Consegna gratuita nel Regno Unito per ordini superiori a £75
Consegna gratuita nel Regno Unito per ordini superiori a £75
Festa del Papà: 30% di sconto sulle borse da uomo
Festa del Papà: 20% di sconto sulle cinture da uomo
Outlet Uomo: Fino al 50% di sconto
UK Flag
Denti Denti
Cerca
Accedi
Cerca
Cerca
Il mio carrello
Il mio carrello
Il mio carrello
Cerca
Close

Prefazione

La nostra Politica Aziendale di Protezione dei Dati stabilisce requisiti rigorosi per il trattamento dei dati personali relativi a clienti, potenziali clienti, partner commerciali e dipendenti. Essa soddisfa i requisiti della Direttiva Europea sulla Protezione dei Dati (GDPR) e garantisce la conformità ai principi delle leggi nazionali e internazionali sulla protezione dei dati.

La politica stabilisce gli standard applicabili di protezione e sicurezza dei dati per la nostra azienda e regola la condivisione delle informazioni tra le società del nostro Gruppo. Abbiamo definito sette principi di protezione dei dati – tra cui trasparenza, minimizzazione dei dati e sicurezza dei dati – come nostra linea guida.

I nostri dirigenti e dipendenti sono obbligati a rispettare la Politica e a osservare le leggi locali sulla protezione dei dati.

In qualità di responsabile della Protezione dei Dati Aziendale, è mio dovere garantire che le regole e i principi di protezione dei dati presso Dents sono rispettate.

 

Robert Yentob

Presidente

 

23/5/18

 

Contenuti

I. Obiettivo della Politica di Protezione dei Dati

II. Ambito della Politica di Protezione dei Dati

III. Applicazione delle leggi nazionali

IV. Principi per il trattamento dei dati personali

1. Correttezza e liceità

2. Limitazione a uno scopo specifico

3. Trasparenza

4. Riduzione e economia dei dati

5. Cancellazione

6. Accuratezza fattuale; dati aggiornati

7. Riservatezza e sicurezza dei dati

V. Affidabilità del trattamento dei dati

1. Dati di clienti e partner

1.1 Trattamento dei dati per un rapporto contrattuale

1.2 Trattamento dei dati per scopi pubblicitari

1.3 Consenso al trattamento dei dati

1.4 Trattamento dei dati ai sensi di autorizzazione legale

1.5 Trattamento dei dati ai sensi dell'interesse legittimo

1.6 Trattamento di dati altamente sensibili

1.7 Decisioni individuali automatizzate

1.8 Dati dell'utente e internet

2. Dati del dipendente

2.1 Trattamento dei dati per il rapporto di lavoro

2.2 Trattamento dei dati in base ad autorizzazione legale

2.3 Consenso al trattamento dei dati

2.4 Trattamento dei dati in base a interesse legittimo

2.5 Trattamento di dati altamente sensibili

2.6 Decisioni automatizzate

2.7 Telecomunicazioni e internet

VI. Trasmissione dei dati personali

VII. Trattamento dati su contratto

VIII. Diritti dell’interessato

IX. Riservatezza del trattamento

X. Sicurezza del trattamento

XI. Controllo della protezione dei dati

XII. Incidenti di protezione dei dati    

XIII. Responsabilità e sanzioni                                     

 

  1. I.                    Obiettivo della Politica di Protezione dei Dati

Come parte della sua responsabilità sociale, il Dewhurst Dent Group (il Gruppo) si impegna a rispettare le leggi sulla protezione dei dati. Questa Politica di Protezione dei Dati si applica a livello mondiale al Gruppo ed è basata su principi fondamentali globalmente accettati sulla protezione dei dati. Garantire la protezione dei dati è la base di rapporti commerciali affidabili e della reputazione di tutte le società del Gruppo come datore di lavoro attraente.

La Politica di Protezione dei Dati fornisce una delle condizioni quadro necessarie per la trasmissione transfrontaliera

trasmissione dei dati tra le società del Gruppo. Garantisce un livello adeguato di protezione dei dati

prescritti dal GDPR e dalle leggi nazionali per la trasmissione transfrontaliera dei dati, anche in paesi che non dispongono ancora di leggi adeguate sulla protezione dei dati.

