Politica di protezione dei dati
POLITICA DI PROTEZIONE DEI DATI
20 novembre 2021
È importante che vi prendiate il tempo necessario per familiarizzare con gli aspetti generali della protezione dei dati contenuti in questa politica, nonché con le misure specifiche raccomandate dal vostro dipartimento e pertinenti alla particolare natura del vostro lavoro. Ulteriori informazioni e consigli possono essere richiesti al Responsabile della protezione dei dati.
Gaëtan Bio
Chemin du Creux-Bechet, 6, 1096, Villette Svizzera T: +41 (0)79 847 91 55
INTRODUZIONE
Nel corso delle nostre attività quotidiane, tutti noi creiamo, raccogliamo, archiviamo ed elaboriamo grandi quantità di dati su una varietà di soggetti, come il personale, i fornitori e i membri del pubblico. Il nostro utilizzo dei dati personali spazia dall'elaborazione dei dati degli utenti del sito web durante tutto il loro percorso, dalla registrazione all'utilizzo effettivo delle varie funzioni della piattaforma My Eco Best Friend, fino al localizzatore GPS per l'eco-mobilità o alle transazioni finanziarie relative all'acquisto sull'eco-negozio, indipendentemente dal fatto che lo facciamo elettronicamente o infilando la carta negli schedari.
Poiché la registrazione e l'utilizzo dei dati continuano ad aumentare e noi prendiamo molto sul serio la privacy dei dati, è più importante che mai che ogni membro dell'azienda My Eco Best Friend comprenda le leggi esistenti in materia di protezione dei dati e le nostre responsabilità nel garantire che i dati siano protetti ed elaborati in linea con tali leggi.
AMBITO DI APPLICAZIONE
Questa politica si applica a tutto il personale di My Eco Best Friend e a tutti gli altri utenti di computer e reti autorizzati da My Eco Best Friend. Si riferisce al loro uso di tutte le strutture di My Eco Best Friend; a tutti i sistemi privati quando sono collegati alla rete di My Eco Best Friend; a tutti i dati e programmi di proprietà o su licenza di My Eco Best Friend (ovunque memorizzati); e a tutti i dati e programmi forniti a My Eco Best Friend da terze parti (ovunque memorizzati). La politica si riferisce anche agli archivi cartacei e ai registri creati per gli scopi di My Eco Best Friend.
Questa politica comprende i principi sulla privacy dei dati accettati a livello internazionale, quelli coperti dal Regolamento generale sulla protezione dei dati (GDPR) dell'UE, senza sostituire gli obblighi nazionali esistenti.
DEFINIZIONI CHIAVE
Consenso si intende qualsiasi indicazione libera, specifica, informata e inequivocabile della volontà dell'interessato, con la quale quest'ultimo, mediante dichiarazione o altra chiara azione affermativa, esprime il proprio consenso al trattamento dei dati personali che lo riguardano. Il GDPR chiarisce che il silenzio, le caselle pre-selezionate o l'inattività non costituiscono consenso.
Titolare del trattamento dei dati si intende la società giuridicamente indipendente del gruppo My Eco Best Friend, la cui attività commerciale determina i mezzi e le finalità della misura di trattamento in questione.
Elaboratore dati indica il soggetto che tratta i dati per conto del Titolare del trattamento.
Soggetto interessato si intende qualsiasi persona fisica i cui dati possono essere trattati. In alcuni paesi, anche le persone giuridiche possono essere soggetti dei dati..
GDPR significa Regolamento generale sulla protezione dei dati dell'UE 2016/679.
Dati personali le informazioni che My Eco Best Friend detiene su una persona interessata e che la identificano o potrebbero identificarla se combinate con altri dati che My Eco Best Friend detiene o è probabile che ottenga.
Elaborazione comprende l'ottenimento/raccolta, la registrazione, la detenzione, la conservazione, l'organizzazione, l'adattamento, l'allineamento, la copia, il trasferimento, la combinazione, il blocco, la cancellazione e la distruzione delle informazioni o dei dati, anche con mezzi automatizzati. Comprende anche l'esecuzione di qualsiasi operazione o serie di operazioni sulle informazioni o sui dati, compresi il reperimento, la consultazione, l'utilizzo e la divulgazione. Qualsiasi azione sui dati personali deve essere considerata un trattamento di dati.
Dati personali sensibili Si tratta di dati relativi all'origine razziale ed etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, all'appartenenza a sindacati o alla salute e alla vita sessuale dell'interessato. Inoltre, i dati relativi a un reato possono spesso essere trattati solo in base a requisiti speciali previsti dalla legislazione nazionale.
Il mio migliore amico Eco significa My Eco Best Friend Sàrl. L'azienda non ha società controllate.
PRINCIPI GENERALI
My Eco Best Friend è responsabile di dimostrare che i dati personali sono in qualsiasi momento:
trattati in modo lecito, equo e trasparente
conservati solo per scopi specifici, espliciti e legittimi e non utilizzati o divulgati in modo incompatibile con tali scopi.
adeguato, pertinente e non eccessivo rispetto allo scopo per il quale viene
accurata e aggiornata.
non conservati per un periodo superiore a quello necessario per il particolare
trattati in conformità con la richiesta dell'interessato
mantenuti sicuri e non trasferiti al di fuori del territorio coperto dallo Spazio Economico Europeo (SEE) e dalla Svizzera senza l'assicurazione di un adeguato livello di protezione.
