Valutazione dell'Impatto sulla Privacy

Privacy Impact Assessment - PIA

documento Aggiornamento al 17 gennaio 2022

Incarichi

Titolare del trattamento dei dati è: Marcuzzo Bruno Via Borsellino, 22 - 30020 Meolo (Venezia)

A lui sono deputate: raccolta, registrazione, organizzazione, conservazione, modificazione, cancellazione, recupero e consultazione; ed inoltre, la manutenzione tecnica dei programmi utilizzati nel trattamento, esegue la gestione tecnica operativa della base dati, verifica l’effettiva operatività delle procedure minime di sicurezza. Tiene la chiave del magazzino.

Addetti al trattamento dei dati: Eventualmente incaricati. L’incarico dovrà essere allegato.

Responsabili esterni di trattamenti dei dati

Studio contabile e consulente del lavoro.

Studio servizi contabili Articom CSA Service Via Brusade, 81, 30027 San Donà di Piave VE

Cui sono affidati esclusivamente i dati fiscali dei clienti e fornitori utili alla tenuta della contabilità.

Medico del lavoro: L’incarico dovrà essere allegato.

Valutazione del rischio

Analisi dei trattamenti

Nelle sedi dell’azienda si effettuano:

- Commercio e servizi di ottica e fotografia, per cui sono raccolti dati fiscali al bisogno.

- Si costruiscono protesi ottiche su misura, per cui sono raccolti, oltre ai dati fiscali, anche dati sulla salute.

Elenco dei dati:

Cognome e nome

Indirizzo

Recapiti telefonici, mail e social

Codice Fiscale

Prescrizioni oculistiche per occhiali e lenti a contatto

Descrizione delle protesi

Spese protesiche sostenute

I trattamenti dei dati comuni, fiscali e sanitari sono trattati comunque nel medesimo modo, intendendo il fatto che sono entrambe sottoposti alle misure di tutela più restrittive.

I trattamenti sono effettuati in forma cartacea e con l’ausilio di PC. I dati custoditi nelle due specie, (cartacea e digitale) sono trattenuti nelle sedi della ditta. Gli armadi che contengono gli archivi cartacei si trovano in sede nel laboratorio. I PC che servono per il trattamento dei dati si trovano in laboratorio e nella zona vendita.

Sono presenti inoltre, in entrambe le sedi, altri elenchi di dati quali: Dati comuni e fiscali di fornitori, professionisti, consulenti o altre persone che forniscono alla ditta merci o servizi utili al lavoro della azienda. Insistono anche rubriche di carattere privato.

I dati sono trattati in relazione alle esigenze contrattuali ed ai conseguenti adempimenti degli obblighi legali per:

- Fornitura del servizio ed adempimenti amministrativi e fiscali connessi al rapporto contrattuale;

- Servizio di assistenza post vendita e comunicazioni inerenti l’utilizzo del prodotto;

- Vita dell’impresa.

Col consenso dei proprietari i dati posso essere utilizzati per campagne commerciali per un tempo massimo di due anni dalla data di raccolta, dopodiché, non potranno più utilizzati per questi scopi.

I dati sono conservati per 10 anni, per ottemperare alle esigenze fiscali predisposte e necessità di riferimento storico per la fornitura di protesi. Trascorso il tempo indicato, i dati saranno cancellati.

II Titolare e gli addetti da lui autorizzati porranno eseguire sui dati le seguenti operazioni: raccolta, organizzazione, conservazione, consultazione, elaborazione, modificazione, cancellazione, distruzione. Se autorizzati potranno usarli per marketing solo nel tempo utile indicato.

Il consenso al trattamento dei dati personali o sensibili di ogni “proprietario” è raccolto con l’apposizione della firma dell’interessato o in caso diverso dal suo legale rappresentante, sulla specifica “informativa’’che viene poi conservata. Anche il consenso all’uso per fini commerciali viene specificatamente rilasciato nell’informativa. Si conserverà il consenso scritto già raccolto con riferimento alla precedente normativa, divenuta obsoleta, per giustificare comunque il mantenimento dell’archiviazione obbligatoria per legge per i tempi sopracitati.

Analisi dei rischi

I rischi di perdita dei dati sono legati

Per quanto riguarda i PC sono correlati a: interruzione di corrente, guasti o eventi naturali.

Per quanto riguarda il software sono correlati a errori o blocchi di sistema.

Per quanto riguarda il cartaceo sono correlati al fatto che la disposizione e la necessaria fruibilità dei locali rendono facile l’accesso agli armadi chiusi se non si seguono scrupolosamente le opportune cautele.

Nella tabella riportata di seguito è proposta una lista esemplificativa di eventi, che possono generare danni e che comportano quindi rischi per la sicurezza dei dati personali. Contiene la descrizione delle principali conseguenze individuate per la sicurezza dei dati, in relazione a ciascun evento ed una valutazione della gravità delle stesse, anche in relazione alla probabilità stimata dell’evento. In questo modo consente di formulare un indicatore qualitativo di gravità omogeneo per i diversi eventi che deve essere esplicitato.

