ISTRUZIONE N. 1/2024 (18.06.)
IL Gruppo WISER Kft. norme uniformi sulla protezione e sulla gestione dei dati
Numero di versione: V.001
Data di entrata in vigore: 18 giugno 2024.
Approvato da: Amministratore Delegato László Kozák
Accesso: solo per uso interno
- DISPOSIZIONI GENERALI
1.1 SCOPO DEL REGOLAMENTO
Il Parlamento Europeo e il Consiglio (UE) 2016/679. sulla tutela delle persone fisiche con riguardo alla gestione dei dati personali, nonché sulla libera circolazione di tali dati, nonché sull'abrogazione del Regolamento 95/46/CE, basato cioè sul Regolamento generale sulla protezione dei dati (GDPR) del Unione Europea, WISER Group Kft in qualità di titolare del trattamento (di seguito: "Titolare del trattamento”) allo scopo di registrare le attività di gestione dei dati da essa svolte, garantire i diritti degli interessati e stabilire l’ordine generale di protezione dei dati, le norme definite di seguito (di seguito: “Regolamenti") è inventato. Con il presente Regolamento il Titolare intende garantire l'ordinamento giuridico del proprio funzionamento, l'attuazione dei principi costituzionali di protezione dei dati e delle esigenze di sicurezza dei dati, nonché impedire l'accesso non autorizzato ai dati e la loro alterazione o divulgazione non autorizzata.
1.2 AMBITO DI APPLICAZIONE DEL REGOLAMENTO
L’ambito di applicazione materiale del Regolamento copre tutti i processi svolti da qualsiasi unità organizzativa del Titolare nel corso dei quali sono trattati dati personali, indipendentemente dal fatto che la gestione o il trattamento dei dati avvenga interamente o parzialmente con mezzi informatici (elettronicamente) o manualmente.
L'ambito personale del presente Regolamento si estende ai dipendenti del Titolare, ai soggetti impegnati in altri rapporti giuridici di lavoro, nonché a qualsiasi persona fisica o giuridica interessata dalla gestione dei dati.
Il presente Regolamento ha efficacia dalla data indicata all'esterno fino alla sua revoca.
1.3 DEFINIZIONI
"ricercato”: persona fisica identificata o identificabile sulla base di qualunque informazione;
"dati personali": qualsiasi informazione relativa all'interessato;
"contributo": la dichiarazione volontaria, definita e chiara della volontà dell'interessato basata su adeguata informativa, con la quale l'interessato indica mediante una dichiarazione o altro comportamento che esprima chiaramente la propria volontà che presta il proprio consenso al trattamento dei propri dati personali;
"titolare del trattamento”: la persona fisica o giuridica o organizzazione priva di personalità giuridica che, nell'ambito definito dalla legge o da un atto giuridico obbligatorio dell'Unione Europea, autonomamente o insieme ad altri determina lo scopo della gestione dei dati, la gestione dei dati (compreso il dispositivo utilizzato) prende ed esegue le decisioni rilevanti, o le fa eseguire dal titolare del trattamento;
"gestione dati": indipendentemente dalla procedura utilizzata, qualsiasi operazione eseguita sui dati o sull'insieme di operazioni, tra cui in particolare la raccolta, la registrazione, la registrazione, l'organizzazione, la conservazione, la modifica, l'utilizzo, l'interrogazione, la trasmissione, la comunicazione, il coordinamento o il collegamento, il blocco, la cancellazione e distruzione dei dati, nonché impedirne l'ulteriore utilizzo, effettuando fotografie, registrazioni audio o video e registrando caratteristiche fisiche idonee a identificare la persona (ad esempio impronta digitale o impronta del palmo, campione di DNA, immagine dell'iride);
"trasferimento dati": rendere i dati disponibili a terzi specifici;
"elaborazione dati”: l'insieme delle operazioni di trattamento dei dati effettuate da un responsabile del trattamento che agisce per conto o su richiesta del titolare del trattamento;
"elaboratore di dati": la persona fisica, giuridica o organizzazione priva di personalità giuridica che, nell'ambito e alle condizioni definite dalla legge o da un atto giuridico obbligatorio dell'Unione Europea, tratta dati personali per conto o sotto la direzione del titolare del trattamento;
"terza persona": una persona fisica, giuridica o un organismo privo di personalità giuridica, diverso dall'interessato, dal titolare, dal responsabile o dalle persone che compiono operazioni finalizzate al trattamento dei dati personali sotto il controllo diretto del titolare o responsabile del trattamento;
"incidente relativo alla protezione dei dati": una violazione della sicurezza dei dati che comporta la distruzione, la perdita, la modifica, la trasmissione o la divulgazione non autorizzata, accidentale o illecita, dei dati personali trasmessi, archiviati o altrimenti gestiti, o l'accesso non autorizzato agli stessi;
"dati sanitari”: dati personali relativi allo stato di salute fisica o mentale di una persona fisica, compresi i dati relativi ai servizi sanitari forniti alla persona fisica, che contengono informazioni sullo stato di salute della persona fisica;
"profilazione": qualsiasi trattamento di dati personali - in modo automatizzato - volto a valutare, analizzare o prevedere le caratteristiche personali dell'interessato, in particolare quelle relative al suo rendimento lavorativo, situazione economica, salute, preferenze o interessi personali, affidabilità, comportamento, ubicazione o movimento;
"destinatario”: la persona fisica, giuridica o ente privo di personalità giuridica alla quale o alla quale i dati personali vengono comunicati dal titolare o dal responsabile del trattamento.
1.4 LINEE GUIDA PER LA GESTIONE DEI DATI
Il Titolare del trattamento tiene sempre presenti le seguenti linee guida nel trattamento dei dati personali:
I dati personali possono essere trattati solo per uno scopo ben definito e legittimo, per esercitare un diritto e adempiere a un obbligo. In tutte le fasi della gestione dei dati, lo scopo della gestione dei dati deve essere raggiunto, la raccolta e la gestione dei dati devono essere giuste e legali. ("legalità, giusto processo e trasparenza")
Possono essere trattati solo i dati personali essenziali per la realizzazione dello scopo della gestione dei dati e idonei al raggiungimento dello scopo. I dati personali possono essere trattati solo nella misura e per il tempo necessario al raggiungimento dello scopo. ("intenzionalità")
I dati personali devono essere appropriati e pertinenti ai fini della gestione dei dati e devono essere limitati a quanto necessario. ("salvataggio dei dati")
Durante la gestione dei dati deve essere garantita l'esattezza, la completezza e, se necessario, l'attualità dei dati, nonché che l'identificazione dell'interessato possa essere identificata solo per il tempo necessario ai fini della gestione dei dati. ("precisione")
I dati personali devono essere conservati in una forma che consenta l'identificazione degli interessati solo per il tempo necessario al raggiungimento degli obiettivi della gestione dei dati personali. Durante il trattamento i dati personali manterranno la loro qualità finché sarà possibile ripristinare il rapporto con l’interessato. Il rapporto con l’interessato può essere ripristinato se il titolare del trattamento dispone delle condizioni tecniche necessarie per il ripristino. ("capacità di stoccaggio limitata")
Nel corso della gestione dei dati, deve essere garantita un'adeguata sicurezza dei dati personali applicando misure tecniche o organizzative adeguate, in particolare quelle che creano protezione contro il trattamento non autorizzato o illegale, la perdita accidentale, la distruzione o il danno. ("integrità e riservatezza")
Il Titolare del trattamento è responsabile del rispetto delle linee guida di cui sopra e deve essere in grado di dimostrarne il rispetto. ("responsabilità")
1.5 DATI DEL TITOLARE DEL TRATTAMENTO
Nome: WISER Group
Indirizzo: 1065 Budapest, Révay köz 4.
