Quantcast
Site overlay Logo
gdpr image

Privacy e politica di protezione dei dati personali

 
1. Introduzione
 
Quotidianamente, HELLENIC DAIRIES ITALIA fa uso di una varietà di dati su individui identificabili, inclusi dati su:
 
• Dipendenti attuali, passati e futuri
• Studenti attuali, passati e futuri
• Insegnanti attuali, passati e futuri
• Altri clienti
• Utenti dei suoi siti Web
• Fornitori / subappaltatori / soci d'affari
• Altre parti interessate
 
Nel raccogliere e utilizzare questi dati, l'organizzazione è soggetta a una varietà di leggi che controllano il modo in cui tali attività possono essere svolte e le garanzie che devono essere messe in atto per proteggerli.
 
Lo scopo di questa policy è quello di stabilire la legislazione pertinente e di descrivere i passi che HELLENIC DAIRIES ITALIA sta adottando per garantire che sia conforme ad essa.
 
Questo controllo si applica a tutti i sistemi, persone e processi che costituiscono i sistemi informativi dell'organizzazione, inclusi membri del consiglio di amministrazione, direttori, impiegati, fornitori, studenti, insegnanti e altre terze parti che hanno accesso ai sistemi di HELLENIC DAIRIES ITALIA.
 
Le seguenti policy e procedure sono rilevanti per questo documento:
 
• Processo di valutazione dell'impatto della protezione dei dati
• Procedura di mappatura dei dati personali
• Procedura di risposta agli incidenti di sicurezza delle informazioni
• Ruoli, responsabilità e autorità del GDPR
• Politica di conservazione e protezione dei registri


Informativa sulla privacy e sulla protezione dei dati personali
 
1.1 Il regolamento generale sulla protezione dei dati
 
Il Regolamento generale sulla protezione dei dati 679/2016 (GDPR) è una delle leggi più significative che incidono sul modo in cui HELLENIC DAIRIES ITALIA svolge le sue attività di elaborazione delle informazioni. Multe significative potranno essere applicate se si ritiene che si sia verificata una violazione ai sensi del GDPR, che è progettato per proteggere i dati personali delle persone nell'Unione europea. È politicy di HELLENIC DAIRIES ITALIA garantire che la conformità al GDPR e ad altre normative pertinenti sia chiara e dimostrabile in ogni momento.
 
1.2 Definizioni
 
Ci sono un totale di 26 definizioni elencate nel GDPR e non è appropriato riprodurle tutte qui. Tuttavia, le definizioni più fondamentali rispetto a questa politicy sono elencate di seguito.
 
I dati personali sono definiti come:
 
qualsiasi informazione relativa a una persona fisica identificata o identificabile ("soggetto dei dati"); una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un identificatore come un nome, un numero di identificazione, dati sulla posizione, un identificatore online o uno o più fattori specifici del fisico, fisiologico, identità genetica, mentale, economica, culturale o sociale di quella persona fisica;
 
"Elaborazione" significa:
 
qualsiasi operazione o insieme di operazioni eseguite su dati personali o su insiemi di dati personali, anche con mezzi automatizzati, come raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o alterazione, recupero, consultazione, uso, divulgazione da trasmissione, diffusione o messa a disposizione in altro modo, allineamento o combinazione, limitazione, cancellazione o distruzione;
 
"Controller" significa:
 
la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro ente che, da solo o congiuntamente con altri, determina le finalità e le modalità del trattamento dei dati personali; se le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il responsabile del trattamento o i criteri specifici per la sua nomina possono essere previsti dal diritto dell'Unione o degli Stati membri;

1.3 Principi relativi al trattamento dei dati personali
 
Esistono numerosi principi fondamentali su cui si basa il GDPR.
 
