POLITIQUE DE CONFIDENTIALITÉ
INTRODUCTION
La protection des données est un engagement important pour RPS S.p.A. (ci-après «RPS» ou «entreprise»).
L'entrée en vigueur du règlement (UE) 2016/679 «Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à la circulation de ces données "(le "RGPD") a fourni la possibilité d'adapter les activités de la société aux exigences de transparence et de la protection des données, conformément aux droits et libertés fondamentaux de toutes les personnes concernées, qu'il s'agisse de:
- employés,
- collaborateurs,
- clients,
- fournisseurs
- ou tiers intéressés à recevoir des informations.
RPS a donc mis en place un «modèle de confidentialité organisationnelle» (OPM), décrit ci-dessous et ayant pour objectif d'analyser toutes les opérations de traitement de données, de les organiser de manière fonctionnelle et de les gérer de manière sécurisée et transparente.
Cette section du site Web contient également des informations sur les droits de la personne concernée et sur la manière dont ces droits peuvent être exercés vis-à-vis du responsable du traitement.
CONTENU
1 - MODÈLE DE CONFIDENTIALITÉ ORGANISATIONNEL DU RGPD1.1 – LES PARTIES1.1 - LES PARTIES
1.2 - ANALYSE DES RISQUES ET MESURES VISANT À PRÉVENIR LES RISQUES LIÉS À LA PROTECTION DES DONNÉES
2 - TRANSPARENCE ET DROITS DE L'OBJET DE DONNEES
2.1 - DROITS LIÉS À LA PROTECTION DES DONNÉES
2.2 - EXERCER DES DROITS DE PROTECTION DES DONNÉES
2.3 - FORMULAIRES ET POLITIQUES
1 - MODÈLE DE CONFIDENTIALITÉ ORGANISATIONNEL DU RGPD
1.1 - LES PARTIES
Contrôleur de données
Le contrôleur de données est:
RPS S.p.A. (ci-après également «CONTRÔLEUR»)
Viale Europa, 7 - 37045 Legnago (VR)
Tél. +39 0442 635811
email: riello@riello-ups.com
Adresse e-mail certifiée: ammin.rps@pec.it
Numéro de TVA. et code fiscal: 02647040233
Agent de protection des données
Le délégué à la protection des données est:
TZ&A Studio Associato (ci-après “DPO”)
email: dpo@riello-ups.com
Le CONTRÔLEUR DE DONNÉES a décidé de nommer un délégué à la protection des données, au sens de l'article 37 du règlement (UE) 2016/679, qui agira en synergie avec l'équipe interne de protection des données. Le délégué à la protection des données est domicilié dans les bureaux du responsable du traitement de données et peut être contacté pour toute question relative au traitement des données à caractère personnel de toutes les personnes concernées.
Équipe de protection des données
Le CONTRÔLEUR DE DONNÉES a décidé de nommer une «équipe de protection des données» interne, composée de personnes possédant des compétences organisationnelles, techniques et informatiques. L’équipe de protection des données apporte son soutien aux travaux du contrôleur de données et du DPD.
processeurs de données autorisés (ex-art 29 RGPD)
L’OPM exige que chaque employé ou personne travaillant pour le compte de Data Controller ne traite que les données nécessaires à l’accomplissement de ses tâches en fonction de l’organisation interne et des finalités indiquées ou proposées à la personne concernée ("limitation de la finalité et minimisation des données" (Art. 5 (1) b) et c) du RPGD) Les opérations de traitement ont donc été segmentées en sections de responsables du traitement de données autorisés, les employés / collaborateurs responsables de chaque partie étant limités à un domaine spécifique de traitement. Le responsable du traitement a reçu des instructions spécifiques du CONTRÔLEUR DE DONNÉES relatives au traitement des données à caractère personnel. Le système d’information est également formé de «compartiments étanches". Les employés / collaborateurs ne peuvent accéder aux données nécessaires à l’exercice de leurs fonctions, depuis leur poste de travail. L'attribution à des zones spécifiques de traitement de données repose sur une analyse minutieuse de la structure et de l'organisation de la société, ainsi que du flux de Données internes et externes. Les employés / collaborateurs reçoivent également des réglementations internes sur l'utilisation des outils informatiques et sur les règles de conduite et d'éthique relatives à toutes les informations auxquelles ils ont accès en relation avec leurs rôles. Pour assurer une adaptation efficace aux exigences en matière de traitement des données à caractère personnel, le responsable du traitement des données a également dispensé une formation adéquate à ses employés / collaborateurs, qui traitent des données à caractère personnel dans le cadre de leurs fonctions.