 

  1. II.                   Ambito della Politica di Protezione dei Dati

Questa Politica di Protezione dei Dati si applica a tutte le società e divisioni del Gruppo, cioè Dents, Gaby, Dents Australia Pty, Corgi Hosiery Ltd, D.Charles Astle (Auctioneers) e Hersil Fabrics.

 

La Politica di Protezione dei Dati si estende a tutti i trattamenti di dati personali

 

  1. III.               Applicazione delle leggi nazionali

Questa Politica di Protezione dei Dati comprende i principi di privacy dei dati accettati a livello internazionale

senza sostituire le leggi nazionali esistenti. Essa integra le leggi nazionali sulla privacy dei dati. La

la legge nazionale pertinente prevarrà nel caso in cui essa sia in conflitto con questa Protezione dei Dati

Politica, o ha requisiti più severi rispetto a questa Politica. Il contenuto di questa Politica sulla Protezione dei Dati

devono essere rispettati anche in assenza di una legislazione nazionale corrispondente. La segnalazione

devono essere rispettati i requisiti per il trattamento dei dati previsti dalle leggi nazionali.

 

Ogni società del Gruppo è responsabile del rispetto di questa Politica sulla Protezione dei Dati e degli obblighi legali. Tutti i dipendenti devono leggere, comprendere e rispettare questa politica e qualsiasi politica correlata durante il trattamento dei dati personali e qualsiasi violazione può comportare azioni disciplinari.

 

  1. IV.              Principi per il trattamento dei dati personali

1. Correttezza e liceità

Durante il trattamento dei dati personali, devono essere tutelati i diritti individuali degli interessati.

I dati personali devono essere raccolti e trattati in modo lecito e corretto. La normativa sulla protezione dei dati consente il trattamento per scopi specifici, che sono indicati in questa politica. Gli interessati saranno informati degli scopi del trattamento dei loro dati personali, dettagli che si trovano nell’Informativa sulla Privacy per i dipendenti dell’azienda.

 

2. Limitazione a uno scopo specifico, esplicito e legittimo

I dati personali possono essere trattati solo per scopi specifici, espliciti e legittimi e non saranno trattati in modo incompatibile con tali scopi. Modifiche successive allo scopo sono possibili solo in misura limitata e richiedono giustificazione.


3. Trasparenza

L’interessato deve essere informato su come i suoi dati vengono trattati. [Ai dipendenti sarà fornita un’Informativa sulla Privacy che li informa su come i loro dati vengono trattati.] Le informazioni saranno concise, trasparenti, facilmente accessibili e in un linguaggio chiaro e semplice. 

 

In generale, i dati personali saranno raccolti direttamente dall’interessato. Al momento della raccolta dei dati, l’interessato deve essere consapevole o informato di:

» L’identità del Titolare del trattamento

» Lo scopo del trattamento dei dati

» Terzi o categorie di terzi a cui i dati potrebbero essere trasmessi

 

I dati personali possono anche essere raccolti indirettamente (ad esempio, da terzi o da fonti pubblicamente disponibili). L’interessato sarà informato delle informazioni sopra indicate il prima possibile dopo la raccolta/ricezione dei dati.

 

4. Riduzione e economia dei dati

I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per cui sono trattati. Prima di trattare i dati personali, è necessario determinare se e in quale misura il trattamento dei dati personali sia necessario per raggiungere lo scopo per cui viene effettuato.

Quando lo scopo lo consente e quando la spesa sostenuta è proporzionata all’obiettivo perseguito, devono essere utilizzati dati anonimizzati o statistici. I dati personali non possono essere raccolti in anticipo e conservati per eventuali scopi futuri a meno che non sia richiesto o consentito dalla legge nazionale.

 

5. Cancellazione

Quando i dati personali non sono più necessari, saranno cancellati in conformità con le linee guida e le politiche di conservazione dei dati dell’Azienda. I soggetti interessati saranno informati del periodo di conservazione dei dati e di come tale periodo viene determinato nelle Politiche sulla Privacy. 

 I terzi devono essere obbligati a cancellare i dati non più necessari, ove applicabile.

 

6. Accuratezza fattuale; dati aggiornati

I dati personali archiviati devono essere accurati e, se necessario, aggiornati. Devono essere adottate misure adeguate per garantire che dati inesatti o incompleti siano cancellati, corretti, integrati o aggiornati.

