La Società J.D.S. S.r.l., Bernardinska reber 3b 6320 Portorose, numero di matricola: 6612342000, (in seguito: »operatore«) ai sensi degli articoli 24. e 25 della Legge sulla protezione  dei dati personali (Gazzetta Ufficiale della RS, n. 94/07 e successive modifiche, in seguito: »Legge ZVOP-1«) nonché specialmente ai sensi degli articoli 24, 25 e 32 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del giorno 27 aprile 2016, sulla tutela delle persone fisiche nel trattamento dei dati personali nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/ES (in seguito: »Regolamento generale sulla protezione dei dati«)

 

approva il seguente

 

 

Regolamento sulla protezione dei dati personali

 

 

 

I.            Introduzione a riguardo il trattamento dei dati personali

 

Art. 1

 

L’operatore è l’impresa J.D.S. S.r.l., che esercita l’attività di agenzia turistica. L’attività commerciale principale dell’operatore è la prenotazione e altre attività connesse ai viaggi, nelle quali il trattamento dei dati personali da parte dell’operatore rappresenta soltanto un’attività collaterale del datore di lavoro.

 

L’operatore nell’esercizio delle attiività menzionate esegue il trattamento dei seguenti dati personali: dati di nascita, indirizzi di posta elettronica, indirizzi postali recapiti postali, codici fiscali. L’operatore non tratta dati personali di tipologia particolare (dati personali sensibili) e nemmeno dati personali riguardanti le condanne penali e infrazioni.

 

L’operatore tratta i dati personali in base al rapporto di lavoro, al consenso dei singoli, ad altro e precisamente per i seguenti fini: la sottoscrizione dei contratti commerciali, dei contratti di lavoro, l’organizzazione di viaggi, l’assicurazione dei viaggiatori.

 

Art. 2

 

Al fine dell’identificazione e dell’elencazione di tutte le tipologie di dati personali trattati dall’operatore, si tiene il Registro delle attività di trattamento dei dati personali eseguite (in seguito: »Registro delle attività«), il cui scopo è quello di consentire il totale controllo sul flusso dei dati personali. Il registro delle attività è allo stesso tempo la base per adottare misure tecniche, organizzative e concernenti il personale per proteggere i dati personali, come sono descritte nel presente Regolamento.

 

Il Registro delle attività si tiene in modo tale che per ogni attività di trattamento dei dati personali risulta evidente: (i) su quale base giuridica vengono trattati i dati, (ii) qual è il fine del trattamento dei dati personali, (iii) a quali categorie di persone fisiche si riferiscono i dati personali, (iv) quale tipologia di dati personali sono trattati, (v) eventuali persone ovvero utenti ai quali possono essere rivelati i dati personali, (vi) se i dati personali si trasferiscono in uno stato terzo e/o organizzazione internazionale, (v) qual è il termine previsto di conservazione ovvero cancellazione dei dati nonché (vi) con quali misure tecniche, organizzative e concernenti il personale si garantisce la protezione dei dati personali.

 

L’operatore provvede all’esattezza e all’aggiornamento del Registro delle attività. L’operatore permetterà all’organo di controllo l’accesso al Registro delle attività su richiesta dello stesso.

 

I dipendenti che nel compiere i lavori e i compiti per conto dell’operatore trattano i dati personali devono essere informati con il Registro delle attività, l’accesso allo stesso deve essere consentito anche a chiunque lo richieda e ha un interesse legittimo per l’accesso (ad es. una persona fisica, alla quale si riferiscono i dati personali, un organo di controllo, la Polizia in base alle autorizzazioni legali).

 

Art. 3

 

L’operatore considerando la natura descritta, l’entità, le circostanze e il fine del trattamento, come risulta dall’articolo 2 del presente Regolamento e dal Registro delle attività, può concludere che il trattamento dei dati non rappresenta un grosso rischio per i diritti e libertà delle singole persone, pertanto risulta non necessaria la precedente preparazione della valutazione dell’effetto inerente il trattamento dei dati.