Administrateurs de systèmes internes et externes
Le CONTRÔLEUR DE DONNÉES utilise des outils d’information pour gérer et organiser son activité. C’est pour cette raison que l’activité du CONTRÔLEUR DE DONNÉES repose toujours sur une attention particulière portée à la construction du logiciel, à son utilisation et à la sécurité des données. Les personnes disposant de privilèges «administrateur» au sein de l'entreprise sont spécifiquement nommées et formées. Les sociétés externes spécialisées accédant aux données internes sont également spécifiquement désignées en tant que processeurs de données externes et / ou administrateurs de système externes au sens de l'article 28 du RGPD.
Les fournisseurs de services informatiques externes sont choisis en accordant une attention particulière à leur professionnalisme, non seulement sur le plan technique, mais également en ce qui concerne le respect des exigences en matière de protection des données. Les fournisseurs certifiés sont préférés.
Processeurs de données (ex art. 28 du RGPD)
En principe, le CONTRÔLEUR DE DONNÉES gère la quasi-totalité des opérations de traitement en interne. La sous-traitance à des tiers de diverses activités impliquant le traitement de données pour le compte de DATA CONTROLLER est indiquée, le cas échéant, dans les différentes polices. Dans ces cas, les relations avec le fournisseur tiers sont régies par un contrat spécifique «Traitement de données», conformément à l'article 28 du RGPD.
Le CONTRÔLEUR DE DONNÉES confie les opérations de traitement à des prestataires externes pouvant offrir des garanties suffisantes de mesures techniques et organisationnelles, afin de répondre aux exigences du RGPD et de protéger les droits des personnes concernées.
1.2 ANALYSE DES RISQUES ET MESURES VISANT À PRÉVENIR LES RISQUES LIÉS À LA PROTECTION DES DONNÉES
Conformément au principe de «responsabilité», le CONTRÔLEUR DE DONNÉES est responsable de la mise en œuvre d’une série de mesures organisationnelles, physiques, juridiques, techniques et informatiques visant à prévenir le risque de violation des droits et libertés de la personne concernée. Afin d'atteindre cet objectif, une analyse de risque régulière est effectuée sur la base des opérations de traitement, des outils utilisés ainsi que du type et du volume de données traitées.
Registres des activites de traitement (Art. 30 RGPD) et analyse de l’impact sur la protection des données (Art. 35 RGPD)
L'OPM prévoit une analyse de risque approfondie et régulière en ce qui concerne le traitement des données, pour chaque activité ou service fourni, au moyen d'un registre des activités de traitement (article 30, paragraphe 1, du RGPD). Après analyse du traitement effectué par le CONTRÔLEUR DE DONNÉES, nous considérons qu’il n’existe actuellement aucune activité à risque nécessitant une analyse d’impact spécifique au sens de l’article 35 du RGPD («DPIA»).
L’analyse des risques informatiques et liés au matériel et aux logiciels de la société ainsi que des mesures d’adaptation correspondantes a été réalisée par notre administrateur système à l’aide d’outils et de listes de contrôle spécifiques, ainsi que par une entreprise externe de -audit approfondi incluant les tests de sécurité. Les résultats de l'audit ont permis à nos techniciens d'améliorer encore les mesures de protection contre les cyberattaques et les menaces à la sécurité de l'information. Celles-ci ont été proportionnées au risque pour les droits et libertés des personnes concernées
2 - TRANSPARENCE ET DROITS DE L'OBJET DE DONNEES
2.1 DROITS RELATIFS À LA PROTECTION DES DONNÉES
Dans ce domaine également, le CONTRÔLEUR DE DONNÉES estime qu'il est essentiel d'informer les personnes concernées de l'existence de divers droits relatifs à la protection des données à caractère personnel. Ceux-ci sont énumérés ci-dessous.
Droit d'être informé (transparence dans le traitement des données)
La personne concernée a le droit d'être informée de la manière dont le CONTRÔLEUR DE DONNÉES traite ses données personnelles, à quelles fins et en relation avec les autres informations prévues à l'article 13 du RGPD. À cette fin, le CONTRÔLEUR DE DONNÉES a mis en place des processus organisationnels permettant de générer des formulaires d’information spécifiques à chaque obtention ou demande de données à caractère personnel, en fonction de la catégorie de données à laquelle appartient la partie intéressée (employé, client, fournisseur, etc.) ). Ce document permet de fournir à toutes les personnes concernées des informations adéquates sur la manière dont le CONTRÔLEUR DE DONNÉES traite leurs données. Le formulaire d’information peut être demandé en contactant le CONTRÔLEUR DE DONNÉES.
Droit de révoquer son consentement (art. 13)
Vous avez le droit de révoquer votre consentement à tout moment en ce qui concerne toute opération de traitement nécessitant votre consentement préalable. La révocation du consentement n'affecte pas la légitimité des traitements de données antérieurs.
