Aspetti generali
- Introduzione
- I dati disponibili in azienda sono di grande valore per l’azienda stessa. Questi dati devono quindi essere protetti dall’accesso non autorizzato e da altre minacce.
- I clienti, i partner e i dipendenti dell’azienda si aspettano che i dati affidati all’azienda siano protetti con misure specifiche e gestiti con la massima cautela.
- Per qualsiasi domanda relativa alla protezione dei dati o al trattamento dei dati personali, potete rivolgervi al responsabile della protezione dei dati di CT Chemie GmbH, Gewerbestrasse 3, 3423 Ersigen.
- Scopo dell’informativa sulla protezione dei dati
- La presente informativa sulla protezione dei dati ha lo scopo di creare standard uniformi per la protezione dei dati all’interno dell’azienda.
- Rispettando gli standard definiti nella presente informativa sulla protezione dei dati, l’azienda adempie agli obblighi previsti dalla legge sulla protezione dei dati e garantisce che gli interessi e i diritti delle persone interessate siano adeguatamente tutelati.
- L’osservanza della presente informativa sulla protezione dei dati è un prerequisito per lo scambio sicuro di dati personali all’interno dell’azienda e con terzi.
- Ambito di applicazione dell’informativa sulla protezione dei dati
- La presente informativa sulla protezione dei dati si applica a qualsiasi trattamento dei dati personali, in particolare all’acquisizione, al salvataggio, alla conservazione, all’utilizzo, alla modifica, alla divulgazione, all’archiviazione, alla cancellazione o alla distruzione dei dati. Si applica a tutti i tipi di dati personali, in particolare a quelli di dipendenti, clienti, soci, fornitori e altri partner commerciali.
- L’informativa sulla protezione dei dati descrive, attua e integra anche i requisiti legali, in particolare quelli della legge federale sulla protezione dei dati (LPD).
- Definizioni
- Ai fini della presente direttiva aziendale, per dati personali si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile.
- Le persone interessate sono le persone fisiche di cui vengono trattati i dati personali.
- Il responsabile è una persona privata che, da sola o insieme ad altri, decide le finalità e i mezzi del trattamento.
- Il responsabile del trattamento è un terzo che tratta i dati personali per conto del responsabile del trattamento.
Regole di base del trattamento dei dati
- Legittimità
- I dati personali devono essere trattati in modo lecito. Il trattamento sarà considerato lecito solo se giustificato da (a) il consenso della persona interessata, (b) un interesse pubblico o privato prevalente o (c) la legge.
- Trasparenza
- In linea di principio, il trattamento dei dati deve essere effettuato in modo tale che la persona interessata ne sia al corrente.
- Proporzionalità
- Nel trattamento dei dati personali deve essere rispettato il principio di proporzionalità. In base a questo principio, possono essere raccolti solo i dati necessari per lo scopo corrispondente.
- Inoltre, i dati personali possono essere conservati solo per il tempo necessario allo scopo (cfr. sotto).
- Finalità
- I dati personali possono essere ottenuti solo per una finalità specifica riconoscibile dalla persona interessata e possono essere trattati esclusivamente in modo compatibile con tale finalità.
- Se i dati personali non sono più necessari ai fini del trattamento, devono essere distrutti o resi anonimi.
- Esattezza
- Tutti i dipendenti devono garantire che i dati personali siano accurati e aggiornati.
- Devono essere adottate tutte le misure ragionevoli per correggere o distruggere i dati inesatti o incompleti.
- Sicurezza dei dati
- Per l’azienda è molto importante che la sicurezza dei dati sia garantita in ogni momento. In questo contesto, i dati personali devono essere protetti da misure tecniche e organizzative, tra l’altro contro la perdita, l’accesso non autorizzato e altri pericoli.
- Le misure di protezione specifiche per le singole operazioni di trattamento dei dati devono essere documentate e controllate per verificarne l’adeguatezza.
- Il responsabile IT può emanare disposizioni più severe nell’interesse della sicurezza dei dati, in particolare per quanto riguarda l’utilizzo dei sistemi informatici in azienda.
