1. introduzione
La presente Informativa stabilisce gli obblighi di Mike Lane Mods Limited ("la Società") in materia di protezione dei dati e i diritti dei clienti ("interessato") in relazione ai propri dati personali ai sensi del Regolamento UE 2016/679 Regolamento generale sulla protezione dei dati ("GDPR ").
Il GDPR definisce "dato personale" qualsiasi informazione relativa a una persona fisica identificata o identificabile (un "interessato"); una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un identificatore come un nome, un numero di identificazione, dati relativi all'ubicazione, un identificatore online o a uno o più fattori specifici del fisico, fisiologico , genetica, mentale, economica, culturale o sociale di tale persona fisica.
La presente Policy stabilisce gli obblighi della Società in merito alla raccolta, elaborazione, trasferimento, conservazione e smaltimento dei dati personali. Le procedure e i principi qui stabiliti devono essere sempre seguiti dalla Società, dai suoi dipendenti, agenti, appaltatori o da altre parti che lavorano per conto della Società.
La Società si impegna non solo alla lettera della legge, ma anche allo spirito della legge e attribuisce grande importanza alla corretta, lecita e corretta gestione di tutti i dati personali, nel rispetto dei diritti legali, della privacy e della fiducia di tutti individui con cui tratta.
2. I principi di protezione dei dati
Questa politica mira a garantire la conformità con il GDPR. Il GDPR stabilisce i seguenti principi con i quali ogni parte che tratta i dati personali deve conformarsi. Tutti i dati personali devono essere:
2.1 Elaborato in modo lecito, equo e trasparente nei confronti dell'interessato.
2.2 Raccolti per finalità determinate, esplicite e legittime e non ulteriormente trattati in modo incompatibile con tali finalità. Ulteriori trattamenti per finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica oa fini statistici non sono da considerarsi incompatibili con le finalità iniziali.
2.3 Adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
2.4 Accurato e, se necessario, aggiornato. È necessario adottare tutte le misure ragionevoli per garantire che i dati personali che siano inesatti, tenendo conto delle finalità per le quali vengono elaborati, vengano cancellati o rettificati senza indugio.
2.5 Conservato in una forma che consente l'identificazione delle persone interessate per un periodo non superiore a quello necessario per le finalità per le quali i dati personali sono trattati. I dati personali possono essere conservati per periodi più lunghi nella misura in cui i dati personali saranno trattati esclusivamente a fini di archiviazione nell'interesse pubblico, scopi di ricerca scientifica o storica o scopi statistici, subordinatamente all'attuazione delle misure tecniche e organizzative appropriate richieste dal GDPR in al fine di salvaguardare i diritti e le libertà dell'interessato.
2.6 Elaborato in modo da garantire un'adeguata sicurezza dei dati personali, inclusa la protezione da trattamenti non autorizzati o illeciti e da perdite, distruzioni o danni accidentali, utilizzando adeguate misure tecniche o organizzative.
3. I diritti degli interessati
Il GDPR stabilisce i seguenti diritti applicabili agli interessati (si prega di fare riferimento alle parti di questa politica indicate per ulteriori dettagli):