 

Prima di ogni nuovo trattamento dei dati personali, soprattutto prima dell’utilizzo di nuove tecnologie nonché prima di qualsiasi modifica della natura, dell’entità, delle circostanze e dei fini del trattamento e sempre quando cambia il rischio, derivante dalle azioni di trattamento, l’operatore si impegna di ripetere l’esecuzione di verifica dei rischi e valutare se è necessario preparare la valutazione dell’effetto riguardante il trattamento.

 

 

II.         Disposizioni generali

 

Art. 4

 

Con il presente Regolamento sulla protezione dei dati personali (in seguito: »Regolamento«) si definiscono i procedimenti tecnici, organizzativi e concernenti il personale e le misure per la tutela dei dati personali dell’operatore, con il fine di soddisfare le richieste legali a riguardo della protezione dei dati personali e tutelano i diritti delle singole persone, alle quali si riferiscono i dati personali.

 

Tali misure sono costituite dalle regole vincolanti, dalle raccomandazioni ovvero dai principi in uso, dai procedimenti interni, dalle strutture organizzative e dalla protezione della tecnologia d’informazione.

 

Art. 5

 

Il fine del presente Regolamento è garantire la riservatezza, l’integrità, l’accessibilità e l’esattezza dei dati personali, nell’interesse delle singole persone, alle quali i dati si riferiscono e precisamente in ogni fase di trattamento dei dati personali. Tutti i dipendenti si devono rendere conto dei rischi legati ai sistemi tecnici e d’informazione nonché alla tecnologia di comunicazione e devono pertanto eseguire il trattamento dei dati personali con la scrupolosità richiesta.

 

Le misure descritte nel presente Regolamento sono create considerando il più recente sviluppo tecnologico e le spese, la realizzazione nonché la natura, l’entità, le circostanze e i fini del trattamento come pure i rischi per i diritti e libertà delle singole persone e garantiscono una protezione idonea dei dati a riguardo degli eventuali rischi, derivanti dal trattamento dei dati, specialmente in caso di distruzione involontaria o illegale, smarrimento, modifica, rivelazione non autorizzata o accesso ai dati personali, che sono stati trasmessi, salvati o diversamente trattati.

 

Art. 6

 

L’operatore osserva le regole riconosciute per la protezione delle informazioni. Il presente Regolamento in merito a ciò deriva dalla supposizione che l’assoluta protezione non c’è, e che garantire la protezione delle informazioni non è una condizione statica, bensì la protezione deve essere in continuo miglioramento e deve adeguarsi al cambiamento delle condizioni. Le misure sono dunque un certo tipo di compromesso tra ciò che è tecnicamente possibile e la realizzazione, che nel caso concreto, è affatto possibile riguardo i punti di vista del personale ed economici dell’operatore.

 

Art. 7

 

L’operatore nel trattamento dei dati personali rispetta i principi generali riguardanti il trattamento dei dati personali.  

 

L’operatore tratta soltanto quei dati personali per i quali ha la base giuridica idonea in base alle norme della Legge ZVOP-1 e la Direttiva generale sulla protezione dei dati.

 

La raccolta dei dati personali può essere eseguita soltanto per propositi definiti e legali nonché tali dati non devono essere ulteriormente elaborati in modo tale che il loro trattamento sia in disaccordo con tali propositi eccetto se la legislazione rilevante non stabilisce diversamente.

 

L’operatore nel trattamento dei dati personali garantisce che gli stessi sono:

-       trattati legalmente, onestamente e in modo trasparente in relazione alla singola persona per la quale si riferiscono i dati personali;

-       raccolti per propositi definiti, espliciti e legali nonché che non sono trattati ulteriormente in modo non compatibile con tali propositi;

-       idonei, rilevanti e limitati a riguardo dei propositi per i quali sono trattati;

-       esatti e quando necessario aggiornati;

-       conservati nella forma, che consente l’identificazione delle singole persone alle quali si riferiscono i dati personali, soltanto per il periodo di tempo necessario per i propositi per i quali sono trattati eccetto se non stabilito diversamente da una singola legge;

-       trattati in modo da garantire la loro integrità e riservatezza, soprattutto di essere protetti adeguatamente dal trattamento illecito e illegale con misure tecniche e organizzative nonché dallo smarrimento, dalla distruzione o danneggiamento involontario.