Codice Fiscale: 27928181-2-41
Numero di registrazione dell'azienda: 01-09-357551
Tribunale di registrazione: Tribunale delle Società della Capitale
Rappresentante legale: Amministratore Delegato László Kozák
E-mail: info@wisergroup.hu
Numero di telefono: +36 30 336 08 16
- REGOLE PER LA GESTIONE DEI DATI
2.1 FINALITÀ DELLA GESTIONE DEI DATI
Il Titolare utilizza i dati personali per finalità connesse alla propria operatività, per finalità di impiego, per finalità di marketing, per il funzionamento di dispositivi per la sicurezza personale e patrimoniale, per finalità di processi di gestione documentale, servizi informatici e sicurezza informatica legati alla l'operazione, allo scopo di utilizzare il patrimonio di dati, e come specificato nell'atto costitutivo dell'organizzazione, gestisce allo scopo di fornire altre attività di base. Qualora ricorrano i presupposti di legge, il Titolare ha facoltà di avviare una nuova attività di gestione dei dati. La gestione dei singoli dati ed il loro dettaglio sono registrati nel registro delle attività di gestione dei dati del Titolare (N. 1 allegato) è incluso.
2.2 BASE GIURIDICA PER LA GESTIONE DEI DATI
Il trattamento dei dati personali da parte del Titolare è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
- l'interessato ha dato il suo consenso trattare i tuoi dati personali per una o più finalità specifiche;
- la gestione dei dati è così necessario per adempiere al contratto, in cui l'interessato è una delle parti, oppure è necessario adottare misure su richiesta dell'interessato prima della conclusione del contratto;
- la gestione dei dati riguarda il responsabile dei dati per adempiere ad un obbligo legale necessario;
- titolare del trattamento dei dati è l'interessato o un'altra persona fisica tutela degli interessi vitali necessario a causa di;
- gestione dei dati interesse pubblico o autorizzazione della pubblica autorità concessa al titolare del trattamento necessario per l'esecuzione di un compito svolto nell'ambito del suo esercizio;
- i dati sono gestiti dal titolare o da terzi far valere i propri interessi legittimi necessario, a meno che su questi interessi non prevalgano interessi o diritti e libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, soprattutto se l'interessato è un minore.
2.2 CONDIZIONI DI CONTRIBUTO
Il consenso è una dichiarazione di volontà volontaria, specifica e chiaramente informata, con la quale l'interessato manifesta, mediante una dichiarazione o un atto inequivocabilmente espressivo, che acconsente al trattamento dei dati personali che lo riguardano. L'interessato può esprimere il proprio consenso – in forma memorizzabile – in un contratto, su modulo all'uopo regolarizzato (N. 7 allegato), in formato elettronico o cartaceo. L’interessato può revocare il proprio consenso in qualsiasi momento. Con il consenso potranno essere effettuati solo trattamenti di dati durante i quali potrà essere verificato il rispetto degli obblighi di previa informativa e volontarietà. La volontarietà non può essere giustificata, qualora il consenso al trattamento dei dati esclusivamente nell'interesse del Titolare sia stato prestato dagli interessati in un rapporto di subordinazione, in massa, entro una cerchia definita di persone senza eccezioni.
Se l'interessato dà il proprio consenso nell'ambito di una dichiarazione scritta che si applica anche ad altre questioni, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile da queste altre questioni, in una forma comprensibile e facilmente accessibile, con indicazioni chiare e linguaggio semplice. Il consenso può essere prestato in qualunque forma nella quale sia identificabile l'interessato e venga registrata l'avvenuta prestazione del consenso, quindi in particolare:
- per iscritto (con la firma dell'interessato);
- elettronicamente dopo l'identificazione individuale dell'interessato, se il fatto del consenso è registrato (registrato);
- per via elettronica in un messaggio inviato dall'indirizzo di posta elettronica registrato dal Titolare interessato, purché il messaggio venga registrato e conservato senza modifiche.
- TEST CONSIDERAZIONE DEGLI INTERESSI
In alcuni casi, il Titolare ha la facoltà di trattare i dati senza consenso, qualora un legittimo interesse lo renda possibile, a condizione che il Titolare adempia al proprio obbligo di informativa preventiva. Se la base giuridica del trattamento dei dati è giustificata dal legittimo interesse, il Titolare effettua un test di valutazione degli interessi per esaminare la liceità del trattamento dei dati (N. 2 allegato), durante il quale vengono esaminate e adeguatamente motivate la necessità della finalità del trattamento dei dati e la restrizione proporzionale dei diritti e delle libertà degli interessati.
Durante l'esecuzione del test di ponderazione degli interessi, il Titolare del trattamento identifica il proprio legittimo interesse alla gestione dei dati, nonché l'interesse dello stakeholder e il relativo diritto fondamentale, che fa da contrappunto alla ponderazione. La condizione per la ponderazione di diritti e interessi contrastanti è sempre esaminata dal Titolare rispetto alle circostanze specifiche del caso di specie. Nel corso della valutazione, il Titolare tiene conto in particolare della natura e della natura sensibile dei dati trattati o da trattare, dell'entità della loro pubblicità, della gravità dell'eventuale violazione, ecc.
Nell’ambito del test di valutazione degli interessi, il Titolare effettua anche un esame di necessità e proporzionalità, secondo il quale le eccezioni alla protezione dei dati personali e le limitazioni della protezione devono restare entro i limiti di quanto assolutamente necessario. La natura e la quantità dei dati che possono essere trattati non possono superare la misura necessaria per far valere i nostri interessi legittimi. L'esame della proporzionalità comprende una valutazione del rapporto tra gli obiettivi e i mezzi scelti. Gli strumenti scelti non devono superare il livello di necessità, ma gli strumenti devono anche essere adatti al raggiungimento dell'obiettivo specificato. In base alla ponderazione il Titolare determina se i dati personali possono essere trattati.
