Politica di protezione dei dati
POLITICA DI PROTEZIONE DEI DATI
20 novembre 2021
È importante che vi prendiate il tempo necessario per familiarizzare con gli aspetti generali della protezione dei dati contenuti in questa politica, nonché con le misure specifiche raccomandate dal vostro dipartimento e pertinenti alla particolare natura del vostro lavoro. Ulteriori informazioni e consigli possono essere richiesti al Responsabile della protezione dei dati.
Gaëtan Bio
Chemin du Creux-Bechet 6, 1096 Villette, Svizzera T: +41 (0)79 847 91 55
INTRODUZIONE
Nel corso delle nostre attività quotidiane, tutti noi creiamo, raccogliamo, archiviamo ed elaboriamo grandi quantità di dati su una varietà di soggetti, come il personale, i fornitori e i membri del pubblico. Il nostro utilizzo dei dati personali spazia dal trattamento dei dati degli utenti del sito web durante tutto il loro percorso, dalla registrazione all'utilizzo effettivo delle varie funzioni della piattaforma My Eco Best Friend, fino al localizzatore GPS per l'eco-mobilità, o alle transazioni finanziarie relative all'acquisto sull'eco-negozio, indipendentemente dal fatto che lo facciamo elettronicamente o infilando la carta negli schedari.
Poiché la registrazione e l'utilizzo dei dati continuano ad aumentare e la privacy dei dati viene presa sempre più sul serio, è più importante che mai che ogni membro della società My Eco Best Friend comprenda le leggi esistenti in materia di protezione dei dati e le nostre responsabilità nel garantire che i dati siano protetti ed elaborati in linea con tali leggi.
AMBITO DI APPLICAZIONE
Questa politica si applica a tutto il personale di My Eco Best Friend e a tutti gli altri utenti di computer e reti autorizzati da My Eco Best Friend. Si riferisce al loro uso di tutte le strutture di My Eco Best Friend; a tutti i sistemi privati quando sono collegati alla rete di My Eco Best Friend; a tutti i dati e programmi di proprietà o su licenza di My Eco Best Friend (ovunque siano memorizzati); e a tutti i dati e programmi forniti a My Eco Best Friend da terzi (ovunque siano memorizzati). La politica si riferisce anche ai file e ai registri cartacei creati per gli scopi di My Eco Best Friend.
Questa politica comprende i principi della privacy dei dati accettati a livello internazionale, quelli coperti dal Regolamento generale sulla protezione dei dati dell'UE (GDPR), senza sostituire la politica nazionale esistente. Se vi è motivo di ritenere che gli obblighi di legge siano in contrasto con i doveri previsti dalla presente politica, è necessario informare il Responsabile della protezione dei dati.
DEFINIZIONI CHIAVE
Consenso qualsiasi indicazione libera, specifica, informata e inequivocabile della volontà dell'interessato con la quale questi, mediante dichiarazione o altra chiara azione affermativa, manifesta il proprio consenso al trattamento dei dati personali che lo riguardano. Il GDPR chiarisce che il silenzio, le caselle pre-selezionate o l'inattività non costituiscono consenso.
Titolare del trattamento dei dati si intende la società giuridicamente indipendente del gruppo My Eco Best Friend, la cui attività commerciale determina i mezzi e le finalità della misura di trattamento in questione.
Elaboratore dati indica il soggetto che tratta i dati per conto del Titolare del trattamento.
Soggetto interessato si intende qualsiasi persona fisica i cui dati possono essere trattati. In alcuni paesi, anche le persone giuridiche possono essere soggetti dei dati..
GDPR significa Regolamento generale sulla protezione dei dati dell'UE 2016/679.
Dati personali le informazioni che My Eco Best Friend detiene su una persona interessata e che la identificano o potrebbero identificarla se combinate con altri dati che My Eco Best Friend detiene o è probabile che ottenga.
Elaborazione comprende l'ottenimento/raccolta, la registrazione, la conservazione, l'archiviazione, l'organizzazione, l'adattamento, l'allineamento, la copia, il trasferimento, la combinazione, il blocco, la cancellazione e la distruzione delle informazioni o dei dati, sia con mezzi automatizzati che non. Comprende anche l'esecuzione di qualsiasi operazione o serie di operazioni sulle informazioni o sui dati, compresi il reperimento, la consultazione, l'utilizzo e la divulgazione. Qualsiasi azione sui dati personali deve essere considerata un trattamento di dati.
Dati personali sensibili si intendono i dati relativi all'origine razziale ed etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, all'appartenenza sindacale o alla salute e all'orientamento sessuale dell'interessato. Inoltre, i dati relativi a un reato possono spesso essere trattati solo in base a requisiti speciali previsti dalla legislazione nazionale.
Il mio migliore amico Eco significa My Eco Best Friend Sàrl. L'azienda non ha società controllate.
PRINCIPI GENERALI
My Eco Best Friend è responsabile di dimostrare che i dati personali sono in qualsiasi momento:
trattati in modo lecito, equo e trasparente
conservati solo per scopi specifici, espliciti e legittimi e non utilizzati o divulgati in modo incompatibile con tali scopi.
adeguato, pertinente e non eccessivo rispetto allo scopo per il quale viene
accurata e aggiornata.
non conservati per un tempo superiore a quello necessario per la situazione
trattati in conformità con la richiesta dell'interessato
mantenuti sicuri e non trasferiti al di fuori del territorio coperto dallo Spazio Economico Europeo (SEE) e dalla Svizzera senza l'assicurazione di un adeguato livello di protezione.