AFFIDABILITÀ DELL'ELABORAZIONE DEI DATI
Il trattamento dei dati personali è consentito solo in base a una delle seguenti basi giuridiche. Una di queste basi giuridiche è necessaria anche nel caso in cui lo scopo del trattamento dei dati personali debba essere modificato rispetto a quello originario.
Dati personali dei dipendenti
Trattamento dei dati per il rapporto di lavoro Nei rapporti di lavoro, i dati personali possono essere trattati se necessario per l'avvio, l'esecuzione e la risoluzione del contratto di lavoro. Quando si avvia un rapporto di lavoro, i dati personali dei candidati possono essere trattati. Se il candidato viene respinto, i suoi dati devono essere cancellati nel rispetto del periodo di conservazione richiesto, a meno che il candidato non abbia acconsentito a rimanere in archivio per un futuro processo di selezione. Il consenso è necessario anche per utilizzare i dati per ulteriori processi di candidatura o prima di condividere la candidatura con altri My Eco Best Friend Se durante la procedura di candidatura dovesse essere necessario raccogliere informazioni su un candidato da terzi, è necessario ottenere il consenso dell'interessato.
Dati elaborazione ai sensi a disposizioni di legge. TIl tipo e l'entità del trattamento dei dati devono essere necessari per l'attività di trattamento legalmente autorizzata e devono essere conformi alle disposizioni di legge in materia. Se esiste una certa flessibilità legale, devono essere presi in considerazione gli interessi del dipendente che meritano di essere protetti.
Trattamento dei dati in base al legittimo interesse I dati personali possono essere trattati anche se è necessario far valere un interesse legittimo di My Eco Best Friend. Gli interessi legittimi sono generalmente di natura legale (ad esempio, la presentazione, l'applicazione o la difesa da rivendicazioni legali) o organizzativa o finanziaria (ad esempio, la valutazione di aziende). Prima di elaborare i dati, è necessario determinare se l'interesse legittimo di My Eco Best Friend è prevalente su qualsiasi interesse o diritto dell'individuo perché, in tal caso, non dovremmo elaborare i Dati personali su questa base. L'interesse legittimo di My Eco Best Friend e gli eventuali interessi dell'interessato devono essere identificati e documentati prima di adottare qualsiasi misura.
Consenso al trattamento dei dati I dati dei dipendenti possono essere trattati previo consenso dell'interessato Le dichiarazioni di consenso devono essere presentate volontariamente. Il consenso non volontario è nullo. Prima di dare il consenso, la persona interessata deve essere informata in conformità con la presente politica. La dichiarazione di consenso deve essere ottenuta per iscritto o in formato elettronico ai fini della documentazione.
Trattamento dei dati personali sensibili I dati personali sensibili possono essere trattati solo a determinate condizioni. Il trattamento deve essere espressamente consentito o prescritto dalla legge nazionale. Inoltre, il trattamento può essere consentito se è necessario all'autorità responsabile per adempiere ai propri diritti e doveri in materia di diritto del lavoro. Il dipendente può anche acconsentire espressamente al trattamento. Se è prevista l'elaborazione di dati personali sensibili, il Responsabile della protezione dei dati deve essere informato in
Decisioni automatizzate Se i dati personali sono trattati automaticamente nell'ambito del rapporto di lavoro e vengono valutati specifici dati personali (ad esempio, nell'ambito del processo di assunzione o della valutazione dei profili di competenza), questo trattamento automatico non può essere l'unica base per decisioni che avrebbero conseguenze negative per gli interessati. La persona interessata deve inoltre essere informata dei fatti e dei risultati delle decisioni individuali automatizzate e della possibilità di reagire. My Eco Best Friend deve inoltre garantire che tutti i processi di profilazione e di decisione automatizzata relativi a una persona interessata si basino su dati accurati.
Telecomunicazioni e internet Le apparecchiature telefoniche, gli indirizzi e-mail, la rete intranet e internet e i social network interni sono forniti da My Eco Best Friend principalmente per gli incarichi legati al lavoro. Sono uno strumento e un mezzo di My Eco Best Friend e possono essere utilizzati nel rispetto delle norme legali applicabili e delle politiche interne di My Eco Best Friend, compresa la Politica sulla tecnologia dell'informazione. Non è previsto un monitoraggio generale delle comunicazioni telefoniche e di posta elettronica o dell'uso di Intranet/Internet. Per difendersi dagli attacchi all'infrastruttura informatica o ai singoli utenti, possono essere implementate misure di protezione per le connessioni alla rete My Eco Best Friend che bloccano i contenuti tecnicamente dannosi o che analizzano i modelli di attacco. Per motivi di sicurezza, l'utilizzo di apparecchi telefonici, indirizzi e-mail, intranet/internet e social network interni può essere registrato per un periodo temporaneo. Le valutazioni di questi dati di una persona specifica possono essere effettuate solo in un caso concreto e giustificato di sospetta violazione delle leggi o delle politiche di My Eco Best Friend. Le valutazioni possono essere condotte solo dai dipartimenti investigativi, garantendo il rispetto del principio di proporzionalità. Le leggi nazionali pertinenti devono essere rispettate allo stesso modo delle norme di My Eco Best Friend.
