Politica sulla privacy e sulla protezione dei dati

  • 20 Oct, 2020

1. Scopo

1.1: L'Informativa sulla privacy di Expandigo (di seguito "l'Informativa") definisce i requisiti per garantire la conformità alle leggi e ai regolamenti applicabili alla raccolta, all'uso, al trattamento e al trasferimento dei dati personali.

2. Scopo

2.1: La Politica si applica a tutti i dipendenti della Società, a tempo pieno e part-time, appaltatori e qualsiasi altra categoria di collaboratori, fornitori, partner, che hanno accesso ai dati personali raccolti o trattati dalla Società, indipendentemente dalla posizione geografica.

2.2: La Società stabilirà il proprio status per tutti i trattamenti di dati come Titolare del trattamento o Responsabile del trattamento che agisce per un altro Titolare del trattamento.

3. Definizioni

Consenso: consenso significa "qualsiasi indicazione specifica e informata liberamente data dei suoi desideri con la quale l'interessato esprime il consenso al trattamento dei dati personali che lo riguardano". Tuttavia, consenso può essere ottenuto con diversi metodi. Questi possono includere clausole nei contratti di lavoro, caselle di controllo sulle risposte ai moduli di domanda o acquisto e fare clic su caselle sui moduli online in cui vengono inseriti i dati personali. Nella maggior parte dei paesi dell'Unione europea, il consenso al trattamento dei dati personali sensibili deve essere chiaro e inequivocabile. Ciò significa generalmente che è richiesta una forma di consenso attivo specifico.

Dati: Dati (che abbiano o meno una lettera maiuscola iniziale) utilizzati nella Polizza significano informazioni che:

  • viene elaborato mediante apparecchiature che funzionano automaticamente in risposta alle istruzioni fornite a tal fine;
  • viene registrato con l'intenzione di elaborarlo mediante tali apparecchiature;
  • è registrato come parte di un sistema di archiviazione pertinente o con l'intenzione che dovrebbe far parte di un sistema di archiviazione pertinente;
  • non rientra in nessuno dei precedenti, ma fa parte di un record facilmente accessibile che copre un individuo.
  • I dati includono pertanto qualsiasi dato digitale da computer o attrezzatura automatizzata, registrazioni telefoniche e qualsiasi informazione manuale che fa parte di un sistema di archiviazione pertinente.

Titolare del trattamento : titolare del trattamento indica una persona che (da solo o insieme ad altri) determina le finalità per le quali e il modo in cui i dati personali sono o devono essere trattati. In generale, la Società stessa sarà il titolare del trattamento nella maggior parte dei casi.

Esportatore di dati : per esportatore di dati si intende il titolare del trattamento o il responsabile del trattamento che trasferisce i dati personali all'estero.

Importatore di dati : per importatore di dati si intende il titolare del trattamento o il responsabile del trattamento che acconsente a ricevere dall'esportatore di dati i dati personali per ulteriori elaborazioni in conformità con i termini della Politica e del relativo contratto di trasferimento dei dati .

Responsabile del trattamento : per responsabile del trattamento si intende qualsiasi persona, diversa da un dipendente del titolare del trattamento, che tratta i dati per conto del titolare del trattamento. Una società può essere un responsabile del trattamento dei dati se definita come tale in termini contrattuali con il titolare del trattamento.

Garante per la protezione dei dati personali : un organismo che ha il compito di proteggere i dati e la privacy. Le autorità sono istituite per tutelare i diritti di informazione nell'interesse pubblico e privato.

Sicurezza dei dati : misure che il titolare e il responsabile del trattamento devono attuare per il rispetto dei principi di protezione dei dati per impostazione predefinita e impostazione predefinita e per garantire un livello di sicurezza adeguato al rischio per i diritti e le libertà delle persone , tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, portata, contesto e finalità del trattamento.

Soggetto dei dati : per soggetto dei dati si intende la persona a cui si riferiscono i dati. Gli interessati includono clienti e utenti web, individui su elenchi di contatti / e-mail o database di marketing, dipendenti, appaltatori e fornitori.