AFFIDABILITÀ DELL'ELABORAZIONE DEI DATI
Il trattamento dei dati personali è consentito solo in base a una delle seguenti basi giuridiche. Una di queste basi giuridiche è necessaria anche nel caso in cui lo scopo del trattamento dei dati personali debba essere modificato rispetto a quello originario.
Dati personali dei dipendenti
Trattamento dei dati per il rapporto di lavoro Nei rapporti di lavoro, i dati personali possono essere trattati se necessario per l'avvio, l'esecuzione e la risoluzione del contratto di lavoro. Quando si avvia un rapporto di lavoro, i dati personali dei candidati possono essere trattati. Se il candidato viene respinto, i suoi dati devono essere cancellati nel rispetto del periodo di conservazione richiesto, a meno che il candidato non abbia accettato di rimanere in archivio per un futuro processo di selezione. Il consenso è necessario anche per utilizzare i dati per ulteriori processi di candidatura o prima di condividere la candidatura con altri contatti di My Eco Best Friend. Se durante la procedura di candidatura dovesse essere necessario raccogliere informazioni su un candidato da terzi, è necessario ottenere il consenso dell'interessato.
Dati elaborazione ai sensi a disposizioni di legge Tl trattamento dei dati personali dei dipendenti è consentito anche se la legislazione applicabile lo richiede, lo impone o lo autorizza. Il tipo e l'entità del trattamento dei dati devono essere necessari per l'attività di trattamento legalmente autorizzata e devono essere conformi alle disposizioni di legge in materia. Se esiste una certa flessibilità legale, devono essere presi in considerazione gli interessi del dipendente che meritano di essere protetti.
Trattamento dei dati in base al legittimo interesse I dati personali possono essere trattati anche se è necessario far valere un interesse legittimo di My Eco Best Friend. Gli interessi legittimi sono generalmente di natura legale (ad esempio, la presentazione, l'applicazione o la difesa da rivendicazioni legali) o organizzativa o finanziaria (ad esempio, la valutazione di aziende). Prima di elaborare i dati, è necessario determinare se l'interesse legittimo di My Eco Best Friend è prevalente rispetto agli interessi o ai diritti dell'individuo perché, in tal caso, non dovremmo elaborare i Dati personali su questa base. L'interesse legittimo di My Eco Best Friend e gli eventuali interessi della persona interessata devono essere identificati e documentati prima di intraprendere qualsiasi misura.
Consenso al trattamento dei dati I dati dei dipendenti possono essere trattati previo consenso degli interessati. Le dichiarazioni di consenso devono essere presentate volontariamente. Il consenso non volontario è nullo. Prima di dare il consenso, l'interessato deve essere informato in conformità alla presente politica. La dichiarazione di consenso deve essere ottenuta per iscritto o in formato elettronico ai fini della documentazione.
Trattamento dei dati personali sensibili I dati personali sensibili possono essere trattati solo a determinate condizioni. Il trattamento deve essere espressamente consentito o prescritto dalla legge nazionale. Inoltre, il trattamento può essere consentito se è necessario che l'autorità responsabile adempia ai propri diritti e doveri in materia di diritto del lavoro. Il dipendente può anche acconsentire espressamente al trattamento. Se è previsto il trattamento di dati personali sensibili, è necessario informare il Responsabile della protezione dei dati.
Decisioni automatizzate Se i dati personali sono trattati automaticamente nell'ambito del rapporto di lavoro e vengono valutati specifici dati personali (ad esempio, nell'ambito del processo di assunzione o della valutazione dei profili di competenza), questo trattamento automatico non può essere l'unica base per decisioni che avrebbero conseguenze negative per gli interessati. Per evitare decisioni errate, il processo automatizzato deve garantire che una persona fisica valuti il contenuto della situazione e che questa valutazione sia la base della decisione. La persona interessata deve inoltre essere informata dei fatti e dei risultati delle decisioni individuali automatizzate e della possibilità di reagire. My Eco Best Friend deve inoltre garantire che tutti i processi di profilazione e di decisione automatizzata relativi a una persona interessata si basino su dati accurati.
Telecomunicazioni e internet Le apparecchiature telefoniche, gli indirizzi e-mail, la rete intranet e internet e i social network interni sono forniti da My Eco Best Friend principalmente per gli incarichi legati al lavoro. Sono uno strumento e possono essere utilizzati nel rispetto delle normative legali applicabili e delle politiche interne di My Eco Best Friend, compresa la Politica sulla tecnologia dell'informazione. Non è previsto un monitoraggio generale delle comunicazioni telefoniche e di posta elettronica o dell'uso di Intranet/Internet. Per difendersi dagli attacchi all'infrastruttura informatica o ai singoli utenti, possono essere implementate misure di protezione per le connessioni alla rete My Eco Best Friend che bloccano i contenuti tecnicamente dannosi o che analizzano i modelli di attacco. Per motivi di sicurezza, l'utilizzo di apparecchi telefonici, indirizzi e-mail, intranet/internet e social network interni può essere registrato per un periodo temporaneo. Le valutazioni di questi dati di una persona specifica possono essere effettuate solo in un caso concreto e giustificato di sospetta violazione delle leggi o delle politiche di My Eco Best Friend. Le valutazioni possono essere condotte solo dai dipartimenti investigativi, garantendo il rispetto del principio di proporzionalità. Le leggi nazionali pertinenti devono essere rispettate allo stesso modo delle norme di My Eco Best Friend.