Gli interessati verranno informati dell'esito del test, dal quale emergerà chiaramente in base a quale legittimo interesse e perché il trattamento dei dati personali da parte del Titolare senza il consenso dell'interessato può essere considerato una restrizione proporzionata, quindi perché il legittimo interesse del Titolare del trattamento dei dati prevale sugli interessi e sui diritti dell'interessato. Il Titolare informa gli interessati sulle garanzie privacy applicate a fronte del mancato consenso e sulla possibilità di protestare contro la gestione dei dati. Il risultato della ponderazione tra interessi e diritti opposti non può essere prescritto senza che il Titolare del trattamento consenta un risultato diverso in considerazione delle circostanze specifiche del caso di specie, pertanto il Titolare del trattamento effettua un test di ponderazione degli interessi separato in ciascun caso.
Uno scenario possibile, dal quale il Titolare si riserva il diritto di discostarsi:
- Prima di iniziare la gestione dei dati pianificata, il Titolare valuta se il trattamento dei dati personali è assolutamente necessario per raggiungere il suo obiettivo: sono disponibili soluzioni alternative che possono essere utilizzate per raggiungere l'obiettivo pianificato senza trattare i dati personali.
- Il Titolare definisce il proprio legittimo interesse nel modo più accurato possibile.
- Il Titolare del trattamento determina lo scopo della gestione dei dati, quali dati personali e per quanto tempo l’interesse legittimo richiede la gestione dei dati.
- Il Titolare determina quali possano essere gli interessi degli interessati in relazione alla gestione dei dati effettuata (ad esempio, quali aspetti che gli interessati potrebbero sollevare contro la gestione dei dati).
- Il Titolare del trattamento valuta i propri interessi legittimi nonché gli interessi e i diritti fondamentali degli interessati e, sulla base di questi, determina se i dati personali possono essere trattati. Il Titolare del trattamento determina perché l'interesse legittimo del Titolare del trattamento - e il trattamento dei dati basato su questo - limita proporzionalmente i diritti e le aspettative delle parti interessate definiti al punto 4.
- Il Titolare del trattamento determina quali garanzie possono garantire la necessità e la proporzionalità della gestione dei dati (ovviamente possono essere applicate anche altre misure di garanzia).
2.3 TRATTAMENTO DEI DATI PARTICOLARI
Il concetto di dati particolari non è definito in generale dal GDPR, vengono menzionate solo alcune delle sue categorie (dati personali riferiti all'origine razziale o etnica, opinioni politiche, convinzioni religiose o visione del mondo, appartenenza sindacale, nonché dati genetici e biometrici finalizzati all’identificazione univoca delle persone fisiche, dati sanitari e dati personali riguardanti la vita sessuale o l’orientamento sessuale delle persone fisiche), oppure definirlo separatamente. I dati speciali possono essere trattati solo se
- l'interessato ha prestato espressamente il consenso al trattamento di tali dati personali per uno scopo specifico e il diritto dell'Unione o degli Stati membri non vieta di prestare il consenso;
- il trattamento dei dati è necessario affinché il titolare o l'interessato possa adempiere ai propri obblighi ed esercitare i propri diritti specifici derivanti dalle norme di legge che disciplinano il lavoro, la previdenza sociale e la protezione sociale, se esiste anche un diritto dell'Unione o di uno Stato membro che preveda garanzie adeguate a tutela della i diritti e gli interessi fondamentali dell'interessato o lo Stato membro in cui un contratto collettivo legale lo rende possibile;
- il trattamento dei dati è necessario per tutelare gli interessi vitali dell'interessato, purché l'interessato non sia in grado di prestare il consenso per incapacità fisica o giuridica;
- per trattamento dei dati si intendono i dati personali che l'interessato ha espressamente reso pubblici;
- la gestione dei dati è necessaria per far valere, far valere e tutelare diritti legali;
- il trattamento dei dati è necessario per motivi di interesse pubblico rilevante, sulla base del diritto dell'Unione o dello Stato membro, che è proporzionato all'obiettivo da raggiungere, rispetta il contenuto essenziale del diritto alla protezione dei dati personali e prescrive modalità adeguate e misure specifiche per garantire i diritti e gli interessi fondamentali dell'interessato;
- il trattamento dei dati è necessario a fini di prevenzione sanitaria o di medicina del lavoro, per valutare la capacità lavorativa del dipendente, stabilire una diagnosi medica, fornire assistenza o trattamenti sanitari o sociali o gestire sistemi e servizi sanitari o sociali, sulla base del diritto dell'UE o degli Stati membri o in conformità con un contratto concluso con un professionista del settore sanitario;
- il trattamento dei dati è necessario per l'archiviazione nel pubblico interesse, a fini di ricerca scientifica e storica o a fini statistici sulla base del diritto dell'UE o degli Stati membri che sia proporzionato all'obiettivo da raggiungere, rispetti il contenuto essenziale del diritto alla protezione dei dati personali dati, ed è adeguato a garantire i diritti e gli interessi fondamentali dell’interessato e prescrive misure specifiche.
2.4 OBBLIGHI DI INFORMAZIONE PREVENTIVA
Qualora i dati personali che lo riguardano siano raccolti presso l’interessato, il Titolare del trattamento fornirà all’interessato tutte le seguenti informazioni al momento dell’ottenimento dei dati personali, a meno che e nella misura in cui l’interessato ne abbia già il diritto informazioni:
- l'identità e i dati di contatto del titolare del trattamento e, se presente, del rappresentante del titolare del trattamento;
- i dati di contatto del responsabile della protezione dei dati, se presente;
- lo scopo del trattamento previsto dei dati personali, nonché la base giuridica per il trattamento dei dati;
- in caso di trattamento basato su interessi legittimi, i legittimi interessi del titolare del trattamento o di terzi;
- se del caso, i destinatari dei dati personali e le eventuali categorie di destinatari;
- se del caso, la volontà del titolare del trattamento di trasferire i dati personali verso un paese terzo o un'organizzazione internazionale, nonché l'esistenza o l'assenza di una decisione di conformità della Commissione, o l'indicazione di garanzie adeguate e opportune, nonché l'indicazione modalità per ottenerne copia o riferimento alla loro disponibilità;
- il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri per determinare tale periodo;
- il diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali che lo riguardano, la loro rettifica, cancellazione o limitazione del trattamento, nonché di opporsi al trattamento di tali dati personali, nonché il diritto dell'interessato alla portabilità dei dati;
- il diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento dei dati effettuato sulla base del consenso prima della revoca;
- il diritto di proporre reclamo all’autorità di controllo;
- se la fornitura di dati personali si basa sulla legislazione o su un obbligo contrattuale o è un prerequisito per la conclusione di un contratto, nonché se l'interessato è obbligato a fornire i dati personali e quali possibili conseguenze può avere la mancata fornitura dei dati Avere;
- il processo decisionale automatizzato, compresa la profilazione, nonché, almeno in questi casi, la logica applicata e informazioni comprensibili sull'importanza di tale gestione dei dati e sulle conseguenze previste per l'interessato.