Framework per lo scudo per la privacy UE-USA e Svizzera-USA : l'UE-USA. e Svizzera-USA I Privacy Shield Framework sono stati progettati rispettivamente dal Dipartimento del Commercio degli Stati Uniti, dalla Commissione Europea e dall'Amministrazione Svizzera, per fornire alle aziende su entrambe le sponde dell'Atlantico un meccanismo per conformarsi ai requisiti di protezione dei dati durante il trasferimento dei dati personali dall'Unione Europea e dalla Svizzera negli Stati Uniti a sostegno del commercio transatlantico. Il 12 luglio 2016, la Commissione europea ha ritenuto che l'UE-USA. Privacy Shield Framework adeguato per consentire il trasferimento dei dati ai sensi del diritto dell'UE. Il 12 gennaio 2017, il governo svizzero ha annunciato l'approvazione della Svizzera-USA. Privacy Shield Framework come meccanismo legale valido per conformarsi ai requisiti svizzeri durante il trasferimento di dati personali dalla Svizzera agli Stati Uniti.

Dati personali : per dati personali si intendono i dati relativi a un individuo vivente che può essere identificato da tali dati o da quei dati e altre informazioni in possesso o che potrebbero entrare in possesso di, un titolare o un responsabile del trattamento dei dati. I dati personali non includono informazioni che sono state rese anonime, codificate o altrimenti private dei loro identificatori o informazioni che sono disponibili pubblicamente, a meno che non siano combinate con altre informazioni personali non pubbliche.

in lavorazione: il trattamento copre un'ampia varietà di operazioni relative ai dati, inclusi l'ottenimento, la registrazione o la conservazione dei dati o l'esecuzione di qualsiasi operazione o insieme di operazioni sui dati, tra cui:

  • Organizzazione, adattamento o alterazione;
  • Divulgazione tramite trasmissione, diffusione o altro; e
  • Allineamento, combinazione, blocco, cancellazione o distruzione.

Sistema di archiviazione pertinente : per sistema di archiviazione pertinente si intende qualsiasi insieme di informazioni relative a persone, conservate in archivi manuali o elettronici, strutturate, sia con riferimento a persone fisiche che con riferimento a criteri relativi a persone, in tale modo in cui le informazioni specifiche relative a un particolare individuo siano facilmente accessibili. Pertanto qualsiasi database digitale e / o file manuali organizzati relativi a persone viventi identificabili rientrano nell'ambito di applicazione delle leggi e dei regolamenti sulla protezione dei dati, mentre un database di pura informazione statistica o finanziaria (che non può essere correlato né direttamente né indirettamente a individui viventi identificabili) non lo farò.

Dati sensibili : per dati sensibili si intendono i dati personali contenenti informazioni sull'interessato:

  • Razza o origine etnica;
  • Credenze religiose o altre credenze di natura simile;
  • Opinioni politiche;
  • Salute o condizione fisica o mentale;
  • Storia o orientamento sessuale;
  • Appartenenza sindacale;
  • Commissione o presunta commissione di qualsiasi reato e qualsiasi procedimento giudiziario correlato.

Tecnologia: tLa tecnologia deve essere interpretata in senso ampio, per includere qualsiasi mezzo di raccolta o elaborazione dei dati, inclusi, senza limitazioni, computer e reti, sistemi di telecomunicazione, dispositivi di registrazione video e audio, dispositivi biometrici, televisione a circuito chiuso, ecc.

4. Conformità del gruppo

4.1: Il programma di conformità dei dati della Società sarà supervisionato dal Sig. Steven Clay Turner (di seguito "funzionario per la privacy dei dati -DPO"), uno dei due fondatori della Società. Il DPO può essere assistito da personale addetto alla conformità nominato a livello locale e revisori interni e delegare le competenze a specialisti qualificati della protezione dei dati.

4.2: Il DPO o uno specialista designato per la protezione dei dati implementerà la politica e le procedure internazionali di protezione dei dati della Società, nonché eventuali obblighi aggiuntivi stabiliti dalle leggi sulla protezione dei dati, inclusi e non limitati a:

  • Determinare se è necessaria la notifica a una o più Autorità per la protezione dei dati a seguito del trattamento dei dati da parte della Società.
  • Definizione di programmi in corso per la formazione dei dipendenti per garantire la conformità con la normativa sulla protezione dei dati.
  • Stabilire procedure e disposizioni standard per conformarsi alla Politica da parte di clienti, fornitori e terze parti che possono ricevere dati personali dalla Società, hanno accesso ai dati personali raccolti o elaborati dalla Società o che forniscono informazioni alla Società , indipendentemente dalla posizione geografica.
  • Stabilire meccanismi per verifiche periodiche della conformità alla presente Politica, alle procedure di attuazione e alla legge applicabile.
  • Stabilire, mantenere e far funzionare un sistema per risposte tempestive e appropriate alle richieste dell'Interessato di esercitare i propri diritti.
  • Stabilire, mantenere e gestire un sistema per la divulgazione automatica rapida e appropriata alle autorità competenti e agli interessati di qualsiasi perdita di dati personali.
  • Informare dipendenti, alti dirigenti, funzionari, appaltatori, ecc. della Società delle potenziali sanzioni civili e penali aziendali e personali che possono essere giudicate nei confronti della Società e / o dei suoi dipendenti, collaboratori, ecc. per violazione delle legislazione sulla protezione dei dati.
  • Garantire che i piani di gestione del rischio in relazione alla protezione dei dati siano attuati in modo efficace e tempestivo.