Droit d'accès aux données (art. 15)
Vous pouvez demander a) les finalités du traitement; b) les catégories de données à caractère personnel concernées; c) les destinataires ou les catégories de destinataires auxquels les données à caractère personnel ont été ou seront divulguées, en particulier les destinataires situés dans des pays tiers ou des organisations internationales; d) dans la mesure du possible, la période envisagée pour laquelle les données à caractère personnel seront stockées ou, à défaut, les critères utilisés pour déterminer cette période; e) l'existence du droit de demander au responsable du traitement de rectifier ou d'effacer des données à caractère personnel ou de restreindre le traitement de données à caractère personnel concernant la personne concernée ou de s'opposer à un tel traitement; f) le droit de porter plainte auprès d'une autorité de surveillance; g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source; h) l'existence d'une prise de décision automatisée, y compris le profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins dans ces cas, des informations utiles sur la logique impliquée, ainsi que sur l'importance et les conséquences envisagées de ce traitement pour la personne concernée. Vous avez le droit de demander une copie des données personnelles traitées.
Droit de rectification (art. 16)
Vous avez le droit d'obtenir la rectification de données personnelles inexactes vous concernant et d'avoir des données personnelles incomplètes.
Droit d'être oublié (art. 17)
Vous avez le droit d'obtenir du responsable du traitement l'effacement de données à caractère personnel vous concernant si celles-ci ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées; si vous retirez votre consentement; s'il n'y a pas de motifs légitimes dominants pour le traitement, s'il y a une obligation légale d'effacer les données; si les données concernent des services en ligne fournis à des mineurs, sans le consentement correspondant. Les données à caractère personnel peuvent être effacées sauf s’il existe un droit prépondérant à la liberté d’expression et d’information, si elles sont conservées aux fins d’honorer une obligation légale ou d’exercer un devoir d’intérêt public ou dans l’exercice de fonctions publiques. pouvoirs, pour des raisons d'intérêt public dans le secteur de la santé, à des fins d'archivage d'intérêt public, de recherche scientifique, de recherche historique, à des fins statistiques ou pour établir, exercer ou défendre un droit devant les tribunaux.
Droit de restreindre le traitement (art. 18)
Vous avez le droit d'obtenir de la part du responsable du traitement une restriction de traitement lorsque vous avez contesté l'exactitude des données personnelles (pendant une période permettant au responsable de vérifier l'exactitude des données personnelles) ou si le traitement est illégal mais vous vous opposez à l'effacement des données. les données personnelles et demander la restriction de leur utilisation à la place; ou s'ils sont nécessaires à l'établissement, à l'exercice ou à la défense d'un droit dans une procédure judiciaire, alors qu'ils ne sont plus nécessaires pour le responsable du traitement.
Droit à la portabilité des données (art. 20)
Vous avez le droit de recevoir, dans un format structuré, couramment utilisé et lisible par machine, les données à caractère personnel vous concernant que vous nous avez fournies et vous avez également le droit de transmettre ces données à un autre responsable du traitement si le traitement est basé sur: consentement, sur un contrat et si le traitement est effectué par des moyens automatisés, sauf si le traitement est nécessaire à l'accomplissement d'une tâche exécutée dans l'intérêt général ou en rapport avec l'exercice de pouvoirs publics, et si la transmission ne porte pas atteinte les droits des autres.
Droit d'opposition (art. 21)
Vous avez le droit de vous opposer à tout moment au traitement de tout ou partie de vos données à caractère personnel si ce traitement est réalisé dans l'intérêt légitime du responsable du traitement ou à des fins de marketing direct.
Droit de porter plainte auprès d'une autorité de surveillance (art. 77).
Sans préjudice de tout autre recours administratif ou judiciaire, si vous estimez que le traitement de vos données à caractère personnel enfreint le RPGD, vous avez le droit de déposer une plainte auprès d'une autorité de contrôle, en particulier dans l'État membre de votre résidence habituelle, lieu de résidence. Travail ou le lieu de l'infraction alléguée.
2.2 EXERCER DES DROITS DE PROTECTION DES DONNÉES
Afin d’exercer vos droits, vous pouvez demander des informations au DONNÉ CONTRÔLEUR ou compléter le formulaire de contact que nous vous avons fourni ci-dessous.
2.3 FORMULAIRES ET POLITIQUES
1) Formulaires - Vous trouverez ci-dessous un projet de document que vous devez imprimer et compléter afin d’exercer vos droits en tant que personne concernée, en précisant le droit que vous souhaitez exercer. Le formulaire peut être envoyé au Contrôleur de données aux adresses ci-dessus, conformément aux lois en vigueur.
Lien: Exercice des droits de protection des données
2) Les politiques:
Lien: Informations pour les clients et les fournisseurs
Lien: Politique de marketing du bulletin d'information
Lien: Information pour les demandeurs d'emploi
Lien: Informations pour les enquêtes de marché et de satisfaction de la clientèle
3) Procédure de gestion de la violation des données personnelles (Data Breach)