Am 25.05.2018 tritt die EU-Verordnung 679/2016 (GDPR) zur Verarbeitung personenbezogener Daten in Kraft.
Deshalb:
Wir informieren Sie darüber, dass die GUARRACINO TRADE COMPANY S.R.L. seine Richtlinien angepasst hat und zu diesem Zweck fügen wir unser Offenlegungsmodell bei;
dass das Unternehmen GUARRACINO TRADE COMPANY S.R.L. als bevollmächtigt gilt, Ihre personenbezogenen Daten ausschließlich für die in den gleichen Informationen genannten Zwecke zu verarbeiten;
Wir laden Sie ein, Ihre interne Datenschutzrichtlinie zu beachten, die auf die neue EU-Verordnung aktualisiert wurde.
Das Unternehmen GUARRACINO TRADE COMPANY S.R.L. verpflichtet sich, die Privatsphäre der betroffenen Personen zu schützen und ist für die Sicherheit der Kundendaten verantwortlich. Wir machen uns klar und transparent über die Informationen, die wir sammeln und was wir mit diesen Informationen machen werden.
Diese Offenbarung legt folgendes fest:
Datenverantwortliche
Die Liste der Verarbeitung personenbezogener Daten (Artikel 30 Buchstabe C der GDPR Regeln)
Angabe der Zwecke, für die die Daten verarbeitet werden (Artikel 30 Buchstabe b der GDPR))
Die Methoden der Verarbeitung und Kommunikation
Bereiche und Werkzeuge, mit denen die Behandlungen durchgeführt werden
Die Analyse der Risiken, denen die Daten unterliegen, sowie der bereits ergriffenen und / oder möglicherweise zu ergreifenden Maßnahmen, um die Datenintegrität und -verfügbarkeit zu gewährleisten
Aufsichtskriterien gegenüber externen
Rechte der interessierten Partei
Verpflichtungserklärung und Unterschrift
Der Datenverantwortliche
Der Inhaber der Behandlungen ist das Unternehmen GUARRACINO TRADE COMPANY S.R.L. in der Person des Alleinvorstandes oder einer anderen Person, der die erforderlichen Vertretungsbefugnisse übertragen wurden.
Die GUARRACINO TRADE COMPANY S.R.L. hat seinen Sitz in Zona Industriale ASI Aversa Nord bei Centro SINE '-81032 Carinaro (CE), Umsatzsteuernummer IT06237151219.
Seine Pflichten und Verantwortlichkeiten sind durch das Gesetzesdekret 196/2003 (Datenschutzgesetz) und die EU-Verordnung 679/2016 definiert.
Der Datenverantwortliche ist insbesondere dafür verantwortlich, die für die Durchführung von Geschäftsprozessen erforderliche Verarbeitung zu ermitteln und die Zwecke, Methoden und Art der verarbeiteten Daten zu definieren. Der Datenverantwortliche ist in Übereinstimmung mit dem Kodex und der EU-Verordnung auch für die Einhaltung aller gesetzlichen Vorschriften in Bezug auf personenbezogene Daten verantwortlich.
Der für die Verarbeitung Verantwortliche ist dafür verantwortlich, die durchzuführenden Sicherheitsmaßnahmen zu definieren und den Antrag zu überwachen, um zu gewährleisten und nachweisen zu können, dass die Verarbeitung in Übereinstimmung mit dem Kodex und den Verordnungen erfolgt. Der Inhaber stellt - schließlich - die Ernennung der Behandlungsleiter vor und definiert die Aufgaben.
Darüber hinaus, meldet der Datenverantwortliche, in Übereinstimmung mit den kombinierten Bestimmungen der Artikel 33 und ss. der DSGVO im Falle der Verletzung personenbezogener Daten, den Verstoß der zuständigen Kontrollbehörde nach Art. 55 der gleichen europäischen Verordnung ohne begründeten Verzug und, wenn möglich, innerhalb von 72 Stunden ab dem Zeitpunkt seiner Bekanntgabe, es sei denn, der Verstoß birgt ein Risiko für die Rechte und Freiheiten natürlicher Personen unwahrscheinlich.
Die aktualisierte Liste aller Personen, die mit der Verarbeitung betraut sind, befindet sich am Sitz des Datenschutzbeauftragten.
Liste der Verarbeitung personenbezogener Daten
Die GUARRACINO TRADE COMPANY S.R.L. befasst sich mit den Daten im Zusammenhang mit Berichten und Geschäftsbeziehungen. Das Unternehmen verarbeitet auch Daten, die von Informationsagenturen, Gläubigerschutzverbänden, öffentlich zugänglichen Quellen (zum Beispiel Unternehmensregistern, Vereinsregistern, Katasterverzeichnissen, Kommunikationsmitteln), sowie - möglicherweise - anderen Unternehmen rechtmäßig zur Verfügung gestellt werden unterhält eine dauerhafte Geschäftsbeziehung.
Zu den personenbezogenen Daten gehören:
Die wichtigsten Daten / Kontaktdaten, genauer:
als Privatkunde: Name und Vorname, Adresse, Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer, Faxnummer), Sozialversicherungsnummer, Geburtsdatum,
als Firmenkunde oder -lieferant: Name des gesetzlichen Vertreters, Unternehmen, Umsatzsteuer-Identifikationsnummer, Buchungskreis, Anschrift, Kontaktdaten des Ansprechpartners (E-Mail-Adresse, Telefonnummer, Fax), Bankverbindung.