Qualora i dati personali non siano stati ottenuti presso l'interessato, il Titolare del trattamento indica la fonte dei dati ed eventualmente se i dati provengono da fonti accessibili al pubblico. Il Titolare fornisce le informazioni come segue:
- tenendo conto delle circostanze specifiche del trattamento dei dati personali, entro un periodo di tempo ragionevole dall'acquisizione dei dati personali, ma al massimo entro un mese;
- se i dati personali vengono utilizzati allo scopo di contattare l'interessato, almeno durante il primo contatto con l'interessato; O
- se è prevista la comunicazione dei dati ad altro destinatario, al più tardi quando i dati personali vengono comunicati per la prima volta.
Le predette informazioni devono essere comunicate all'interessato in forma concisa, trasparente, comprensibile e facilmente accessibile, formulata in modo chiaro e comprensibile, di norma per iscritto, anche in formato elettronico. Qualora il Titolare intenda effettuare ulteriori trattamenti di dati personali per una finalità diversa da quella della loro raccolta, è tenuto a informare l'interessato di tale diversa finalità e di ogni ulteriore informazione rilevante prima dell'ulteriore trattamento dei dati.
2.5 REGISTRAZIONE DELLE ATTIVITÀ DI GESTIONE DEI DATI
Il Titolare del trattamento conserva registrazione delle attività di gestione dei dati svolte sotto la sua responsabilità. Il registro delle attività di gestione dei dati uniformi del Titolare costituisce l'allegato n. 1 del presente Regolamento. Questo registro contiene le seguenti informazioni:
- il nome e i dati di contatto del titolare del trattamento ed eventualmente il nome e i dati di contatto del contitolare, del rappresentante del titolare e del responsabile della protezione dei dati;
- le finalità della gestione dei dati;
- descrizione delle categorie degli interessati e delle categorie dei dati personali;
- categorie di destinatari a cui i dati personali sono o saranno comunicati, compresi destinatari di paesi terzi o organizzazioni internazionali;
- ove applicabile, informazioni sul trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, in caso di trasferimento ai sensi dell'articolo 49, paragrafo 1, secondo comma, del GDPR, una descrizione delle garanzie corrispondenti;
- se possibile, i termini per la cancellazione delle diverse categorie di dati;
- se possibile, una descrizione generale delle misure tecniche e organizzative.
2.6 VALUTAZIONE D'IMPATTO E CONSULTAZIONE PREVENTIVA
Se un nuovo processo di gestione dei dati - data la sua natura, portata, circostanze e obiettivi - comporta un rischio elevato per i diritti e le libertà delle persone fisiche, prima dell'inizio della gestione dei dati, il Titolare del trattamento condurrà una valutazione d'impatto su come il processo di gestione dei dati protegge i dati personali che interessa Operazioni simili di gestione dei dati che comportano rischi simili possono essere effettuate nel quadro di un'unica valutazione d'impatto. L'esecuzione della valutazione d'impatto sulla protezione dei dati è compito dell'unità organizzativa Gestione dati, il documento di valutazione d'impatto costituisce allegato inscindibile del presente Regolamento (N. 3 allegato) utilizzando. Al fine di valutare i rischi e altri aspetti della valutazione d’impatto, l’unità organizzativa di gestione dei dati richiede il parere del responsabile della protezione dei dati del Titolare, se utilizzato. È obbligatorio effettuare una valutazione d’impatto sulla protezione dei dati:
- sorveglianza metodica e su larga scala di luoghi pubblici, ad esempio quando si utilizza un sistema di sorveglianza elettronica (telecamera) che soddisfa queste condizioni;
- in caso di trattamento di un gran numero di dati sanitari e altri dati speciali;
- nel caso di una valutazione metodica ed approfondita di determinate caratteristiche personali delle persone fisiche, che si basa sulla gestione automatizzata dei dati, compresa la profilazione, e su quali decisioni che hanno effetti giuridici nei confronti della persona fisica o che influiscono in modo analogo in modo significativo sulla persona fisica sono basati;
- nel caso di trattamenti di dati inclusi nell'elenco dell'autorità di controllo che richiedono obbligatoriamente una valutazione d'impatto sulla protezione dei dati.
Non è necessario effettuare una valutazione d'impatto sulla protezione dei dati nel caso di gestione dei dati (obbligatoria) basata sulla legge, gestione dei dati necessaria per adempiere a un obbligo legale, nonché nel caso di gestione dei dati inclusa nell'elenco dell'autorità di controllo della gestione dei dati esentata dalla valutazione d’impatto sulla protezione dei dati. La valutazione d’impatto riguarda almeno:
- per la descrizione metodica delle operazioni di gestione dei dati previste e dello scopo e della base giuridica della gestione dei dati; compreso, nel caso di trattamento basato sulla considerazione degli interessi, l’interesse legittimo che il titolare del trattamento desidera far valere;
- esaminare la necessità e la proporzionalità delle operazioni di gestione dei dati, tenendo conto delle finalità della gestione dei dati;
- esaminare i rischi che ledono i diritti e le libertà degli interessati; E
- presentare le misure volte a gestire i rischi, comprese garanzie e misure di sicurezza dei dati che tengano conto dei legittimi interessi degli interessati a dimostrare il rispetto della legislazione e dei presenti regolamenti.
Dopo aver effettuato la valutazione d'impatto, l'unità organizzativa del Titolare, se necessario, ma almeno in caso di cambiamento del rischio presentato dalle operazioni di gestione dei dati, dispone la revisione della valutazione d'impatto, durante la quale la valutazione del rischio verrà effettuata nuovamente. I rischi devono essere riesaminati almeno ogni tre anni. L’esito della valutazione d’impatto completata dovrà essere inviato al responsabile della protezione dei dati del Titolare. Il responsabile della protezione dei dati può formulare osservazioni in merito alla valutazione d'impatto.