3.1 Il diritto all'informazione (parte 12).
3.2 Il diritto di accesso (parte 13);
3.3 Il diritto di rettifica (parte 14);
3.4 Il diritto alla cancellazione (noto anche come "diritto all'oblio") (Parte 15);
3.5 Il diritto di limitare l'elaborazione (Parte 16);
3.6 Il diritto alla portabilità dei dati (parte 17);
3.7 Il diritto di opposizione (parte 18); e
3.8 Diritti relativi al processo decisionale automatizzato e alla profilazione (parti 19 e 20).
4. Trattamento dei dati lecito, equo e trasparente
4.1 Il GDPR cerca di garantire che i dati personali siano trattati in modo lecito, equo e trasparente, senza pregiudicare i diritti dell'interessato. Il GDPR afferma che il trattamento dei dati personali è lecito se si applica almeno una delle seguenti condizioni:
4.1.1 L'interessato ha dato il consenso al trattamento dei propri dati personali per uno o più scopi specifici;
4.1.2 Il trattamento è necessario per l'esecuzione di un contratto di cui l'interessato è parte, o al fine di prendere provvedimenti su richiesta dell'interessato prima di stipulare un contratto con loro;
4.1.3 Il trattamento è necessario per l'adempimento di un obbligo legale al quale è soggetto il responsabile del trattamento;
4.1.4 Il trattamento è necessario per proteggere gli interessi vitali dell'interessato o di un'altra persona fisica;
4.1.5 Il trattamento è necessario per l'esecuzione di un compito svolto nell'interesse pubblico o nell'esercizio dell'autorità ufficiale investita del responsabile del trattamento; o
4.1.6 Il trattamento è necessario ai fini degli interessi legittimi perseguiti dal responsabile del trattamento dei dati o da una terza parte, tranne nel caso in cui tali interessi siano sostituiti dai diritti e dalle libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare dove l'interessato è un bambino.
5. Finalità specificate, esplicite e legittime
5.1 La Società raccoglie e tratta i dati personali indicati nella Parte 22 della presente Politica. Ciò comprende:
5.1.1 Dati personali raccolti direttamente dagli interessati; e
5.1.2 Dati personali ottenuti da terzi.
5.2 La Società raccoglie, elabora e conserva i dati personali solo per gli scopi specifici indicati nella Parte 22 della presente Politica (o per altri scopi espressamente consentiti dal GDPR).
5.3 Gli interessati sono costantemente informati dello scopo o degli scopi per i quali la Società utilizza i propri dati personali. Si prega di fare riferimento alla Parte 12 per ulteriori informazioni su come informare gli interessati.
6. Elaborazione dei dati adeguata, pertinente e limitata
La Società raccoglierà e tratterà i dati personali solo per e nella misura necessaria per lo scopo o gli scopi specifici di cui gli interessati sono stati informati (o saranno informati) come nella parte 5, sopra, e come stabilito nella parte 21, sotto .
7. Accuratezza dei dati e aggiornamento dei dati
7.1 La Società garantisce che tutti i dati personali raccolti, elaborati e conservati siano mantenuti accurati e aggiornati. Ciò include, a titolo esemplificativo, la rettifica dei dati personali su richiesta dell'interessato, come indicato nella parte 14 di seguito.
7.2 L'accuratezza dei dati personali deve essere verificata al momento della raccolta e successivamente a intervalli regolari. Se i dati personali risultano inaccurati o non aggiornati, verranno prese tutte le misure ragionevoli senza indugio per modificare o cancellare tali dati, a seconda dei casi.
8. Conservazione dei dati
8.1 La Società non conserva i dati personali per un periodo superiore a quello necessario alla luce dello scopo o degli scopi per i quali tali dati personali sono stati originariamente raccolti, conservati ed elaborati.
8.2 Quando i dati personali non sono più necessari, saranno prese tutte le misure ragionevoli per cancellarli o eliminarli in altro modo senza indugio.
8.3 Per tutti i dettagli sull'approccio della Società alla conservazione dei dati, compresi i periodi di conservazione per specifici tipi di dati personali detenuti dalla Società, fare riferimento alla nostra Politica di conservazione dei dati.
9. Elaborazione sicura
La Società garantisce che tutti i dati personali raccolti, conservati ed elaborati siano tenuti al sicuro e protetti da trattamenti non autorizzati o illeciti e da perdite, distruzioni o danni accidentali. Ulteriori dettagli sulle misure tecniche e organizzative da adottare sono forniti nelle Parti da 22 a 27 della presente Politica.