 

Art. 8

 

Il presente Regolamento è valido per tutti i lavoratori dell’operatore a prescindere se sono in rapporto di lavoro presso l’operatore J.D.S. S.r.l. (in seguito »lavoratori«). Il Regolamento è rivolto soprattutto a quei lavoratori, che partecipano direttamente o indirettamente al trattamento dei dati personali nonché a garantire la protezione della tecnologia d’informazione.

 

Art. 9

 

I significati dei termini utilizzati nel presente Regolamento derivano dalla vigente Legge ZVOP-1 e dalla Direttiva generale sulla protezione dei dati.

 

 

III.       Misure concernenti il personale

 

 Art. 10

 

I compiti e le competenze riguardanti il trattamento dei dati personali, che sono tra di loro in conflitto, sono assegnati a persone o a reparti diversi; il tutto allo scopo di riconoscere nel più breve tempo possibile le modifiche non autorizzate e involontarie dei dati.

 

È valida la distinzione delle seguenti domande e compiti:

-       i propositi del trattamento dei dati personali sono stabiliti dal direttore della società;

-       le competenze per la definizione dei mezzi tecnologici di informazione sono assegnate al direttore della società;

-       per la protezione dei dati e garantire le misure tecniche, convernenti il personale e organizzative è incaricato il direttore della società;

-       l’accesso ai dati personali è consentito alle seguenti persone: al Direttore Fabio Salvestrini….

 

Per l’attuazione del presente Regolamento è definitivamente competente e responsabile il direttore dell’operatore.

 

 Art. 11

 

Poiché il trattamento dei dati personali presso l’operatore non include di seguire per esteso ordinariamente e sistematicamente le singole persone e siccome l’operatore non tratta tipologie particolari di dati personali e/o dati riguardanti le sentenze penali e trasgressioni, l’operatore non nominerà una persona autorizzata particolarmente per la protezione dei dati.

 

 Art. 12

 

Tutti i lavoratori che agiscono sotto la guida dell’operatore e hanno l’accesso ai dati personali, non devono trattare tali dati senza o all’infuori delle istruzioni dell’operatore. Tutti i lavoratori che nel proprio lavoro trattano i dati personali, hanno l’obbligo di eseguire le misure e i procedimenti prescritti per la tutela dei dati e proteggere i dati, cui sono venuti a conoscenza ovvero che sono stati informati durante l’espletamento del proprio lavoro.

 

L’obbligo di protezione dei dati non termina con la cessazione del rapporto di lavoro.

 

Tutti i lavoratori che nel proprio lavoro trattano i dati personali, devono essere messi a conoscenza con la legislazione riguardante il settore della protezione dei dati personali nonché con il contenuto del presente Regolamento. A tale proposito, l’operatore, provvederà di far sottoscrivere a tali lavoratori una speciale Dichiarazione sulla protezione dei dati, dalla quale risulti evidente di essere stati informati con le disposizioni del presente Regolamento e con la legislazione riguardante il settore della protezione dei dati personali.

 

I lavoratori sono soggetti a responsabilità disciplinare, civile e penale per la violazione delle disposizioni del presente articolo. La violazione delle disposizioni del presente Regolamento si considera quale violazione grave degli obblighi inerenti il rapporto di lavoro, per la quale può essere esercitato il recesso dal contratto di lavoro per giustificato motivo soggettivo o per giusta causa, in caso di violazioni gravi.

 

 

IV.Protezione fisica e ambientale

 

Art. 13

 

I dati personali e i sistemi di informazione devono essere adeguatamente protetti da furto, danneggiamento e effetti negativi dell’ambiente.

 

Tutti i sistemi di informazione che per l’operatore risultano critici si devono depositare in un ambiente sicuro. Ciò significa che tutti gli spazi nei quali si trovano i supporti dei dati personali nonché l’apparecchiatura tecnica e di elaborazione dei dati devono essere fisicamente protetti (ad es. chiusi a chiave, depositati in cassaforte ecc.), in modo tale da non permettere l’accesso ai dati alle persone non autorizzate.

 

 Art. 14

 

 

Gli spazi protetti non devono rimanere senza sorveglianza ovvero si chiudono a chiave in assenza dei lavoratori che li controllano. Gli spazi sorvegliati si chiudono a chiave fuori dall’orario di lavoro. Le chiavi non devono essere lasciate nella parte esterna della serratura.