Qualora dalla valutazione d’impatto sulla protezione dei dati risulti che la prevista gestione dei dati – in assenza di misure adottate per mitigare i rischi – comporterebbe effettivamente un rischio elevato, il Titolare del trattamento consulta, se del caso, l’autorità di controllo, con l’assistenza del Garante della protezione dei dati. responsabile, prima di trattare i dati personali.
2.7 TRASMISSIONE DATI
Trasferimento dei dati, se i dati vengono resi disponibili a una terza parte specifica, inclusa la possibilità di visualizzare i dati o crearne un estratto. Non costituiscono trasmissione di dati la trasmissione dei dati all’interno del sistema organizzativo del Titolare in qualità di titolare, il trasferimento dei dati a un responsabile del trattamento e l’accesso ai propri dati personali. Trasferimento di dati verso un paese terzo Trasferimento di dati verso un paese al di fuori degli stati membri dello Spazio Economico Europeo (di seguito: SEE). Divulgazione se i dati vengono resi disponibili a chiunque.
Il Titolare tratta i dati personali in modo confidenziale. La trasmissione dei dati, la trasmissione dei dati verso un paese terzo o un'organizzazione internazionale e la divulgazione dei dati personali potranno avvenire solo nel pieno rispetto di tutte le normative pertinenti, in conformità con quanto previsto dal GDPR.
L'unità organizzativa di gestione dei dati decide in merito alla trasmissione dei dati, alla trasmissione dei dati a un paese terzo o a un'organizzazione internazionale e alla divulgazione dei dati personali. In caso di dubbi sulla legalità, il responsabile dell'unità organizzativa è obbligato a contattare per iscritto o elettronicamente il responsabile della protezione dei dati del titolare del trattamento, il quale rilascia una dichiarazione sulla legalità delle operazioni di gestione dei dati previste.
I dati personali gestiti nell’ambito del sistema organizzativo del Titolare, in qualità di titolare del trattamento, potranno essere trasferiti – nei limiti e per il tempo necessario allo svolgimento dell’incarico – ad una unità organizzativa che necessita dei dati per svolgere i propri compiti previsti dall’art. legge, regolamenti interni o istruzioni.
2.8 TRATTAMENTO DEI DATI
Il Titolare potrà avvalersi di un responsabile del trattamento per alcune operazioni di gestione dei dati. Il responsabile del trattamento effettua trattamenti di dati per conto del titolare del trattamento per conto del titolare del trattamento, per suo conto e, ove applicabile, secondo le sue specifiche istruzioni. I responsabili del trattamento effettuano la gestione dei dati secondo le istruzioni del Titolare, non possono assumere decisioni sostanziali in merito alla gestione dei dati, possono trattare solo i dati personali di cui vengono a conoscenza in conformità alle disposizioni del Titolare, non possono effettuano il trattamento dei dati per le proprie finalità e sono inoltre obbligati a conservarli, conservarli e mantenerli segreti. I responsabili del trattamento non possono avvalersi di ulteriori responsabili del trattamento senza la preventiva autorizzazione scritta del Titolare, caso per caso o in via generale.
Le condizioni del trattamento dei dati in un accordo scritto (N. 4 allegato) deve essere prenotato. L'accordo può anche essere concluso come parte di un altro contratto. Il trattamento dei dati può avvenire anche sulla base di norme di legge, nel qual caso le norme di legge che disciplinano il rapporto di trattamento dei dati sono disciplinate dalle norme di legge. Non è necessario concludere un accordo scritto se il rapporto giuridico relativo al trattamento dei dati è completamente regolato dalla legislazione vigente.
L'accordo sul trattamento dei dati contiene almeno:
- l'oggetto, lo scopo, la durata del trattamento dei dati, il tipo di dati personali e l'ambito degli interessati;
- che – salvo diversa previsione di legge – il responsabile del trattamento effettua il trattamento dei dati conformemente alle istruzioni scritte del titolare del trattamento, nonché alle circostanze in cui sono impartite le istruzioni, compreso in particolare il nome dell'unità organizzativa o della persona autorizzata a farlo COSÌ.
- se il responsabile del trattamento è legittimato a avvalersi di un ulteriore responsabile del trattamento e, in caso vi abbia diritto, l'obbligo di fornire informazioni circa l'eventuale utilizzo o sostituzione dell'ulteriore responsabile del trattamento;
- misure di sicurezza dei dati del titolare del trattamento;
- la procedura per informare sugli incidenti relativi alla protezione dei dati;
- regole di cooperazione volte a garantire i diritti dell'interessato;
- l'obbligo di riservatezza del titolare del trattamento;
- l'obbligo che il responsabile del trattamento cancelli tutti i dati personali (comprese le copie esistenti) o li restituisca al titolare del trattamento dopo la fine del trattamento dei dati, in conformità con la decisione del titolare del trattamento, salvo diversamente previsto dalla legge;
- che il titolare del trattamento fornisce tutte le informazioni necessarie per adempiere agli obblighi di legge del titolare del trattamento;
- che il responsabile del trattamento fornisce al titolare del trattamento tutte le informazioni necessarie per verificare la liceità del trattamento dei dati, nonché collabora in sede di controllo, ispezione in loco o audit sulla gestione dei dati;
- se necessario, gli ulteriori diritti e obblighi del titolare e del responsabile del trattamento.
3.0 SICUREZZA DEI DATI
3.1. PROTEZIONE INTEGRATA E PREDEFINITA
Il Titolare del trattamento, tenendo conto dello stato della scienza e della tecnologia e dei costi di attuazione, nonché della natura, dell'ambito, delle circostanze e delle finalità della gestione dei dati, nonché della variabile probabilità e gravità del rischio per i diritti e le libertà delle persone fisiche, sia nel determinare la modalità di gestione dei dati che durante la gestione dei dati adotta misure tecniche e organizzative adeguate, come la pseudonimizzazione, volte all'attuazione efficace dei principi di protezione dei dati, come il salvataggio dei dati, da un lato, e la l'inclusione delle garanzie necessarie per soddisfare i requisiti della legislazione sulla protezione dei dati e per proteggere i diritti degli interessati nel processo di gestione dei dati.
Il Titolare del trattamento adotta misure tecniche e organizzative adeguate per garantire un adeguato livello di sicurezza dei dati, inclusa in particolare la garanzia della continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi utilizzati per gestire i dati personali, nonché, in in caso di incidente, l'accesso personale ai dati e il ripristino tempestivo della disponibilità dei dati. Nel determinare il livello di sicurezza adeguato, devono essere presi in particolare considerazione i rischi derivanti dalla gestione dei dati, che derivano in particolare dalla distruzione, perdita, alterazione accidentale o illecita, divulgazione non autorizzata o accesso non autorizzato ai dati personali trasmessi, archiviati o altrimenti gestiti .