10. Responsabilità e tenuta dei registri
10.1 La Società sarà responsabile della supervisione dell'attuazione della presente Politica e del monitoraggio della conformità alla presente Politica, alle altre politiche della Società relative alla protezione dei dati e al GDPR e ad altre normative applicabili sulla protezione dei dati.
10.2 La Società conserva una documentazione interna scritta di tutti i dati personali raccolti, conservati ed elaborati, che deve contenere le seguenti informazioni:
10.2.1 Il nome e i dettagli della Società e di eventuali terzi responsabili del trattamento dei dati;
10.2.2 Le finalità per le quali la Società raccoglie, detiene ed elabora i dati personali;
10.2.3 Dettagli delle categorie di dati personali raccolti, conservati ed elaborati dalla Società e delle categorie di dati a cui si riferiscono tali dati personali;
10.2.4 Dettagli di eventuali trasferimenti di dati personali verso paesi non SEE, inclusi tutti i meccanismi e le garanzie di sicurezza;
10.2.5 Dettagli sulla durata della conservazione dei dati personali da parte della Società (fare riferimento alla Politica sulla conservazione dei dati della Società); e
10.2.6 Descrizioni dettagliate di tutte le misure tecniche e organizzative adottate dalla Società per garantire la sicurezza dei dati personali.
11. Valutazioni di impatto sulla protezione dei dati
11.1 La Società effettuerà valutazioni di impatto sulla protezione dei dati per qualsiasi nuovo utilizzo dei dati personali che comporti l'uso di nuove tecnologie e il trattamento in questione possa comportare un rischio elevato per i diritti e le libertà degli interessati ai sensi del GDPR.
11.2 Le valutazioni d'impatto sulla protezione dei dati riguardano quanto segue:
11.2.1 Il tipo (i) di dati personali che saranno raccolti, conservati ed elaborati;
11.2.2 Gli scopi per i quali devono essere utilizzati i dati personali;
11.2.3 Gli obiettivi dell'azienda;
11.2.4 Come utilizzare i dati personali;
11.2.5 Le parti (interne e / o esterne) che devono essere consultate;
11.2.6 La necessità e la proporzionalità del trattamento dei dati rispetto alle finalità per le quali vengono elaborati;
11.2.7 Rischi posti agli interessati;
11.2.8 Rischi posti sia all'interno che alla Società; e
11.2.9 Misure proposte per minimizzare e gestire i rischi identificati.
12. Tenere informati gli interessati
12.1 La Società fornirà le informazioni di cui alla Parte 12.2 a ciascun interessato:
12.1.1 Laddove i dati personali siano raccolti direttamente dalle persone interessate, tali persone saranno informate delle sue finalità al momento della raccolta; e
12.1.2 Laddove i dati personali siano ottenuti da una terza parte, gli interessati saranno informati del suo scopo:
a) se i dati personali sono utilizzati per comunicare con l'interessato, al momento della prima comunicazione; o
b) se i dati personali devono essere trasferiti a un'altra parte, prima che tale trasferimento sia effettuato; o
c) non appena ragionevolmente possibile e comunque non oltre un mese dopo l'ottenimento dei dati personali.