5. Principi di protezione dei dati

5.1: La Società ha adottato i seguenti principi per disciplinare la raccolta, l'utilizzo, l'elaborazione e la trasmissione dei dati personali:

  • I dati personali saranno trattati solo in modo corretto e lecito.
  • I dati personali devono essere ottenuti solo per scopi specificati, espliciti, legali e legittimi e non saranno ulteriormente trattati in modo incompatibile con tali scopi.
  • I dati personali devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono raccolti e / o trattati.
  • I dati personali non saranno raccolti o elaborati a meno che non sia adeguatamente stabilita una base giuridica per l'elaborazione.

5.2: Devono essere prese misure per:

  • Impedire e / o identificare la raccolta, il trattamento e la trasmissione non autorizzati o illeciti di dati personali; e
  • Prevenire la perdita, la distruzione o il danneggiamento accidentale dei dati personali.

6. Trasferimenti a terzi

6.1: I dati personali non saranno trasferiti a un'altra entità, paese o territorio, a meno che non siano state adottate misure ragionevoli e appropriate per stabilire e mantenere il livello di sicurezza dei dati richiesto.

6.2: I dati personali possono essere comunicati a terzi solo per motivi coerenti con gli scopi per i quali i dati sono stati originariamente raccolti o per altri scopi autorizzati dalla legge.

6.3: Tutti i trasferimenti di dati personali a terzi per ulteriori elaborazioni saranno soggetti ad accordi scritti.

6.4: i dati personali dell'UE non saranno trasferiti in un paese o territorio al di fuori dello Spazio economico europeo (SEE) a meno che il trasferimento non sia effettuato in un paese o territorio riconosciuto dall'UE come dotato di un livello adeguato di sicurezza dei dati o Stati Uniti nell'ambito dello scudo per la privacy UE-USA e Svizzera-USA.

6.5: Fatte salve le disposizioni di cui sopra, i dati personali possono essere trasferiti qualora si applichi una delle seguenti condizioni:

  • L'interessato ha espresso il consenso alla proposta di trasferimento;
  • Il trasferimento è necessario per l'esecuzione di un contratto tra l'interessato e la Società;
  • Il trasferimento è necessario per la conclusione o l'esecuzione di un contratto concluso nell'interesse dell'interessato tra la Società e una terza parte;
  • Il trasferimento è necessario o legalmente richiesto per importanti motivi di interesse pubblico o per l'istituzione, l'esercizio o la difesa di rivendicazioni legali;
  • Il trasferimento è richiesto dalla legge;
  • Il trasferimento è necessario per proteggere gli interessi vitali dell'interessato.

7. Prevenzione dei sistemi informatici non conformi

7.1: Il Chief Information Officer (CIO) della Società stabilirà una procedura per valutare l'impatto di qualsiasi tecnologia nuova o esistente sulla privacy e sulla sicurezza dei dati personali.

7.2: Nessun nuovo sistema o nuova versione di un sistema esistente sarà reso disponibile per l'uso fino a quando il DPO non avrà ottenuto la conferma, per iscritto, dal CIO che non ci sarebbe stata violazione di alcuna legislazione sulla protezione dei dati.

8. Fonti dei dati personali

8.1: I dati personali sono raccolti solo dall'interessato, a meno che la natura dello scopo commerciale non richieda la raccolta dei dati da altre persone o organismi.

8.2: Se i dati personali sono raccolti da una persona diversa dall'interessato, l'unità aziendale che raccoglie i dati deve avere conferma, per iscritto, dal fornitore dei dati che esiste una base legale per il trasferimento e il trattamento dei dati dati personali alla Società.

9. Diritti dell'interessato

9.1: L'interessato ha diritto di ottenere l'indicazione dei propri dati personali in possesso della Società facendone richiesta scritta.

9.2: La Società fornirà la sua risposta a una richiesta di cui sopra entro 40 giorni dalla data della richiesta scritta, o entro un termine più breve se richiesto dalla legislazione sulla protezione dei dati applicabile.