3.2 PROTEZIONE FISICA
Al fine di garantire la sicurezza dei dati personali cartacei, il Titolare del trattamento conserva i documenti in un locale ben chiuso a chiave e dotato di protezioni antincendio e protettive. I documenti gestiti manualmente contenenti dati personali sono conservati in uno schedario, al fine di adempiere all'obbligo di conservazione del Titolare, che può essere anche chiuso a chiave, ad accesso limitato e dotato di protezione antincendio e patrimoniale. I documenti contenenti dati personali possono essere visti solo da coloro a ciò autorizzati, nessun altro può accedervi e non possono essere rivelati ad altri. Allo scadere dell’obbligo di conservazione, il Titolare distrugge i documenti.
3.3 TUTELA INFORMATICA
Al fine di garantire la sicurezza dei dati personali archiviati nel computer o nella rete, il Titolare applica le seguenti misure di garanzia:
- gli elaboratori utilizzati per la gestione dei dati sono di proprietà del Titolare, ovvero questi ha su di essi gli stessi diritti del titolare;
- l'accesso ai dati presenti sul computer è possibile solo con un'autorizzazione valida, personale e identificabile - almeno con nome utente e password - il Responsabile dei dati garantirà che le password vengano modificate in casi giustificati;
- i dati conservati sul server sono accessibili solo alle persone munite di idonea autorizzazione e a tal fine designate;
- se lo scopo della gestione dei dati è stato raggiunto, il termine per la gestione dei dati è scaduto, il file contenente i dati verrà irrimediabilmente cancellato;
- cura costantemente la protezione antivirus della rete che tratta i dati personali;
- impedisce a persone non autorizzate di accedere alla rete con i dispositivi informatici disponibili e la loro applicazione.
Il flusso dei dati personali gestiti dal Titolare è effettuato in formato elettronico tramite server, e la loro conservazione fisica è effettuata tramite archivi dati.
CONTROLLO DELLE ATTIVITÀ DEI DIPENDENTI
È possibile monitorare il comportamento del dipendente in relazione al rapporto di lavoro. In tale contesto il Titolare, in qualità di datore di lavoro, potrà avvalersi anche di un accorgimento tecnico, di cui il dipendente sarà preventivamente informato per iscritto. In assenza di diverso accordo, il Titolare potrà utilizzare dispositivi e sistemi informatici o telematici forniti dal datore di lavoro per finalità lavorative esclusivamente ai fini dell'esecuzione del rapporto di lavoro. Nel corso della sua ispezione, il Titolare, in qualità di datore di lavoro, potrà visionare dati relativi al rapporto di lavoro memorizzati sul dispositivo informatico utilizzato per l'espletamento del rapporto di lavoro. Dal punto di vista del diritto di controllo, sono considerati dati relativi al rapporto di lavoro anche i dati necessari per verificare il rispetto della limitazione in caso di divieto di uso privato. Il presente comma si applica anche qualora, in base all'accordo tra le parti, il lavoratore utilizzi il proprio dispositivo informatico per l'espletamento del rapporto di lavoro.
Indipendentemente dal metodo di registrazione dei dati, i dipendenti sono tenuti a conservare e proteggere in modo sicuro i supporti dati utilizzati o di loro proprietà che contengono dati personali contro l'accesso non autorizzato, l'alterazione, la trasmissione, la divulgazione, la cancellazione o la distruzione, nonché contro la distruzione e il danneggiamento accidentale. . Durante il trattamento dei dati personali, i registratori di dati e i supporti dati possono essere utilizzati solo in forma crittografata (conforme alle norme). Il Titolare del trattamento può garantire l’ulteriore applicazione dei requisiti di sicurezza dei dati mediante distinti regolamenti e istruzioni interne. In ogni caso, i dipendenti del Titolare sono tenuti ad agire secondo le procedure specificate nei regolamenti e nelle istruzioni interne, che garantiscono un elevato grado di sicurezza dei dati.
I dipendenti del Titolare che effettuano la gestione o il trattamento dei dati sono tenuti a trattare con riservatezza e a mantenere segreti i dati personali di cui vengono a conoscenza nello svolgimento della propria attività. Solo coloro che dispongono di una dichiarazione di riservatezza (N. 5 allegato) fatto.
3.4. PROCEDURA PER INCIDENTI SULLA PROTEZIONE DEI DATI
Un incidente relativo alla protezione dei dati è una violazione della sicurezza che comporta la distruzione, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso non autorizzato accidentale o illegale ai dati personali trasmessi, archiviati o altrimenti gestiti. Se un dipendente del titolare del trattamento rileva il sospetto di un incidente relativo alla protezione dei dati o riceve un'indicazione di un incidente relativo alla protezione dei dati dal responsabile del trattamento, nel Regolamento sulla gestione degli incidenti relativi alla protezione dei dati del titolare del trattamento (N. 6 allegato) deve essere seguito secondo la procedura stabilita.
- COMPITI
4.1 RESPONSABILITÀ
Per quanto riguarda la struttura organizzativa del Titolare, i vertici del Titolare determinano l'organizzazione della protezione dei dati, i compiti e i poteri relativi alla protezione dei dati e alle attività connesse, e – se necessario – nominano il responsabile del controllo della gestione dei dati, il responsabile della protezione dei dati.
Gestione del Titolare del trattamento
- è responsabile di creare le condizioni necessarie per l'esercizio dei diritti degli interessati;
- è responsabile di garantire le condizioni personali, materiali e tecniche necessarie per la protezione dei dati personali gestiti dal Titolare;
- è responsabile dell'eliminazione di eventuali carenze o circostanze illecite scoperte durante i controlli sulla gestione dei dati, dell'avvio e dello svolgimento della procedura necessaria per stabilire la responsabilità di un'altra persona;
- vigila sull’attività del responsabile della protezione dei dati, se presente;
- può ordinare un'indagine per rivelare i fatti;
- approva le politiche di protezione dei dati del Titolare.
In sede di attuazione del presente Regolamento, i compiti e le responsabilità delle singole unità organizzative e dei singoli soggetti sono determinati dai regolamenti interni riguardanti l'organizzazione, il funzionamento e le attività del Titolare, nonché dalle mansioni/descrizioni delle mansioni dei dipendenti. I responsabili delle unità organizzative del Titolare hanno il compito di garantire che la gestione dei dati dell'unità organizzativa da essi guidata si svolga in conformità alla normativa e al presente Regolamento.