12.2 Devono essere fornite le seguenti informazioni:
12.2.1 Dettagli della Società;
12.2.2 Lo scopo o gli scopi per i quali i dati personali vengono raccolti e saranno elaborati (come dettagliato nella Parte 21 della presente Politica) e la base giuridica che giustifica tale raccolta ed elaborazione;
12.2.3 Laddove applicabile, gli interessi legittimi su cui la Società giustifica la raccolta e l'elaborazione dei dati personali;
12.2.4 Laddove i dati personali non siano ottenuti direttamente dall'interessato, le categorie di dati personali raccolti e trattati;
12.2.5 Qualora i dati personali debbano essere trasferiti a uno o più soggetti terzi, estremi di tali soggetti;
12.2.6 Laddove i dati personali debbano essere trasferiti a una terza parte che si trova al di fuori dello Spazio economico europeo (il "SEE"), i dettagli di tale trasferimento, incluse ma non limitate alle garanzie in atto (vedere la parte 28 del questa Policy per ulteriori dettagli);
12.2.7 Dettagli sulla conservazione dei dati;
12.2.8 Dettagli sui diritti dell'interessato ai sensi del GDPR;
12.2.9 Dettagli del diritto dell'interessato di ritirare il proprio consenso al trattamento dei propri dati personali in qualsiasi momento;
12.2.10 Dettagli del diritto dell'interessato di sporgere denuncia presso l'Ufficio del Commissario per le informazioni (l '"autorità di controllo" ai sensi del GDPR);
12.2.11 Laddove applicabile, i dettagli di eventuali requisiti legali o contrattuali o obbligatori che richiedono la raccolta e l'elaborazione dei dati personali e i dettagli di eventuali conseguenze del mancato conferimento; e
12.2.12 Dettagli di qualsiasi processo decisionale o profilazione automatizzato che avverrà utilizzando i dati personali, comprese le informazioni su come verranno prese le decisioni, il significato di tali decisioni e le eventuali conseguenze.
13. Accesso dell'interessato
13.1 Gli interessati possono presentare richieste di accesso ai soggetti ("SAR") in qualsiasi momento per saperne di più sui dati personali che la Società detiene su di loro, cosa sta facendo con tali dati personali e perché.
13.2 Gli interessati che desiderano effettuare una richiesta di accesso al soggetto possono farlo per iscritto via e-mail a admin@mikelanemods.com.
13.3 Le risposte alle SAR saranno normalmente presentate entro un mese dal ricevimento, tuttavia ciò può essere prorogato fino a due mesi se la SAR è complessa e / o vengono fatte numerose richieste. Se è necessario tale tempo aggiuntivo, l'interessato deve essere informato.
13.4 La Società non applica commissioni per la gestione di normali SAR. La Società si riserva il diritto di addebitare tariffe ragionevoli per copie aggiuntive di informazioni che sono già state fornite a una persona interessata e per richieste manifestamente infondate o eccessive, in particolare laddove tali richieste siano ripetitive.
14. Rettifica dei dati personali
14.1 Gli interessati hanno il diritto di richiedere alla Società di rettificare i propri dati personali che siano inesatti o incompleti.
14.2 La Società rettificherà i dati personali in questione e informerà l'interessato di tale rettifica, entro un mese dall'interessato informando la Società del problema. Il periodo può essere prolungato fino a due mesi in caso di richieste complesse. Se è necessario tale tempo aggiuntivo, l'interessato deve essere informato.
14.3 Nel caso in cui i dati personali interessati siano stati divulgati a terzi, tali parti devono essere informate di qualsiasi rettifica che deve essere apportata a tali dati personali.
15. Cancellazione dei dati personali
15.1 Gli interessati hanno il diritto di richiedere alla Società la cancellazione dei dati personali in loro possesso nei seguenti casi:
15.1.1 Non è più necessario che la Società detenga tali dati personali in relazione agli scopi per i quali sono stati originariamente raccolti o elaborati;
15.1.2 L'interessato desidera revocare il proprio consenso alla Società che detiene e tratta i propri dati personali;
15.1.3 L'interessato si oppone alla Società che detiene ed elabora i propri dati personali (e non vi è alcun interesse legittimo prevalente per consentire alla Società di continuare a farlo) (vedere la Parte 18 della presente Politica per ulteriori dettagli riguardanti il diritto di opposizione);
15.1.4 I dati personali sono stati trattati illecitamente;
15.1.5 I dati personali devono essere cancellati per consentire alla Società di adempiere a un particolare obbligo legale.
15.2 A meno che la Società non abbia ragionevoli motivi per rifiutare di cancellare i dati personali, tutte le richieste di cancellazione devono essere rispettate e l'interessato informato della cancellazione entro un mese dal ricevimento della richiesta dell'interessato. Il periodo può essere prolungato fino a due mesi in caso di richieste complesse. Se è necessario tale tempo aggiuntivo, l'interessato deve essere informato.