Procedure dei trattamenti

Regole generali.

Quando i dati sensibili sono affidati ai Responsabili incaricati del Trattamento nello svolgimento dei relativi compiti, i dati sono controllati e custoditi dagli incaricati fino all’archiviazione. In nessun caso sarà comunicata qualsiasi notizia, a soggetti che non siano i proprietari interessati, senza l’autorizzazione del Titolare.

Gli incaricati ai trattamenti si atterranno a queste istruzioni scritte.

Nel caso si dovesse procedere a qualsiasi modifica delle procedure sopra descritte, questa sarà oggetto di valutazione e approvazione del Titolare del Trattamento che provvederà a renderla standard.

Annualmente con la redazione di questo documento verranno verificate tutte le sopracitate condizioni.

Per procedura si intende non solo lo specifico intervento tecnico od organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia ma anche tutte quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia. Senza procedure di controllo periodico, infatti, nessuna misura può essere considerata completa. Saranno predisposti aggiornamenti annuali e nel caso di cambio di mansioni.

Tutte le cautele saranno poste a ridurre i rischi di:

- Distruzione o perdita accidentale dei dati.

- Furto, perdita conseguente ad accessi non autorizzati

- Trattamenti non consentiti o non conformi alle finalità della raccolta.

Archivi cartacei:

I documenti cartacei contenenti dati necessari al lavoro, saranno tenuti in modo da non renderne visibile ad estranei non autorizzati i contenuti. I documenti con dati sensibili e personali non saranno lasciati in luoghi ove sia consentito l’accesso al pubblico o comunque incustoditi. Saranno allontanati dalla zona di lavoro tutti gli estranei non autorizzati.

I documenti cartacei contenenti dati personali, non più utili e che non è obbligo conservare, saranno distrutti in modo da non essere più intellegibili. I documenti cartacei non più necessari al lavoro che è obbligo conservare saranno raccolti in una scatola dentro un armadio in una zona non accessibile al pubblico se non accompagnato (per archiviazione).

Nel caso che i dati biometrici o sanitari dovessero essere comunicati a laboratori esterni, esclusivamente per le finalità contrattuali, si avrà cura di evitare che non sia identificabile il proprietario, utilizzando moduli anonimi in modo da evitare, a soggetti terzi, di risalire agli interessati.

I locali dove è l’archivio cartaceo, non sono accessibili ad estranei se non accompagnati da Responsabili incaricati. La documentazione può essere prelevata dall’archivio, dal Titolare e dai Responsabili per la consultazione necessaria, per il solo tempo necessario alle operazioni ed in nessun caso può esser portata all’esterno dei locali dell’azienda, ne in originale, ne in copia e quanto prima dovrà essere ricollocati nella posizione originale.

Negli orari di chiusura i locali sono protetti da un sistema di allarme adeguato e mantenuto efficiente ed è attivo un sistema di vigilanza. I locali sono dorati misure anti intrusione.

Almeno una volta l’anno viene confermata e richiamata, la formazione e l’attenzione degli addetti.

Archivi elettronici:

I PC che servono per il trattamento dei dati si trovano nella zona vendita. Il sistema operativo è criptato e per l’accesso all’uso della macchina è richiesta una password specifica per ogni sede. Il sistema operativo fa eseguire il log ogni 10 minuti di inattività.

Il Database che gestisce i dati (FileMaker) è criptato e vi si accede tramite Password specifica per ogni operatore. Il database fa eseguire il log ogni 10 minuti di inattività. Le credenziali di autenticazione consistono in codici utenti non riconducibili alle identità o mansioni associato a una parola chiave riservata conosciuta solamente dai relativi operatori. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri, essa non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. Le credenziali di autenticazione non utilizzate sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. In caso di allontanamento del responsabile da un elaboratore si fa obbligo il logout dal database. Ogni 15 minuti di inattività il gestionale richiede la password. La rete è chiusa da un router che gestisce gli accessi web. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.

Nei database sono presenti dati sensibili correlati a dati personali. L’unione dei dati sensibili e che rivelano lo stato di salute con dati personali che identificano il proprietario è necessaria (database relazionale).

II database utilizzato salva i dati continuamente in automatico e ad ogni log cripta i dati. I dati dei log sono registrati e conservati per sei mesi.

Il rischio di furto, nel senso di scasso o rapina, con prelievo dei PC e comunque da considerare. Negli orari di chiusura i locali sono protetti da un sistema di allarme adeguato e mantenuto efficiente ed è attivo un sistema di vigilanza. I locali sono dotati misure anti intrusione.

Per ovviare al rischio di perdita dei dati conseguente a quanto sopra scritto sono preparate delle procedure per la copia costante e continua dei dati e le modalità di ripristino della disponibilità dei dati.