1. I dati personali sono:
 
a) trattati in modo lecito, equo e trasparente nei confronti dell'interessato ("liceità, equità e trasparenza");
 
(b) raccolti per scopi determinati, espliciti e legittimi e non ulteriormente trattati in modo incompatibile con tali scopi; l'ulteriore elaborazione a fini di archiviazione nell'interesse pubblico, a fini di ricerca scientifica o storica o a fini statistici, ai sensi dell'articolo 89, paragrafo 1, non è considerata incompatibile con le finalità iniziali ("limitazione delle finalità");
 
(c) adeguato, pertinente e limitato a quanto necessario in relazione alle finalità per le quali sono trattati ("minimizzazione dei dati");
 
(d) accurate e, ove necessario, aggiornate; è necessario prendere tutte le misure ragionevoli per garantire che i dati personali che sono inesatti, tenendo conto delle finalità per le quali vengono elaborati, vengano cancellati o rettificati senza indugio ("accuratezza");
 
(e) tenuto in una forma che consenta l'identificazione delle persone interessate per un periodo non superiore a quello necessario per le finalità per le quali i dati personali sono trattati; i dati personali possono essere conservati per periodi più lunghi nella misura in cui i dati personali saranno trattati esclusivamente a fini di archiviazione nell'interesse pubblico, scopi di ricerca scientifica o storica o scopi statistici ai sensi dell'articolo 89, paragrafo 1, subordinatamente all'attuazione degli opportuni aspetti tecnici e organizzativi misure previste dal presente regolamento al fine di salvaguardare i diritti e le libertà dell'interessato ("limitazione della conservazione");
 
(f) trattati in modo da garantire un'adeguata sicurezza dei dati personali, inclusa la protezione da trattamenti non autorizzati o illeciti e da perdite, distruzioni o danni accidentali, utilizzando adeguate misure tecniche o organizzative ("integrità e riservatezza").
 
2. Il responsabile del trattamento è responsabile e in grado di dimostrare la conformità con il paragrafo 1 ("responsabilità").
 
HELLENIC DAIRIES ITALIA deve garantire che rispetti tutti questi principi sia nei processi che esegue attualmente sia come parte dell'introduzione di nuovi metodi di elaborazione come i nuovi sistemi IT. Il funzionamento di un sistema di gestione della sicurezza delle informazioni (ISMS) conforme allo standard internazionale ISO / IEC 27001 è una parte fondamentale di tale impegno

1.4 Diritti dell'individuo
 
L'interessato ha anche diritti ai sensi del GDPR. Questi consistono in:
 
1. Il diritto di essere informato
2. Il diritto di accesso
3. Il diritto alla rettifica
4. Il diritto alla cancellazione
5. Il diritto di limitare l'elaborazione
6. Il diritto alla portabilità dei dati
7. Il diritto di opposizione
8. Diritti relativi al processo decisionale automatizzato e alla profilazione.
 
Ognuno di questi diritti è supportato da appropriate procedure all'interno di HELLENIC DAIRIES ITALIA che consentono di intraprendere le azioni richieste entro i termini indicati nel GDPR.
 
Questi tempi sono mostrati nella Tabella 1.

Data richiesta

Tempistiche

Diritto ad essere informati

Quando i dati vengono raccolti (se forniti dall'interessato) o entro un mese (se non forniti dall'interessato)

Diritto di accesso

Un mese

Diritto alla rettifica

Un mese

Diritto di cancellazione

Senza indebito ritardo

Diritto di limitare l’elaborazione

Senza indebito ritardo

Diritto alla portabilità dei dati

Un mese

Diritto di opposizione

Al ricevimento dell’obiezione

Diritti relativi al processo decisionale automatizzato e alla profilazione

Non specificato


1.5 consenso
 
A meno che non sia necessario per un motivo consentito dal GDPR, è necessario ottenere un consenso esplicito dall’interessato per raccogliere ed elaborare i suoi dati. In caso di minori di età inferiore ai 16 anni deve essere ottenuto il consenso dei genitori. Le informazioni sul nostro utilizzo dei dati personali devono essere fornite agli interessati in maniera trasparente nel momento in cui viene ottenuto il loro consenso contestualmente devono essere spiegati i loro diritti in relazione ai loro dati, come il diritto di revocare il consenso. Queste informazioni devono essere fornite in una forma accessibile, scritta in un linguaggio chiaro e a titolo gratuito.
 