 

7. Riservatezza e sicurezza dei dati

I dati personali sono soggetti a riservatezza. Devono essere trattati come confidenziali a livello personale e protetti con misure organizzative e tecniche adeguate per prevenire accessi non autorizzati, trattamenti o distribuzioni illegali, nonché perdite, danni, modifiche o distruzioni accidentali. Abbiamo adottato misure di sicurezza adeguate alle nostre dimensioni, ambito, risorse e rischi identificati, che saranno regolarmente valutate e testate. Abbiamo messo in atto procedure per gestire eventuali sospetti di violazione dei dati personali e notificheremo i soggetti interessati o eventuali autorità competenti quando legalmente richiesto. 

 

I dati personali saranno trasferiti solo a fornitori di servizi terzi che accettano di rispettare le nostre politiche e procedure richieste e che si impegnano a mettere in atto misure adeguate per mantenere la sicurezza dei dati. I dati personali non saranno trasferiti in un altro paese senza adeguate garanzie.

 

  1. V.                Affidabilità del trattamento dei dati

La raccolta, il trattamento e l’uso dei dati personali sono consentiti solo in base alle seguenti basi giuridiche.

È necessaria una di queste basi giuridiche anche se lo scopo della raccolta, del trattamento e dell’uso dei dati personali deve essere modificato rispetto allo scopo originale.

 

     1.       Dati di clienti e partner

1.1 Trattamento dei dati per un rapporto contrattuale

I dati personali dei potenziali clienti, clienti e partner interessati possono essere trattati al fine di instaurare, eseguire e terminare un contratto. Ciò include anche i servizi di consulenza per il partner nell’ambito del contratto, se correlati allo scopo contrattuale. Prima di un contratto – durante la fase di avvio del contratto – i dati personali possono essere trattati per preparare offerte o ordini di acquisto o per soddisfare altre richieste del potenziale cliente relative alla conclusione del contratto. I potenziali clienti possono essere contattati durante il processo di preparazione del contratto utilizzando le informazioni che hanno fornito. Devono essere rispettate eventuali restrizioni richieste dai potenziali clienti.

 

1.2 Trattamento dei dati per scopi pubblicitari

Se il soggetto interessato contatta una società del Gruppo per richiedere informazioni (ad esempio la richiesta di ricevere materiale informativo su un prodotto), il trattamento dei dati per soddisfare tale richiesta è consentito.

Le misure di fidelizzazione del cliente o pubblicitarie sono soggette a ulteriori requisiti legali. I dati personali possono essere trattati per scopi pubblicitari o per ricerche di mercato e di opinione, purché ciò sia coerente con la finalità per cui i dati sono stati originariamente raccolti. L'interessato deve essere informato sull'uso dei suoi dati per scopi pubblicitari. Se i dati sono raccolti solo per scopi pubblicitari, la comunicazione da parte dell'interessato è volontaria. L'interessato deve essere informato che fornire i dati per questo scopo è facoltativo. Nel comunicare con l'interessato, deve essere ottenuto il suo consenso per trattare i dati a fini pubblicitari. Al momento del consenso, all'interessato deve essere offerta una scelta tra le forme di contatto disponibili, come posta ordinaria, e-mail e telefono (Consenso, vedi V.1.3). Se l'interessato rifiuta l'uso dei suoi dati per scopi pubblicitari, questi non possono più essere utilizzati per tali finalità e devono essere bloccati per questo uso. Devono essere rispettate eventuali altre restrizioni specifiche di alcuni Paesi riguardanti l'uso dei dati per scopi pubblicitari.

 

1.3 Consenso al trattamento dei dati

I dati possono essere trattati previo consenso dell'interessato. Prima di fornire il consenso, l'interessato deve essere informato in conformità con il punto IV.3. di questa Politica sulla Protezione dei Dati. La dichiarazione di consenso deve essere ottenuta per iscritto o in forma elettronica a fini di documentazione. In alcune circostanze, come conversazioni telefoniche, il consenso può essere espresso verbalmente. La concessione del consenso deve essere documentata.

 

1.4 Trattamento dei dati ai sensi di autorizzazione legale

Il trattamento dei dati personali è consentito anche se previsto, richiesto o autorizzato dalla legislazione nazionale. Il tipo e l'estensione del trattamento devono essere necessari per l'attività di trattamento legalmente autorizzata e devono rispettare le disposizioni normative pertinenti.