- Consenso e negazione del consenso
- In linea di principio, il consenso della persona interessata al trattamento dei dati da parte di un’azienda non è richiesto, neppure nel caso di dati personali sensibili.
- Se, invece, la persona interessata si oppone espressamente al trattamento dei dati, tale trattamento sarà giustificato solo se esistono interessi prevalenti del responsabile del trattamento o una base giuridica.
- Obbligo di informazione
- Le persone interessate devono essere informate con il massimo anticipo possibile dei scopi per cui i dati personali che li riguardano vengono raccolti e trattati. Se i dati non sono stati ottenuti direttamente dalla persona interessata, quest’ultima dovrà essere informata entro un mese dal ricevimento dei dati.
- Se la persona interessata mette di sua iniziativa i propri dati personali a disposizione del titolare del trattamento, si ritiene che sia stata informata.
- Se lo scopo del trattamento dei dati cambia, le persone già informate devono essere nuovamente informate.
- Responsabilità del trattamento
- Se i fornitori di servizi dell’azienda trattano i dati personali per suo conto (i cosiddetti responsabili del trattamento), si noti che gli stessi requisiti di due diligence previsti per l’azienda responsabile si applicano anche al responsabile del trattamento. In particolare, la limitazione delle finalità e la sicurezza dei dati devono essere garantite contrattualmente.
- Trasmissione di dati personali all’estero
- Il trasferimento di dati personali all’estero è consentito solo nei paesi in cui il Consiglio federale ha stabilito un livello di protezione dei dati altrettanto elevato che in Svizzera. La conformità allo standard svizzero di protezione dei dati può essere ottenuta, tra l’altro, anche attraverso la stipula di accordi contrattuali integrativi.
Processi interni
- Requisiti per i dipendenti
- Tutti i dipendenti dell’azienda sono impegnati nella protezione dei dati. In particolare, vengono informati che è vietato utilizzare i dati personali per scopi privati, trasmetterli a persone non autorizzate o renderli accessibili a persone non autorizzate. L’obbligo di mantenere la riservatezza vale anche dopo la fine del rapporto di lavoro.
- Anche all’interno dell’azienda si deve fare in modo di garantire che solo i dipendenti abbiano accesso ai dati personali di cui hanno bisogno per svolgere le loro mansioni per l’azienda.
- Tutti i dipendenti devono essere formati e sensibilizzati sui temi della protezione dei dati all’inizio del rapporto di lavoro e successivamente su base regolare.
- Registro delle attività di trattamento
- L’azienda deve tenere un registro delle attività di trattamento dei dati personali. Questo deve includere: Identità del titolare o del responsabile del trattamento, scopo del trattamento, descrizione delle categorie di persone interessate e delle categorie di dati personali trattati, categorie di destinatari, periodo di conservazione o criteri per determinare il periodo di conservazione, se possibile descrizione delle misure di sicurezza dei dati ed eventuali paesi di destinazione se i dati devono essere trasferiti all’estero. Il registro deve essere sempre aggiornato e fornire una panoramica delle attività rilevanti per la protezione dei dati nell’azienda.
- La protezione fin dalla progettazione, protezione per impostazione predefinita valutazione d’impatto sulla protezione dei dati
- I sistemi utilizzati per il trattamento dei dati personali devono essere progettati fin dall’inizio in modo da garantire la protezione dei dati. Le misure tecniche e organizzative devono in particolare essere adeguate allo stato dell’arte, al tipo e alla portata del trattamento dei dati e al rischio che il trattamento comporta per la personalità o i diritti fondamentali delle persone interessate (privacy by design).
- I responsabili selezioneranno le impostazioni predefinite del dispositivo o del software in modo tale che il trattamento dei dati personali sia limitato al minimo necessario per lo scopo previsto, a meno che la persona interessata non specifichi diversamente. Ciò riguarda, ad esempio, l’accettazione dei cookie sul sito web.
- In particolare, se un trattamento dei dati previsto comporta un rischio elevato per la personalità e i diritti fondamentali delle persone interessate, è necessario effettuare e documentare una valutazione d’impatto sulla protezione dei dati (DPIA).