15.3 Nel caso in cui i dati personali che devono essere cancellati in risposta alla richiesta dell'interessato siano stati comunicati a terzi, tali parti devono essere informate della cancellazione (a meno che non sia impossibile o richiedere uno sforzo sproporzionato per farlo).
16. Limitazione del trattamento dei dati personali
16.1 Gli interessati possono richiedere che la Società interrompa il trattamento dei dati personali in loro possesso. Se l'interessato presenta tale richiesta, la Società conserva solo la quantità di dati personali relativi a tale interessato (se presenti) necessari per garantire che i dati personali in questione non vengano ulteriormente trattati.
16.2 Nel caso in cui i dati personali interessati siano stati divulgati a terzi, tali parti devono essere informate delle restrizioni applicabili al loro trattamento (a meno che sia impossibile o richiederebbero uno sforzo sproporzionato per farlo).
17. Obiezioni al trattamento dei dati personali
17.1 Gli interessati hanno il diritto di opporsi al trattamento dei dati personali da parte della Società basato su interessi legittimi, marketing diretto (inclusa la profilazione).
17.2 Laddove l'interessato si opponga alla Società che elabora i propri dati personali sulla base dei suoi interessi legittimi, la Società cesserà immediatamente tale trattamento, a meno che non si possa dimostrare che i motivi legittimi della Società per tale trattamento prevalgono sugli interessi, i diritti e le libertà dell'interessato o che il trattamento sia necessario per lo svolgimento di azioni legali.
17.3 Qualora un interessato si opponga al trattamento dei dati personali da parte della Società per finalità di marketing diretto, la Società interromperà immediatamente tale trattamento
18. Dati personali raccolti, conservati ed elaborati
I seguenti dati personali sono raccolti, conservati ed elaborati dalla Società (per i dettagli sulla conservazione dei dati, fare riferimento alla Politica di conservazione dei dati della Società):
Tipo di dati: dettagli di contatto del cliente tramite modulo di richiesta del sito Web - nome, indirizzo e-mail e messaggio
Scopo dei dati: serve come metodo di contatto per i clienti e come metodo per raccogliere richieste di vendita tramite il sito web della Società
Tipo di dati: dettagli del cliente tramite negozio del sito Web: nome, nome dell'azienda (opzionale), indirizzo di spedizione, indirizzo di fatturazione, numero di telefono (opzionale), indirizzo e-mail
Finalità dei dati: essenziali per l'elaborazione, la spedizione, la gestione e il supporto di ordini esistenti e futuri, comunicazione con i clienti, finanza e fatturazione
Tipo di dati: dettagli del cliente tramite messaggio diretto – nome, indirizzo, indirizzo e-mail
Finalità dei dati: essenziali per l'elaborazione, la spedizione, la gestione e il supporto di ordini esistenti e futuri, comunicazione con i clienti, finanza e fatturazione
19. Sicurezza dei dati - Trasferimento di dati personali e comunicazioni
La Società garantisce che vengano prese le seguenti misure in relazione a tutte le comunicazioni e altri trasferimenti che coinvolgono dati personali:
19.1 Tutte le e-mail contenenti dati personali devono essere crittografate;
19.2 Tutte le email contenenti dati personali devono essere contrassegnate come "riservate";
19.3 I dati personali possono essere trasmessi solo su reti sicure; in nessun caso è consentita la trasmissione su reti non protette;
19.4 I dati personali non possono essere trasmessi su una rete wireless se esiste un'alternativa cablata ragionevolmente praticabile;
19.5 I dati personali contenuti nel corpo di un'e-mail, inviata o ricevuta, devono essere copiati dal corpo dell'e-mail e archiviati in modo sicuro. L'e-mail stessa dovrebbe essere eliminata. Anche tutti i file temporanei ad essi associati dovrebbero essere eliminati;
20. Protezione dei dati - Archiviazione