Dato che queste attività sono di fondamentale importanza, pur considerando il carattere eccezionale delle situazioni in cui il ripristino è necessario, le procedure sono state studiate in modo da garantire che, in caso di necessità, le copie dei dati siano immediatamente disponibili e le procedure di re installazione siano efficaci.

Il salvataggio dei dati viene effettuato ogni giorno su una seconda memoria ancorata esternamente. Il software gestionale utilizzato prevede un automatismo che fa partire automaticamente tali copie di sicurezza criptate. Copia delle password sarà conservata in busta chiusa con gli altri documenti cartacei nel magazzino.

Non saranno utilizzati (caricati) nel PC file o programmi di provenienza non autorizzata dal titolare.

Il Titolare dei trattamenti che è responsabile del funzionamento del sistema informatico ha una password da amministratore generale dei sistemi operativi e dei database.

Periodicamente viene effettuata dal Titolare dei trattamenti, una verifica dell’aggiornamento dei profili di accesso.

Interventi formativi

Al momento dell’assunzione il personale è stato istruito sull’utilizzo degli strumenti, informatici e non, che contengono tali dati, sulle regole da rispettare e sulle misure da adottare. A tal proposito, agli stessi sono state impartite le istruzioni relative alle modalità di trattamento dei dati, nonché le informazioni sulle responsabilità che derivano da un indebito trattamento dei dati. E’ stata consegnata copia di questo documento quale promemoria. Annualmente la formazione viene ripetuta per richiamare l’attenzione sull’importanza dei trattamenti.

Procedure per portabilità dei dati

Tutti i dati possono essere portati. Saranno resi disponibili secondo le esigenze e in base alle richieste dell’interessato, in forma cartacea o digitale. La consegna verrà eseguita a seguito della richiesta scritta e firmata dall’interessato entro 48 ore dalla ricevimento della stessa, nella forma richiesta.

In questo documento non sono contemplati eventuali dati inviati a paesi terzi. Nel caso devono essere espressamente indicati i Destinatari, la Base giuridica per l’invio e le Garanzie adeguate ai sensi della normativa.

Diritto di modifica e cancellazione

Tutti i dati possono essere modificati o cancellati. La modifica o cancellazione dei dati verrà eseguita a seguito della richiesta scritta e firmata dall’interessato entro 48 ore dalla ricevimento della stessa. La modifica o cancellazione avverrà per quanto riguarda quelli conservati in forma cartacea con la correzione direttamente sullo scritto ed eventualmente la sua distruzione, mentre per quanto riguarda i dati digitali, direttamente sul file in uso, avendo cura in caso di ripristino che il dato sia modificato o cancellato dalla copia di BackUp temporanea.

Procedure in caso di perdita dei dati

Il ripristino dei dati in forma cartacea perduti senza pericolo per la privacy dei clienti viene effettuato grazie ai dati archiviati digitalmente.

Il ripristino dei dati digitali viene effettuato utilizzando i sistemi di backup.

Nell’ipotesi in cui i dati o gli strumenti elettronici subiscano dei danni, viene seguita la procedura qui descritta:

1) Viene immediatamente avvisato il Titolare del trattamento e l’incaricato alla custodia delle copie di sicurezza dei dati;

2) Se l’hardware non ha subito danni, si procede con sollecitudine alla re installazione del sistema operativo e degli applicativi, nonché gli aggiornamenti e le patch.

Al verificarsi di una violazione dei dati personali o nel caso di perdita o furto, il Titolare del trattamento che rileva un rischio per la privacy ha il dovere di comunicare la violazione all’autorità di controllo (il Garante della privacy nazionale) entro 72 ore dal momento in cui ne è venuto a conoscenza.

Nel caso in cui la stessa violazione costituisca un pericolo per le libertà e i diritti degli interessati, anche ad essi dovrà essere fornita adeguata comunicazione.

All’evento deve seguire un rapporto esaustivo che sarà allegato al registro dei trattamenti.

Analisi dei rischi e delle misure adottate, efficacia.

Le procedure elencate sono costantemente operative e la verifica della loro funzionalità sarà controllata almeno una volta all’anno.

Registro dei trattamenti

Nella tabella che segue, sono riordinate le classi si soggetti cui si riferisce il trattamento dei dati e le varie specifiche descrittive.

Categorie dei soggetti interessati allo specifico trattamento: Dati dei dipendenti, dei candidati dipendenti, dei fornitori o clienti persone fisiche, oppure dei fornitori/clienti per i quali vengono trattati i dati di persone fisiche, etc.

Referenti: Indicare il nome del soggetto che effettua i trattamenti

Finalità del trattamento: Descrivere perché i dati vengono trattati e quale è lo scopo del trattamento

Procedure operative per il trattamento: Sintetizzare come i dati vengono processati elencando le varie attività

Tipo di gestione: Digitale e Cartacea- Indicare l’eventuale software utilizzato, se è su cloud oppure installato sui computer e come vengono svolte le attività di manutenzione.