Dati personali di altre parti (compresi gli utenti del sito web, i fornitori, gli sponsor, i partner, ecc.)
Trattamento dei dati per un rapporto contrattuale I dati personali degli utenti del sito web, degli sponsor, dei fornitori e dei partner possono essere trattati per stabilire, eseguire e risolvere un contratto. Prima di stipulare un contratto - durante la fase di avvio del contratto - i dati personali possono essere trattati per preparare gli ordini di acquisto o per soddisfare altre richieste dell'interessato relative ai requisiti del contratto.
Consenso al trattamento dei dati Il trattamento dei dati può avvenire previo consenso dell'interessato. Prima di dare il consenso, l'interessato deve essere informato in conformità alla presente informativa. La dichiarazione di consenso deve essere ottenuta per iscritto o per via elettronica, in quanto la concessione del consenso deve essere documentata. Il consenso deve essere richiesto alla persona che ha la responsabilità genitoriale sul minore. L'età in cui un individuo è considerato un bambino varia tra i 13 e i 16 anni in base alla legislazione nazionale.
Trattamento dei dati a fini pubblicitari Come regola generale, My Eco Best Friend non invierà materiale promozionale o di marketing diretto ai contatti di My Eco Best Friend attraverso canali digitali come telefoni cellulari, e-mail e Internet, senza aver prima ottenuto il loro consenso. Se l'interessato contatta My Eco Best Friend per richiedere informazioni (ad esempio, per ricevere materiale informativo sui corsi), il trattamento dei dati per soddisfare tale richiesta è comunque consentito. Quando si comunica con l'interessato, si deve ottenere il consenso al trattamento dei dati per scopi pubblicitari e si deve dare all'interessato la possibilità di cancellarsi in qualsiasi momento dalle liste o dai database utilizzati per scopi di marketing diretto (ad es. link di cancellazione). Se l'interessato rifiuta l'uso dei suoi dati per scopi pubblicitari, questi non possono più essere utilizzati per tali scopi e devono essere bloccati in modo da cessare immediatamente qualsiasi uso dei dati; i suoi dati devono essere conservati in una lista di soppressione con una registrazione della sua decisione di opt-out, piuttosto che essere completamente cancellati. Devono essere rispettate tutte le altre limitazioni previste da determinati Paesi in merito all'utilizzo dei dati a fini pubblicitari. In particolare, il marketing diretto deve essere conforme al Privacy and Electronic Communications (EC Directive) Regulations 2003 (PECR) e in particolare alla direttiva e-privacy, come modificata, che copre il marketing via telefono, testo ed e-mail. La direttiva e-privacy è stata ora sostituita da un nuovo regolamento ePrivacy che probabilmente si affiancherà al GDPR.
Trattamento dei dati in base ad autorizzazione legale Il trattamento dei dati personali è consentito anche se la legislazione nazionale lo richiede, lo impone o lo permette. Il tipo e l'entità del trattamento dei dati devono essere necessari per l'attività di trattamento legalmente autorizzata e devono essere conformi alle disposizioni di legge in materia. Se esiste una certa flessibilità legale, devono essere presi in considerazione gli interessi della persona interessata che meritano di essere protetti.
Trattamento dei dati in base al legittimo interesse I dati personali possono essere trattati anche se è necessario per un interesse legittimo di My Eco Best Friend. Gli interessi legittimi sono generalmente di natura legale o commerciale (ad esempio, salute e sicurezza, uso dell'eco-negozio). Prima di elaborare i dati, è necessario determinare se l'interesse legittimo di My Eco Best Friend è prevalente su qualsiasi interesse o diritto dell'individuo perché, in tal caso, non dovremmo elaborare i dati personali in questa occasione. L'interesse legittimo di My Eco Best Friend e gli eventuali interessi della persona interessata devono essere identificati e documentati prima di adottare qualsiasi misura.
Trattamento dei dati personali sensibili I dati personali sensibili possono essere trattati solo se la legge lo richiede o se l'interessato ha dato un consenso esplicito. Se si prevede di trattare dati sensibili, è necessario informare il Responsabile della protezione dei dati.
Decisioni individuali automatizzate Il trattamento automatizzato dei dati personali utilizzato per valutare determinati aspetti (ad esempio, affidabilità creditizia, rischio di corruzione) non può essere l'unica base per decisioni che hanno conseguenze legali negative o che potrebbero danneggiare in modo significativo l'interessato. L'interessato deve essere informato dei fatti e dei risultati delle decisioni individuali automatizzate e della possibilità di reagire. Per evitare decisioni errate, è necessario che un rappresentante di My Eco Best Friend effettui un test e un controllo di plausibilità. deve inoltre garantire che tutti i processi di profilazione e di decisione automatizzata relativi a una persona interessata si basino su dati accurati.
Dati utente e internet Se i dati personali vengono raccolti, elaborati e utilizzati su siti web o app, gli interessati devono esserne informati in un'informativa sulla privacy. L'informativa sulla privacy e le eventuali informazioni sui cookie devono essere integrate in modo da essere facilmente identificabili, direttamente accessibili e costantemente disponibili per gli interessati. Se vengono creati profili d'uso (tracking) per valutare l'utilizzo di siti web e app, gli interessati devono sempre essere informati in tal senso nell'informativa sulla privacy. Il tracciamento personale può essere effettuato solo previo consenso dell'interessato. Se il tracciamento utilizza uno pseudonimo, l'interessato deve avere la possibilità di rinunciare nella dichiarazione sulla privacy. Se i siti web o le app possono accedere ai dati personali in un'area riservata agli utenti registrati, l'identificazione e l'autenticazione dell'interessato devono offrire una protezione sufficiente durante l'accesso al sito web o all'app.