 

1.5 Trattamento dei dati ai sensi dell'interesse legittimo

I dati personali possono essere trattati anche se necessario per un interesse legittimo del Gruppo. Gli interessi legittimi sono generalmente di natura giuridica (ad esempio, recupero di crediti insoluti) o commerciale (ad esempio, evitare inadempienze contrattuali). I dati personali non possono essere trattati per finalità di interesse legittimo se, in casi specifici, vi sono prove che gli interessi dell'interessato meritano protezione e che questi prevalgono. Prima di trattare i dati, è necessario verificare se esistono interessi che meritano protezione.

 

1.6 Trattamento di dati altamente sensibili

I dati personali altamente sensibili possono essere trattati solo se previsto dalla legge o se l'interessato ha espresso il proprio consenso esplicito. Questi dati possono essere trattati anche se è obbligatorio per l'accertamento, l'esercizio o la difesa di diritti legali riguardanti l'interessato. Se si prevede di trattare dati altamente sensibili, il Presidente o l'Amministratore Delegato dell'azienda interessata (che sono i responsabili della protezione dei dati) devono essere informati in anticipo.

 

1.7 Decisioni individuali automatizzate

Il trattamento automatizzato di dati personali utilizzato per valutare determinati aspetti (ad esempio l'affidabilità creditizia) non può essere l'unica base per decisioni che abbiano conseguenze legali negative o che possano compromettere significativamente l'interessato. L'interessato deve essere informato dei fatti e dei risultati delle decisioni individuali automatizzate e della possibilità di rispondere. Per evitare decisioni errate, deve essere effettuato un controllo di verifica e plausibilità da parte di un dipendente.

 

1.8 Dati dell'utente e internet

Se i dati personali vengono raccolti, trattati e utilizzati su siti web o app, gli interessati devono esserne informati tramite un'informativa sulla privacy e, se applicabile, informazioni sui cookie. L'informativa sulla privacy e le eventuali informazioni sui cookie devono essere integrate in modo che siano facilmente identificabili, direttamente accessibili e costantemente disponibili per gli interessati. Se vengono creati profili d'uso (tracking) per valutare l'utilizzo di siti web e app, gli interessati devono sempre esserne informati nell'informativa sulla privacy. Il tracciamento personale può essere effettuato solo se consentito dalla legge nazionale o previo consenso dell'interessato. Se il tracciamento utilizza uno pseudonimo, all'interessato deve essere data la possibilità di rinunciare tramite l'informativa sulla privacy. Se siti web o app possono accedere a dati personali in un'area riservata agli utenti registrati, l'identificazione e l'autenticazione dell'interessato devono garantire una protezione sufficiente durante l'accesso.

 

2. Dati del dipendente

 

2.1 Trattamento dei dati per il rapporto di lavoro

Nei rapporti di lavoro, i dati personali possono essere trattati se necessari per eseguire il contratto di lavoro, inclusi l'avvio, lo svolgimento e la cessazione del rapporto di lavoro. All'inizio di un rapporto di lavoro, i dati personali dei candidati possono essere trattati. Se il candidato viene rifiutato, i suoi dati devono essere cancellati entro 6 mesi, a meno che il candidato non abbia acconsentito a conservarli per un futuro processo di selezione.

 

Nel rapporto di lavoro esistente, il trattamento dei dati può essere necessario per l'esecuzione del contratto di lavoro, ma possono esserci anche altre basi giuridiche legittime per il trattamento, come indicato di seguito. Se durante la procedura di candidatura fosse necessario raccogliere informazioni su un candidato da una terza parte, devono essere rispettati i requisiti delle leggi nazionali corrispondenti. In caso di dubbio, deve essere ottenuto il consenso dell'interessato. Possono esistere basi giuridiche alternative per trattare dati personali relativi al rapporto di lavoro. Questo può includere obblighi legali, il consenso del dipendente o il legittimo interesse dell'azienda.

 

2.2 Trattamento dei dati ai sensi di obbligo legale

Il trattamento dei dati personali dei dipendenti è inoltre consentito se previsto, richiesto o autorizzato dalla legislazione nazionale. Il tipo e l'estensione del trattamento dei dati devono essere necessari per l'attività di trattamento legalmente autorizzata e devono rispettare le disposizioni normative pertinenti.