Die zusätzlichen verarbeiteten Daten sind:
Informationen über Art und Inhalt von Geschäftsbeziehungen, genauer gesagt Informationen zu Verträgen, Terminen, Verkäufen und Belegen, Kunden- und Lieferantenakten, Beratungsunterlagen,
Werbe- und Verkaufsdaten,
Dokumentationsdaten (z. B. Konsultationsprotokolle), Bilder,
Informationen aus elektronischen Transaktionen mit GUARRACINO TRADE COMPANY S.R.L. (z. B. IP-Adresse, Login-Daten),
sonstige im Rahmen unserer Geschäftsbeziehung erhaltene Daten (z. B. Gespräche mit Kunden),
Daten, die basierend auf Schlüsseldaten / Kontaktdaten und anderen Daten generiert werden, z. B. Analyse der Kundenbedürfnisse oder -Potenzial der Kunden.
Die Dokumentation Ihrer Zustimmungsbestätigung, um beispielsweise Newsletter zu erhalten.
Gemeinsame Daten von Kunden, Lieferanten, Mitarbeitern, Beratern und Dritten, die für das Arbeitsverhältnis und die Verfolgung berechtigter Geschäftsinteressen gemäß Art. 6 GDPR und aus Erwägung Nr. 47:
sensible und / oder gerichtliche Daten des abhängigen Personals, die sich aus dem Arbeitsverhältnis ergeben und sich auf Beziehungen mit Einrichtungen der sozialen Sicherheit und Fürsorge beziehen, für die ausdrücklich eine Einwilligung erteilt wurde;
Vorherige Zustimmung, sensible Daten von Kunden, Lieferanten und Dritten.
Zweck der Behandlung
Persönliche Daten werden verarbeitet:
1) ohne ausdrückliche Zustimmung (Artikel 24 Buchstabe a), b), c) Privacy Code und Kunst. 6 lett. b), e) GDPR) für folgende Verwendungszwecke:
Abschluss der Verträge für die Dienstleistungen des Eigentümers;
Erfüllung der vorvertraglichen, vertraglichen und steuerlichen Verpflichtungen, die sich aus den bestehenden Beziehungen ergeben;
erfüllen die erforderlichen Verpflichtungen nach Gesetz, Verordnungen, Vorschriften der Europäischen Gemeinschaft oder im Auftrag der öffentlichen Hand (wie Anti-Geldwäsche);
Ausübung der Rechte des Eigentümers, z. B. das Recht auf Verteidigung vor Gericht;
2) nur auf konkrete und spezifische Zustimmung (Art 23 und 130 des Datenschutzgesetzes und Art 7 BIPR), für die folgenden Marketingziele:
per E-Mail, Post und / oder SMS und / oder Telefon-Kontakte, Newsletter, Unternehmenskommunikation und / oder Vermarktung von Produkten oder Dienstleistungen durch den Eigentümer und die Erfassung des Grades der Zufriedenheit mit der Qualität der angebotenen Dienstleistungen zu senden;
per E-Mail, Post und / oder SMS und / oder Telefonkontakte kommerzielle Kommunikation und / oder Förderung von Dritten (z.B. Geschäftspartner, Versicherungsgesellschaften) senden.
Für bestehende Kunden zusätzlich behält sich das Unternehmen das Recht der kommerziellen Kommunikation ähnlich denen bezeichnet Halter, mit Ausnahme Dissens bereits profitiert in Bezug auf Produkte und Dienstleistungen zu senden (Art. 130 c. 4 Datenschutzgesetz).
Produktempfehlungen per E-Mail: In Übereinstimmung mit den gesetzlichen Bestimmungen der geltenden nationalen und supranationalen Gesetzgebung, hat die GUARRACINO TRADE COMPANY S.R.L. das Recht, die bei der Bestellung eines Produkts oder einer Dienstleistung angegebene E-Mail-Adresse als direkten Werbekanal für ähnliche Artikel oder Dienstleistungen zu nutzen. Für den Fall, dass Sie unseren Hinweis später nicht mehr per E-Mail erhalten möchten, können Sie Ihre Einwilligung zur Nutzung Ihrer Adresse jederzeit widerrufen, ohne dass Ihnen andere als die nach den Basistarifen vorgesehenen Übertragungskosten entstehen. Wenden Sie sich dazu bitte an den unter Punkt 1 angegebenen Kontakt. Natürlich enthält jede E-Mail auch einen Link, um mit der Stornierung fortzufahren.
Newsletter: Für den Versand des Newsletters verwendet das Unternehmen das sogenannte "Double-Opt-In" -Verfahren, dh ein Newsletter wird nur dann per E-Mail versandt, wenn zuvor ausdrücklich der Wunsch bestätigt wurde, den Newsletter-Service während des Newsletter zu aktivieren Registrierungsverfahren. Es liegt daher in der Verantwortung des Unternehmens, eine E-Mail-Benachrichtigung zu senden, mit der Sie bestätigen können, dass Sie unsere Newsletter erhalten möchten, indem Sie auf den entsprechenden Link klicken, der im Text des Newsletters enthalten ist.
