Politica GDPR
Politica sulla protezione dei dati
The Colombian Way Limited
Aggiornato il 14 gennaio 2019
Definizioni
Società The Colombian Way Limited registrata in Irlanda numero 637701
GDPR indica il regolamento generale sulla protezione dei dati 2016/679
Persona responsabile indica il Responsabile dell’Informazione, The Colombian Way Limited
Registro dei sistemi indica un registro di tutti i sistemi o contesti in cui i dati personali sono trattati dalla Società
1. Principi di protezione dei dati
La Società si impegna a trattare i dati in conformità con le proprie responsabilità ai sensi del GDPR.
L’articolo 5 del GDPR richiede che i dati personali siano:
a) trattati in modo lecito, corretto e trasparente nei confronti delle persone fisiche;
b) raccolti per finalità determinate, esplicite e legittime e non ulteriormente trattati in modo incompatibile con tali finalità; l’ulteriore trattamento per finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica a fini statistici non è considerato incompatibile con le finalità iniziali;
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
d) esatti e, ove necessario, aggiornati; deve essere adottata ogni misura ragionevole per garantire che i dati personali inesatti, rispetto alle finalità per le quali sono trattati, siano cancellati o rettificati senza indugio;
e) conservati in una forma che consenta l’identificazione degli interessati per il tempo necessario agli scopi per i quali i dati personali sono trattati; i dati personali possono essere conservati per periodi più lunghi nella misura in cui i dati personali saranno trattati esclusivamente per finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici previa attuazione delle misure tecniche e organizzative adeguate richieste dal GDPR al fine di salvaguardare i diritti e le libertà degli individui; e
f) trattati in modo da garantire un’adeguata sicurezza dei dati personali, compresa la protezione da trattamenti non autorizzati o illeciti e da perdite, distruzioni o danni accidentali, utilizzando misure tecniche o organizzative adeguate.
2. Disposizioni generali
a) Questa politica si applica a tutti i dati personali trattati dalla Società.
b) La Persona Responsabile si assume la responsabilità della continua osservanza di questa politica da parte della Società.
c) Questa politica deve essere rivista almeno annualmente.
d) La Società deve registrarsi presso l’Information Commissioner’s Office come un’organizzazione che tratta dati personali.
3. Trattamento lecito, equo e trasparente
a) Per garantire che il trattamento dei dati sia lecito, equo e trasparente, la Società manterrà un Registro dei Sistemi.
b) Il Registro dei Sistemi deve essere rivisto almeno annualmente.
c) Gli individui hanno il diritto di accedere ai propri dati personali e qualsiasi richiesta di questo tipo fatta alla società deve essere trattata in modo tempestivo.
4. Scopi legali
a) Tutti i dati elaborati dalla Società devono essere effettuati su una delle seguenti basi legali: consenso, contratto, obbligo legale, interessi vitali, compito pubblico o interessi legittimi (vedere la guida DPC per ulteriori informazioni).
b) La Società annoterà la base giuridica appropriata nel Registro dei Sistemi.
c) Laddove il consenso sia invocato come base legale per il trattamento dei dati, la prova del consenso opt-in deve essere conservata con i dati personali.
d) Laddove le comunicazioni vengano inviate alle persone in base al loro consenso, l’opzione per la persona di revocare il proprio consenso dovrebbe essere chiaramente disponibile e dovrebbero essere predisposti sistemi per garantire che tale revoca si rifletta accuratamente nei sistemi della Società.
5. Minimizzazione dei dati
a) La Società garantisce che i dati personali siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
6. Precisione
a) La Società adotterà misure ragionevoli per garantire che i dati personali siano accurati.
b) Laddove necessario per la base giuridica su cui vengono trattati i dati, devono essere messe in atto misure per garantire che i dati personali siano mantenuti aggiornati.
c) La compagnia non genera i dati dei clienti, se il cliente fornisce dati che sono percepiti come potenzialmente errati, la compagnia contatterà il cliente per correggere tali dati.
7. Archiviazione e rimozione
a) Per garantire che i dati personali non vengano conservati più a lungo del necessario, la Società metterà in atto una politica di archiviazione per ciascuna area in cui i dati personali vengono elaborati e riesaminerà questo processo annualmente.
b) La politica di archiviazione deve considerare quali dati dovrebbero/devono essere conservati, per quanto tempo e perché.
c) L’azienda mantiene una serie di diagrammi di flusso che descrivono in dettaglio il trattamento, la memorizzazione e l’archiviazione dei dati. Questi diagrammi di flusso sono disponibili su richiesta.
8. Sicurezza
a) La Società garantisce che i dati personali siano archiviati in modo sicuro utilizzando un software moderno e aggiornato.
b) L’accesso ai dati personali deve essere limitato al personale che necessita di accesso e devono essere predisposte misure di sicurezza adeguate per evitare la condivisione non autorizzata delle informazioni.
c) Quando i dati personali vengono cancellati, ciò dovrebbe essere fatto in modo sicuro in modo che i dati siano irrecuperabili.
d) Devono essere messe in atto adeguate soluzioni di backup e ripristino di emergenza.
9. Violazione
In caso di violazione della sicurezza che comporti la distruzione accidentale o illecita, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso ai dati personali, la Società deve valutare tempestivamente il rischio per i diritti e le libertà delle persone e, se del caso, segnalare tale violazione a DPC.
Ulteriori informazioni
Contattateci per ulteriori informazioni sui nostri sistemi e processi, richieste di cancellazione, richieste di correzione e qualsiasi altra domanda sui vostri diritti GDPR.