 

2.3 Consenso al trattamento dei dati

I dati dei dipendenti possono essere trattati previo consenso della persona interessata. Le dichiarazioni di consenso devono essere fornite volontariamente. Il consenso non volontario è nullo. La dichiarazione di consenso deve essere ottenuta per iscritto o elettronicamente ai fini della documentazione. In determinate circostanze, il consenso può essere dato verbalmente, nel qual caso deve essere adeguatamente documentato.

 

Un dipendente acconsente al trattamento dei propri dati personali se manifesta chiaramente il proprio accordo, sia con una dichiarazione sia con un'azione positiva al trattamento. Se il consenso è espresso in un documento che tratta altre questioni, il consenso deve essere tenuto separato da tali questioni. I dipendenti devono poter revocare facilmente il consenso in qualsiasi momento. 

 

Salvo che vi sia un'altra base giuridica per il trattamento, è richiesto il consenso esplicito per il trattamento di categorie particolari di dati (vedi paragrafo 2.5 di seguito). Di solito la Società si basa su un'altra base giuridica e non richiede il consenso esplicito per trattare dati di categoria speciale.

 

2.4 Trattamento dei dati ai sensi dell'interesse legittimo

I dati personali possono essere trattati anche se necessario per le finalità di un interesse legittimo del Gruppo o di terzi. Gli interessi legittimi sono generalmente di natura giuridica (ad esempio archiviazione, far valere o difendersi da pretese legali), finanziaria (ad esempio valutazione di società) o di altra natura (ad esempio È necessario proteggere gli interessi vitali dell'individuo o di un'altra persona o È necessario per l'esecuzione di un compito svolto nell'interesse pubblico)

 

I dati personali non possono essere trattati sulla base di un interesse legittimo se, in casi individuali, tali interessi sono superati dagli interessi o dai diritti e libertà fondamentali dell'interessato che richiedono la protezione dei dati personali. Gli interessi legittimi su cui si fa affidamento saranno indicati nelle Informative sulla Privacy applicabili. Inoltre, devono essere considerati eventuali requisiti aggiuntivi previsti dalla legge nazionale (ad esempio diritti di co-determinazione per i rappresentanti dei lavoratori e diritti di informazione degli interessati).

 

2.5 Trattamento di dati altamente sensibili

I dati personali altamente sensibili possono essere trattati solo a determinate condizioni. I dati altamente sensibili sono dati relativi all'origine razziale ed etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici, dati sulla salute e dati sulla vita sessuale e l'orientamento dell'interessato. Ai sensi della legge nazionale, ulteriori categorie di dati possono essere considerate altamente sensibili o il contenuto delle categorie di dati può essere definito diversamente. Inoltre, i dati relativi a condanne penali e reati possono spesso essere trattati solo in base a requisiti speciali previsti dalla legge nazionale. Il trattamento deve essere espressamente consentito o prescritto dalla legge nazionale. Inoltre, il trattamento può essere consentito se è necessario affinché l'autorità responsabile adempia ai propri diritti e doveri nell'ambito del diritto del lavoro. Il dipendente può anche dare il consenso esplicito al trattamento. Se sono previsti trattamenti di dati altamente sensibili, il Responsabile della Protezione dei Dati deve essere informato in anticipo.

 

I dati altamente sensibili possono essere trattati nelle seguenti circostanze:

  • Con il consenso esplicito dell'interessato
  • Quando il trattamento è necessario per adempiere o esercitare obblighi o diritti imposti dalla legge al titolare del trattamento o all'interessato in relazione all'impiego, alla sicurezza sociale o alla protezione sociale e il datore di lavoro ha un documento di policy appropriato e ulteriori garanzie in atto
  • Quando il trattamento è necessario per proteggere gli interessi vitali dell'individuo o di un'altra persona e l'individuo è incapace di dare il consenso
  • Quando il trattamento riguarda dati personali che l'individuo ha reso pubblici
  • Quando il trattamento è necessario per l'instaurazione, l'esercizio o la difesa di diritti legali
  • Quando il trattamento è necessario per motivi di rilevante interesse pubblico, a condizione che il datore di lavoro abbia un documento di policy appropriato e ulteriori garanzie in atto. Ciò può includere il trattamento dei dati ai fini della promozione della parità di trattamento
  • Quando il trattamento è necessario per la valutazione della capacità lavorativa dell'individuo o in seguito a un contatto con un professionista sanitario, e soggetto a garanzie di riservatezza