9.3: Gli interessati hanno il diritto di richiedere alla Società di correggere o integrare dati personali errati, fuorvianti, non aggiornati o incompleti che li riguardano.

10. Dati sensibili

10.1: I dati personali sensibili non dovrebbero essere trattati a meno che:

  • Tale trattamento è specificamente autorizzato o richiesto dalla legge.
  • L'interessato acconsente espressamente e inequivocabilmente.
  • Quando l'interessato è fisicamente o legalmente incapace di prestare il consenso, ma il trattamento è necessario per proteggere un interesse vitale dell'interessato.
  • I dati relativi a reati possono essere trattati solo da o sotto il controllo dell'ufficio legale.

11. Garanzia della qualità dei dati

11.1: I dati personali devono essere conservati solo per il periodo necessario agli usi consentiti.

11.2: I dati personali devono essere cancellati se la loro conservazione viola qualsiasi legge sulla protezione dei dati o su richiesta dell'interessato.

12. Elaborazione intra-gruppo

12.1: Se la Società fa affidamento su un'altra società del gruppo per assistere nelle sue attività di elaborazione, la Società stipulerà un Accordo di trasferimento dei dati basato sulle clausole modello dell'UE con l'altra società del gruppo al fine di garantire che la responsabilità per i dati sia chiaramente identificata, come entrambi possono essere considerati Titolari del trattamento.

12.2: Se l'altra società del gruppo ha sede in un paese diverso, le società del gruppo coinvolte nel trattamento devono essere identificate rispettivamente come esportatore e importatore di dati.

13. Processori di terze parti

13.1: Allo stesso modo, laddove la Società si affidi a terzi per assistere nelle sue attività di elaborazione, la Società deve scegliere un responsabile del trattamento dei dati che fornisca misure di sicurezza sufficienti e adotti misure ragionevoli per garantire il rispetto di tali misure e, nel caso di terzi negli Stati Uniti, che sono anche registrati per lo scudo per la privacy UE-USA, Svizzera-USA.

14. Contratti scritti per processori terzi

14.1: La Società stipulerà un contratto scritto con ciascun elaboratore di dati che lo richieda di rispettare la legislazione sulla protezione dei dati e i requisiti di sicurezza imposti alla Società dalla legislazione locale.

15. Audit di terze parti responsabili del trattamento

15.1: Nell'ambito del processo di controllo interno dei dati della Società, la Società effettuerà controlli periodici sul trattamento da parte di terzi responsabili del trattamento, ed in particolare in relazione alle procedure di hand-off dei dati soprattutto per quanto riguarda le misure di sicurezza.

16. Avviso a dipendenti e appaltatori di potenziali sanzioni per non conformità

16.1: Il DPO informerà i dipendenti e gli appaltatori della Società che:

  • Il mancato rispetto della legislazione pertinente in materia di protezione dei dati può innescare responsabilità penale e civile, comprese multe, reclusione e risarcimento danni; e
  • Possono essere personalmente responsabili quando un reato è commesso dalla Società con il loro consenso o connivenza, o è attribuibile a loro negligenza.
  • Impedire a persone non autorizzate di accedere ai sistemi di elaborazione dei dati in cui vengono elaborati i dati personali.
  • Impedire alle persone autorizzate a utilizzare un sistema di elaborazione dati di accedere ai dati al di là delle proprie esigenze e autorizzazioni.
  • Garantire che i dati personali durante la trasmissione elettronica durante il trasporto o durante l'archiviazione su un supporto dati non possano essere letti, copiati, modificati o rimossi senza autorizzazione.
  • Garantire che i dati personali siano protetti contro la distruzione o la perdita indesiderate.
  • Garantire che i dati raccolti per scopi diversi possano e saranno trattati separatamente.
  • Garantire che i dati non siano conservati più a lungo di quanto stabilito nella politica di conservazione dei dati, anche richiedendo che i dati trasferiti a terzi vengano restituiti o distrutti.

18. Misurazione della conformità

18.1: Il DPO stabilirà un programma e implementerà un audit di conformità alla privacy.

19. Implementazione.

19.1: Questa politica deve essere disponibile per i dipendenti

19.2: La presente Politica può essere rivista in qualsiasi momento ma almeno una volta all'anno dal DPO. La notifica di revisioni significative deve essere fornita ai dipendenti tramite il sistema di conformità aziendale e ad altri tramite il sito Web della Società.