Dati personali di altre parti (compresi gli utenti del sito web, i fornitori, gli sponsor, i partner, ecc.)
Trattamento dei dati per un rapporto contrattuale I dati personali degli utenti del sito web, degli sponsor, dei fornitori e dei partner possono essere trattati per stabilire, eseguire e risolvere un contratto. Prima di stipulare un contratto - durante la fase di avvio del contratto - i dati personali possono essere trattati per preparare ordini di acquisto o per soddisfare altre richieste dell'interessato relative al contratto.
Consenso al trattamento dei dati I dati possono essere trattati previo consenso dell'interessato Prima di dare il consenso, l'interessato deve essere informato in conformità alla presente informativa. La dichiarazione di consenso deve essere ottenuta per iscritto o per via elettronica, in quanto la concessione del consenso deve essere documentata. Il consenso deve essere richiesto alla persona che ha la responsabilità genitoriale sul minore. L'età in cui un individuo è considerato un bambino varia tra i 13 e i 16 anni in base alla legislazione nazionale.
Trattamento dei dati a fini pubblicitari Come regola generale, My Eco Best Friend non invierà materiale promozionale o di marketing diretto ai contatti di My Eco Best Friend attraverso canali digitali come telefoni cellulari, e-mail e Internet, senza aver prima ottenuto il loro consenso. Se l'interessato contatta My Eco Best Friend per richiedere informazioni (ad esempio, per ricevere materiale informativo sui corsi), il trattamento dei dati per soddisfare tale richiesta è comunque consentito. Quando si comunica con l'interessato, si deve ottenere il consenso al trattamento dei dati per scopi pubblicitari e si deve dare all'interessato la possibilità di cancellarsi in qualsiasi momento dalle liste o dai database utilizzati per scopi di marketing diretto (ad es. link di cancellazione). Se l'interessato rifiuta l'utilizzo dei suoi dati a fini pubblicitari, questi non possono più essere utilizzati per tali scopi e devono essere bloccati in modo da cessare immediatamente e i suoi dati devono essere conservati in una lista di soppressione con una registrazione della sua decisione di opt-out, piuttosto che essere completamente cancellati. Devono essere rispettate tutte le altre limitazioni previste da determinati Paesi per quanto riguarda l'utilizzo dei dati a fini pubblicitari. In particolare, il marketing diretto deve essere conforme al Privacy and Electronic Communications (EC Directive) Regulations 2003 (PECR) e in particolare alla direttiva e-privacy, come modificata, che copre il marketing via telefono, testo ed e-mail. La direttiva e-privacy è stata ora sostituita da un nuovo regolamento ePrivacy che probabilmente si affiancherà al GDPR.
Trattamento dei dati in base ad autorizzazione legale Il tipo e l'entità del trattamento dei dati devono essere necessari per l'attività di trattamento legalmente autorizzata e devono essere conformi alle disposizioni di legge in materia. Se esiste una certa flessibilità legale, devono essere presi in considerazione gli interessi della persona interessata che meritano di essere protetti.
Trattamento dei dati in base al legittimo interesse I dati personali possono essere trattati anche se è necessario per un interesse legittimo di My Eco Best Friend. Gli interessi legittimi sono generalmente di natura legale o commerciale (ad esempio, salute e sicurezza, uso dell'eco-negozio). Prima di trattare i dati, è necessario determinare se l'interesse legittimo di My Eco Best Friend è prevalente su qualsiasi interesse o diritto dell'individuo perché, in tal caso, non dovremmo trattare i dati personali su questo L'interesse legittimo di My Eco Best Friend e qualsiasi interesse della persona interessata devono essere identificati e documentati prima di adottare qualsiasi misura.
Trattamento dei dati personali sensibili I dati personali sensibili possono essere trattati solo se la legge lo richiede o se l'interessato ha dato un consenso esplicito. Se si prevede di trattare dati sensibili, il Responsabile della protezione dei dati deve essere informato in
Decisioni individuali automatizzate Il trattamento automatizzato dei dati personali utilizzato per valutare determinati aspetti (ad esempio, affidabilità creditizia, rischio di corruzione) non può essere l'unica base per decisioni che hanno conseguenze legali negative o che potrebbero danneggiare in modo significativo l'interessato. L'interessato deve essere informato dei fatti e dei risultati delle decisioni individuali automatizzate e della possibilità di reagire. Per evitare decisioni errate, un test e un controllo di plausibilità devono essere effettuati da un My Eco Best Friend, che deve anche garantire che tutti i processi di profilazione e di decisione automatizzata relativi a una persona interessata si basino su dati accurati.
Dati utente e internet Se i dati personali vengono raccolti, elaborati e utilizzati su siti web o app, gli interessati devono esserne informati in un'informativa sulla privacy e, se del caso, con informazioni sui cookie. L'informativa sulla privacy e le eventuali informazioni sui cookie devono essere integrate in modo da essere facilmente identificabili, direttamente accessibili e costantemente disponibili per gli interessati. Se vengono creati profili d'uso (tracking) per valutare l'utilizzo di siti web e app, gli interessati devono sempre essere informati in tal senso nell'informativa sulla privacy. Il tracciamento personale può essere effettuato solo previo consenso dell'interessato. Se il tracciamento utilizza uno pseudonimo, l'interessato deve avere la possibilità di rinunciare nella dichiarazione sulla privacy. Se i siti web o le app possono accedere ai dati personali in un'area riservata agli utenti registrati, l'identificazione e l'autenticazione dell'interessato devono offrire una protezione sufficiente durante l'accesso.