Falls Sie unsere Newsletter später nicht mehr per E-Mail erhalten möchten, können Sie Ihre Einwilligung zur Nutzung jederzeit widerrufen, ohne dass Ihnen andere als die nach den Basistarifen vorgesehenen Übertragungskosten entstehen. Senden Sie eine schriftliche Mitteilung an GUARRACINO TRADE COMPANY S.R.L.
Verarbeitungsmethoden und Kommunikation
Die Daten werden zu Zwecken verarbeitet, die sich auf gegenseitige Verpflichtungen aus dem Vertrag mit der GUARRACINO TRADE COMPANY S.R.L beziehen. sowie für die Verpflichtungen, die durch Gesetze und Verordnungen erforderlich sind, auch DIE sekundäre. Die Daten werden unter Verwendung geeigneter Instrumente verarbeitet, um Sicherheit und Vertraulichkeit zu gewährleisten, und können auch durch automatisierte Instrumente zum Speichern, Verwalten und Übertragen der Daten in gesetzmäßiger und korrekter Weise durchgeführt werden, die für spezifische, explizite und legitime Zwecke gesammelt und aufgezeichnet werden; genau aktualisiert; relevant, vollständig und nicht übermäßig in Bezug auf die Zwecke der Verarbeitung.
Wir informieren Sie darüber hinaus, dass die oben erwähnte Verarbeitung personenbezogener Daten, die das Arbeitsverhältnis mit GUARRACINO TRADE COMPANY S.R.L. betreffen, verbunden und / oder instrumentell sind, durchgeführt und / oder mitgeteilt/ an folgenden Personen werden können:
von / zu öffentlichen Verwaltungen, öffentlichen und privaten Trägern der sozialen Sicherheit, Gewerkschaften, bilateralen Gremien, gemischten Kommissionen und ergänzenden zusätzlichen Rentenfonds mit obligatorischer oder freiwilliger Mitgliedschaft;
von / zu Unternehmen oder Konsortien, von Fachleuten, die dem Verfasser Beratungs- und / oder Verarbeitungsleistungen erbringen oder Tätigkeiten ausüben, die für das Unternehmen von wesentlicher Bedeutung sind, insbesondere von Rechtsanwälten und Beratern im Allgemeinen;
von / zu Versicherungsunternehmen, Maklern, Sachverständigen und Fluggesellschaften und Eisenbahnunternehmen, Reisebüros, Leasing- oder Autovermietunternehmen, Kreditkartenausstellern und Essensgutscheinen, Kunden- und Lieferantenbanken und im Allgemeinen an Dritte für wen notwendig bei der Ausübung seiner normalen Arbeitstätigkeit;
von / zu Personen, für die das Recht auf Zugang zu Ihren personenbezogenen Daten durch Rechtsvorschriften oder sekundäres Gemeinschaftsrecht sowie durch Kollektiv- und Unternehmensverhandlungen anerkannt wird;
von / zu Personen, an die die Übermittlung Ihrer persönlichen Daten notwendig ist oder die in jedem Fall mit der Verwaltung des Arbeitsverhältnisses zusammenhängen.
Obligatorische Mitteilung der Delegation an das Arbeitsministerium (Artikel 39 und 40 des gesetzesvertretenden Dekrets Nr. 112/2008, umgewandelt durch Gesetz Nr. 133/2008)
Die Subjekte, die zu den Kategorien gehören, zu denen die Daten übermittelt werden können, behandeln sie als "Eigentümer" gemäß dem Gesetz in voller Autonomie und stehen in keinem Zusammenhang mit der ursprünglichen Behandlung, die im Unternehmen durchgeführt wird. Auch für die Zwecke der wirtschaftlichen Tätigkeit des Unternehmens und des Arbeitsverhältnisses könnte es erforderlich sein, personenbezogene Daten zu verarbeiten, die in der Liste der sensiblen Daten enthalten sind, die Daten, die geeignet sind, rassische oder ethnische Herkunft sowie religiöse und weltanschauliche Überzeugungen zu erkennen oder auf andere Weise, die Haftung gegenüber Parteien, Gewerkschaften, Vereinigungen und Organisationen religiöser, weltanschaulicher, politischer oder gewerkschaftlicher Natur sowie persönlichen Daten, die geeignet sind, den Gesundheitszustand und das Sexualleben zu erfassen, oder solche, die sich auf die Registrierung im Strafregister beziehen.
Wir informieren Sie auch, dass in Bezug auf die oben genannte Verarbeitung der Betroffene die Rechte gemäß Art. 7 des Gesetzesdekrets Nr. 196/2003 und Kunst. 15 G.D.P.R .
Gemäss Art. 13 des Gesetzesdekrets. 196/2003 stellt auch fest, dass "jede Weigerung zu antworten", zum Zeitpunkt der Erfassung von Informationen, oder die mögliche Verweigerung der Verarbeitung von Daten zur objektiven Unmöglichkeit führen könnte, einen Teil der rechtlichen Verpflichtungen zu beachten und / oder Vertrag im Zusammenhang mit dem Arbeitsverhältnis; Beziehung, die daher nicht hergestellt oder fortgesetzt werden kann.
