Codice Privacy 2016 - Procedura clean desk - ver 1
Transcript
Codice Privacy 2016 - Procedura clean desk - ver 1
Codice Privacy Procedura Clean Desk GESEM SRL Procedura Clean Desk GeSeM Srl Sede Legale: Piazza Cinque Giornate, 20 • 20020 Arese [email protected] CODICE PRIVACY - PROCEDURA CLEAN DESK 1 SOMMARIO 1. SCOPO ED AMBITO DI APPLICAZIONE .................................................................... 3 2. DESTINATARI .............................................................................................................. 3 3. TERMINI E DEFINIZIONI.............................................................................................. 3 4. RIFERIMENTI ............................................................................................................... 5 5. OBBLIGHI DI RISERVATEZZA IN CAPO AI DIPENDENTI ........................................ 5 6. CLEAN DESK POLICY ................................................................................................ 6 CODICE PRIVACY – PROCEDURA CLEAN DESK 2 1.SCOPO ED AMBITO DI APPLICAZIONE Scopo del presente documento è quello di dare rendere maggiormente compliant la società GESEM Srl alle disposizioni normative del TU Privacy, nonché alle indicazioni e prescrizioni del Garante, dettando linee guida comportamentali affinché dipendenti e collaboratori siano sensibilizzati sull’importanza del principio di riservatezza dei dati. 2.DESTINATARI La procedura si applica a tutti i dipendenti, collaboratori e consulenti di GESEM Srl 3.TERMINI E DEFINIZIONI CLEAN DESK Espressione inglese con la quale si indica la necessità di non lasciare, soprattutto a fine giornata lavorativa, documenti riservati (fogli, pratiche, schedari, appunti etc…) sulla scrivania o comunque alla vista di altre persone. DATI PERSONALI I dati personali del D.lgs. 196/03 (TU PRIVACY) identificano le informazioni relative alla persona fisica, giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altro dato, ivi compreso un numero di riconoscimento personale. DATI SENSIBILI I dati sensibili sono dati personali la cui raccolta e trattamento sono soggetti sia al consenso dell'interessato sia all'autorizzazione preventiva del TU Privacy. Secondo il TU Privacy sono considerati dati sensibili i dati personali idonei a rivelare: • l'origine razziale ed etnica, • le convinzioni religiose, filosofiche o di altro genere, • le opinioni politiche, • l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale. DATI GIUDIZIARI I dati personali che rivelano l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (quali, ad es., i provvedimenti penali di condanna definitivi, la liberazione condizionale, CODICE PRIVACY – PROCEDURA CLEAN DESK 3 il divieto od obbligo di soggiorno, le misure alternative alla detenzione). Rientrano in questa categoria anche la qualità di imputato o di indagato. CONSENSO Libera manifestazione di volontà dell'interessato con cui questi accetta espressamente un determinato trattamento dei suoi dati personali, del quale è stato preventivamente informato da chi ha un potere decisionale sul trattamento (titolare). È sufficiente che il consenso sia "documentato" in forma scritta (ossia annotato, trascritto, riportato dal titolare o dal responsabile o da un incaricato del trattamento su un registro o un atto o un verbale), a meno che il trattamento riguardi dati "sensibili"; in questo caso occorre il consenso rilasciato per iscritto dall'interessato (ad es. con la sua sottoscrizione). TRATTAMENTO È un'operazione o un complesso di operazioni che hanno per DEI DATI oggetto dati personali. La definizione del Codice Privacy è molto ampia, perché comprende la raccolta, la registrazione, l'organizzazione, la conservazione, la modificazione, la selezione, l'estrazione, l'utilizzo, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati. Ciascuna di tali operazioni è una forma di trattamento di dati. COMUNICAZIONE Far conoscere dati personali a uno o più soggetti determinati (che non DI DATI siano l'interessato, il responsabile o l'incaricato), in qualunque forma, anche attraverso la loro messa a disposizione o consultazione. DIFFUSIONE DI Divulgare dati personali al pubblico o, comunque, ad un numero DATI indeterminato di soggetti (ad esempio, è diffusione la pubblicazione di dati personali su un quotidiano o su una pagina web). TITOLARE DEL La persona fisica, l'impresa, l'ente, l'associazione, ecc. cui fa capo TRATTAMENTO effettivamente il trattamento di dati personali e spetta assumere le decisioni fondamentali sugli scopi e sulle modalità del trattamento medesimo (comprese le misure di sicurezza). Nei casi in cui il trattamento sia svolto da una società o da una pubblica amministrazione per titolare va intesa l'entità nel suo complesso e non l'individuo o l'organo che l'amministra