Conservazione dei dati
I dati personali devono essere conservati solo per il tempo necessario a eseguire il trattamento per il quale sono stati raccolti. Una volta che le informazioni non sono più necessarie, devono essere eliminate I documenti cartacei devono essere stracciati o smaltiti nei rifiuti riservati e i documenti elettronici devono essere cancellati in modo permanente.
Gli utenti dei dati personali sono responsabili di garantire i periodi di conservazione appropriati per le informazioni in loro possesso e gestite, sulla base delle indicazioni di My Eco Best Friend. I periodi di conservazione saranno stabiliti in base ai requisiti legali e normativi e alle buone prassi.
Se i dati sono completamente anonimizzati, non ci sono limiti di tempo per la conservazione dal punto di vista della protezione dei dati, in quanto il GDPR non si applica ai dati anonimizzati.
Trasmissione dati
La trasmissione di dati personali a destinatari esterni o interni all'azienda My Eco Best Friend è soggetta ai requisiti di autorizzazione per il trattamento dei dati personali Se i dati vengono trasmessi da terzi a My Eco Best Friend, è necessario garantire che i dati possano essere utilizzati per lo scopo previsto.
Affinché My Eco Best Friend possa svolgere efficacemente le proprie attività, può capitare che sia necessario consentire l'accesso ai dati personali da una località estera. In tal caso, l'entità My Eco Best Friend che invia i dati personali rimane responsabile della protezione di tali dati personali.
Come regola generale, i dati personali non devono essere trasmessi a terzi, in particolare se si tratta di dati personali sensibili, poiché devono essere soddisfatte alcune condizioni prima che i dati personali possano essere condivisi con terzi o prima che un fornitore esterno venga utilizzato per elaborare i dati per conto di My Eco Best Friend.
Nel caso in cui un fornitore esterno venga incaricato del trattamento dei dati personali, senza che gli venga assegnata la responsabilità del relativo processo aziendale (in quanto incaricato del trattamento), devono essere rispettati i seguenti requisiti:
il fornitore deve essere scelto in base alla sua capacità di adottare le misure di protezione tecniche e organizzative richieste. Un fornitore può documentare la propria conformità ai requisiti di sicurezza dei dati, in particolare presentando un'adeguata certificazione; e
è necessario stipulare un accordo per il trattamento dei dati che contenga le istruzioni per il trattamento dei dati e le responsabilità del responsabile del trattamento e del fornitore esterno (in qualità di incaricato del trattamento)
Anche un fornitore esterno può essere un responsabile del trattamento dei dati e l'accordo tra My Eco Best Friend e tale fornitore deve chiarire le responsabilità di ciascuna parte in relazione ai dati personali.
La garanzia di tale conformità deve essere ottenuta da tutti i fornitori esterni, siano essi aziende o individui, prima di concedere loro l'accesso ai dati personali controllati da My Eco Best Friend.
Come regola generale, è necessario consultare sempre l'ufficio legale se si sta stipulando un nuovo contratto che prevede la condivisione o l'elaborazione di dati personali (vedere la Politica di gestione dei contratti) o se si ricevono richieste di informazioni personali da parte di terzi, come parenti, polizia, ecc.
Il Comitato direttivo per la protezione dei dati (come descritto nella sezione 13.1) condurrà verifiche periodiche del trattamento dei dati personali effettuato da fornitori esterni e da altre terze parti, in particolare per quanto riguarda le misure tecniche e organizzative da essi adottate Le principali carenze individuate saranno segnalate al Comitato esecutivo e da questo monitorate.
Trasferimenti di dati personali al di fuori dell'UE
I dati personali possono essere trasferiti al di fuori della Svizzera o del SEE (paese terzo) solo in presenza di determinate condizioni Le informazioni pubblicate su Internet devono essere considerate come un'esportazione di dati al di fuori dell'UE. Questo vale anche per i dati memorizzati nel cloud, a meno che il fornitore di servizi non garantisca esplicitamente che la memorizzazione dei dati avvenga solo all'interno dell'UE.
In caso di accordo transfrontaliero sul trattamento dei dati, deve essere soddisfatto uno dei seguenti requisiti:
una decisione della Commissione europea stabilisce che il Paese o il territorio verso cui viene effettuato il trasferimento garantisce un livello di protezione adeguato;
il trasferimento è soggetto a una o più delle "garanzie appropriate" per i trasferimenti internazionali prescritte dalla legge applicabile (ad esempio, le clausole standard di protezione dei dati adottate dalla Commissione europea); oppure
esiste un'altra situazione in cui il trasferimento è consentito dalla legge applicabile (ad esempio, in presenza di un consenso esplicito).
Registri delle attività di trattamento
In qualità di responsabile del trattamento dei dati personali, My Eco Best Friend è tenuto a tenere un registro delle attività di trattamento che copra tutti i trattamenti di dati personali effettuati da My Eco Best Friend. Tali registri contengono, tra l'altro, informazioni dettagliate sui motivi per cui i dati personali vengono trattati, sui tipi di individui di cui si dispone, sui soggetti con cui i dati personali vengono condivisi e sui casi in cui i dati personali vengono trasferiti in paesi al di fuori dell'Unione Europea.