Conservazione dei dati
I dati personali devono essere conservati solo per il tempo necessario a eseguire il trattamento per il quale sono stati raccolti. Una volta che le informazioni non sono più necessarie, devono essere eliminate. I documenti cartacei devono essere stracciati o smaltiti nei rifiuti riservati, mentre i documenti elettronici devono essere cancellati in modo permanente.
Gli utenti dei dati personali sono responsabili di garantire i periodi di conservazione appropriati per le informazioni in loro possesso e gestite, sulla base delle indicazioni di My Eco Best Friend. I periodi di conservazione saranno stabiliti in base ai requisiti legali e normativi e alle buone prassi.
Se i dati sono completamente anonimizzati, non ci sono limiti di tempo per la conservazione dal punto di vista della protezione dei dati, poiché il GDPR non si applica ai dati anonimizzati.
Trasmissione dati
La trasmissione di dati personali a destinatari esterni o interni all'azienda My Eco Best Friend è soggetta ai requisiti di autorizzazione per il trattamento dei dati personali. Se i dati vengono trasmessi da terzi a My Eco Best Friend, è necessario garantire che i dati possano essere utilizzati per lo scopo previsto.
Per consentire a My Eco Best Friend di svolgere efficacemente le proprie attività, può capitare che sia necessario consentire l'accesso ai dati personali da una sede all'estero. In tal caso, l'entità My Eco Best Friend che invia i dati personali rimane responsabile della protezione di tali dati personali.
Come regola generale, i dati personali non devono essere trasmessi a terzi, in particolare se si tratta di dati personali sensibili, poiché devono essere soddisfatte alcune condizioni prima che i dati personali possano essere condivisi con terzi o prima che un fornitore esterno venga utilizzato per elaborare i dati per conto di My Eco Best Friend.
Nel caso in cui un fornitore esterno venga incaricato del trattamento dei dati personali, senza che gli venga assegnata la responsabilità del relativo processo aziendale (in quanto incaricato del trattamento), devono essere rispettati i seguenti requisiti:
il fornitore deve essere scelto in base alla sua capacità di adottare le misure di protezione tecniche e organizzative richieste. Un fornitore può documentare la propria conformità ai requisiti di sicurezza dei dati, in particolare presentando un'adeguata certificazione; e
deve essere stipulato un accordo di trattamento dei dati che copra le indicazioni sul trattamento dei dati e le responsabilità del responsabile del trattamento e del fornitore esterno (in quanto incaricato del trattamento).
Anche un fornitore esterno può essere un responsabile del trattamento dei dati e l'accordo tra My Eco Best Friend e tale fornitore deve chiarire le responsabilità di ciascuna parte in relazione ai dati personali.
La garanzia di tale conformità deve essere ottenuta da tutti i fornitori esterni, siano essi aziende o individui, prima di concedere loro l'accesso ai dati personali controllati da My Eco Best Friend.
Come regola generale, è necessario consultare sempre l'ufficio legale se si sta stipulando un nuovo contratto che prevede la condivisione o l'elaborazione di dati personali (vedere la Politica di gestione dei contratti) o se si ricevono richieste di informazioni personali da parte di terzi, come parenti, polizia, ecc.
Il Comitato direttivo per la protezione dei dati (come descritto nella sezione 13.1) condurrà verifiche periodiche del trattamento dei dati personali effettuato da fornitori esterni e altre terze parti, in particolare per quanto riguarda le misure tecniche e organizzative. Eventuali carenze di rilievo individuate saranno segnalate e monitorate dal Comitato esecutivo.
Trasferimenti di dati personali al di fuori dell'UE
I dati personali possono essere trasferiti fuori dalla Svizzera o dal SEE (paese terzo) solo a determinate condizioni. Le informazioni pubblicate su Internet devono essere considerate un'esportazione di dati al di fuori dell'UE. Questo vale anche per i dati memorizzati nel cloud, a meno che il fornitore di servizi non garantisca esplicitamente che la memorizzazione dei dati avvenga solo all'interno dell'UE.
In caso di accordo transfrontaliero sul trattamento dei dati, deve essere soddisfatto uno dei seguenti requisiti:
una decisione della Commissione europea stabilisce che il Paese o il territorio verso cui viene effettuato il trasferimento garantisce un livello di protezione adeguato;
il trasferimento è soggetto a una o più delle "garanzie appropriate" per i trasferimenti internazionali prescritte dalla legge applicabile (ad esempio, le clausole standard di protezione dei dati adottate dalla Commissione europea); oppure
esiste un'altra situazione in cui il trasferimento è consentito dalla legge applicabile (ad esempio, in presenza di un consenso esplicito).
Registri delle attività di trattamento
In qualità di responsabile del trattamento dei dati, My Eco Best Friend è tenuto a mantenere un registro delle attività di trattamento che copra tutti i trattamenti di dati personali effettuati da My Eco Best Friend. Tali registri contengono, tra l'altro, informazioni dettagliate sui motivi per cui i dati personali vengono trattati, sui tipi di persone di cui si detengono le informazioni, sui soggetti con cui le informazioni personali vengono condivise e sui casi in cui le informazioni personali vengono trasferite in paesi al di fuori dell'UE.