La Società deve garantire che vengano adottate le seguenti misure in relazione alla memorizzazione dei dati personali:
20.1 Tutte le copie elettroniche dei dati personali devono essere archiviate in modo sicuro utilizzando password e crittografia AES (Advanced Encryption Standard) a 256 bit;
20.2 Tutte le copie cartacee dei dati personali, insieme alle copie elettroniche archiviate su supporti rimovibili fisici, devono essere archiviate in modo sicuro in una scatola, un cassetto, un armadio o simili bloccati;
20.3 Tutti i dati personali archiviati elettronicamente devono essere sottoposti a backup a intervalli regolari con backup archiviati in sede e fuori sede. Tutti i backup devono essere crittografati utilizzando la crittografia a 256 bit Advanced Encryption Standard (AES). Il recupero dei dati dovrebbe essere possibile da remoto in caso di disastro locale o altra interruzione delle normali procedure di accesso;
20.4 Nessun dato personale deve essere archiviato su alcun dispositivo mobile (inclusi, a titolo esemplificativo, laptop, tablet e smartphone), indipendentemente dal fatto che tale dispositivo appartenga alla Società o meno; e
20.5 Nessun dato personale deve essere trasferito a qualsiasi dispositivo appartenente personalmente a un dipendente e i dati personali possono essere trasferiti solo a dispositivi appartenenti ad agenti, appaltatori o altre parti che lavorano per conto della Società in cui la parte in questione ha accettato di rispettare pienamente la lettera e lo spirito della presente Politica e del GDPR (che può includere la dimostrazione alla Società che sono state adottate tutte le misure tecniche e organizzative adeguate).
20.6 Quando si smaltiscono vecchi computer o altre apparecchiature contenenti dati personali, è necessario adottare misure approfondite per rimuovere completamente i dati. Ciò dovrebbe includere l'eliminazione di tutti i dati dal dispositivo, l'esecuzione di un ripristino dei dati di fabbrica e la distruzione fisica e lo smaltimento sicuro dei dischi rigidi, ove appropriato.
21. Sicurezza dei dati - Smaltimento
Quando i dati personali devono essere cancellati o altrimenti eliminati per qualsiasi motivo (compresi i casi in cui sono state effettuate copie e non sono più necessarie), dovrebbero essere eliminati in modo sicuro ed eliminati. I dati personali conservati in forma cartacea devono essere distrutti e riciclati o smaltiti. Per ulteriori informazioni sulla cancellazione e l'eliminazione dei dati personali, fare riferimento alla Politica di conservazione dei dati della Società.
22. Sicurezza dei dati - Utilizzo dei dati personali
La Società dovrà assicurare che vengano prese le seguenti misure in relazione all'uso dei dati personali:
22.1 Nessun dato personale può essere condiviso in modo informale e se un dipendente, agente, subappaltatore o altra parte che lavora per conto della Società richiede l'accesso a dati personali a cui non ha già accesso, tale accesso deve essere richiesto formalmente a l'azienda;
22.2 Nessun dato personale può essere trasferito a dipendenti, agenti, appaltatori o altri soggetti, indipendentemente dal fatto che tali soggetti operino per conto della Società o meno, senza l'autorizzazione della Società;
22.3 I dati personali devono essere trattati con cura in ogni momento e non devono essere lasciati incustoditi o in vista di dipendenti, agenti, subappaltatori o altre parti non autorizzati in qualsiasi momento;
22.4 Se i dati personali vengono visualizzati sullo schermo di un computer e il computer in questione deve essere lasciato incustodito per un periodo di tempo, l'utente deve bloccare il computer e lo schermo prima di lasciarlo; e
22.5 Laddove i dati personali detenuti dalla Società siano utilizzati per finalità di marketing, sarà responsabilità della Società garantire che sia ottenuto il consenso appropriato e che nessun interessato abbia rinunciato, direttamente o tramite un servizio di terze parti come il TPS.