Il mio migliore amico ecologico ha lavorato a una serie di registri delle attività di trattamento dei dati:
Dati sul personale (compresi i candidati e il personale precedente).
Dati degli utenti del sito web e
Soggetti diversi dal personale e dagli utenti del sito web.
Questi registri sono conservati dal Responsabile della protezione dei dati.
Il personale che intraprende nuove attività che comportano l'uso di dati personali e che non sono coperte da uno dei registri delle attività di trattamento esistenti deve informare il Responsabile della protezione dei dati prima di iniziare la nuova attività.
Diritti dell'interessato e richieste di accesso
Nell'ambito del nostro dovere di trasparenza e al fine di aiutare gli interessati a comprendere come e perché raccogliamo i loro dati personali e cosa ne facciamo, My Eco Best Friend ha pubblicato delle note sulla privacy che sono disponibili per i seguenti soggetti su myecobestfriend.com:
personale:
utenti del sito web (clienti, visitatori, sponsor, partner, fornitori)
Qualsiasi trattamento di dati che esuli dall'ambito di applicazione delle informative standard sulla privacy, o il trattamento dei dati personali di altre persone, comporterà la necessità di un'informativa separata sulla privacy.
Queste informative sulla privacy spiegano anche le decisioni che gli interessati possono prendere in merito ai loro dati personali e che riguardano i seguenti diritti garantiti dal GDPR:
Diritto di accesso e portabilità - Gli interessati hanno il diritto di accedere ai dati personali e di richiedere che i dati personali siano forniti in una forma strutturata, comunemente utilizzata e leggibile da una macchina (in modo da poterli inviare, ad esempio, a un altro titolare del trattamento).
Diritto di rettifica e qualità dei dati - Gli interessati hanno il diritto di richiedere la rettifica delle inesattezze dei dati personali in loro possesso. Dovrebbero essere completati controlli regolari sulla qualità dei dati per fornire garanzie sull'accuratezza dei dati.
Diritto di limitare le attività di trattamento dei dati - Gli interessati hanno il diritto di chiederci di limitare le nostre attività di trattamento dei dati (e, qualora il nostro trattamento sia basato sul suo consenso, possono revocare tale consenso, senza pregiudicare la liceità del nostro trattamento basato sul consenso prima della sua revoca). Quando
il trattamento è limitato, siamo autorizzati a conservare i dati personali, ma non a trattarli ulteriormente;
Diritto di opposizione - Gli interessati hanno il diritto di opporsi a specifici tipi di trattamento, tra cui il trattamento a fini di marketing diretto. L'interessato deve dimostrare di avere motivi per opporsi al trattamento in relazione alla sua situazione particolare, tranne nel caso del marketing diretto in cui si tratta di un diritto assoluto. I servizi online devono offrire un metodo automatizzato per opporsi.
Diritti in relazione al processo decisionale automatizzato e alla profilazione - Il diritto riguarda le decisioni automatizzate o la profilazione che potrebbero comportare effetti significativi per un individuo La profilazione è il trattamento dei dati per valutare, analizzare o prevedere il comportamento o qualsiasi caratteristica del suo comportamento, delle sue preferenze o della sua identità. Gli individui hanno il diritto di non essere soggetti a decisioni basate esclusivamente su un trattamento automatizzato. Quando si utilizza la profilazione, devono essere adottate misure per garantire la sicurezza e l'affidabilità dei servizi.
Diritto all'oblio (cancellazione) - Le persone hanno il diritto di ottenere la cancellazione dei propri dati in determinate situazioni, come ad esempio quando i dati non sono più necessari per lo scopo per cui sono stati raccolti, l'individuo ritira il consenso o le informazioni sono in corso di elaborazione Esiste un'esenzione a questo per scopi di ricerca scientifica o storica o per scopi statistici se la cancellazione renderebbe impossibile o comprometterebbe gravemente il raggiungimento degli obiettivi della ricerca.
I diritti di cui sopra non sono assoluti, e la loro disponibilità dipende in larga misura dalla giustificazione legale per
Dobbiamo verificare l'identità della persona che presenta la richiesta per confermare che il richiedente è l'interessato o il suo rappresentante legale autorizzato. Qualsiasi richiesta presentata per invocare uno dei diritti di cui sopra deve essere evasa gratuitamente, tempestivamente e in ogni caso entro 30 giorni dal ricevimento della richiesta.
I membri del personale devono agire secondo la procedura di gestione delle richieste di dati personali allegata all'Allegato A e consultare il Responsabile della protezione dei dati in caso di dubbi.
Sicurezza dei dati
I dati personali devono essere salvaguardati da accessi non autorizzati e da trattamenti o divulgazioni illegali, nonché da perdite, modifiche o alterazioni accidentali. Ciò include l'implementazione di misure tecniche e organizzative per la protezione dei dati personali, quali:
Anonimizzazione, ovvero il processo di rimozione degli identificatori personali, sia diretti che indiretti, che possono portare all'identificazione di un individuo. Le persone possono essere identificate direttamente dal loro nome, indirizzo, codice postale, numero di telefono, fotografia o immagine, o da qualche altro dato personale univoco. Le persone possono anche essere identificate indirettamente quando alcune informazioni sono collegate ad altre fonti di informazione, tra cui il luogo di lavoro, il titolo di lavoro, lo stipendio, il codice postale o anche il fatto di avere una particolare diagnosi o condizione.