Dati personali trattati: Nel dettaglio quali dati o categorie di dati vengono processati

Categorie particolari di dati personali (art. 9): Nel dettaglio quali categorie particolare di dati sensibili vengono trattati

Base giuridica del trattamento: Consenso espresso dell’interessato, Esecuzione di un contratto, Adempimento obbligo legale del titolare.

Informativa: Indicare in che modalità viene sottoposta l’informativa all’interessato (in forma scritta, orale, via web, etc.).

Consenso: Indicare se e come è raccolto il consenso dall’interessato se previsto. Quando non necessario viene comunque riportato nell’informativa consegnata il trattamento dei dati personali art.9, comunque necessari per adempiere alle finalità contrattuali e legali

Termini ultimi per la cancellazione dei dati: Specificare per quanto tempo verranno conservati i dati e quando terminerà il trattamento

Destinatari a cui i dati sono stati o verranno comunicati dati: Sono indicate le categorie di soggetti ai quali i dati sono comunicati in qualità di Responsabili del trattamento esterno (ad es. Commercialista) o a soggetti esterni per adempiere a obblighi legali o contrattuali.

Descrizione delle misure di sicurezza tecniche e organizzative: Riferimenti alle misure adottate per garantire la sicurezza dei dati processati

Dichiarazione di conoscenza e assenso - Per gli assistiti

(Informativa per raccolta diretta di dati presso l’interessato GDPR n.2016/679)

Il Titolare del trattamento: Marcuzzo Bruno, Via Borsellino, 22 30020 Meolo (Ve)

Finalità e base giuridica del trattamento

I suoi dati personali sono trattati nel rispetto dei principi di correttezza, liceità e trasparenza, per le seguenti finalità:

1. Fornitura del servizio ed adempimenti amministrativi e fiscali connessi al rapporto contrattuale;

2. Servizio di assistenza post vendita, ivi compresi eventuali contatti telefonici e/o tramite e-mail e/o sms e/o mailing postale per comunicazioni inerenti l’utilizzo dei prodotti;

3. Mailing postale: con il suo consenso, il Titolare potrà inoltre inviarle, tramite posta ordinaria, occasionali aggiornamenti circa i prodotti posti in vendita, novità ed offerte speciali.

4. Newsletter: con il suo consenso, il Titolare potrà inoltre inviarle, via e-mail, sms o App di messaggistica, occasionali aggiornamenti circa i prodotti posti in vendita, novità ed offerte speciali.

5. Profilazione: con il suo consenso, i dati saranno utilizzati per analizzare le sue abitudini di consumo e inviarle promozioni e offerte personalizzate.

I trattamenti di cui ai punti 1 e 2 sono necessari all’esecuzione del contratto di vendita di cui lei è parte.

Destinatari dei dati personali. Nell’ambito dei trattamenti di cui alla presente informativa, i suoi dati, anche appartenenti alle categorie particolari di cui all’art. 9 del Regolamento UE, saranno trattati da nostri incaricati interni e potranno essere comunicati anche a soggetti terzi, formalmente nominati responsabili del trattamento. Nell’ambito del trattamento di cui al punto 1, in particolare, i suoi dati saranno comunicati ai consulenti amministrativi e fiscali del Titolare ed alle Autorità pubbliche competenti in materia.

Obbligo di fornirci i suoi dati. La fornitura dei suoi dati personali, anche appartenenti alle categorie particolari di cui all’art. 9 del Regolamento UE 2016/679, è necessaria ai fini dell’esecuzione del servizio contrattuale e conseguentemente la loro mancata o incompleta fornitura renderà impossibile assicurare tale servizio. Il conferimento dei dati per le finalità di cui ai punti 3, 4 e 5 non è obbligatorio ed il soggetto interessato ha il diritto di opporsi in qualsiasi momento a tale trattamento, consegnando una richiesta firmata alla sede operativa dell’azienda scelta. Per quanto riguarda le finalità di cui al punto 5, il conferimento dei suoi dati non è obbligatorio, ma il mancato consenso alla profilazione ci impedirà di inviarle offerte personalizzate.

Periodo di conservazione dei dati I suoi dati personali saranno conservati per tutto il tempo imposto in base a disposizioni normative inerenti il prodotto e la disciplina amministrativa e fiscale. Per quanto riguarda il trattamento dei dati al punto 2, gli stessi saranno conservati per tutto il tempo necessario per svolgere un’attività di monitoraggio del dispositivo medico fornito e l’evoluzione nel tempo del difetto visivo. Il suo indirizzo postale, per le finalità di cui al punto 3 saranno conservati per un periodo di 24 mesi, fatta salva l’ipotesi di ulteriori vendite e/o sue richieste che dovessero avvenire in tale arco di tempo e/o la necessità di conservare i dati per le altre finalità di cui alla presente informativa.