Der Datenschutzbeauftragte verarbeitet die personenbezogenen Daten für die Zeit, die zur Erfüllung der oben genannten Zwecke erforderlich ist, in jedem Fall jedoch nicht länger als 10 Jahre nach Beendigung der Nutzungsvereinbarung und nicht später als 2 Jahre nach der Erhebung der Daten für die Marketingzwecke.
Personenbezogene Daten werden auf Servern innerhalb der Europäischen Union gespeichert. In jedem Fall hat der Datenverwalter das Recht, die Server gegebenenfalls auch außerhalb der EU zu bewegen. In diesem Fall stellt der Datenschutzbeauftragte sicher, dass die Übermittlung von Nicht-EU-Daten unter Einhaltung der von der Europäischen Kommission bereitgestellten Standardvertragsklauseln gemäß den geltenden Rechtsvorschriften erfolgt.
Bereiche und Werkzeuge, mit denen die Behandlungen durchgeführt werden
Die Internet Infrastruktur von GUARRACINO TRADE COMPANY S.R.L. zeichnet sich durch einen einzigen zentralen Server aus.
Die GUARRACINO TRADE COMPANY S.R.L hat folgende Managementsysteme:
Mozilla Thunderbird Client E-Mail
Ad-hoc-Dokument zur Ermittlung der Anwesenheit von Mitarbeitern
Webserver
Client-PC
Intranet
Für interne Verbindungen wird ein LAN verwendet; Externe Konnektivität "Internet" ist dediziert, nutzt Glasfaser- / ADSL-Technologie, wird von externen Lieferanten verwaltet und durch eine doppelte interne Firewall vor Ort geschützt, die jegliche Datenübertragungen nach außen abdeckt. Der Zugang durch Lieferanten und Wartungspersonal erfolgt immer mit der vorherigen Genehmigung des Eigentümers.
Die einzige Papierdokumentation sind die Rechnungsausdrucke bei Abschluss der Verträge mit dem Unternehmen.
Papierdokumente werden normalerweise in Schränken (oder gleichwertig) aufbewahrt, die mit einem Schloss ausgestattet sind, das dem Personal, das für die Behandlungen selbst verantwortlich ist, zur Verfügung gestellt wird. Soweit dies mit den Zwecken und der Struktur der Dokumente vereinbar ist, werden die spezifischen Dokumente mit sensiblen Daten getrennt aufbewahrt. In den Fällen, in denen sie zentral hergestellt werden, werden die in diesem Modell definierten spezifischen Sicherheitsverfahren angewendet.
Analyse der Risiken, denen die Daten unterliegen
Um eine Politik in Bezug auf Sicherheit und Privatsphäre gemäß der EU-Verordnung 679/2016 umzusetzen, und trotz des Fehlens einer ausdrücklichen Verpflichtung dazu, hat die GUARRACINO TRADE COMPANY S.R.L.eine Risikoanalyse durchgeführt, die zusammengefasst werden kann.
Für personenbezogene Daten (gemeinsame Daten) von Mitarbeitern, Kunden, Lieferanten, Beratern und möglicherweise Dritten: Das mit ihrer Verwaltung verbundene Risiko kann als gering eingestuft werden
Für sensible Daten von Mitarbeitern, Kunden, Lieferanten, Beratern und möglicherweise Dritten, denen ausdrücklich zugestimmt wurde: Das mit ihrer Verwaltung verbundene Risiko kann als mittel / niedrig definiert werden.
Das Risiko des Zugangs zum Firmensitz kann als gering definiert werden: Der Zugang wird vom privaten Sicherheitsdienst kontrolliert.
Es gibt ein angemessenes Diebstahlschutzsystem mit angeschlossenem Videoüberwachungsdienst.
Das Risiko der Manipulation und / oder des Ausfalls der Datenverarbeitungs-Managementausrüstung kann als niedrig definiert werden: Die Strukturen sind tatsächlich mit einem Diebstahlschutzsystem ausgestattet. Das Personal ist sensibilisiert für die Verwendung und Verwaltung der Ausrüstung. Die verwendete Hardware besteht aus primären und neueren Herstellern. Der Maschinenpark wird intern verwaltet und durch Garantieverträge abgedeckt.
Das Risiko von nicht autorisierter Software und den unbefugten Zugriff auf Anwendungsprogramme können wie niedrig definieren: Alle Benutzer haben Zugriff auf Unternehmensressourcen mit Standardprofil, das gehemmte Verwaltungsfunktionen der Workstation sind. Die Installation von unkontrollierten Programmen wird daher verhindert.
Der Zugriff auf die Anwendungsressourcen erfolgt durch die Angabe eines persönlichen und nicht übertragbaren Benutzernamens und Passworts. Diese sind mit Berechtigungsprofilen verknüpft, die den Zugriff auf Bereiche, für die Sie nicht autorisiert sind, verbieten.
Die Session-Block-Verwaltung findet automatisch statt, wenn die Workstation nicht lange benutzt wird.
Das Risiko im Zusammenhang mit der Datenverarbeitung (unbefugter Zugriff auf Archive, Änderung oder Löschung von Daten, Verlust (versehentlich oder böswillig) von Daten, Überwachung von Übertragungen, Unfähigkeit, Daten nach einem Ereignis wiederherzustellen, das sie beschädigt hat) kann als gering eingestuft werden: Der Zugriff auf Unternehmensressourcen erfolgt über ein Berechtigungsprofil.