 

 Art. 15

 

Fuori dall’orario di lavoro gli armadi e le scrivanie con i supporti di dati personali devono rimanere chiusi a chiave, i computer e le altre apparecchiature tecniche disattivate e chiuse fisicamente o tramite i programmi.

 

I lavoratori non devono lasciare i supporti con i dati personali sui tavoli alla presenza di persone che non hanno il diritto di esaminare tali dati (c.d. politica della scrivania pulita).

 

In assenza dal posto di lavoro gli impiegati devono spegnere o in altro modo fisicamente o tramite programma chiudere lo schermo del computer (c.d. politica dello schermo pulito).

 

Art. 16

 

Negli spazi destinati a ricevere i clienti, i supporti dei dati e i monitor devono essere sistemati in modo tale da non consentire la visione in essi da parte dei clienti.

 

Gli addetti alla manutenzione degli spazi, delle apparecchiature tecniche e dei programmi, i visitatori e soci d’affari, possono muoversi negli spazi protetti, soltanto se a conoscenza del lavoratore responsabile dell’operatore.

 

 

V.   Protezione dell’integrità e riservatezza dei dati nel ricevimento e nella consegna

 

Art. 17

 

Il lavoratore incaricato a ricevere e a tenere l’evidenza della corrispondenza postale, deve consegnare la comunicazione postale con i dati personali direttamente al singolo, o al servizio, cui è indirizzata tale comunicazione.

 

Il lavoratore incaricato a ricevere e a tenere l’evidenza della corrispondenza postale, apre ed esamina tutte le comunicazioni postali e comunicazioni pervenute in altro modo all’operatore, eccetto le comunicazioni del terzo e quarto comma del presente articolo.

 

Il lavoratore incaricato a ricevere e a tenere l’evidenza della corrispondenza postale, non apre quelle comunicazioni che sono indirizzate ad altri organi o organizzazioni e sono pervenute per errore nonché le comunicazioni contrassegnate come dati personali.

 

Il lavoratore incaricato a ricevere e a tenere l’evidenza della corrispondenza postale, non deve aprire le comunicazioni indirizzate al lavoratore, sulle quali è indicato sulla busta, di consegnarle personalmente al destinatario nonché le comunicazioni sulle quali è innanzitutto indicato il nome personale del lavoratore senza la denominazione della sua posizione lavorativa ufficiale e appena poi l’indirizzo dell’operatore.

 

 Art. 18

 

I dati personali si inoltrano tramite posta raccomandata o personalmente.

 

La busta nella quale sono inviati i dati personali, deve essere tale, da non permettere di vedere il suo contenuto alla luce normale o se esposta a una fonte di luce. La busta deve garantire altrettanto, che non sia possibile aprirla e conoscere il suo contenuto senza evidenti segni di apertura della stessa.

 

Art. 19

 

Il trasferimento dei dati personali attraverso mezzi di informazione, telecomunicazione altri è consentito soltanto nell’esecuzione di procedimenti e misure adeguate, che ai non autorizzati non permette di appropriarsi o di distruggere i dati nonché di venire ingiustificatamente a conoscenza del loro contenuto.

 

L’operatore garantisce i procedimenti tecnici che impediscono l’intercettazione, la copia, la modifica, la deviazione o la distruzione delle informazioni trasmesse nel caso di invio elettronico di messaggi con i dati personali. Tali procedimenti ad esempio sono: nome dell’utente e la password, formato PDF.

 

Art. 20

 

Il trattamento di dati personali particolari deve essere contrassegnato e protetto in modo speciale.

 

Tipologie particolari di dati personali (dati personali sensibili) si inviano al destinatario in buste chiuse con sottoscrizione di ricevuta nel libro di consegna oppure con ricevuta di ritorno.

 

I dati indicati nel comma precedente si possono trasmettere tramite le reti di telecomunicazione soltanto se sono particolarmente protetti con metodi crittografici e con firma elettronica in modo tale da garantire l’illegibilità dei dati durante il loro trasferimento.

 

 

VI. Garanzia di riservatezza, integrità e resistenza dei sistemi e dei servizi per il trattamento dei dati

 

 Art. 21

 

L’accesso al software è protetto in modo tale, che consente l’accesso soltanto ai lavoratori precedentemente stabiliti oppure a offerenti esterni di tali servizi (politica dei diritti di accesso).