Il suo indirizzo e-mail e il suo numero di telefono, per finalità di cui al punto 4 saranno conservati per un periodo di 24 mesi, fatta salva l’ipotesi di ulteriori vendite e/o sue richieste che dovessero avvenire in tale arco di tempo e/o la necessità di conservare i dati per le altre finalità di cui alla presente informativa.

Diritti dell’interessato Lei ha diritto di revocare il consenso prestato in calce alla presente informativa in qualsiasi momento tramite comunicazione all’indirizzo del titolare del trattamento. Allo stesso modo Lei potrà chiedere l’accesso ai suoi dati personali, la rettifica, la cancellazione, la limitazione o l’opposizione del trattamento oltre che la portabilità dei dati (art. 20 del Regolamento UE 2016/679). La richiesta di cancellazione dei dati è subordinata agli obblighi di conservazione dei documenti imposti da norme di legge.

Lei potrà, nel caso ritenga che il trattamento di dati che la riguardano violi il Regolamento 2016/679, proporre reclamo all’Autorità per la protezione dei dati personali.

Io sottoscritto/a (cognome nome e codice fiscale)

Acquisite le informazioni rese ai sensi previsti dalla legge dichiaro di aver letto la policy sul trattamento dei dati personali adottata in materia di protezione dei dati personali.

[ ] Acconsento [ ] Non Acconsento al trattamento dei dati di natura particolare ai sensi dell’art. 9 del Reg. UE 2016/679, così come evidenziato nell’informativa.

[ ] Acconsento [ ] Non Acconsento ad essere contattato/a via posta ordinaria per ricevere comunicazioni, aggiornamenti e novità su iniziative commerciali ed altro materiale pubblicitario e promozionale. Tali attività potranno essere svolte direttamente dal Titolare del trattamento o tramite terzi da esso incaricati.

[ ] Acconsento [ ] Non Acconsento ad essere contattato/a via e-mail, SMS, telefono o App di messaggistica per ricevere newsletters, aggiornamenti e novità su iniziative commerciali ed altro materiale pubblicitario e promozionale. Tali attività potranno essere svolte direttamente dal Titolare del trattamento o tramite terzi da esso incaricati.

[ ] Acconsento [ ] Non Acconsento al trattamento dei miei dati personali per le attività di profilazione e l’invio di offerte personalizzate. Tali attività potranno essere svolte direttamente dal Titolare del trattamento o tramite terzi da esso incaricati.

Cod Cl. Data Firma Cliente

Informativa per mail

(da inserire come firma nelle email nel caso di necessità)

Informativa ai sensi Art. 13 Regolamento Europeo (EU) 2016/679

Il Titolare del trattamento è Marcuzzo Bruno, con sede via Borsellino 22 Meolo. Per qualsiasi necessità in materia di trattamento dei dati personali lei potrà contattare il Titolare del trattamento per lettera. I suoi dati anagrafici verranno trattati con strumenti informatici da personale autorizzato dal Titolare esclusivamente per la gestione delle sue richieste (trattamento necessario all’esecuzione di misure precontrattuali adottate su richiesta dell’interessato), non saranno comunicati a terzi e saranno conservati per il tempo necessario a tale gestione. Lei potrà esercitare i diritti previsti dal Regolamento UE 2016/679 in materia di rettifica, cancellazione, blocco, portabilità dei dati.

Informativa per dipendenti e collaboratori interni

Informativa ai sensi dell’art. 13 Regolamento UE 2016/679

Egr. Sig.

in questa pagina troverà le informazioni relative alle modalità di gestione dei suoi dati personali raccolti da noi direttamente.

Identità e dati di contatto del Titolare del trattamento

Il Titolare del trattamento è Marcuzzo Bruno. Per contattare il Titolare del trattamento può utilizzare l’indirizzo email mail@tuttottica.com.

Finalità e base giuridica del trattamento

I suoi dati personali, ed eventualmente quelli di suoi familiari, di cui siamo o verremo in possesso, sono trattati nel rispetto dei principi di correttezza, liceità e trasparenza, per le seguenti finalità:

1. Gestione del rapporto di lavoro subordinato/parasubordinato/autonomo;

2. Gestione di sue richieste di cessione del quinto dello stipendio o delegazione di pagamento;

3. Partecipazione a bandi di finanziamento pubblici e privati;

Il trattamento di cui al punto 1) è necessario all’esecuzione del contratto di lavoro di cui lei è parte; il trattamento di cui al punto 2) potrebbe essere necessario per adempiere ad obblighi di legge in capo al Titolare a seguito di sua richiesta; il trattamento di cui al punto 3) potrebbe essere necessario per adempiere ad obblighi previsti dalla legge in materia di contributi pubblici.

