Codice Privacy 2016 - Procedura clean desk - ver 1

Codice Privacy
Procedura Clean Desk
GESEM SRL
Procedura Clean Desk
 GeSeM Srl
Sede Legale: Piazza Cinque Giornate, 20 • 20020 Arese
[email protected]
CODICE PRIVACY - PROCEDURA CLEAN DESK
1
SOMMARIO
1.
SCOPO ED AMBITO DI APPLICAZIONE .................................................................... 3
2.
DESTINATARI .............................................................................................................. 3
3.
TERMINI E DEFINIZIONI.............................................................................................. 3
4.
RIFERIMENTI ............................................................................................................... 5
5.
OBBLIGHI DI RISERVATEZZA IN CAPO AI DIPENDENTI ........................................ 5
6.
CLEAN DESK POLICY ................................................................................................ 6
CODICE PRIVACY – PROCEDURA CLEAN DESK
2
1.SCOPO ED AMBITO DI APPLICAZIONE
Scopo del presente documento è quello di dare rendere maggiormente compliant la società GESEM Srl
alle disposizioni normative del TU Privacy, nonché alle indicazioni e prescrizioni del Garante, dettando
linee guida comportamentali affinché dipendenti e collaboratori siano sensibilizzati sull’importanza del
principio di riservatezza dei dati.
2.DESTINATARI
La procedura si applica a tutti i dipendenti, collaboratori e consulenti di GESEM Srl
3.TERMINI E DEFINIZIONI
CLEAN DESK
Espressione inglese con la quale si indica la necessità di non lasciare,
soprattutto a fine giornata lavorativa, documenti riservati (fogli, pratiche,
schedari, appunti etc…) sulla scrivania o comunque alla vista di altre
persone.
DATI PERSONALI
I dati personali del D.lgs. 196/03 (TU PRIVACY) identificano le
informazioni relative alla persona fisica, giuridica, ente od associazione,
identificati o identificabili, anche indirettamente, mediante riferimento a
qualsiasi altro dato, ivi compreso un numero di riconoscimento
personale.
DATI SENSIBILI
I dati sensibili sono dati personali la cui raccolta e trattamento sono
soggetti sia al consenso dell'interessato sia all'autorizzazione preventiva
del TU Privacy.
Secondo il TU Privacy sono considerati dati sensibili i dati personali
idonei a rivelare:
• l'origine razziale ed etnica,
• le convinzioni religiose, filosofiche o di altro genere,
• le opinioni politiche,
• l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale,
lo stato di salute e la vita sessuale.
DATI GIUDIZIARI
I dati personali che rivelano l'esistenza di determinati provvedimenti
giudiziari soggetti ad iscrizione nel casellario giudiziale (quali, ad es., i
provvedimenti penali di condanna definitivi, la liberazione condizionale,
CODICE PRIVACY – PROCEDURA CLEAN DESK
3
il divieto od obbligo di soggiorno, le misure alternative alla detenzione).
Rientrano in questa categoria anche la qualità di imputato o di indagato.
CONSENSO
Libera manifestazione di volontà dell'interessato con cui questi accetta
espressamente un determinato trattamento dei suoi dati personali, del
quale è stato preventivamente informato da chi ha un potere decisionale
sul
trattamento
(titolare).
È
sufficiente
che
il
consenso
sia
"documentato" in forma scritta (ossia annotato, trascritto, riportato dal
titolare o dal responsabile o da un incaricato del trattamento su un
registro o un atto o un verbale), a meno che il trattamento riguardi dati
"sensibili"; in questo caso occorre il consenso rilasciato per iscritto
dall'interessato (ad es. con la sua sottoscrizione).
TRATTAMENTO
È un'operazione o un complesso di operazioni che hanno per
DEI DATI
oggetto dati personali.
La definizione del Codice Privacy è molto ampia, perché comprende la
raccolta, la registrazione, l'organizzazione, la conservazione, la
modificazione,
la
selezione,
l'estrazione,
l'utilizzo,
il
blocco,
la comunicazione, la diffusione, la cancellazione e la distruzione di dati.
Ciascuna di tali operazioni è una forma di trattamento di dati.
COMUNICAZIONE
Far conoscere dati personali a uno o più soggetti determinati (che non
DI DATI
siano l'interessato, il responsabile o l'incaricato), in qualunque forma,
anche attraverso la loro messa a disposizione o consultazione.
DIFFUSIONE DI
Divulgare dati personali al pubblico o, comunque, ad un numero
DATI
indeterminato di soggetti (ad esempio, è diffusione la pubblicazione di
dati personali su un quotidiano o su una pagina web).
TITOLARE DEL
La persona fisica, l'impresa, l'ente, l'associazione, ecc. cui fa capo
TRATTAMENTO
effettivamente il trattamento di dati personali e spetta assumere le
decisioni fondamentali sugli scopi e sulle modalità del trattamento
medesimo (comprese le misure di sicurezza).
Nei casi in cui il trattamento sia svolto da una società o da una pubblica
amministrazione per titolare va intesa l'entità nel suo complesso e non
l'individuo o l'organo che l'amministra o la rappresenta (presidente,
amministratore delegato, sindaco, ministro, direttore generale, ecc.). I
casi in cui il trattamento può essere imputabile ad un individuo
riguardano semmai liberi professionisti o imprese individuali.