23. Sicurezza dei dati - Sicurezza informatica
La Società garantisce che siano adottate le seguenti misure in materia di sicurezza informatica e delle informazioni:
23.1 Tutte le password utilizzate per proteggere i dati personali devono essere cambiate regolarmente e non devono usare parole o frasi che possono essere facilmente indovinate o altrimenti compromesse. Tutte le password devono contenere una combinazione di lettere maiuscole e minuscole, numeri e simboli;
23.2 In nessun caso le password devono essere scritte o condivise tra dipendenti, agenti, appaltatori o altre parti che lavorano per conto della Società, indipendentemente dall'anzianità o dal reparto. Se una password viene dimenticata, deve essere reimpostata utilizzando il metodo applicabile. Il personale IT non ha accesso alle password;
23.3 Tutto il software (incluso, ma non limitato a, applicazioni e sistemi operativi) deve essere mantenuto aggiornato. Il personale IT della Società sarà responsabile dell'installazione di tutti gli aggiornamenti relativi alla sicurezza non appena ragionevolmente e praticamente possibile, a meno che non vi siano valide ragioni tecniche per non farlo;
24. Misure organizzative
La Società deve assicurare che vengano prese le seguenti misure in relazione alla raccolta, detenzione e trattamento dei dati personali:
24.1 Tutti i dipendenti, agenti, appaltatori o altre parti che lavorano per conto della Società devono essere pienamente consapevoli sia delle proprie responsabilità individuali che delle responsabilità della Società ai sensi del GDPR e della presente Politica e gli viene fornita una copia della presente Politica;
24.2 Hanno accesso ai dati personali in possesso della Società solo i dipendenti, agenti, subappaltatori o altri soggetti che operano per conto della Società e che necessitano dell'accesso e dell'utilizzo dei dati personali per svolgere correttamente i compiti loro assegnati;
24.3 Tutti i dipendenti, agenti, appaltatori o altre parti che lavorano per conto della Società che trattano dati personali saranno adeguatamente formati a farlo;
24.4 Tutti i dipendenti, agenti, appaltatori o altre parti che lavorano per conto della Società che trattano dati personali saranno adeguatamente controllati;
24.5 Tutti i dipendenti, agenti, appaltatori o altre parti che lavorano per conto della Società che trattano i dati personali devono essere incoraggiati e incoraggiati a prestare attenzione, cautela e discrezione quando si discutono questioni relative al lavoro che riguardano i dati personali, sia sul posto di lavoro che altrimenti;
24.6 Le modalità di raccolta, conservazione e trattamento dei dati personali devono essere valutate e riviste regolarmente;
24.7 Tutti i dati personali in possesso della Società devono essere rivisti periodicamente, come indicato nella Politica di conservazione dei dati della Società;
24.8 Le prestazioni di quei dipendenti, agenti, appaltatori o altre parti che lavorano per conto della Società che trattano dati personali devono essere valutate e riviste regolarmente;
24.9 Tutti i dipendenti, agenti, appaltatori o altre parti che lavorano per conto della Società che trattano i dati personali saranno tenuti a farlo in conformità con i principi del GDPR e della presente Politica per contratto;
24.10 Tutti gli agenti, appaltatori o altre parti che lavorano per conto della Società che gestiscono i dati personali devono garantire che tutti i loro dipendenti coinvolti nel trattamento dei dati personali siano tenuti alle stesse condizioni di quei dipendenti rilevanti della Società derivanti fuori da questa Policy e dal GDPR; e
24.11 Laddove un agente, appaltatore o altra parte che lavora per conto della Società che gestisce i dati personali non adempia ai propri obblighi ai sensi della presente Politica, tale parte dovrà indennizzare e tenere indenne la Società da eventuali costi, responsabilità, danni, perdite, reclami o procedimenti che potrebbero sorgere da quel fallimento.