Se da un lato si può essere incentivati a trattare i dati in forma anonima, dall'altro questa tecnica può svalutare i dati, rendendoli non più utili per alcuni scopi. Pertanto, prima di procedere all'anonimizzazione, è necessario prendere in considerazione gli scopi per i quali i dati devono essere utilizzati.
La pseudonimizzazione, che secondo il GDPR è definita come "il trattamento dei dati personali in modo tale che i dati non possano più essere attribuiti a un soggetto specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative per garantire la non attribuzione a un soggetto identificato o identificabilel". Il GDPR non si applica alle informazioni anonimizzate, non è il caso per
La crittografia, che è il processo di conversione delle informazioni o dei dati in codice, per impedire l'accesso non autorizzato alle informazioni o ai dati.
Il reparto responsabile deve consultarsi regolarmente con il Chief Information Security Officer, poiché le misure tecniche e organizzative per la protezione dei dati personali devono essere costantemente adeguate agli sviluppi tecnici e organizzativi.
Come parte del requisito "privacy by design" del GDPR e per garantire che la privacy e la protezione dei dati non siano un ripensamento, quando si progettano nuovi sistemi o processi e/o quando si rivedono o si ampliano i sistemi o i processi esistenti, ciascuno di essi deve passare attraverso il Dall'idea al progetto che contengono un cancello che garantisce che ogni considerazione sulla privacy dei dati sia stata
Per alcuni progetti il GDPR richiede anche una valutazione dell'impatto sulla protezione dei dati (DPIA). Tra le circostanze in cui è richiesta la DPIA vi sono quelle che comportano il trattamento di grandi quantità di dati personali o il monitoraggio di aree pubblicamente valutabili (ad es. TVCC). La DPIA è un meccanismo per identificare ed esaminare l'impatto di nuove iniziative e mettere in atto misure per minimizzare o ridurre i rischi; è un esercizio che deve essere debitamente documentato.
Si applica il principio della "necessità di sapere". I dipendenti di My Eco Best Friend e i dipendenti di fornitori esterni, in quanto incaricati del trattamento dei dati, possono avere accesso alle informazioni personali solo nella misura in cui ciò sia appropriato per il tipo e la portata della mansione in questione. Ciò richiede un'attenta suddivisione e separazione, nonché l'attuazione, dei ruoli e delle responsabilità. La raccolta, l'elaborazione o l'utilizzo non autorizzato di tali dati da parte dei dipendenti è vietato,
divulgazione a persone non autorizzate o di renderli disponibili in qualsiasi altro modo. Tale obbligo rimarrà in vigore anche dopo la cessazione del rapporto di lavoro/contratto di elaborazione dati.
Tutti gli utenti di dati personali di My Eco Best Friend devono garantire che tutti i dati personali in loro possesso siano conservati in modo sicuro. La politica informatica relativa alla sicurezza dei sistemi di archiviazione manuale, all'archiviazione di dati personali su dispositivi portatili, alla rimozione di dati personali dai locali di My Eco Best Friend, al download di dati personali su dispositivi personali deve essere rigorosamente
Gestione delle violazioni dei dati
My Eco Best Friend si impegna al massimo per evitare le violazioni dei dati personali, tuttavia le violazioni della sicurezza dei dati sono sempre più frequenti, sia che siano causate da un errore umano sia che siano causate da malintenzionati:
Perdita o furto di dati o apparecchiature
Controlli di accesso inadeguati che consentono un utilizzo non autorizzato
Guasto alle apparecchiature
Divulgazione non autorizzata (ad es. e-mail inviate al destinatario sbagliato)
Errore umano
Attacco di hacking
Se si verifica una violazione della protezione dei dati, My Eco Best Friend è tenuto, nella maggior parte dei casi, a segnalarla il prima possibile all'autorità di controllo competente, e comunque non oltre 72 ore dal momento in cui ne è venuto a conoscenza.
Se si viene a conoscenza di un incidente/violazione della sicurezza dei dati, è necessario segnalarlo immediatamente. I dettagli su come segnalare una violazione e le informazioni necessarie sono riportati nella sezione Incidenti di sicurezza e gestione delle violazioni dei dati.
Ruoli e responsabilità
La governance. Per dimostrare il suo impegno nella protezione dei dati e per migliorare l'efficacia dei suoi sforzi di conformità, My Eco Best Friend ha istituito un Comitato direttivo per la protezione dei dati. Il Comitato direttivo opera in modo indipendente ed è composto da persone qualificate e dotate di tutti i requisiti necessari. Il Comitato direttivo è sotto la supervisione del Responsabile della privacy di My Eco Best Friend, che ha accesso diretto al Consiglio di amministrazione.
Responsabile della sicurezza informatica. Il Chief Information Security Officer ha la responsabilità primaria di supervisionare la sicurezza delle informazioni di My Eco Best Friend:
sviluppare, mantenere e implementare un programma di sicurezza informatica My Eco Best Friend;
documentare e diffondere le politiche e le procedure di sicurezza delle informazioni;
coordinare lo sviluppo e l'implementazione del programma di formazione e sensibilizzazione sulla sicurezza informatica My Eco Best Friend;
eseguire la valutazione dei rischi e garantire che le considerazioni sulla sicurezza delle informazioni siano state prese in considerazione come parte del processo di progettazione/espansione/revisione di sistemi o processi;
coordinare con il responsabile della protezione dei dati la risposta a incidenti reali o sospetti di violazione dei dati e della sicurezza, come previsto dalla gestione delle violazioni dei dati.