Destinatari dei dati personali

I suoi dati, anche appartenenti alle categorie particolari di cui all’art. 9 del Regolamento UE, saranno trattati da nostro personale interno appositamente autorizzato e comunicati ai soggetti esterni, formalmente nominati responsabili del trattamento, di cui il Titolare si avvale per gestire gli adempimenti amministrativi del rapporto di lavoro in tutte le sue fasi e di cui Lei potrà richiedere elenco.

Nell’ambito del trattamento di cui al punto 1) e 2) i suoi dati personali potranno essere comunicati in formato cartaceo e/o elettronico alle seguenti categorie di destinatari:

• Enti Pubblici (a titolo esemplificativo e non esaustivo, INPS, INAIL, INL, Agenzia delle Entrate, Regione Lombardia, Ministero del Lavoro)

• Consulenti e professionisti (Consulente del lavoro, Commercialista, RSPP se esterno, Medico competente, Consulente per la sicurezza)

• Altri soggetti (Istituti di credito, Fondi previdenziali e assistenziali, Fondi Interprofessionali, Sindacati cui lei abbia conferito specifico mandato, Società finanziarie)

I dati trattati nell’ambito del punto 3) potranno essere comunicati ad Enti pubblici e privati in occasione della partecipazione a bandi di finanziamenti (a titolo esemplificativo e non esaustivo, Regione Lombardia, Anpal, Commissione Europea, MISE, etc ...) ed a consulenti da noi incaricati (con esclusione dei dati particolari ex art. 9).

Obbligo di fornirci i suoi dati

La fornitura dei suoi dati personali, anche appartenenti alle categorie particolari di cui all’art 9 del Regolamento UE 2016/679, è necessaria ai fini dell’esecuzione del contratto di lavoro di cui lei è parte e conseguentemente la loro mancata o incompleta fornitura renderà impossibile l’instaurazione e la gestione del rapporto di lavoro

Periodo di conservazione dei dati

I suoi dati personali saranno conservati per tutto il tempo imposto in base a disposizioni normative in materia di rapporti di lavoro o di partecipazione a bandi pubblici.

Diritti dell’interessato

Lei potrà chiedere l’accesso ai suoi dati personali, la rettifica, la cancellazione, la limitazione o l’opposizione del trattamento oltre che la portabilità dei dati (art. 20 del Regolamento UE 2016/679). La richiesta di cancellazione dei dati è subordinata agli obblighi di conservazione dei dati imposti da norme di legge.

Diritto di proporre reclamo all’Autorità di controllo

Lei potrà, nel caso ritenga che il trattamento di dati che la riguardano violi il Regolamento 2016/679, proporre reclamo all’Autorità per la protezione dei dati personali.

Nell’eventualità, inoltre, che intendessimo trattare i suoi dati personali per finalità diverse da quella per cui sono stati raccolti Lei sarà informato preventivamente delle diverse finalità anche ai fini dell’acquisizione del necessario consenso.

Distinti saluti.

Città/data, ____________ Firma dell’interessato ___________________________

Autorizzazione al trattamento dei dati

Ai sensi dell’art. 29 Regolamento UE 2016/679

Gent.mo Sig.

L’art. 29 del Regolamento UE 2016/679 prevede che il Titolare del trattamento di dati personali debba provvedere ad autorizzare chiunque effettui trattamenti per suo conto, fornendogli le relative istruzioni.

Nella Sua qualità di nostro/a impiegato/a – addetto/a - dipendente, lei svolge attività che comportano il trattamento di dati di persone fisiche.

In particolare, le tipologie di dati che Lei può trattare sono le seguenti:

[ ] dati personali, anche di natura particolare, relativi a clienti e fornitori;

[ ] dati personali, anche di natura particolare, relativi a soggetti che ricoprono ruoli quali dipendenti e collaboratori, anche di società controllate o esterne ivi compresi quelli di candidati alla stipula di contratti di lavoro subordinato o autonomo con la nostra organizzazione;

I dati appartenenti alle suddette tipologie sono da Lei trattati, su supporti elettronici e cartacei, per le seguenti finalità: [ ] gestione del rapporto contrattuale, adempimenti normativi ad essi collegati, archiviazione;

[ ] gestione dei rapporti di lavoro subordinato/autonomo, ivi compresi gli adempimenti previsti da qualsiasi fonte normativa o contrattuale e alla valutazione per eventuale assunzione e/o incarico professionale.

Tutti i dati di cui sopra potranno essere comunicati ai soli soggetti terzi indicati nell’informativa consegnata agli interessati, di cui lei dovrà prendere visione.

Nello svolgimento delle sue mansioni lei dovrà trattare i dati in modo lecito, corretto e trasparente e attenersi alle seguenti istruzioni:

• non lasciare incustoditi i documenti di lavoro e conservare diligentemente le chiavi dell’archivio cartaceo e le credenziali degli archivi elettronici di sua competenza;

• attenersi alle misure di sicurezza riportate nelle istruzioni operative allegate alla presente.