Il mio migliore amico ecologico ha lavorato a una serie di registri delle attività di trattamento dei dati:
Dati sul personale (compresi i candidati e il personale precedente).
Dati degli utenti del sito web e
Soggetti diversi dal personale e dagli utenti del sito web.
Questi registri sono conservati dal Responsabile della protezione dei dati.
Il personale che intraprende nuove attività che comportano l'uso di dati personali e che non sono coperte da uno dei registri delle attività di trattamento esistenti deve informare il Responsabile della protezione dei dati prima di iniziare la nuova attività.
Diritti dell'interessato e richieste di accesso
Nell'ambito del nostro dovere di trasparenza e al fine di aiutare gli interessati a comprendere come e perché raccogliamo i loro dati personali e cosa ne facciamo, My Eco Best Friend ha pubblicato delle note sulla privacy che sono disponibili per i seguenti soggetti su myecobestfriend.com:
personale:
utenti del sito web (clienti, visitatori, sponsor, partner, fornitori)
Qualsiasi trattamento di dati che esuli dall'ambito di applicazione delle informative sulla privacy standard, o il trattamento dei dati personali di altre persone, comporterà la necessità di emettere un'informativa sulla privacy separata.
Queste informative sulla privacy spiegano anche le decisioni che gli interessati possono prendere in merito ai loro dati personali e che riguardano i seguenti diritti garantiti dal GDPR:
Diritto di accesso e portabilità - Gli interessati hanno il diritto di accedere ai dati personali e di richiedere che i dati personali siano forniti in una forma strutturata, comunemente utilizzata e leggibile da una macchina (in modo da poterli inviare, ad esempio, a un altro titolare del trattamento).
Diritto di rettifica e qualità dei dati - Gli interessati hanno il diritto di richiedere la rettifica delle inesattezze nei dati personali in loro possesso. È necessario effettuare controlli regolari sulla qualità dei dati per garantire l'accuratezza degli stessi.
Diritto di limitare le attività di trattamento dei dati - Gli interessati hanno il diritto di chiederci di limitare le nostre attività di trattamento dei dati (e, qualora il nostro trattamento sia basato sul suo consenso, possono revocare tale consenso, senza pregiudicare la liceità del nostro trattamento basato sul consenso prima della sua revoca).
Quando il trattamento è limitato, siamo autorizzati a conservare i dati personali, ma non a trattarli ulteriormente;
Diritto di opposizione - Gli interessati hanno il diritto di opporsi a determinati tipi di trattamento, tra cui il trattamento per il marketing diretto. L'interessato deve dimostrare di avere motivi per opporsi al trattamento in relazione alla sua situazione particolare, tranne nel caso del marketing diretto in cui si tratta di un diritto assoluto. I servizi online devono offrire un metodo automatizzato di opposizione.
Diritti in relazione al processo decisionale automatizzato e alla profilazione - Il diritto riguarda le decisioni automatizzate o la profilazione che potrebbero avere effetti significativi su un individuo. La profilazione è il trattamento dei dati per valutare, analizzare o prevedere il comportamento o qualsiasi caratteristica del comportamento, delle preferenze o dell'identità. Le persone hanno il diritto di non essere sottoposte a decisioni basate esclusivamente sul trattamento automatizzato. Quando si ricorre alla profilazione, è necessario adottare misure per garantire la sicurezza e l'affidabilità dei servizi.
Diritto all'oblio (cancellazione) - Le persone hanno il diritto di ottenere la cancellazione dei propri dati in determinate situazioni, come ad esempio quando i dati non sono più necessari per lo scopo per cui sono stati raccolti, l'individuo ritira il consenso o le informazioni sono in fase di elaborazione. Esiste un'esenzione a questo diritto per scopi di ricerca scientifica o storica o per scopi statistici, se la cancellazione renderebbe impossibile o comprometterebbe gravemente il raggiungimento degli obiettivi della ricerca.
I diritti di cui sopra non sono assoluti e la loro disponibilità dipende in larga misura dalla giustificazione legale del trattamento dei dati.
Dobbiamo verificare l'identità della persona che presenta la richiesta per confermare che il richiedente è l'interessato o il suo rappresentante legale autorizzato. Qualsiasi richiesta presentata per invocare uno dei diritti di cui sopra deve essere evasa gratuitamente, tempestivamente e in ogni caso entro 30 giorni dal ricevimento della richiesta.
I membri del personale devono agire secondo la procedura di gestione delle richieste di dati personali allegata all'Allegato A e consultare il Responsabile della protezione dei dati in caso di dubbi.
Sicurezza dei dati
I dati personali devono essere protetti da accessi non autorizzati e da trattamenti o divulgazioni illegali, nonché da perdite o modifiche accidentali. Ciò vale indipendentemente dal fatto che i dati siano elaborati elettronicamente o in forma cartacea. Ciò include l'implementazione di misure tecniche e organizzative per la protezione dei dati personali, quali:
Anonimizzazione, ovvero il processo di rimozione degli identificatori personali, sia diretti che indiretti, che possono portare all'identificazione di un individuo. Le persone possono essere identificate direttamente dal loro nome, indirizzo, codice postale, numero di telefono, fotografia o immagine o altre informazioni personali uniche. Le persone possono essere identificate anche indirettamente, quando alcune informazioni sono collegate ad altre fonti di informazione, tra cui il luogo di lavoro, il titolo di lavoro, lo stipendio, il codice postale o persino il fatto che abbiano una particolare diagnosi o condizione.