Responsabile della protezione dei dati (DPO). Il responsabile della protezione dei dati è il principale responsabile della conformità di My Eco Best Friend alla normativa sulla protezione dei dati:
La notifica di My Eco Best Friend all'autorità di vigilanza competente;
gestire le richieste di accesso ai dati e le richieste di dati personali da parte di terzi;
promuovere e mantenere la consapevolezza delle leggi e dei regolamenti sulla protezione dei dati, compresa la formazione;
indagare sulle violazioni dei dati e sugli incidenti di sicurezza in conformità con la gestione delle violazioni dei dati.
Contatto del DPO per la società My Eco Best Friend:
Chemin du Creux-Bechet, 6, 1096, Villette (Svizzera)
T: +41 (0)798479155
Direttore. I dirigenti hanno la responsabilità di garantire che il loro personale comprenda il ruolo dei principi di protezione dei dati nel loro lavoro quotidiano, attraverso l'introduzione, la formazione e il monitoraggio delle prestazioni, e di controllare la conformità all'interno delle loro aree di competenza.
My Eco Best Friend si aspetta che i suoi dipendenti e tutti gli appaltatori, i fornitori, le agenzie, i lavoratori temporanei o qualsiasi altra parte che agisce per conto di My Eco Best Friend (collettivamente, "Parti Esterne") che raccolgono o gestiscono informazioni personali seguano questa politica, sia che utilizzino i sistemi elettronici di My Eco Best Friend e/o i propri strumenti di gestione dei dati. I dipendenti di My Eco Best Friend sono responsabili di garantire che le Parti Esterne con cui lavorano a supporto delle operazioni di My Eco Best Friend rispettino questa politica.
Impatto della non conformità
My Eco Best Friend potrebbe essere multato pesantemente per non aver rispettato la normativa.
Ciascun reparto di My Eco Best Friend dovrà effettuare le proprie autovalutazioni sulla conformità a questa politica. Inoltre, My Eco Best Friend può valutare periodicamente se i dipendenti e le terze parti interessate rispettano questa politica e le relative norme e procedure di My Eco Best Friend quando trattano i dati personali.
La mancata osservanza di questa politica da parte dei Dipendenti può comportare azioni disciplinari che possono includere il licenziamento. Per i soggetti esterni che raccolgono o gestiscono dati personali per conto di My Eco Best Friend, la mancata osservanza di questa politica può comportare conseguenze commerciali negative, fino alla cessazione del rapporto commerciale e le richieste di risarcimento per il personale possono anche incorrere in responsabilità penale se ottengono e/o divulgano consapevolmente o incautamente dati personali per i propri scopi.
Generale
Questa politica è in vigore dal 21 novembreth, 2021 e disponibile su myecobestfriend.com.
L'Ufficio per la protezione dei dati è responsabile dell'aggiornamento e dell'accuratezza di questa politica. I dipendenti di My Eco Best Friend saranno informati di eventuali revisioni significative. Le modifiche a questa politica entreranno in vigore quando saranno pubblicate su myecobestfriend.com.
Scopo
La presente procedura definisce le caratteristiche principali per la gestione o la risposta alle richieste di accesso ai dati personali presentate dagli interessati, dai loro rappresentanti o da altre parti interessate. Questa procedura consentirà a My Eco Best Friend di ottemperare agli obblighi di legge, di migliorare la trasparenza, di consentire agli individui di verificare l'accuratezza delle informazioni in loro possesso e di aumentare il livello di fiducia grazie alla trasparenza delle informazioni in loro possesso.
Una richiesta di dati personali è una richiesta fatta da un individuo o dal suo rappresentante legale di informazioni in possesso di My Eco Best Friend su quell'individuo.
La richiesta deve essere fatta per iscritto. In generale, le richieste verbali di informazioni in possesso di una persona sono non valida. La richiesta può essere effettuata tramite e-mail, posta, sito web aziendale o qualsiasi altro metodo disponibile.
My Eco Best Friend deve fornire una risposta agli interessati che richiedono l'accesso ai propri dati entro 30 giorni di calendario dalla ricezione della richiesta, a meno che la legislazione locale non preveda diversamente.
Per poter rispondere tempestivamente alla Richiesta, l'interessato deve:
Presentare la richiesta utilizzando il modulo di richiesta di accesso alle informazioni personali (vedi modello allegato).
Fornire a My Eco Best Friend informazioni sufficienti a convalidare la sua identità (per garantire che la persona che richiede le informazioni sia l'interessato o una persona autorizzata).
Fatte salve le esenzioni di cui al presente documento, My Eco Best Friend fornirà informazioni agli interessati le cui richieste siano presentate per iscritto e pervengano da una persona la cui identità possa essere convalidata da My Eco Best Friend.
Tuttavia, My Eco Best Friend non fornirà dati se le risorse necessarie per identificarli e recuperarli saranno eccessivamente difficili o dispendiose in termini di tempo. Le richieste hanno maggiori probabilità di successo se sono specifiche e mirate a informazioni particolari.