Le è fatto assoluto divieto di duplicare, asportare, consegnare a terzi i supporti informatici o cartacei contenenti dati personali, senza la preventiva autorizzazione del Titolare del trattamento/Responsabile del trattamento.

Ulteriori regole sono contenute nel Documento interno sulla sicurezza dei dati personali che le viene contestualmente consegnato e a cui si fa integrale rimando.

La presente sostituisce qualunque precedente comunicazione in materia.

La invitiamo a restituire la presente comunicazione debitamente sottoscritta in segno di ricevuta e integrale accettazione.

Fossalta di Piave li

Per ricevuta ed accettazione _________________________

Nomina a responsabile esterno, ai sensi dell’art. 28 del reg. Ue 2016/679

Studio di contabilità

Bruno Marcuzzo, nella sua qualità di Titolare del trattamento di dati personali ai sensi dell’art. 4 Reg. Ue 2016/679 per l’impresa TuttOttica, premesso che

• Lo Studio CSA Service, gestisce per conto di TuttOttica la tenuta della contabilità;

• Lo Studio CSA Service, per lo svolgimento delle attività di cui al punto precedente, tratta per conto di TuttOttica dati personali di interessati da quest’ultima raccolti;

• Lo Studio CSA Service possiede l’esperienza, la capacità, l’affidabilità e fornisce idonee garanzie del pieno rispetto delle disposizioni vigenti in materia di trattamento dati, ivi compreso il profilo della sicurezza;

Tenuto conto di quanto sopra nomina lo Studio CSA Service responsabile del trattamento ai sensi dell’art. 28 del Reg. Ue 2016/679, alle seguenti condizioni:

• compiere tutto quanto si renderà necessario ai fini del rispetto e della corretta applicazione dei principi dettati dal Regolamento Europeo 2016/679 in materia di trattamento dei dati personali;

• garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

• adottare tutte le misure richieste ai sensi dell’art. 32 del Regolamento UE 2016/679, nonché le ulteriori misure di sicurezza che ritenesse necessarie per la completa sicurezza dei dati trattati;

• non ricorrere ad un altro responsabile del trattamento senza previa autorizzazione scritta di TuttOttica;

• assistere TuttOttica con misure tecniche e organizzative adeguate fornendo riscontro entro 48 ore, nel caso che la stessa riceva richieste per l’esercizio dei diritti dell’interessato di cui al Capo III del Regolamento UE 2016/679 e comunicare tempestivamente al Titolare istanze degli interessati, contestazioni, ispezioni o richieste del Garante, ed ogni altra notizia rilevante ai sensi del trattamento dei dati personali;

• garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del Regolamento UE 2016/679;

• su indicazione di TuttOttica cancellare o restituire tutti i dati personali trattati in esecuzione del presente accordo dopo che è terminata la prestazione dei servizi, salvo l’obbligo di conservazione per disposizione normativa;

• mettere a disposizione di TuttOttica tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 del Regolamento UE 2016/679 e contribuire alle attività di revisione, comprese le ispezioni, realizzate da

TuttOttica o da un altro soggetto da questi incaricato, fermo restando che, in caso di sopralluoghi, TuttOttica, dovrà dare al Responsabile un preavviso scritto di almeno 5 giorni lavorativi prima di ciascun controllo. Le verifiche effettuate da TuttOttica non potranno ostacolare la normale operatività del Responsabile e i costi e le spese di tali verifiche e controlli, compresi quelli sostenuti dal Responsabile per assistere TuttOttica nelle relative operazioni, saranno sopportati interamente da quest’ultima;

• informare immediatamente TuttOttica qualora, a suo parere, un’istruzione violi il Regolamento UE 2016/679,

La presente nomina ha validità per tutta la durata del rapporto contrattuale intercorrente tra le parti, salva la facoltà di revoca da parte di TuttOttica; tale revoca sarà obbligatoria nel caso che il Responsabile del trattamento non soddisfi più le caratteristiche ed i requisiti per lo svolgimento dell’incarico assegnato.

In caso di cessazione, per qualunque causa, della efficacia del presente atto di nomina, il Responsabile dovrà interrompere ogni operazione di trattamento dei dati a meno che la conservazione dei dati da parte del Responsabile si renda necessaria al fine di consentire allo stesso di adempiere ad ulteriori obblighi di legge, ma solo per il periodo di tempo strettamente necessario a tale scopo e comunque senza pregiudizio alcuno per il Titolare o per gli interessati cui i dati si riferiscono. Resta inteso che la presente nomina non comporta alcun diritto del Responsabile ad uno specifico compenso o indennità o rimborso per l’attività svolta. Il Responsabile ed il Titolare del trattamento di dati si impegnano a rinegoziare in buona fede il presente atto di nomina, allorquando una modifica si dovesse rendere necessaria alla luce di qualsiasi modifica al Regolamento Europeo in materia di protezione dei dati personali, della mutata interpretazione giurisprudenziale di tale normativa o di provvedimenti adottati dal Garante.

lo Studio Centro Servizi Aziendali Pescara Di Dalla Francesca Marisa & C.