 

L’accesso ai sistemi di informazione è limitato ai diritti necessari per lo svolgimento di determinati compiti (ad es. diritti alla lettura, modifiche, accesso dell’amministratore). L’operatore nell’assegnazione dei diritti d’accesso, segue il principio »need-to-know« e ciò significa che gli utenti non devono ricevere più diritti, di quelli che sono necessari per l’adempimento dei propri compiti o per accedere ai dati.

 

Ad ogni utente si assegna un evidente (personale) nome utente (ID di riconoscimento). Ciò vale anche per i diritti privilegiati di accesso (ad es. agli amministratori).

 

Per impedire eventuali attacchi o rischi di sicurezza si annotano tutti i tentativi di accesso critici e pertanto quelli non riusciti.

 

Gli accessi esterni, finalizzati alla manutenzione, si attivano soltanto per il tempo di durata della manutenzione dopo aver prima eseguito la richiesta formale e documentata. Al termine della manutenzione gli accessi si disattivano.

 

Se il lavoratore termina di eseguire il lavoro per l’operatore, si devono ritirare tutti i diritti di accesso rilasciati al più tardi al termine dell’ultimo giorno di lavoro.

 

 Art. 22

 

L’apparecchiatura tecnica e il software di sistema, incluse le unità di entrata-uscita, devono essere protetti in modo tale da proteggere l’integrità e la riservatezza dei dati.

 

Tutti i personal computer ai quali è possibile l’accesso ai dati personali sono protetti con il nome utente e la password.

 

Il software installato nel computer, che consente l’accesso ai dati personali, è protetto con un nome utente e una password differenti dal nome utente e la password del computer.

 

La persona autorizzata stabilisce il regime di assegnazione, custodia e modifica delle password.

 

Art. 23

 

La manutenzione, la riparazione, la modifica e l’integrazione del software di sistema e applicativo, sono ammesse soltanto in base all’approvazione del direttore della società, mentre l’esecuzione può essere affidata soltanto ai servizi, organizzazioni e singoli autorizzati, i quali hanno stipulato con l’operatore un adeguato contratto. Gli esecutori devono idoneamente documentare le modifiche e le integrazioni al software di sistema e applicativo.

 

I dipendenti non devono installare software all’insaputa della persona addetta al funzionamento del sistema di informazione computerizzato. Altrettanto non devono portare software fuori dai locali d’affari senza l’autorizzazione del responsabile dell’unità organizzativa e all’insaputa della persona addetta al funzionamento del sistema di informazione computerizzato.

 

Art. 24

 

Il contenuto dei dischi rigidi del server di rete e delle postazioni di lavoro locali, in cui si trovano i dati personali, si controlla correntemente a riguardo della presenza di virus.

 

Tutte le postazioni di lavoro e computer portatili e altre apparecchiature devono essere equipaggiate con la protezione antivirus aggiornata. Al posto di lavoro tutti i computer devono essere corredati con una combinazione del firewall locale e del sistema locale di rilevamento e arresto delle intrusioni. Tutti i computer portatili e altre apparecchiature devono essere equipaggiati con il firewall locale.

 

Alla presenza di un virus informatico, lo si deve eliminare al più presto con l’aiuto del servizio tecnico adeguato e allo stesso tempo si accerta la causa della presenza del virus nel sistema di informazione computerizzato.

 

Art. 25

 

Se l’utente o l’amministratore lascia il posto di lavoro o non esegue nessun inserimento, in un determinato periodo di tempo, si deve attivare automaticamente il blocco schermo protetto da una password.

 

Nei sistemi dove ciò è tecnicamente possibile avviene il logout (uscita) dell’utente, se non siano stati eseguiti inserimenti nel periodo di tempo prestabilito.

 

In linea di principio le informazioni commerciali non si salvano localmente nei computer al posto di lavoro o nei computer portatili più a lungo del necessario e si salvano nei sistemi di gestione centrale, che sono previsti a tale scopo.