Diritti delle persone interessate
- Diritto all’informazione
- Su richiesta, la persona interessata deve essere informata se l’azienda sta trattando dati personali che la riguardano. In tal caso, la persona interessata ha il diritto di ottenere informazioni sui dati personali in questione. Il diritto all’informazione consiste nel sapere se i dati personali vengono trattati e, in caso affermativo, quali dati vengono trattati, in modo che la persona interessata possa far valere i suoi ulteriori diritti. Oltre ai dati personali trattati in quanto tali, ciò include informazioni sull’identità del responsabile, sullo scopo del trattamento, sul periodo di conservazione, sull’origine dei dati e, se del caso, informazioni sulle decisioni individuali automatizzate e sui destinatari (anche come categorie).
- Quando si forniscono informazioni, è necessario assicurarsi che l’identità della persona interessata sia verificata. Si noti inoltre che nel corso della fornitura di informazioni non verranno divulgati dati personali di terzi. Le informazioni sono solitamente gratuite e devono essere fornite entro 30 giorni.
- Portabilità dei dati / diritto a farsi consegnare i dati e al trasferimento dei dati
- Le persone interessate possono chiedere di recuperare i dati che hanno comunicato all’azienda in un formato elettronico di uso comune se i dati sono trattati con mezzi automatizzati e la persona interessata ha acconsentito al trattamento o se il trattamento è effettuato in base a un contratto pertinente.
- Diritto di rettifica
- Ai sensi dell’art. 32, al. 1, della LDA, la persona interessata può chiedere la rettifica di dati personali inesatti.
- Diritto alla cancellazione dei dati
- Se i dati personali vengono trattati in contrasto con l’espressa dichiarazione di volontà della persona interessata e non esiste una base giuridica né un interesse privato prevalente di terzi, la persona interessata può richiedere la cancellazione dei propri dati personali.
Competenza
- Responsabilità
- I dipendenti incaricati del trattamento dei dati sono i principali responsabili dell’osservanza delle disposizioni della presente informativa sulla protezione dei dati.
- Tutti i dipendenti dell’azienda devono garantire l’osservanza della presente informativa sulla protezione dei dati e contribuire in tal modo alla definizione di standard di protezione dei dati uniformemente elevati in tutta l’azienda.
- In caso di violazione degli obblighi di legge in materia di protezione dei dati, i trasgressori possono essere passibili di sanzioni penali (multe fino a 250.000 franchi svizzeri) e l’azienda può essere soggetta a sanzioni civili (fino al risarcimento dei danni) e a danni alla reputazione. Il responsabile penale è innanzitutto la persona fisica, cioè il dipendente intenzionalmente colpevole. Le violazioni della protezione dei dati possono avere anche conseguenze disciplinari interne.
- Segnalazione di violazioni e collaborazione con le autorità di vigilanza
- I dipendenti devono riferire immediatamente al supervisore o al responsabile della protezione dei dati se vengono a conoscenza di qualsiasi violazione della presente informativa di protezione dei dati o di qualsiasi disposizione di legge relativa alla protezione dei dati personali.
- Le violazioni della sicurezza dei dati (ad es. divulgazione a persone non autorizzate, perdita di dati, attacco informatico, ecc.) che comportano un rischio elevato per la personalità o i diritti fondamentali delle persone interessate devono essere segnalate dall’azienda all’IFPDT “il più presto possibile”, ossia tempestivamente.
Ulteriori disposizioni
- Pubblicazione
- Questa direttiva aziendale deve essere resa disponibile a tutti i dipendenti dell’azienda in modo appropriato
- La pubblicazione generale della presente informativa sulla protezione dei dati non è prevista.
- Modifiche
- L’azienda si riserva il diritto di modificare la presente Informativa sulla protezione dei dati in base alle necessità. Una modifica può essere necessaria, in particolare, per conformarsi a requisiti legali, a requisiti delle autorità di vigilanza o a procedure aziendali interne.
- A intervalli regolari, verrà inoltre verificato in che misura i cambiamenti tecnologici richiedano un adeguamento della presente direttiva aziendale.