Tra i fattori che possono contribuire a restringere l'ambito di una ricerca vi sono l'identificazione del probabile detentore delle informazioni (ad esempio, facendo riferimento a un dipartimento specifico), il periodo di tempo in cui le informazioni sono state generate o elaborate (quanto più ristretto è l'arco temporale, tanto più è probabile che la richiesta vada a buon fine) e la specificità della natura dei dati ricercati (ad esempio, una copia di un particolare modulo o dei record di posta elettronica di un determinato dipartimento).
Richiesta
Una volta ricevuta la richiesta, il responsabile della protezione dei dati ne darà conferma. Al richiedente può essere chiesto di compilare un modulo di richiesta di accesso alle informazioni personali per consentire a My Eco Best Friend di individuare le informazioni pertinenti.
Il Responsabile della protezione dei dati deve verificare l'identità di chiunque faccia una richiesta per garantire che le informazioni vengano fornite solo alla persona che ha il diritto di riceverle. Se l'identità del richiedente non è già stata fornita, la persona che riceve la richiesta chiederà al richiedente di fornire un documento di identità.
Se il richiedente non è l'interessato, è necessaria la conferma scritta che il richiedente è autorizzato ad agire per conto dell'interessato.
Al ricevimento dei documenti richiesti, la persona che riceve la richiesta fornirà al Responsabile della protezione dei dati tutte le informazioni pertinenti a sostegno della richiesta. Se il Responsabile della protezione dei dati è ragionevolmente soddisfatto delle informazioni presentate dalla persona che ha ricevuto la richiesta, il Responsabile della protezione dei dati comunicherà al richiedente che la sua richiesta riceverà una risposta entro 30 giorni di calendario. Il periodo di 30 giorni decorre dalla data di ricezione dei documenti richiesti. Il Responsabile della protezione dei dati informerà il richiedente per iscritto se ci sarà uno scostamento dal termine di 30 giorni a causa di altri eventi intervenuti.
Il Responsabile della protezione dei dati contatterà e chiederà al/i reparto/i competente/i le informazioni necessarie come richiesto nella richiesta. Se necessario, può essere previsto un incontro iniziale con il reparto interessato per esaminare la richiesta. Il reparto che detiene le informazioni deve restituire le informazioni richieste entro la scadenza imposta dal Responsabile della protezione dei dati e/o viene organizzato un ulteriore incontro con il reparto per esaminare le informazioni. Il Responsabile della protezione dei dati determinerà se vi sono informazioni che possono essere soggette a esenzione e/o se è necessario il consenso di una terza parte.
Il responsabile della protezione dei dati deve assicurarsi che le informazioni siano esaminate/ricevute entro la scadenza imposta per garantire che non venga violato il termine di 30 giorni di calendario.
Il responsabile della protezione dei dati fornirà la risposta definitiva insieme alle informazioni recuperate dal dipartimento (o dai dipartimenti) e/o una dichiarazione che My Eco Best Friend non detiene le informazioni richieste o che si applica un'esenzione. Il responsabile della protezione dei dati provvederà a inviare una risposta scritta al richiedente. La risposta sarà inviata via e-mail, a meno che il richiedente non abbia specificato un altro metodo per ricevere la risposta (ad esempio, per posta).
Dopo l'invio della risposta al richiedente, la richiesta sarà considerata chiusa e archiviata dal Responsabile della protezione dei dati.
In linea di massima, My Eco Best Friend non divulgherà i seguenti tipi di informazioni in risposta a una richiesta:
Informazioni su altre persone - Una richiesta può riguardare informazioni che si riferiscono a una o più persone diverse dai dati L'accesso a tali dati non sarà concesso a meno che le persone coinvolte non acconsentano alla divulgazione dei loro dati.
Richieste ripetute - Se una richiesta simile o identica in relazione allo stesso soggetto è stata precedentemente soddisfatta entro un periodo di tempo ragionevole, e se non vi sono cambiamenti significativi nei dati personali detenuti in relazione a tale soggetto, qualsiasi ulteriore richiesta sarà considerata una richiesta ripetuta e My Eco Best Friend non fornirà di norma un'ulteriore copia degli stessi dati.
Informazioni pubblicamente disponibili - My Eco Best Friend non è tenuto a fornire copie di documenti che sono già pubblici.
Documenti privilegiati - Qualsiasi informazione privilegiata in possesso di My Eco Best Friend non deve essere divulgata. In generale, le informazioni privilegiate comprendono qualsiasi documento riservato (ad esempio, una comunicazione diretta tra un cliente e il suo avvocato) e creato allo scopo di ottenere o fornire consulenza legale.
La responsabilità generale di garantire l'osservanza di questa procedura spetta al Responsabile della protezione dei dati.
Se My Eco Best Friend agisce in qualità di responsabile del trattamento dei dati nei confronti dell'interessato che presenta la richiesta, quest'ultima sarà trattata in base alle disposizioni della presente procedura.
Se My Eco Best Friend agisce come responsabile del trattamento dei dati, il responsabile della protezione dei dati inoltrerà la richiesta al responsabile del trattamento dei dati appropriato per conto del quale My Eco Best Friend tratta i dati personali dell'interessato che presenta la richiesta.
Usa questo Motore di ricerca per trovare qualsiasi cosa disponibile su My Eco Best Friend (prodotti, giochi, video...)
IT 
EN 
FR 
DE 