Se da un lato si può essere incentivati a trattare i dati in forma anonima, dall'altro questa tecnica può svalutare i dati, rendendoli non più utili per alcuni scopi. Pertanto, prima di procedere all'anonimizzazione, è necessario prendere in considerazione gli scopi per i quali i dati devono essere utilizzati.
La pseudonimizzazione, che secondo il GDPR è definita come "il trattamento dei dati personali in modo tale che i dati non possano più essere attribuiti a un soggetto specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative per garantire la non attribuzione a un soggetto identificato o identificabilel". Il GDPR non si applica alle informazioni anonimizzate, non è così per le informazioni pseudonimizzate.
Crittografia, ovvero il processo di conversione di informazioni o dati in codice, per impedire l'accesso non autorizzato.
I reparti responsabili devono consultarsi regolarmente con il Chief Information Security Officer, in quanto le misure tecniche e organizzative per la protezione dei dati personali devono essere costantemente adeguate agli sviluppi tecnici e ai cambiamenti organizzativi che si verificano.
Come parte del requisito "privacy by design" del GDPR e per garantire che la privacy e la protezione dei dati non siano un ripensamento, quando si progettano nuovi sistemi o processi e/o quando si rivedono o si ampliano i sistemi o i processi esistenti, ciascuno di essi deve passare attraverso il Dall'idea al progetto processo di approvazione, che contengono un cancello che assicura che siano state fatte tutte le considerazioni sulla privacy dei dati.
Per alcuni progetti il GDPR richiede anche l'esecuzione di una valutazione d'impatto sulla protezione dei dati (DPIA). I tipi di circostanze in cui è richiesta sono: quelle che comportano l'elaborazione di grandi quantità di dati personali o il monitoraggio di aree pubblicamente valutabili (ad esempio, le telecamere a circuito chiuso). La DPIA è un meccanismo per identificare ed esaminare l'impatto di nuove iniziative e mettere in atto misure per minimizzare o ridurre i rischi, e un esercizio che deve essere debitamente documentato.
Si applica il principio della "necessità di sapere". I dipendenti di My Eco Best Friend e i dipendenti di fornitori esterni, in quanto incaricati del trattamento dei dati, possono avere accesso alle informazioni personali solo nella misura in cui ciò sia appropriato per il tipo e la portata della mansione in questione. Ciò richiede un'attenta suddivisione e separazione, nonché l'attuazione, dei ruoli e delle responsabilità. È vietata qualsiasi raccolta, elaborazione o utilizzo non autorizzato di tali dati da parte dei dipendenti. In particolare, è vietato l'utilizzo dei dati personali per scopi privati o commerciali, divulgazione a persone non autorizzate o di renderli disponibili in qualsiasi altro modo. Tale obbligo rimarrà in vigore anche dopo la cessazione di qualsiasi contratto di lavoro/elaborazione dei dati.
Tutti gli utenti di dati personali di My Eco Best Friend devono garantire che tutti i dati personali in loro possesso siano conservati in modo sicuro. La politica informatica relativa alla sicurezza dei sistemi di archiviazione manuale, all'archiviazione di dati personali su dispositivi portatili, alla rimozione di dati personali dai locali di My Eco Best Friend, al download di dati personali su dispositivi personali deve essere rigorosamente rispettata.
Gestione delle violazioni dei dati
My Eco Best Friend si impegna al massimo per evitare le violazioni dei dati personali, tuttavia le violazioni della sicurezza dei dati sono sempre più frequenti, sia che siano causate da un errore umano che da un'azione dolosa. Esempi di violazioni di dati personali sono:
Perdita o furto di dati o apparecchiature
Controlli di accesso inadeguati che consentono un utilizzo non autorizzato
Guasto alle apparecchiature
Divulgazione non autorizzata (ad es. e-mail inviate al destinatario sbagliato)
Errore umano
Attacco di hacking
Se si verifica una violazione della protezione dei dati, My Eco Best Friend è tenuto, nella maggior parte delle circostanze, a segnalarla il prima possibile all'autorità di vigilanza competente, e comunque non oltre 72 ore dal momento in cui ne è venuto a conoscenza.
Se si viene a conoscenza di un incidente/violazione della sicurezza dei dati, è necessario segnalarlo immediatamente. I dettagli su come segnalare una violazione e le informazioni necessarie sono contenuti nella Politica sugli incidenti di sicurezza e sulla gestione delle violazioni dei dati.
Ruoli e responsabilità
La governance. Per dimostrare il proprio impegno nella protezione dei dati e per migliorare l'efficacia dei propri sforzi di conformità, My Eco Best Friend ha istituito un Comitato direttivo per la protezione dei dati. Il Comitato direttivo opera in modo indipendente ed è composto da persone qualificate e dotate di tutte le autorizzazioni necessarie. Il Comitato direttivo è sotto la supervisione del Responsabile della privacy di My Eco Best Friend, che ha accesso diretto al Consiglio di amministrazione.
Responsabile della sicurezza informatica. Il Chief Information Security Officer ha la responsabilità primaria di supervisionare la sicurezza delle informazioni di My Eco Best Friend. Questo include:
sviluppare, mantenere e implementare un programma di sicurezza informatica My Eco Best Friend;
documentare e diffondere le politiche e le procedure di sicurezza delle informazioni;
coordinare lo sviluppo e l'implementazione del programma di formazione e sensibilizzazione sulla sicurezza informatica My Eco Best Friend;
eseguire la valutazione dei rischi e garantire che le considerazioni sulla sicurezza delle informazioni siano state prese in considerazione come parte del processo di progettazione/espansione/revisione di sistemi o processi;
coordinare con il responsabile della protezione dei dati la risposta agli incidenti di sicurezza e alle violazioni dei dati effettive o sospette, come previsto dalla politica di gestione delle violazioni dei dati.