 

2.6 Decisioni automatizzate

Se i dati personali sono trattati automaticamente nell'ambito del rapporto di lavoro e vengono valutati dettagli personali specifici (ad esempio come parte della selezione del personale o della valutazione dei profili di competenze), questo trattamento automatico non può essere l'unica base per decisioni che avrebbero conseguenze negative o un impatto significativo sul dipendente interessato. Per evitare decisioni errate, il processo automatizzato deve garantire che una persona fisica valuti il contenuto della situazione e che questa valutazione sia la base per la decisione. L'interessato deve inoltre essere informato dei fatti e dei risultati del trattamento automatizzato e della possibilità di rispondere. L'azienda non prevede di utilizzare decisioni automatizzate ma informerà il personale per iscritto se la situazione dovesse cambiare.

 

2.7 Telecomunicazioni e internet

Le apparecchiature telefoniche, gli indirizzi e-mail, l'intranet e internet insieme alle reti sociali interne sono forniti dall'azienda principalmente per incarichi di lavoro. Sono uno strumento e una risorsa aziendale. Possono essere utilizzati nel rispetto delle normative legali applicabili e delle politiche interne aziendali. In caso di uso autorizzato per scopi privati, devono essere osservate le leggi sulla segretezza delle telecomunicazioni e le relative leggi nazionali sulle telecomunicazioni, se applicabili. Non ci sarà un monitoraggio generale delle comunicazioni telefoniche e e-mail o dell'uso di intranet/internet. Per difendersi da attacchi all'infrastruttura IT o agli utenti individuali, possono essere implementate misure di protezione per le connessioni alle reti delle società del Gruppo che bloccano contenuti tecnicamente dannosi o che analizzano i modelli di attacco. Per motivi di sicurezza, l'uso delle apparecchiature telefoniche, degli indirizzi e-mail, dell'intranet/internet e delle reti sociali interne può essere registrato per un periodo temporaneo. Le valutazioni di questi dati relative a una persona specifica possono essere effettuate solo in caso di sospette violazioni delle leggi o delle politiche del Gruppo. Le leggi nazionali pertinenti devono essere osservate allo stesso modo delle normative del Gruppo.

 

  1. VI.              Trasmissione di dati personali

La trasmissione di dati personali a destinatari esterni o interni al Gruppo è soggetta ai requisiti di autorizzazione per il trattamento dei dati personali ai sensi della Sezione V. I dati personali non saranno condivisi con terze parti a meno che non siano state adottate determinate garanzie e accordi contrattuali. Il destinatario dei dati deve essere obbligato a utilizzare i dati solo per gli scopi definiti e in conformità con le nostre istruzioni.

Nel caso in cui i dati vengano trasmessi a un destinatario esterno al Gruppo in un paese terzo, incluso un paese al di fuori dell'UE, garantiremo che vi sia un livello adeguato di protezione in quel paese per tutelare i dati personali in modo equivalente ai livelli di protezione stabiliti in questa Politica sulla Protezione dei Dati. Se i dati vengono trasmessi da una terza parte a una società del Gruppo, deve essere garantito che i dati saranno utilizzati per lo scopo previsto.

 

  1. VII.            Trattamento dati contrattuale

Il trattamento dei dati per conto significa che un fornitore è incaricato di trattare dati personali, senza

essere assegnati alla responsabilità del processo aziendale correlato. In questi casi, un accordo

sul Trattamento dei Dati per conto deve essere concluso con fornitori esterni e tra società

all'interno del Gruppo. Il cliente mantiene la piena responsabilità per la corretta esecuzione del trattamento dei dati. Il fornitore può trattare i dati personali solo secondo le istruzioni del cliente. Quando si emette l'ordine, devono essere rispettati i seguenti requisiti; il reparto che effettua l'ordine deve assicurarsi che vengano rispettati.