Die Papierdokumentation wird in abgeschlossenen Räumen aufbewahrt.
Das LAN-Netzwerk ist vor einem externen Zugriff durch ein Firewall-System geschützt.
Sicherheitsmaßnahmen für Datenintegrität und Verfügbarkeit
Um personenbezogene Daten vor den im vorstehenden Absatz genannten Risiken zu schützen, werden die folgenden Sicherheitsmaßnahmen ergriffen.
1) Maßnahmen für die physische Sicherheit
Um die physische Sicherheit der Räumlichkeiten zu gewährleisten, in denen personenbezogene Daten verarbeitet werden, werden zusätzlich zu den gesetzlich vorgesehenen Maßnahmen (z. B. Gesetzesdekret 81/2008) oder internen Unternehmensregeln (Standortschutz) folgende Kontrollen durchgeführt: Kritische Informationssicherheitsgeräte (Netzwerkserver, Dateiserver, Datenbankserver, Router, Switches und Firewalls) werden in geschlossenen Räumen installiert, wenn keine Personen für Wartungs- und Supportaktivitäten anwesend sind.
Zugang zu diesen Bereichen erhalten nur Wartungspersonal oder zuvor autorisiertes Personal.
Mitarbeiter außerhalb des Unternehmens haben Zugang zu den Räumlichkeiten und bleiben dort für die Zeit, die erforderlich ist, um die angeforderte Tätigkeit (z. B. Reinigung oder Wartung) abzuschließen, nur nach ausdrücklicher Genehmigung durch die Mitarbeiter und unter ständiger Anwesenheit derselben.
Datensicherungen - eventuell auch sensible - werden auf einer physischen Festplatte von der benannten Stelle durchgeführt, deren Zugriff autorisierten Personen erlaubt ist, sie zu behalten, zu warten und zur Verarbeitung berechtigt ist.
Die Räumlichkeiten für Archive werden direkt vom Eigentümer verwaltet, für sensible Daten sind diese in speziellen Schränken geschlossen, während alle anderen Daten in Papierform aufbewahrt werden. Der Schutz wird durch das Büro und die dort beschäftigten Mitarbeiter repräsentiert.
2) Maßnahmen für die logische Sicherheit
Um die logische Sicherheit von Informationen zu gewährleisten, sind folgende Überprüfungen vorgesehen:
Um die Arbeitsplätze (Endgeräte und PC) zu nutzen und auf die Anwendungen zur Datenverarbeitung zuzugreifen, müssen die Mitarbeiter einen Benutzer (Benutzer-ID) und ein Authentifizierungskennwort verwenden.
Die Benutzer sind streng individuell und werden vom Systemadministrator auf Anfrage des Eigentümers erstellt. Wenn der Benutzer erstellt wurde, muss der Benutzer sein eigenes Passwort gemäß den unten angegebenen Regeln angeben.
Benutzer dürfen aus keinem Grund einer anderen Person zugewiesen werden. Wenn ein Beauftragter das Unternehmen verlässt, können seine Nutzer nicht mehr genutzt werden.
Das Unternehmen prüft regelmäßig, ob es seit sechs Monaten keine Versorgungsleistungen mehr gibt und diese deaktiviert.
Bevor Sie einen Benutzer löschen, erkundigen Sie sich beim Eigentümer, ob der Bedarf, der zu seiner Erstellung geführt hat, bestehen bleibt und, mit seiner Zustimmung, die entsprechenden Maßnahmen (Kündigung oder Wartung) zu treffen.
Wenn die Gründe, aufgrund derer ein Benutzer erstellt wurde, verloren gehen (Rücktritt, Änderung der Aktivitäten, technologische Änderungen), deaktiviert der Systemadministrator den Benutzer sofort. Benutzer können an ihrem Platz gehalten (aber deaktiviert) werden, bis die Lieferaktivitäten zwischen der vorherigen und der neuen Person abgeschlossen sind; alles muss dokumentiert werden. An dieser Stelle wird es zusammen mit allen Ausrüstungsqualifikationen gestrichen.
Benutzer werden mit einem Passwort authentifiziert. Dies ist geheim und sollte nicht an andere weitergegeben oder unbeaufsichtigt gelassen werden, zum Beispiel durch das Schreiben in Tagebüchern oder auf Notizblättern. Eine unrechtmäßige Verarbeitung durch Diebstahl des Passworts von einer verantwortlichen Person ist jedoch der Person zuzuschreiben, die sie nicht ordnungsgemäß aufbewahrt hat.
Wenn ein Passwort vergessen wird, ist der Systemadministrator davon überzeugt, dass der Antragsteller die verantwortliche Person ist, die mit dem Antragsteller nach den Regeln oben angegebenen die rechtmäßigen Eigentümer und geht zu einem neuen Satz ist.