Responsabile della protezione dei dati (DPO). Il responsabile della protezione dei dati è il principale responsabile della conformità di My Eco Best Friend alla normativa sulla protezione dei dati:
La notifica di My Eco Best Friend all'autorità di vigilanza competente;
gestire le richieste di accesso ai dati e le richieste di dati personali da parte di terzi;
promuovere e mantenere la consapevolezza delle leggi e dei regolamenti sulla protezione dei dati, compresa la formazione;
indagare sulle violazioni dei dati e sugli incidenti di sicurezza in conformità con la politica di gestione delle violazioni dei dati.
Contatto del DPO per la società My Eco Best Friend:
Chemin du Creux-Bechet, 6, 1096, Villette (Svizzera)
T: +41 (0)798479155
Direttore. I dirigenti hanno la responsabilità di garantire che il loro personale comprenda il ruolo dei principi di protezione dei dati nel loro lavoro quotidiano, attraverso l'introduzione, la formazione e il monitoraggio delle prestazioni, e di controllare la conformità all'interno delle proprie aree di competenza. Devono inoltre assicurarsi di tenere informato il Responsabile della protezione dei dati sui cambiamenti nella raccolta, nell'uso e nella sicurezza dei dati personali all'interno del loro dipartimento.
My Eco Best Friend si aspetta che i suoi dipendenti e tutti gli appaltatori, i fornitori, le agenzie, i lavoratori temporanei o qualsiasi altra parte che agisce per conto di My Eco Best Friend (collettivamente, "Parti Esterne") che raccolgono o gestiscono informazioni personali seguano questa politica, sia che utilizzino i sistemi elettronici di My Eco Best Friend e/o i propri strumenti di gestione dei dati. I dipendenti di My Eco Best Friend sono responsabili di garantire che le Parti Esterne con cui lavorano a supporto delle operazioni di My Eco Best Friend rispettino questa politica.
Impatto della non conformità
My Eco Best Friend potrebbe essere multato pesantemente per non aver rispettato la politica di protezione dei dati.
Ogni dipartimento di My Eco Best Friend dovrà effettuare le proprie autovalutazioni di conformità a questa politica. Inoltre, My Eco Best Friend può valutare periodicamente se i dipendenti e le terze parti interessate rispettano questa politica e i relativi standard e procedure di My Eco Best Friend quando trattano dati personali. Se necessario, vengono applicate misure di follow-up adeguate.
La mancata osservanza di questa politica da parte dei dipendenti può comportare azioni disciplinari che possono includere la risoluzione del contratto. Per i soggetti esterni che raccolgono o gestiscono dati personali per conto di My Eco Best Friend, la mancata osservanza di questa politica può comportare conseguenze commerciali negative, fino alla cessazione del rapporto commerciale e le richieste di risarcimento per il personale possono anche incorrere in responsabilità penali se ottengono e/o divulgano consapevolmente o incautamente dati personali per i propri scopi.
Generale
Questa politica è in vigore dal 21 novembreth, 2021 e disponibile su myecobestfriend.com.
L'Ufficio per la protezione dei dati è responsabile dell'aggiornamento e dell'accuratezza di questa politica. I dipendenti di My Eco Best Friend saranno informati di eventuali revisioni significative. Le modifiche a questa politica entreranno in vigore quando saranno pubblicate su myecobestfriend.com.
Scopo
La presente procedura definisce le caratteristiche principali per la gestione o la risposta alle richieste di accesso ai dati personali presentate dagli interessati, dai loro rappresentanti o da altre parti interessate. Questa procedura consentirà a My Eco Best Friend di ottemperare agli obblighi di legge, di migliorare la trasparenza, di consentire agli individui di verificare l'accuratezza delle informazioni in loro possesso e di aumentare il livello di fiducia grazie alla trasparenza delle informazioni in loro possesso.
Una richiesta di dati personali è una richiesta fatta da un individuo o dal suo rappresentante legale di informazioni in possesso di My Eco Best Friend su quell'individuo.
La richiesta deve essere fatta per iscritto. In generale, le richieste verbali di informazioni in possesso di una persona sono non valida. La richiesta può essere inoltrata via e-mail, per posta, sul sito web aziendale o attraverso qualsiasi altro metodo disponibile.
My Eco Best Friend deve fornire una risposta agli interessati che richiedono l'accesso ai propri dati entro 30 giorni di calendario dalla ricezione della richiesta, a meno che la legislazione locale non preveda diversamente.
Per poter rispondere tempestivamente alla Richiesta, l'interessato deve:
Presentare la richiesta utilizzando il modulo di richiesta di accesso alle informazioni personali (vedi modello allegato).
Fornire a My Eco Best Friend informazioni sufficienti a convalidare la sua identità (per garantire che la persona che richiede le informazioni sia l'interessato o una persona autorizzata).
Fatte salve le esenzioni di cui al presente documento, My Eco Best Friend fornirà informazioni agli interessati le cui richieste siano presentate per iscritto e pervengano da una persona la cui identità possa essere convalidata da My Eco Best Friend.