CODICE PRIVACY – PROCEDURA CLEAN DESK
4
RESPONSABILE
La persona, la società, l'ente, l'associazione o l'organismo cui
DEL
il titolare affida, anche all'esterno, per la particolare esperienza o capacità,
TRATTAMENTO
compiti di gestione e controllo del trattamento dei dati.
INCARICATO DEL
È il dipendente o il collaboratore che per conto della struttura
TRATTAMENTO
del titolare elabora o utilizza materialmente i dati personali sulla base
delle istruzioni ricevute dal titolare medesimo (e/o dal responsabile).
4.RIFERIMENTI
• Regolamento per l’utilizzo delle risorse informatiche aziendali, di Internet e di posta elettronica
adottato da GESEM
• Modello “231” implementato da GESEM
• Codice etico e comportamentale di GESEM
• TU Privacy (D.Lgs. 196/2003)
5.OBBLIGHI DI RISERVATEZZA IN CAPO AI DIPENDENTI
Nell’esercizio delle proprie attività, i dipendenti di GESEM entrano in possesso di informazioni che
hanno ad oggetto dati personali di utenti, fornitori ed altri dipendenti.
Tali informazioni, a titolo esemplificativo e non esaustivo, possono essere:
•
Corrispondenza interna ed esterna di GESEM (cartacea e via email)
•
Dati di sistema (password, procedure)
•
Dettagli anagrafici e contabili degli utenti
•
Dati personali (carte di identità, passaporti, valutazioni dei dipendenti, informazioni salariali)
•
Esiti delle interrogazioni delle banche dati (Anagrafe, Catasto etc…)
•
Lettere di sollecito ed atti di accertamento
•
Atti di riscossione coattiva
•
Atti giudiziari
•
Dati sensibili dei dipendenti
•
Certificati ISEE
•
Dati sensibili degli utenti
Ai dipendenti che trattano questi dati è fatto espresso obbligo di:
• non diffondere in maniera indiscriminata una o più delle suddette informazioni a persone non
autorizzate anche qualora ciò venisse fatto non intenzionalmente ed inavvertitamente;
CODICE PRIVACY – PROCEDURA CLEAN DESK
5
• rispettare rigorosamente il mantenimento del riserbo nell’esercizio delle proprie attività;
Inoltre, è fatto espresso divieto, salva specifica autorizzazione del Direttore Generale, di
salvare/stampare/inoltrare e portare fuori dai luoghi di lavoro documentazione aziendale. A titolo
esemplificativo e non esaustivo è vietato:
• stampare email aziendali per scopi personali;
• fotocopiare/scansionare documentazione aziendale per scopi personali;
• inoltrare a terzi estranei all’azienda documentazione interna / informazioni ricevute per mezzo di
strumenti informatici o via cartacea oppure non ancora approvata e pubblicata (es. bozze di
documenti strategici, organizzativi, finanziari etc…).
Qualsiasi violazione, anche minima, di tali obblighi costituirà una motivazione per intraprendere azioni
disciplinare nei confronti di chiunque abbia diffuso informazioni riservate.
6.CLEAN DESK POLICY
Per favorire il rispetto degli obblighi di confidenzialità, vengono emanate delle linee guida che aiutino i
dipendenti a far sì che sia assicurato che i dati personali dei utenti e degli altri lavoratori ricevano
adeguata protezione, in accordo con le disposizioni vigenti in materia di protezione dei dati personali;
Tramite tali accorgimenti, inoltre, si vuole evitare l’insorgere sia del rischio di frode, ossia di
appropriazione ed utilizzo da parte di esterni di informazioni ritenute sensibili, sia il rischio reputazionale.
Pertanto, tutti i dipendenti e collaboratori hanno l’obbligo di:
•
non lasciare informazioni sugli utenti sulla scrivania durante la notte: riporre sempre la
documentazione sensibile in appositi armadi chiusi a chiave;
•
non lasciare documenti nella stampante durante la notte;
•
non lasciare documenti incustoditi in prossimità di macchine stampanti/fotocopiatrici/fax o nella
sala riunione di GESEM;
•
utilizzare sempre il distruggi-documenti in caso di non utilità di copie cartacee;
•
non lasciare il personal computer incustodito quando si sta lavorando su documentazione sensibile
(utilizzare lo screen saver ctrl+alt+canc);
•
utilizzare internet e l’indirizzo di posta elettronica di GESEM in maniera adeguata all’esclusivo
scopo lavorativo;
•
non inviare informazioni sensibili ad indirizzi di posta personali;
•
non lasciare la password di accesso del proprio computer incustodita;
CODICE PRIVACY – PROCEDURA CLEAN DESK
6
•
non lasciare informazioni personali incustodite (carte di credito, indirizzi personali, numeri di
telefono personali).
In caso di cessazione del rapporto di lavoro/collaborazione, il dipendente/collaboratore ha l’obbligo di
riconsegnare tutto il materiale confidenziale o contenente informazioni riservate.
GESEM non fornisce mai informazioni confidenziali riguardo agli utenti, se non per espresso obbligo di
legge.
Qualsiasi dipendente che venga sorpreso a violare questa policy potrebbe incorrere in sanzioni disciplinari.
CODICE PRIVACY – PROCEDURA CLEAN DESK
7