25. Trasferimento dei dati personali in un paese al di fuori del SEE
25.1 La Società può di volta in volta trasferire ('trasferimento' include la messa a disposizione in remoto) di dati personali verso paesi al di fuori del SEE.
25.2 Il trasferimento di dati personali in un paese al di fuori del SEE ha luogo solo se si applicano una o più delle seguenti condizioni:
25.2.1 Il trasferimento è verso un paese, territorio o uno o più settori specifici in quel paese (o un'organizzazione internazionale), che la Commissione Europea ha stabilito garantisce un livello adeguato di protezione dei dati personali;
25.2.2 Il trasferimento è verso un paese (o organizzazione internazionale) che fornisce garanzie adeguate sotto forma di un accordo giuridicamente vincolante tra autorità o organismi pubblici; regole aziendali vincolanti; clausole standard di protezione dei dati adottate dalla Commissione europea; conformità con un codice di condotta approvato approvato da un'autorità di controllo (ad es. l'Ufficio del commissario per le informazioni); certificazione secondo un meccanismo di certificazione approvato (come previsto dal GDPR); clausole contrattuali concordate e autorizzate dall'autorità di controllo competente; o disposizioni inserite in accordi amministrativi tra autorità pubbliche o organismi autorizzati dall'autorità di controllo competente;
25.2.3 Il trasferimento viene effettuato con il consenso informato dell'interessato / i interessato / i;
25.2.4 Il trasferimento è necessario per l'esecuzione di un contratto tra l'interessato e la Società (o per le misure precontrattuali adottate su richiesta dell'interessato);
25.2.5 Il trasferimento è necessario per importanti motivi di interesse pubblico;
25.2.6 Il trasferimento è necessario per lo svolgimento di azioni legali;
25.2.7 Il trasferimento è necessario per proteggere gli interessi vitali dell'interessato o di altri soggetti in cui l'interessato non è fisicamente o legalmente in grado di fornire il proprio consenso; o
25.2.8 Il trasferimento viene effettuato da un registro che, ai sensi del diritto del Regno Unito o dell'UE, ha lo scopo di fornire informazioni al pubblico e che è aperto al pubblico in generale o comunque a coloro che sono in grado di dimostrare un interesse legittimo in accedere al registro.
26. Notifica di violazione dei dati
26.1 Se si verifica una violazione dei dati personali e tale violazione può comportare un rischio per i diritti e le libertà degli interessati (ad es. perdita finanziaria, violazione della riservatezza, discriminazione, danno alla reputazione o altri danni sociali o economici significativi), la Società deve assicurare che l'Ufficio del Commissario per l'informazione sia informato della violazione senza indugio e, in ogni caso, entro 72 ore da quando ne è venuto a conoscenza.
26.2 Nel caso in cui una violazione dei dati personali possa comportare un rischio elevato (ovvero un rischio più elevato di quello descritto nella Parte 29.2) per i diritti e le libertà degli interessati, la Società deve garantire che tutti gli interessati interessati siano informato della violazione direttamente e senza indebito ritardo.
26.3 Le notifiche di violazione dei dati devono includere le seguenti informazioni:
26.3.1 Le categorie e il numero approssimativo di interessati in questione;
26.3.2 Le categorie e il numero approssimativo di record di dati personali interessati;
26.3.3 Il nome e i dettagli di contatto di un punto di contatto della Società dove è possibile ottenere maggiori informazioni;
26.3.4 Le probabili conseguenze della violazione;
26.3.5 Dettagli delle misure adottate o proposte da adottare da parte della Società per far fronte alla violazione, comprese, se del caso, misure per mitigare i suoi possibili effetti avversi.
27. Attuazione della politica
La presente Politica sarà considerata effettiva a partire dal 1 maggio 2018. Nessuna parte di questa Politica avrà effetto retroattivo e si applicherà quindi solo a questioni che si verificano a partire da tale data.
