli ATM |
Tale elenco viene mantenuto a cura della Società e sarà oggetto di aggiornamento laddove il trattamento dei dati personali dovesse venire meno oppure qualora un nuovo trattamento di dati personali dovesse emergere. Decorsi i termini di conservazione suindicati, sono adottate misure ragionevoli affinché i dati siano distrutti, cancellati o resi anonimi, compatibilmente con le procedure tecniche di cancellazione e backup, e quindi definitivamente non identificabili. In particolare, si utilizzeranno le seguenti modalità:
|
Ragione sociale |
Finalità del trattamento |
Categorie di dati personali trattati |
Categorie di soggetti interessati dal trattamento |
Consegna della lettera di designazione |
|
QUANTICO |
SVILUPPO SOFTWARE |
DATI ANAGRAFICI, CONTATTI |
|
|
|
GDC INFORMATICA |
SVILUPPO SOFTWARE |
DATI ANAGRAFICI, CONTATTI |
|
|
|
AMMINISTRATORE SISTEMA |
INFRASTRUTTURA HARDWARE |
|
|
|
|
COORDINATORE PRIVACY |
COORDINAMENTO |
|
|
|