Tuttavia, My Eco Best Friend non fornirà dati se le risorse necessarie per identificarli e recuperarli saranno eccessivamente difficili o dispendiose in termini di tempo. È più probabile che le richieste abbiano successo se sono specifiche e mirate a un'informazione particolare.
Tra i fattori che possono contribuire a restringere l'ambito di una ricerca vi sono l'identificazione del probabile detentore delle informazioni (ad esempio, facendo riferimento a un dipartimento specifico), il periodo di tempo in cui le informazioni sono state generate o elaborate (quanto più ristretto è l'arco temporale, tanto più è probabile che la richiesta vada a buon fine) e la specificità della natura dei dati ricercati (ad esempio, una copia di un particolare modulo o dei record di posta elettronica di un determinato dipartimento).
Richiesta
Una volta ricevuta la richiesta, il responsabile della protezione dei dati ne darà conferma. Al richiedente può essere chiesto di compilare un modulo di richiesta di accesso alle informazioni personali per consentire a My Eco Best Friend di individuare le informazioni pertinenti.
Il Responsabile della protezione dei dati deve verificare l'identità di chiunque faccia una richiesta per garantire che le informazioni vengano fornite solo alla persona che ha il diritto di riceverle. Se l'identità del richiedente non è già stata fornita, la persona che riceve la richiesta chiederà al richiedente di fornire un documento di identità.
Se il richiedente non è l'interessato, è necessaria la conferma scritta che il richiedente è autorizzato ad agire per conto dell'interessato.
Al ricevimento dei documenti richiesti, la persona che riceve la richiesta fornirà al Responsabile della protezione dei dati tutte le informazioni pertinenti a sostegno della richiesta. Se il Responsabile della protezione dei dati è ragionevolmente soddisfatto delle informazioni presentate dalla persona che ha ricevuto la richiesta, il Responsabile della protezione dei dati comunicherà al richiedente che la sua richiesta riceverà una risposta entro 30 giorni di calendario. Il periodo di 30 giorni decorre dalla data di ricezione dei documenti richiesti. Il Responsabile della protezione dei dati informerà per iscritto il richiedente se, a causa di altri eventi, il termine di 30 giorni verrà modificato.
Il Responsabile della protezione dei dati contatterà e chiederà al reparto o ai reparti competenti le informazioni necessarie come richiesto nella richiesta. Se necessario, può essere previsto un incontro iniziale con il reparto interessato per esaminare la richiesta. Il reparto che detiene le informazioni deve restituire le informazioni richieste entro la scadenza imposta dal Responsabile della protezione dei dati e/o viene organizzato un ulteriore incontro con il reparto per esaminare le informazioni. Il Responsabile della protezione dei dati determinerà se vi sono informazioni che possono essere soggette a esenzione e/o se è necessario il consenso di una terza parte.
Il responsabile della protezione dei dati deve assicurarsi che le informazioni siano esaminate/ricevute entro la scadenza imposta per garantire che non venga violato il termine di 30 giorni di calendario.
Il responsabile della protezione dei dati fornirà la risposta definitiva insieme alle informazioni recuperate dal dipartimento (o dai dipartimenti) e/o una dichiarazione che My Eco Best Friend non detiene le informazioni richieste o che si applica un'esenzione. Il responsabile della protezione dei dati provvederà a inviare una risposta scritta al richiedente. La risposta sarà inviata via e-mail, a meno che il richiedente non abbia specificato un altro metodo per ricevere la risposta (ad esempio, per posta).
Dopo l'invio della risposta al richiedente, la richiesta sarà considerata chiusa e archiviata dal Responsabile della protezione dei dati.
In linea di massima, My Eco Best Friend non divulgherà i seguenti tipi di informazioni in risposta a una richiesta:
Informazioni su altre persone - Una richiesta può riguardare informazioni relative a una o più persone diverse dall'interessato. L'accesso a tali dati non sarà concesso a meno che le persone interessate non acconsentano alla divulgazione dei loro dati.
Richieste ripetute - Se una richiesta simile o identica in relazione allo stesso soggetto è stata precedentemente soddisfatta entro un periodo di tempo ragionevole, e se non vi sono cambiamenti significativi nei dati personali detenuti in relazione a tale soggetto, qualsiasi ulteriore richiesta sarà considerata una richiesta ripetuta e My Eco Best Friend non fornirà di norma un'ulteriore copia degli stessi dati.
Informazioni pubblicamente disponibili - My Eco Best Friend non è tenuto a fornire copie di documenti che sono già di dominio pubblico.
Documenti privilegiati - Qualsiasi informazione privilegiata in possesso di My Eco Best Friend non deve essere divulgata. In generale, le informazioni privilegiate comprendono qualsiasi documento riservato (ad esempio, una comunicazione diretta tra un cliente e il suo avvocato) e creato allo scopo di ottenere o fornire consulenza legale.
La responsabilità generale di garantire l'osservanza di questa procedura spetta al Responsabile della protezione dei dati.
Se My Eco Best Friend agisce in qualità di responsabile del trattamento dei dati nei confronti dell'interessato che presenta la Richiesta, quest'ultima sarà trattata in base alle disposizioni della presente procedura.
Se My Eco Best Friend agisce in qualità di responsabile del trattamento dei dati, il Responsabile della Protezione dei Dati inoltrerà la Richiesta all'appropriato responsabile del trattamento dei dati per conto del quale My Eco Best Friend tratta i dati personali dell'interessato che effettua la Richiesta.
IT 
EN 
FR 
DE