Prima della raccolta dei dati personali, il dipendente del titolare del trattamento informa l'interessato sul contenuto essenziale della gestione dei dati. Gli addetti al trattamento dei dati del Titolare sono tenuti a mantenere segreti aziendali i dati personali di cui vengono a conoscenza e a trattarli in conformità al Regolamento e alle altre istruzioni organizzative. Nello svolgimento delle loro attività, i dipendenti del Titolare garantiscono che persone non autorizzate non possano accedere ai dati personali, e che i dati personali siano archiviati e collocati in modo tale che non possano essere accessibili, conosciuti, modificati o distrutti da persone non autorizzate.
Nell'ambito del lavoro/delle responsabilità del dipendente
- è responsabile del trattamento, modificazione, cancellazione, trasmissione e diffusione dei dati, nonché della documentazione accurata e tracciabile dei dati;
- gestisce e conserva i dati acquisiti nello svolgimento dei propri compiti, garantisce la gestione e l'archiviazione sicura delle registrazioni;
- garantisce che nessuna persona non autorizzata possa accedere ai dati dei registri conservati;
- rispetta le leggi sulla gestione dei dati e le istruzioni interne;
- partecipa alla formazione professionale interna relativa alla gestione e alla protezione dei dati;
- è tenuto a rifiutarsi di eseguire istruzioni contrarie alla legislazione sulla gestione e sulla protezione dei dati, nonché istruzioni interne.
5.0 DIRITTI E RIMEDI
I diritti dell'interessato elencati ai punti successivi possono essere esercitati mediante richiesta rivolta al Titolare. Il Titolare valuta la richiesta per l'esercizio dei diritti nel più breve tempo possibile e comunque non oltre 25 (venticinque) giorni dalla sua presentazione e comunica la propria decisione all'interessato per iscritto o, se l'interessato ha presentato la richiesta elettronicamente, con mezzi elettronici.
5.1 INFORMAZIONI SUL TRATTAMENTO DEI VOSTRI DATI PERSONALI
Su richiesta dell'interessato, il Titolare fornisce informazioni circa i dati dell'interessato da lui gestiti o trattati dal responsabile del trattamento da lui incaricato o a sua disposizione, la loro fonte, la finalità, la base giuridica, la durata del trattamento dei dati, il nome e l'indirizzo del responsabile del trattamento e le sue attività legate al trattamento dei dati, le circostanze dell'incidente relativo alla protezione dei dati, i suoi effetti e le misure adottate per prevenirli e, in caso di trasmissione dei dati personali dell'interessato, la base giuridica e destinatario del trasferimento dei dati.
5.2 ACCESSO AI DATI PERSONALI
L'interessato ha il diritto di ricevere dal Titolare il riscontro se sia o meno in corso un trattamento dei suoi dati personali e, qualora tale trattamento sia in corso, ha il diritto di accedere ai dati personali e alle seguenti informazioni:
- le finalità della gestione dei dati;
- categorie di dati personali interessati;
- i destinatari o le categorie di destinatari a cui o a cui i dati personali sono stati o saranno comunicati, compresi in particolare destinatari di paesi terzi e organizzazioni internazionali;
- ove applicabile, il periodo previsto di conservazione dei dati personali o, se ciò non è possibile, i criteri per determinare tale periodo;
- il diritto dell'interessato di chiedere al Titolare del trattamento la rettifica, la cancellazione o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al trattamento di tali dati personali;
- il diritto di proporre reclamo ad un'autorità di controllo;
- se i dati non sono stati raccolti presso l'interessato, tutte le informazioni disponibili sulla loro fonte;
- il processo decisionale automatizzato, compresa la profilazione, nonché, almeno in questi casi, informazioni comprensibili sulla logica utilizzata e sull'importanza di tale gestione dei dati e sulle conseguenze previste per l'interessato.
Qualora i dati personali siano trasferiti ad un paese terzo o ad un'organizzazione internazionale, l'interessato ha diritto di ricevere informazioni circa le garanzie adeguate relative al trasferimento.
Il Titolare fornisce all’interessato una copia dei dati personali oggetto del trattamento. Per le ulteriori copie richieste dall’interessato, il Titolare può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l'interessato ha presentato la richiesta in formato elettronico, le informazioni devono essere fornite in un formato elettronico di diffuso utilizzo, salvo diversa richiesta dell'interessato.
Il diritto di richiederne una copia non deve ledere i diritti e le libertà altrui.
5.3 DIRITTO ALLA CORREZIONE
L’interessato ha il diritto di chiedere al Titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto dello scopo del trattamento dei dati, l'interessato ha il diritto di richiedere l'integrazione dei dati personali incompleti, anche mediante una dichiarazione integrativa.
5.4 DIRITTO ALLA CANCELLAZIONE (DIRITTO ALL'OBLIO)
L'interessato ha il diritto di chiedere al Titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo, nonché il Titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali che lo riguardano, se sussiste uno dei seguenti motivi:
- i dati personali non sono più necessari rispetto allo scopo per il quale sono stati raccolti o altrimenti trattati;
- l'interessato revoca il consenso su cui si basa la gestione dei dati e non esiste altra base giuridica per la gestione dei dati;
- l'interessato si oppone al trattamento dei dati e non esiste alcun motivo giuridico prevalente per il trattamento dei dati;
- i dati personali sono stati trattati illecitamente;
- i dati personali devono essere cancellati per adempiere ad un obbligo legale previsto dal diritto dell'Unione o dello Stato membro applicabile al Titolare;
- la raccolta dei dati personali è avvenuta in relazione all'offerta di servizi legati alla società dell'informazione.
Se il Titolare del trattamento ha divulgato i dati personali ed è obbligato a cancellarli in conformità a quanto sopra, adotterà misure ragionevoli, comprese misure tecniche, tenendo conto della tecnologia disponibile e dei costi di implementazione, per informare i Titolari del trattamento i dati che l'interessato ha richiesto loro cancellando i link ai dati personali in questione o la copia o il duplicato di tali dati personali.
La cancellazione dei dati non può essere avviata se la gestione dei dati è necessaria: ai fini dell'esercizio del diritto alla libertà di espressione e di informazione; ai fini dell'adempimento di un obbligo previsto dal diritto dell'Unione o degli Stati membri applicabile al Titolare del trattamento che richiede il trattamento di dati personali, o per l'esecuzione di un compito svolto nel pubblico interesse o nell'ambito dell'esercizio di pubblici poteri di cui è investito Titolare del trattamento; che incidano nel campo della sanità pubblica, o per fini di ricerca archivistica, scientifica e storica o per fini statistici, sulla base dell'interesse pubblico; o per presentare, far valere o difendere rivendicazioni legali.