Notfälle zu überwinden oder berechtigte Anträge auf Zugang zu Daten zu beantworten, kann der Systemadministrator das Kennwort eines Benutzers für einen temporären Zugriff neu eingestellt. Die ausgeführte Aktivität muss dokumentiert werden und der rechtmäßige Besitzer des Passworts muss so schnell wie möglich informiert werden. An diesem Punkt wird es seine Sorge sein, das für die Notfallsituation verwendete Passwort zu ändern und ein neues, nur ihm bekanntes zu setzen.
Jede verantwortliche Person ist verpflichtet, den Arbeitsplatz während einer Arbeitssitzung nicht unbeaufsichtigt zu lassen. Sollte es notwendig sein, die Sitzung zu schließen und im Falle eines PC den Zugriff auf andere zu verhindern, verwenden Sie möglichst die PC-Sperrfunktion oder stellen Sie alternativ ein Bildschirmschonerprogramm mit Passwort bereit, wenn keines der beiden anwendbar ist, muss der Benutzer die aktive Sitzung beenden.
Verwendung und Passwort steuern das Recht einer Person, die mit einer Workstation arbeitet und auf eine Anwendung zugreift. Die Daten werden gemäß einem Berechtigungsprofil verarbeitet, das gemäß den tatsächlichen Betriebsbedürfnissen der verantwortlichen Person und in Übereinstimmung mit den jeweiligen Berechtigungen ausgestellt wird.
Das Aktivierungsprofil wird vom Systemadministrator gemäß den Berechtigungen, die ihm vom Eigentümer mitgeteilt wurden, festgelegt. Eine Kopie der Aktivierungsanfrage und Autorisierung wird gescannt und dann im IT-System des Unternehmens aufgezeichnet.
Einmal pro Jahr wird die Liste der aktivierten Benutzer und die zugehörigen Berechtigungsprofile an den Eigentümer übermittelt. Dies bestätigt die Richtigkeit der Berechtigungen und die Dauerhaftigkeit der Notwendigkeit derselben. Bestätigen oder fordern Sie dann Updates an, die zu prüfende Dokumentation muss für eine spätere Verifizierung archiviert werden.
3) Maßnahmen zur Sicherheit der Kommunikation
Um die Sicherheit der Kommunikation zu gewährleisten, sind folgende Kontrollmaßnahmen vorgesehen:
Auf allen Workstations mit dem Internet ein Antivirus-Programm angeschlossen installiert ist, durch die Server-Komponente ausführen, werden die Updates automatisch und erfolgen mindestens einmal jährlich für den Software-Teil und für die tägliche Virendefinitionen.
Der "Internet" -Zugang nach außen wird durch eine Firewall gesteuert, die Verwaltung wird an das interne Personal weitergeleitet, das regelmäßig überprüft, ob die Zugangs- und Kontrollrichtlinien immer aktuell und konform sind.
Jede Datenübertragung nach außen muss vom Eigentümer autorisiert werden und muss über das offizielle System erfolgen, das identifiziert wurde. Dieses System muss Kommunikationsverschlüsselungssysteme bereitstellen.
Der E-Mail-Dienst wird auf dem Mobile Thunderbird- "Hosting" -Dienst verwaltet. Die Nutzung ist jedoch zuvor autorisiert. Der Austausch personenbezogener Daten durch diesen Kanal sollte nur dann erfolgen, wenn es absolut notwendig, in jedem Fall ausdrücklich angefordert und autorisiert ist, so müssen die Informationen nicht sensiblen Daten, die mögliche Bereitstellung solcher Daten enthalten kann, die Anwendung geeigneter Werkzeuge sind folgende implementiert werden entworfen, um verständliche Kommunikationen zu machen.
4) Kommunikation und Datenübertragung
Handelt es sich bei den Daten, für die die Gesellschaft die für die Verarbeitung Verantwortliche ist, um eine Mitteilung oder Übermittlung an Dritte, wird eine angemessene Überprüfung der Übereinstimmung dieser Mitteilung mit den interessierten Parteien zur Verfügung gestellten Informationen durchgeführt. Wenn diese Überprüfung fehlschlägt, kann die Kommunikation nicht stattfinden.
Im Falle einer positiven Rückmeldung können die Kommunikation und / oder die Übermittlung von Daten an Dritte unter Einhaltung der Zwecke der Informationen erfolgen, die dem Empfänger der Mitteilung oder Übermittlung schriftlich mitgeteilt wurden.
Wenn die Empfänger der Mitteilung in den Informativen durch allgemeine Angaben identifiziert werden, führt der Organisator der Behandlungen ein Register, in dem die spezifischen Empfänger ordnungsgemäß angegeben sind.
Die Übermittlung von Daten zu Behandlungen, für die das Unternehmen External Responsible ist, ist nur zulässig, wenn der Empfänger der Kommunikation vom Datenverantwortlichen ordnungsgemäß identifiziert und autorisiert wurde; in allen anderen Fällen kann die Mitteilung nicht stattfinden.
5) Verwaltung und Aufbewahrung von Papierdokumenten
Alle autorisierten Händler für Behandlungen, die die Verwendung von Papierdokumenten vorsehen, sind mit Schließfächern oder verschließbaren Behältern ausgestattet, um Dokumente, die personenbezogene Daten enthalten, ordnungsgemäß zu schützen und zu speichern.