 

 

VII.     Garanzia di accessibilità ovvero di disponibilità dei dati in caso di incidente fisico o tecnico

 

 Art. 26

 

I dati personali si trasmettono solo a quegli utenti, che si identificano con una base giuridica idonea o con richiesta scritta ovvero con il consenso della singola persona alla quale si riferiscono i dati.

 

Per ogni trasmissione dei dati personali, l’avente diritto deve presentare una domanda scritta, nella quale deve risultare chiaramente la disposizione di legge, la quale autorizza l’utente ad acquisire i dati personali oppure deve essere presentata una richiesta scritta ovvero il consenso della singola persona alla quale si riferiscono i dati.

 

Ogni trasmissione di dati personali deve essere annotata nell’evidenza delle trasmissioni, dalla quale deve esplicitamente riportare quali dati personali sono stati trasmessi, dove ovvero a chi, quando e su quale fondamento. L’evidenza di tracciabilità della trasmissione dei dati personali si tiene in ordine cronologico.

 

Non si trasmettono mai i documenti originali eccetto che su ordine scritto dell’Autorità Giudiziaria. Durante l’assenza del documento originale deve essere sostituito dalla sua copia.

 

 Art. 27

 

Per le necessità di rinnovamento del sistema informatico, nei casi di guasti e in altre situazioni eccezionali, si garantisce la regolare realizzazione di copie del contenuto del server di rete e delle postazioni locali, qualora vi si trovino i dati (c.d. realizzazione delle copie di sicurezza).

 

 Art. 28

 

In caso di caduta del sistema si deve garantire di non perdere nessun dato critico.

 

I mezzi per il salvataggio di sicurezza si devono conservare in luoghi, che rispettano le richieste di riservatezza, integrità e disponibilità delle informazioni in oggetto. Nei casi urgenti si deve garantire l’accesso ai mezzi di sicurezza al personale di amministrazione.

 

Art. 29

 

Le informazioni si archiviano in conformità alle richieste legali, contrattuali e commerciali.

 

I dati di archivio si devono immagazzinare o salvare nei luoghi, che soddisfano le richieste di disponibilità, integrità e riservatezza.

 

 

VIII.   Test, valutazione e valorizzazione regolari delle misure

 

 Art. 30

 

L’operatore si impegna di testare regolarmente, valutare e valorizzare l’efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.

 

A tale scopo, l’operatore, verificherà almeno una volta l’anno la legalità del trattamento dei dati personali. Al fine di eseguire il controllo interno, l’operatore esaminerà i registri riguardanti l’attività di trattamento dei dati personali (c.d. registro eventi ovvero log) e si consulterà con gli esperti competenti in materia di sicurezza dell’informazione.

 

 

IX.Termine di conservazione e cancellazione dei dati

 

 Art. 31

 

L’operatore garantisce che il periodo di conservazione dei dati personali è limitato al periodo più breve possibile. L’operatore a tale scopo prescrive i termini di cancellazione dei dati personali nel Registro eventi.

 

I dati personali alla scadenza del termine di conservazione si cancellano ovvero distruggono permanentemente o anonimizzano eccetto se stabilito diversamente da qualche atto o dalla legge.

 

Art. 32

 

Per la cancellazione dei dati dai mezzi informatici si adotta un metodo tale che il ripristino parziale o di tutti i dati cancellati sia impossibile. La cancellazione deve essere completa e irreversibile. Oltre al supporto di tali dati è necessario eliminare anche i dati nella cartella »Cancellato« o »Cestino« ovvero in altra cartella/directory corrispondente in modo tale che non sia più possibile ripristinare il contenuto.

 

I dati nei mezzi classici (documenti, schedario, registro, elenco,...) si eliminano  in modo da tale da non permettere la lettura di una parte o di tutti i dati eliminati.

 

È proibito buttare i supporti con i dati personali nei cestini dell’immondizia.

 

 

X.   Servizi svolti da persone fisiche o giuridiche esterne.

 

 Art. 33

 

L’operatore può anche affidare azioni singole di trattamento dei dati a una persona fisica o giuridica esterne (in seguito: »esecutore«), la quale assicura garanzie sufficienti per l’esecuzione di misure tecniche e organizzative idonee alla protezione dei dati personali. L’esecutore, che esegue i servizi accordati all’esterno degli spazi dell’operatore, deve avere almeno lo stesso modo di protezione dei dati personali, come previsto dal presente Regolamento.