Via Brusade, 81 - 30027 San Dona’ Di Piave (VE)

per esplicita accettazione della nomina a Responsabile esterno del trattamento

Nomina a responsabile esterno - ai sensi dell’art. 28 del reg. Ue 2016/679

Medico competente

Bruno Marcuzzo, nella sua qualità di Titolare del trattamento di dati personali ai sensi dell’art. 4 Reg. Ue 2016/679 per l’impresa TuttOttica, premesso che

• La dott.sa ... è medico del lavoro per conto di TuttOttica;

• La dott.sa ... a, per lo svolgimento delle attività di cui al punto precedente, tratta per conto di TuttOttica dati personali dei dipendenti;

• La dott.sa ... a possiede l’esperienza, la capacità, l’affidabilità e fornisce idonee garanzie del pieno rispetto delle disposizioni vigenti in materia di trattamento dati, ivi compreso il profilo della sicurezza;

Tenuto conto di quanto sopra nomina la dott.sa Rametta Delia responsabile del trattamento ai sensi dell’art. 28 del Reg. Ue 2016/679, alle seguenti condizioni:

• compiere tutto quanto si renderà necessario ai fini del rispetto e della corretta applicazione dei principi dettati dal Regolamento Europeo 2016/679 in materia di trattamento dei dati personali;

• garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

• adottare tutte le misure richieste ai sensi dell’art. 32 del Regolamento UE 2016/679, nonché le ulteriori misure di sicurezza che ritenesse necessarie per la completa sicurezza dei dati trattati;

• non ricorrere ad un altro responsabile del trattamento senza previa autorizzazione scritta di TuttOttica;

• assistere TuttOttica con misure tecniche e organizzative adeguate fornendo riscontro entro 48 ore, nel caso che la stessa riceva richieste per l’esercizio dei diritti dell’interessato di cui al Capo III del Regolamento UE 2016/679 e comunicare tempestivamente al Titolare istanze degli interessati, contestazioni, ispezioni o richieste del Garante, ed ogni altra notizia rilevante ai sensi del trattamento dei dati personali;

• garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del Regolamento UE 2016/679;

• su indicazione di TuttOttica cancellare o restituire tutti i dati personali trattati in esecuzione del presente accordo dopo che è terminata la prestazione dei servizi, salvo l’obbligo di conservazione per disposizione normativa;

• mettere a disposizione di TuttOttica tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 del Regolamento UE 2016/679 e contribuire alle attività di revisione, comprese le ispezioni, realizzate da

TuttOttica o da un altro soggetto da questi incaricato, fermo restando che, in caso di sopralluoghi, TuttOttica, dovrà dare al Responsabile un preavviso scritto di almeno 5 giorni lavorativi prima di ciascun controllo. Le verifiche effettuate da TuttOttica non potranno ostacolare la normale operatività del Responsabile e i costi e le spese di tali verifiche e controlli, compresi quelli sostenuti dal Responsabile per assistere TuttOttica nelle relative operazioni, saranno sopportati interamente da quest’ultima;

• informare immediatamente TuttOttica qualora, a suo parere, un’istruzione violi il Regolamento UE 2016/679,

La presente nomina ha validità per tutta la durata del rapporto contrattuale intercorrente tra le parti, salva la facoltà di revoca da parte di TuttOttica; tale revoca sarà obbligatoria nel caso che il Responsabile del trattamento non soddisfi più le caratteristiche ed i requisiti per lo svolgimento dell’incarico assegnato.

In caso di cessazione, per qualunque causa, della efficacia del presente atto di nomina, il Responsabile dovrà interrompere ogni operazione di trattamento dei dati a meno che la conservazione dei dati da parte del Responsabile si renda necessaria al fine di consentire allo stesso di adempiere ad ulteriori obblighi di legge, ma solo per il periodo di tempo strettamente necessario a tale scopo e comunque senza pregiudizio alcuno per il Titolare o per gli interessati cui i dati si riferiscono. Resta inteso che la presente nomina non comporta alcun diritto del Responsabile ad uno specifico compenso o indennità o rimborso per l’attività svolta. Il Responsabile ed il Titolare del trattamento di dati si impegnano a rinegoziare in buona fede il presente atto di nomina, allorquando una modifica si dovesse rendere necessaria alla luce di qualsiasi modifica al Regolamento Europeo in materia di protezione dei dati personali, della mutata interpretazione giurisprudenziale di tale normativa o di provvedimenti adottati dal Garante.

La dott.sa ... (indirizzo)

per esplicita accettazione della nomina a Responsabile esterno del trattamento