Wenn es mit ihrer physischen Struktur vereinbar ist, werden Dokumente, die bestimmte Daten enthalten, getrennt von Dokumenten aufbewahrt, die nur gemeinsame Daten enthalten, und der Zugriff ist weiterhin nur auf Verantwortliche beschränkt, die Aufgaben ausführen, die ihre Verwendung erfordern.
Die Dokumente, die keinen betriebsnotwendigen Wert mehr haben, unterliegen der Konservierung nur, wenn dies aufgrund rechtlicher Verpflichtungen oder aus rechtlichen, historischen und pünktlich festgelegten Gründen geschieht, die vom Datenverantwortlichen identifiziert und vom Organisationsmanager dokumentiert werden. Die Lagerung erfolgt in der Regel in speziellen Lagerräumen, deren Zugang kontrolliert wird.
6) Nutzung und Verwahrung von elektronischen Instrumenten
Die IT-Instrumente sind gegen die Risiken des Eindringens und der Aktion von Programmen gemäß Art geschützt. 615 quinquies des Strafgesetzbuches durch die Aktivierung von geeigneten elektronischen Instrumenten. Die Aktualisierung dieser Instrumente sowie allgemein die regelmäßigen Aktualisierungen von Programmen zur Verhinderung der Verwundbarkeit elektronischer Werkzeuge und zur Behebung von Mängeln werden mindestens alle sechs Monate durchgeführt.
Die den Mitarbeitern zur Verfügung gestellten Arbeitsplätze sind mit den entsprechenden Schutzwerkzeugen ausgestattet und die Sicherheitsfunktionen werden gemäß den technischen Spezifikationen der einzelnen Geräte aktiviert. Händler werden verhindert (oder, falls nicht technisch möglich, angewiesen), diese vorkonfigurierten Einstellungen zu ändern.
7) Beziehungen zu Lieferanten
In Bezug auf ihre Lieferanten wendet die Gesellschaft entsprechende Vertragsklauseln an, um ihre Rechte und Pflichten in Bezug auf die Verarbeitung personenbezogener Daten zu wahren.
Zu diesem Zweck wurden in Übereinstimmung mit den verschiedenen Arten von Standardverträgen, die von dem Unternehmen verwendet werden, spezifische Klauseln entwickelt, um die Rolle und Pflichten des Lieferanten im Detail zu sichern und zu definieren.
8) Einschränkungen beim Zugriff auf Datenbanken
Die Verwendung von generischen Extraktions- und Reporting-Tools aus Datenbanken, die sensible oder anderweitig vertrauliche personenbezogene Daten enthalten, muss daher auf einige speziell autorisierte Subjekte beschränkt werden, wobei in allen anderen Fällen vordefinierte Anwendungsinstrumente implementiert werden.
Überwachungskriterien für externe Manager
Das Unternehmen GUARRACINO TRADE COMPANY S.R.L. in den Fällen, in denen es die Verarbeitung personenbezogener Daten an Dritte anvertraut, von denen die Gesellschaft die für die Behandlungen verantwortliche externe Stelle ist, regelt sie die folgenden aufsichtsrechtlichen Kriterien.
Bei der Bestellung einer Person außerhalb des Verantwortungsbereichs und in Übereinstimmung mit dem angeforderten Dienst werden detaillierte Anweisungen zu den zu beachtenden Sicherheitsanforderungen gegeben die von dem Unternehmen durchgeführte Überwachung basiert auf einem organisatorischen, logischen und physischen Plan.
1) Organisatorische Überwachung
Der externe Manager wird um eine spezifische Erklärung bezüglich der Umsetzung der in den technischen Vorschriften vorgesehenen Mindestsicherheitsmaßnahmen gebeten.
Das Unternehmen behält sich das Recht vor, sowohl die rechtzeitige Bestellung des Personals, das vom Lieferanten für die Ausführung der betrauten Dienstleistungen verwendet wird, als auch die abgeschlossene Schulung zu überprüfen. Eine Kopie der Verfahren zur Meldung von Vorfällen wird auch in folgenden Fällen verlangt:
Vorhandensein von Viren
Wiederherstellung von Daten aus Sicherungskopien
versehentlicher Verlust oder Zerstörung von Daten
2) Logische Überwachung
Der Manager muss halbjährlich aktualisierte Informationen zu den Behandlungen, bei denen die Gesellschaft Inhaber ist, in Bezug auf Folgendes erstellen:
Vollständige Liste der definierten Benutzer-IDs
Benutzer-ID, die im Zeitraum nicht verwendet wurde
Beschreibung der Fälle der Neuinitialisierung von Passwörtern
Erkennung von effektiven Passwortänderungsraten
Darüber hinaus müssen alle Ereignisse, die zu Vorfällen gemeldet wurden, die sich auf die Behandlungen des Unternehmens beziehen, innerhalb von 15 Tagen nach ihrem Auftreten angemessen kommuniziert und dokumentiert werden.
In Abständen von mindestens einem Jahr wird der Lieferant gebeten, in Gegenwart von Mitarbeitern des Unternehmens eine Simulation der Wiederherstellungsverfahren durchzuführen.
3) Physische Aufsicht
Die Identifizierung und Beschreibung der Orte, an denen die Sicherung die Daten und / oder die anvertrauten Computerprogramme unterstützt, wird angefordert. Eine vollständige Kopie des Archivs muss der Gesellschaft vierteljährlich zur unabhängigen Verwahrung in ihren eigenen Räumlichkeiten zur Verfügung gestellt werden.