Se i dati personali non vengono ottenuti direttamente dall'interessato, tali informazioni devono essere fornite entro un termine ragionevole dopo l'ottenimento dei dati e non oltre un mese.

1.6 Privacy by design
 
HELLENIC DAIRIES ITALIA ha adottato il principio della privacy by design, sulla base di questo garantirà che la definizione e la pianificazione di tutti i sistemi che raccolgono o elaborano i dati personali siano soggetti alla debita considerazione dei problemi di privacy, incluso il completamento di uno o più valutazioni d'impatto sulla protezione dei dati.
 
La valutazione d'impatto sulla protezione dei dati includerà:
 
• Considerazione di come verranno trattati i dati personali e per quali scopi
• Valutazione se il trattamento proposto di dati personali sia necessario e proporzionato alle finalità
• Valutazione dei rischi per le persone nel trattamento dei dati personali
• Quali controlli siano necessari per affrontare i rischi identificati e dimostrazione della conformità alla legislazione
 
L'uso di tecniche quali la minimizzazione dei dati e la pseudonimizzazione dovrebbe essere considerato ove applicabile e appropriato.

1.7 Trasferimento di dati personali
 
I trasferimenti di dati personali al di fuori dell'Unione Europea devono essere attentamente esaminati prima che il trasferimento abbia luogo per assicurarsi che rientrino nei limiti imposti dal GDPR. Ciò dipende in parte dal giudizio della Commissione europea in merito all'adeguatezza delle garanzie sui dati personali applicabili nel paese di destinazione e ciò può cambiare nel tempo.
 
I trasferimenti internazionali di dati all'interno di un gruppo devono essere soggetti ad accordi giuridicamente vincolanti denominati Regole aziendali vincolanti (BCR) che prevedono diritti esecutivi per gli interessati.

1.8 Notifica di violazione
 
La politica di HELLENIC DAIRIES ITALIA deve essere equa e proporzionata nell’eventualità in cui si considerino le azioni da intraprendere per informare le parti interessate in merito alla violazione dei dati personali. In linea con il GDPR, in cui è noto che questa violazione può comportare un rischio per i diritti e le libertà delle persone, l'autorità competente per la protezione dei dati (DPA) verrà informata entro 72 ore. Questo verrà gestito in conformità con la nostra Procedura di risposta agli incidenti di sicurezza delle informazioni che stabilisce il processo generale di gestione degli incidenti di sicurezza delle informazioni. Ai sensi del GDPR, la DPA competente ha l'autorità di imporre una serie di multe fino al quattro percento del fatturato mondiale annuo o di venti milioni di euro, a seconda di quale sia il più elevato, in caso di violazione delle norme.

1.9 Conformità al GDPR
 
Le seguenti azioni sono intraprese per garantire che HELLENIC DAIRIES ITALIA rispetti in ogni momento il principio di responsabilità del GDPR:
 
• La base giuridica per il trattamento dei dati personali è chiara e inequivocabile
• Tutto il personale coinvolto nella gestione dei dati personali ha ben chiare le proprie responsabilità nel seguire le buone pratiche di protezione dei dati
• La formazione sulla protezione dei dati è stata fornita a tutto il personale
• Vengono seguite le regole relative al consenso
• Sono disponibili percorsi per gli interessati che desiderano esercitare i propri diritti in merito ai dati personali e tali richieste vengono gestite in modo efficace
• Vengono eseguite revisioni periodiche delle procedure relative ai dati personali
• La privacy by design è adottata per tutti i sistemi e processi 
• Viene registrata la seguente documentazione relativa alle attività di elaborazione:
o Nome dell'organizzazione e dettagli pertinenti
o Finalità del trattamento dei dati personali
o Categorie di persone e dati personali trattati
o Categorie di destinatari di dati personali
o Accordi e meccanismi per il trasferimento di dati personali verso paesi terzi, inclusi dettagli sui controlli in atto
o Programmi di conservazione dei dati personali
o Controlli tecnici e organizzativi pertinenti in atto
 
Queste azioni saranno riviste periodicamente nell'ambito del processo di revisione della gestione del Programma di protezione dei dati personali.