5.5 IL DIRITTO ALLA LIMITAZIONE DEL TRATTAMENTO DEI DATI
L'interessato ha il diritto di chiedere al Titolare del trattamento la limitazione del trattamento dei dati se ricorre una delle seguenti condizioni:
- l'interessato contesta l'esattezza dei dati personali, nel qual caso la limitazione si applica al periodo necessario al Titolare del trattamento per verificare l'esattezza dei dati personali;
- il trattamento dei dati è illecito e l'interessato si oppone alla cancellazione dei dati e chiede invece che ne sia limitato l'utilizzo;
- il Titolare del trattamento non ha più bisogno dei dati personali ai fini della gestione dei dati, ma l’interessato ne ha bisogno per presentare, far valere o difendere un diritto in sede giudiziaria; ossessione
- l'interessato si è opposto al trattamento dei dati; in tal caso la limitazione si applica al periodo fino a quando non venga accertato se i motivi legittimi del Titolare prevalgano su quelli legittimi dell'interessato.
Qualora il trattamento dei dati sia soggetto a limitazioni in base a quanto sopra, tali dati personali, salvo che per la conservazione, saranno trattati solo con il consenso dell'interessato, oppure per l'accertamento, l'esecuzione o la difesa di diritti in sede giudiziaria, ovvero per la tutela dei diritti di un'altra persona fisica o giuridica o nell'interesse pubblico rilevante dell'Unione o di uno Stato membro.
Il Titolare del trattamento informa l'interessato su cui richiesta è stato limitato il trattamento dei dati prima della revoca della limitazione del trattamento dei dati.
Il Titolare del trattamento informa tutti i destinatari della rettifica, cancellazione o limitazione della gestione dei dati a cui o a chi i dati personali sono stati comunicati, salvo che ciò si riveli impossibile o richieda uno sforzo sproporzionato. Su richiesta dell'interessato, il Titolare informa circa tali destinatari.
5.6 DIRITTO ALLA PORTABILITÀ DEI DATI
L'interessato ha il diritto di ricevere in un formato segmentato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un Titolare del trattamento, nonché di trasmettere tali dati a un altro Titolare del trattamento senza essere ostacolato dal Titolare. Titolare del trattamento cui hanno fornito i dati personali se:
- la gestione dei dati si basa sul consenso dell'interessato o su un contratto; E
- la gestione dei dati è automatizzata.
Nell’esercizio del diritto alla portabilità dei dati come sopra descritto, l’interessato ha il diritto, se tecnicamente fattibile, di richiedere la trasmissione diretta dei dati personali tra i Titolari del trattamento. L'esercizio di tale diritto non può violare il diritto alla cancellazione. Il suddetto diritto non si applica nel caso in cui il trattamento dei dati sia nell'interesse pubblico o sia necessario per l'esecuzione di un compito svolto nell'ambito dell'esercizio dei pubblici poteri conferiti al Titolare. Il diritto menzionato nel paragrafo non può pregiudicare i diritti e le libertà altrui.
5.7 DIRITTO DI RECESSO
L'interessato ha il diritto di revocare in qualsiasi momento il consenso al trattamento dei propri dati personali, il cui esercizio non pregiudica la liceità del trattamento effettuato sulla base del consenso prima della revoca.
5.8 PRESENTAZIONE DI UN RECLAMO AD UN'AUTORITÀ DI VIGILANZA
L'interessato Garante Nazionale per la Protezione dei Dati Personali e la Libertà di Informazione (di seguito: "Autorità") può avviare un'indagine per esaminare la legalità dell'azione del Titolare nel caso in cui il Titolare limiti l'esercizio dei diritti dell'interessato o respinga la sua richiesta di far valere tali diritti, e l'interessato può richiedere lo svolgimento dell'azione procedura ufficiale dell'Autorità Garante per la protezione dei dati personali se, a suo giudizio, il titolare del trattamento, o il responsabile del trattamento da lui incaricato o che agisce sulla base delle sue istruzioni viola le norme sul trattamento dei dati personali, definite dalla legge o da un atto giuridico vincolante dell'Unione Europea.
Nome: Autorità nazionale per la protezione dei dati e la libertà di informazione
Sede: 1055 Budapest, Falk Miksa utca 9-11
Indirizzo postale: 1363 Budapest, Pf.: 9.
Telefono: +36 (1) 391 1400
Fax: 06 1 391 1410
E-mail: ugyfelszolgalat@naih.hu
Sito web: http://www.naih.hu
5.9 DIRITTO ALLA TRIBUNALE
L'interessato può agire in giudizio contro il titolare del trattamento o – in relazione ai trattamenti di dati rientranti nell'ambito dell'attività del responsabile – il responsabile del trattamento, se, a suo avviso, il titolare del trattamento o il responsabile del trattamento da lui incaricato o agendo sulla base delle sue istruzioni ha utilizzato i suoi dati personali in conformità alla legge o alla normativa europea. Sono trattati in violazione delle norme definite nell'atto giuridico obbligatorio dell'Unione.
Il Titolare o il Responsabile del trattamento è tenuto a dimostrare che la gestione dei dati è conforme alle norme in materia di gestione dei dati personali definite dalla legislazione o da un atto giuridico obbligatorio dell'Unione Europea.
L'azione può essere promossa dall'interessato – a sua scelta – davanti al tribunale competente in base al suo luogo di residenza o di dimora. Una persona che altrimenti non ha capacità giuridica può essere parte in causa. L'Autorità può intervenire nella causa per vincere la causa a favore dell'interessato.
- DISPOSIZIONI FINALI
Per quanto non separatamente disciplinato nel Regolamento, prevarranno le disposizioni della normativa di riferimento in materia di protezione dei dati. Se necessario in base ad un cambiamento normativo o per altri motivi, la direzione potrà modificare il contenuto del Regolamento. Le disposizioni contenute nel Regolamento devono essere interpretate in conformità alle altre norme applicabili del Titolare. In caso di contraddizione tra le disposizioni di cui sopra e le disposizioni di eventuali altre norme applicate prima dell'entrata in vigore del presente Regolamento in merito alla gestione dei dati personali, prevarranno queste disposizioni. In attuazione del presente Regolamento, i compiti e le responsabilità delle singole unità organizzative e dei singoli soggetti sono determinati dalle disposizioni interne riguardanti l'organizzazione, il funzionamento e le attività del Titolare.
APPENDICI
- NO. allegato – Registrazione delle attività di gestione dei dati
- NO. allegato – Test del bilanciamento degli interessi
- NO. allegato – Scheda di valutazione dell'impatto
- NO. allegato – Contratto di trattamento dei dati
- NO. allegato – Dichiarazione di riservatezza
- NO. allegato – Regolamento sulla gestione degli incidenti relativi alla protezione dei dati
- NO. allegato – Esempio di dichiarazione di consenso alla gestione dei dati