  1. Il fornitore deve essere scelto in base alla sua capacità di coprire le misure di protezione tecniche e organizzative richieste.
  2. L'ordine deve essere effettuato per iscritto. Le istruzioni sul trattamento dei dati e le responsabilità del cliente e del fornitore devono essere documentate.
  3. Devono essere considerati gli standard contrattuali per la protezione dei dati forniti dal Responsabile della protezione dei dati.
  4. Prima che inizi il trattamento dei dati, il cliente deve essere sicuro che il fornitore rispetterà gli obblighi. Un fornitore può documentare la propria conformità ai requisiti di sicurezza dei dati in

in particolare presentando una certificazione adeguata. A seconda del rischio del trattamento dei dati, le verifiche devono essere ripetute regolarmente durante la durata del contratto.

  1. Utilizzare solo personale e altre persone che hanno un obbligo di riservatezza riguardo ai dati.
  2. Rispettare gli obblighi di sicurezza equivalenti a quelli imposti al datore di lavoro ai sensi del GDPR.
  3.  Notificare al datore di lavoro qualsiasi violazione relativa ai dati personali condivisi dal datore di lavoro.
  4.  Coinvolgere un sub-processore solo con il permesso preventivo del datore di lavoro.
    1.  In caso di trattamento dei dati contrattuale transfrontaliero, devono essere rispettati i requisiti nazionali pertinenti per la divulgazione dei dati personali all'estero. In particolare, i dati personali provenienti dallo Spazio Economico Europeo possono essere trattati in un paese terzo solo se il fornitore può dimostrare di avere uno standard di protezione dei dati equivalente a questa Politica sulla protezione dei dati. Strumenti idonei possono essere:
      1. Accordo sulle clausole contrattuali standard UE per il trattamento dei dati contrattuale in paesi terzi con il fornitore e eventuali subappaltatori.
      2. Partecipazione del fornitore a un sistema di certificazione accreditato dall'UE per garantire un livello sufficiente di protezione dei dati.
      3. Riconoscimento delle norme vincolanti aziendali del fornitore per creare un livello adeguato di protezione dei dati da parte delle autorità di controllo responsabili della protezione dei dati.

 

  1. VIII.         Diritti dell'interessato

Ogni interessato ha i seguenti diritti;

  1. L'interessato può richiedere informazioni su quali dati personali che lo riguardano sono stati memorizzati, come sono stati raccolti e per quale scopo. Se ci sono ulteriori diritti da

visualizzare i documenti del datore di lavoro (ad esempio il fascicolo personale) relativi al rapporto di lavoro sotto

le leggi sul lavoro pertinenti, queste rimarranno invariate.

  1. Se i dati personali sono trasmessi a terzi, deve essere fornita un'informazione sull'identità

del destinatario o delle categorie di destinatari.

  1. Se i dati personali sono errati o incompleti, il soggetto interessato può richiederne la correzione

o integrati.

  1. Il soggetto interessato può opporsi al trattamento dei propri dati per scopi pubblicitari o di ricerca di mercato/opinione. I dati devono essere bloccati da questi tipi di utilizzo.
  2. Il soggetto interessato può richiedere la cancellazione dei propri dati se il trattamento di tali dati non ha una base giuridica o se la base giuridica ha cessato di applicarsi. Lo stesso vale se lo scopo del trattamento dei dati è venuto meno o ha cessato di essere applicabile per altri motivi. Devono essere rispettati i periodi di conservazione esistenti e gli interessi contrastanti che meritano protezione.
  3. Il soggetto interessato ha generalmente il diritto di opporsi al trattamento dei propri dati quando ci si basa su un interesse legittimo (o su quello di un terzo) per il trattamento e vi è qualcosa nella situazione particolare del soggetto interessato che lo porta a voler opporsi al trattamento per questo motivo. Questo deve essere preso in considerazione se la protezione dei suoi interessi prevale sull'interesse del titolare del trattamento a causa di una situazione personale particolare. Ciò non si applica se una disposizione di legge richiede il trattamento dei dati o se il trattamento è necessario per l'accertamento, l'esercizio o la difesa di diritti in sede giudiziaria.
  4. Il soggetto interessato può richiedere la limitazione del trattamento delle proprie informazioni personali. Ciò consente al soggetto interessato di richiedere la sospensione del trattamento delle informazioni personali, ad esempio se desidera che il datore di lavoro ne verifichi l'esattezza o la motivazione del trattamento.
  5. Il soggetto interessato può richiedere, in alcune circostanze, il trasferimento delle proprie informazioni personali a un altro soggetto.