Rechte der interessierten Partei
Die interessierte Partei gemäß und durch Wirkung der Kunst. 7 des Datenschutzgesetzes und Kunst. 15 GDPR) hat das Recht, eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten, auch wenn sie noch nicht registriert sind, und ihre Mitteilung in verständlicher Form bestätigen. und genau die Rechte von:
1) eine Bestätigung darüber erhalten, ob persönliche Daten über Sie, auch wenn sie noch nicht registriert sind, und deren Mitteilung in verständlicher Form vorliegen;
2) Erhalten Sie den Hinweis:
a) der Herkunft der persönlichen Daten;
b) die Zwecke und Methoden der Verarbeitung;
c) der Logik, die im Falle einer Behandlung mit Hilfe elektronischer Instrumente angewandt wird;
d) der Identifikationsdetails des Eigentümers, der Manager und des benannten Vertreters gemäß Art. 5, Absatz 2 des Datenschutzgesetzes und Kunst. 3, Absatz 1, GDPR;
e) die Subjekte oder Kategorien von Subjekten, denen die persönlichen Daten mitgeteilt werden können oder die sie in ihrer Eigenschaft als Vertreter im Staatsgebiet, Manager oder Agenten kennenlernen können;
3) bekommen:
a) Aktualisierung, Berichtigung oder, falls Interesse besteht, Integration von Daten;
b) die Löschung, Umwandlung in anonyme Form oder Sperrung von Daten, die unrechtmäßig verarbeitet wurden, einschließlich Daten, deren Aufbewahrung für die Zwecke, für die die Daten gesammelt oder später verarbeitet wurden, unnötig ist;
c) die Bescheinigung, dass die in den Buchstaben a) und b) genannten Vorgänge auch in Bezug auf den Inhalt der Personen, denen die Daten mitgeteilt oder verbreitet wurden, zur Kenntnis genommen wurden, außer im Falle einer solchen Erfüllung es erweist sich als unmöglich oder beinhaltet die Verwendung von Mitteln, die zu dem geschützten Recht offensichtlich unverhältnismäßig sind;
4) sich ganz oder teilweise zu widersetzen:
a) aus legitimen Gründen die Verarbeitung personenbezogener Daten, die Sie betreffen, auch wenn diese für den Zweck der Sammlung relevant sind;
b) zur Verarbeitung personenbezogener Daten, die Sie betreffen, zum Zweck der Zusendung von Werbe- oder Direktverkaufsmaterial oder zur Durchführung von Marktforschungen oder kommerzieller Kommunikation, unter Verwendung von automatischen Anrufsystemen ohne die Intervention eines Betreibers per E-Mail und / oder durch traditionelle Marketing-Methoden per Telefon und / oder Papierpost.
Es ist darauf hinzuweisen, dass sich das zuvor dargelegte Widerspruchsrecht der interessierten Partei für Direktvermarktungszwecke durch automatisierte Verfahren auf die traditionellen erstreckt und dass in jedem Fall die Möglichkeit besteht, dass der Betroffene das Widerspruchsrecht auch nur teilweise ausübt . Daher kann die interessierte Partei beschließen, nur Kommunikationen zu empfangen, die herkömmliche Methoden oder nur automatisierte Kommunikation oder keine der beiden Arten von Kommunikation verwenden. Gegebenenfalls hat es auch die in den Artikeln genannten Rechte 16-21 Datenschutz-Grundverordnung (Berichtigungsrecht, Recht auf Vergessenwerden, Recht auf Beschränkung der Behandlung, Recht auf Datenübertragbarkeit, Widerspruchsrecht) sowie das Recht auf Beschwerde bei der Garantin.
Schlussbemerkungen, Verpflichtungserklärung und Unterschrift
Das vorliegende Dokument beruht auf der Analyse der Probleme im Zusammenhang mit dem Inkrafttreten der in der Einleitung erwähnten EU-Verordnung 679/2016.
Die Kopie dieses Dokuments ist den Empfängern der früheren Mitteilungen beigefügt, so dass sie als eine Anweisung bezüglich der Aufgaben und Regeln verwendet werden kann, die bei der von dem Unternehmen GUARRACINO TRADE COMPANY S.R.L.
Dieses Dokument ist am Ende von SIMONE GUARRACINO als EINZELVERWALTER der GUARRACINO TRADE COMPANY S.R.L.
Das Original des Dokuments wird in der GUARRACINO TRADE COMPANY S.R.L.-Zona Industriale ASI Aversa Nord bei Centro SINE '-81032 Carinaro (CE) aufbewahrt (wird im Falle von Kontrollen ausgestellt).
Eine Kopie wird geliefert:
an alle, die dies im Zusammenhang mit der Herstellung einer Beziehung zur Verarbeitung personenbezogener Daten verlangen.
Kontaktieren Sie uns
Benötigen Sie Hilfe bei dem Kauf? Noch Fragen?
Der Kundendienst steht Ihnen von Montag bis Freitag von 09:00 bis 18:00 Uhr in den Sprachen, Italienisch, Französisch, Englisch, Deutsch und Spanisch zur Verfügung.