 

L’operatore, in tal caso, stipulerà gli adeguati accordi scritti di trattamento contrattuale dei dati personali con l’esecutore, nei quali stabilirà i diritti e doveri di entrambe le parti. In tali accordi devono essere prescritti obbligatoriamente le condizioni e misure per garantire la protezione dei dati personali e la loro preservazione nonché gli obblighi dell’operatore nei confronti dell’esecutore. Quanto sopra citato, vale anche per gli esecutori che si occupano della manutenzione dell’apparecchiatura tecnica e del software nonché realizzano e installano una nuova apparecchiatura tecnica o software.

 

L’esecutore, in conformità a tale accordo in nome e per conto dell’operatore esegue soltanto le mansioni accordate relative al trattamento dei dati personali dell’operatore. L’esecutore non può trattare o altrimenti utilizzare i dati per nessun altro fine.

 

 

XI.Relazione in caso di incidente di sicurezza

 

Art. 34

 

L’operatore garantisce un sistema coerente ed efficace di trattamento degli incidenti di sicurezza inclusi la documentazione e l’avviso riguardante gli eventi di sicurezza.

 

L’operatore a tale proposito garantisce un sistema informatico, capace di svolgere il controllo per riconoscere gli eventi (ad es. firewall, rilevamento intrusioni, sistema di controllo). Inoltre i sistemi informatici consentono la documentazione di tutti gli eventi di sicurezza rilevanti o critici del sistema.

 

Tutti i lavoratori hanno l’obbligo di avvisare immediatamente il direttore della società a riguardo delle attività connesse alla rivelazione o alla distruzione non autorizzata dei dati personali, all’uso dannoso o non autorizzato, all’appropriazione, all’inaccessibilità, alla modifica o danneggiamento dei dati, mentre da soli cercano di impedire tale attività.

 

L’operatore nel registro degli incidenti di sicurezza annota ogni violazione di protezione dei dati personali, dalla quale devono risultare evidenti i fatti riguardanti la violazione della protezione dei dati personali, gli effetti di tale violazione e le misure correttive adottate.

 

Nel registro degli incidenti di sicurezza si iscrivono in ordine cronologico tutti gli incidenti di sicurezza, a prescindere dal livello e dalla tipologia di rischio per i diritti e libertà delle singole persone. L’operatore annota soprattutto le violazioni di riservatezza dei dati (ad es. rivelazione dei dati non autorizzata), le violazioni riguardanti la possibilità di accedere ai dati e violazioni sull’integrità dei dati (ad es. modifica dei dati non autorizzata).

 

 Art. 35

 

Se è presumibile, che con la violazione della protezione dei dati personali potrebbero essere a rischio i diritti e libertà delle singole persone, l’operatore deve immediatamente, al più tardi entro 72 ore dalla conoscenza della violazione, informare ufficialmente di ciò l’autorità competente ai sensi dell’articolo 33 del Regolamento generale sulla protezione dei dati.

 

Quando è presumibile che la violazione di protezione dei dati personali provochi un grosso rischio per i diritti e libertà delle singole persone, l’operatore in conformità alla disposizione dell’articolo 34 del Regolamento generale sulla protezione dei dati, deve informare senza inutili esitazioni anche le singole persone, alle quali si riferiscono i dati personali, che è avvenuta una violazione di protezione dei dati personali.

 

 

XII.      Disposizioni finali

 

Art. 36

 

Tutte le modifiche e le integrazioni al presente Regolamento si approvano allo stesso modo del Regolamento e in forma scritta.

Il Regolamento entra in vigore subito dopo che il direttore dell’operatore lo approva e lo pubblica.

Il Regolamento si pubblica come di consueto per l’operatore, in modo tale che tutti i lavoratori possono conoscere il suo contenuto.

Il presente Regolamento è a disposizione e in visione a tutti i lavoratori nell’ufficio della società durante l’orario di lavoro. Ai lavoratori è reso possibile di poter conoscere il contenuto del presente Regolamento senza alcun controllo.

 

A Portorose, il 22 maggio 2018

 

                                                                             J.D.S. S.r.l.

                                                                           Fabio Salvestrini

                                                                           Direttore

Top