 

  1. IX.              Riservatezza del trattamento

 

I dati personali sono soggetti a riservatezza. Qualsiasi raccolta, trattamento o utilizzo non autorizzato di tali dati da parte dei dipendenti è vietato. Qualsiasi trattamento dei dati effettuato da un dipendente che non sia stato autorizzato nell'ambito delle sue mansioni legittime è non autorizzato. Si applica il principio del "need to know". I dipendenti possono accedere alle informazioni personali solo nella misura appropriata al tipo e all'ambito del compito in questione. Ciò richiede una chiara suddivisione e separazione, nonché l'attuazione, di ruoli e responsabilità. Ai dipendenti è vietato utilizzare i dati personali per scopi privati o commerciali, divulgarli a persone non autorizzate o renderli disponibili in qualsiasi altro modo. I supervisori devono informare i propri dipendenti all'inizio del rapporto di lavoro sull'obbligo di proteggere la segretezza dei dati. Questo obbligo rimane in vigore anche dopo la cessazione del rapporto di lavoro.

 

  1. X.                Sicurezza del trattamento

I dati personali devono essere protetti da accessi non autorizzati e da trattamenti o divulgazioni illecite, nonché da perdita, modifica o distruzione accidentale. Ciò vale indipendentemente dal fatto che i dati siano trattati elettronicamente o in forma cartacea. Prima dell’introduzione di nuovi metodi di trattamento dei dati, in particolare nuovi sistemi informatici, devono essere definite e attuate misure tecniche e organizzative per proteggere i dati personali. Queste misure devono basarsi sullo stato dell’arte, sui rischi del trattamento e sulla necessità di proteggere i dati (determinata dal processo di classificazione delle informazioni). In particolare, il reparto responsabile può consultare il proprio Responsabile della Protezione dei Dati.

 

  1. XI.              Controllo della protezione dei dati

Il rispetto della Politica sulla Protezione dei Dati e delle normative applicabili in materia di protezione dei dati le leggi viene verificato regolarmente. I risultati dei controlli sulla protezione dei dati devono essere comunicati al Responsabile della Protezione dei Dati.

 

  1. XII.           Incidenti di protezione dei dati

Tutti i dipendenti devono informare immediatamente il proprio supervisore o il responsabile della protezione dei dati in caso di violazioni di questa Politica sulla Protezione dei Dati o di altre normative sulla tutela dei dati personali (incidenti di protezione dei dati). Il responsabile della funzione o dell’unità è tenuto a informare immediatamente il Responsabile della Protezione dei Dati competente sugli incidenti di protezione dei dati.

In caso di

» trasmissione impropria di dati personali a terzi,

» accesso improprio da parte di terzi ai dati personali, oppure

» perdita di dati personali

devono essere effettuate le segnalazioni aziendali richieste (Gestione degli Incidenti di Sicurezza delle Informazioni)

immediatamente affinché possano essere rispettati eventuali obblighi di segnalazione previsti dalla legge nazionale.

 

  1. XIII.         Responsabilità e sanzioni

Gli organi esecutivi delle società del Gruppo sono responsabili del trattamento dei dati nell'ambito delle loro competenze. Pertanto, sono tenuti a garantire il rispetto dei requisiti legali e di quelli contenuti nella Politica sulla Protezione dei Dati per la tutela dei dati (ad esempio, gli obblighi di segnalazione nazionali). Il personale dirigenziale è responsabile di assicurare che siano adottate misure organizzative, di risorse umane e tecniche affinché qualsiasi trattamento dei dati avvenga in conformità con la protezione dei dati. Il rispetto di tali requisiti è responsabilità dei dipendenti interessati. Se le autorità ufficiali effettuano controlli sulla protezione dei dati, il Responsabile della Protezione dei Dati deve essere informato immediatamente. Il trattamento improprio dei dati personali, o altre violazioni delle leggi sulla protezione dei dati, può essere perseguito penalmente in molti paesi e comportare richieste di risarcimento danni. Le violazioni di cui sono responsabili singoli dipendenti possono comportare sanzioni ai sensi del diritto del lavoro.