o la rappresenta (presidente, amministratore delegato, sindaco, ministro, direttore generale, ecc.). I casi in cui il trattamento può essere imputabile ad un individuo riguardano semmai liberi professionisti o imprese individuali. CODICE PRIVACY – PROCEDURA CLEAN DESK 4 RESPONSABILE La persona, la società, l'ente, l'associazione o l'organismo cui DEL il titolare affida, anche all'esterno, per la particolare esperienza o capacità, TRATTAMENTO compiti di gestione e controllo del trattamento dei dati. INCARICATO DEL È il dipendente o il collaboratore che per conto della struttura TRATTAMENTO del titolare elabora o utilizza materialmente i dati personali sulla base delle istruzioni ricevute dal titolare medesimo (e/o dal responsabile). 4.RIFERIMENTI • Regolamento per l’utilizzo delle risorse informatiche aziendali, di Internet e di posta elettronica adottato da GESEM • Modello “231” implementato da GESEM • Codice etico e comportamentale di GESEM • TU Privacy (D.Lgs. 196/2003) 5.OBBLIGHI DI RISERVATEZZA IN CAPO AI DIPENDENTI Nell’esercizio delle proprie attività, i dipendenti di GESEM entrano in possesso di informazioni che hanno ad oggetto dati personali di utenti, fornitori ed altri dipendenti. Tali informazioni, a titolo esemplificativo e non esaustivo, possono essere: • Corrispondenza interna ed esterna di GESEM (cartacea e via email) • Dati di sistema (password, procedure) • Dettagli anagrafici e contabili degli utenti • Dati personali (carte di identità, passaporti, valutazioni dei dipendenti, informazioni salariali) • Esiti delle interrogazioni delle banche dati (Anagrafe, Catasto etc…) • Lettere di sollecito ed atti di accertamento • Atti di riscossione coattiva • Atti giudiziari • Dati sensibili dei dipendenti • Certificati ISEE • Dati sensibili degli utenti Ai dipendenti che trattano questi dati è fatto espresso obbligo di: • non diffondere in maniera indiscriminata una o più delle suddette informazioni a persone non autorizzate anche qualora ciò venisse fatto non intenzionalmente ed inavvertitamente; CODICE PRIVACY – PROCEDURA CLEAN DESK 5 • rispettare rigorosamente il mantenimento del riserbo nell’esercizio delle proprie attività; Inoltre, è fatto espresso divieto, salva specifica autorizzazione del Direttore Generale, di salvare/stampare/inoltrare e portare fuori dai luoghi di lavoro documentazione aziendale. A titolo esemplificativo e non esaustivo è vietato: • stampare email aziendali per scopi personali; • fotocopiare/scansionare documentazione aziendale per scopi personali; • inoltrare a terzi estranei all’azienda documentazione interna / informazioni ricevute per mezzo di strumenti informatici o via cartacea oppure non ancora approvata e pubblicata (es. bozze di documenti strategici, organizzativi, finanziari etc…). Qualsiasi violazione, anche minima, di tali obblighi costituirà una motivazione per intraprendere azioni disciplinare nei confronti di chiunque abbia diffuso informazioni riservate. 6.CLEAN DESK POLICY Per favorire il rispetto degli obblighi di confidenzialità, vengono emanate delle linee guida che aiutino i dipendenti a far sì che sia assicurato che i dati personali dei utenti e degli altri lavoratori ricevano adeguata protezione, in accordo con le disposizioni vigenti in materia di protezione dei dati personali; Tramite tali accorgimenti, inoltre, si vuole evitare l’insorgere sia del rischio di frode, ossia di appropriazione ed utilizzo da parte di esterni di informazioni ritenute sensibili, sia il rischio reputazionale. Pertanto, tutti i dipendenti e collaboratori hanno l’obbligo di: • non lasciare informazioni sugli utenti sulla scrivania durante la notte: riporre sempre la documentazione sensibile in appositi armadi chiusi a chiave; • non lasciare documenti nella stampante durante la notte; • non lasciare documenti incustoditi in prossimità di macchine stampanti/fotocopiatrici/fax o nella sala riunione di GESEM; • utilizzare sempre il distruggi-documenti in caso di non utilità di copie cartacee; • non lasciare il personal computer incustodito quando si sta lavorando su documentazione sensibile (utilizzare lo screen saver ctrl+alt+canc); • utilizzare internet e l’indirizzo di posta elettronica di GESEM in maniera adeguata all’esclusivo scopo lavorativo; • non inviare informazioni sensibili ad indirizzi di posta personali; • non lasciare la password di accesso del proprio computer incustodita; CODICE PRIVACY – PROCEDURA CLEAN DESK 6 • non lasciare informazioni personali incustodite (carte di credito, indirizzi personali, numeri di telefono personali). In caso di cessazione del rapporto di lavoro/collaborazione, il dipendente/collaboratore ha l’obbligo di riconsegnare tutto il materiale confidenziale o contenente informazioni riservate. GESEM non fornisce mai informazioni confidenziali riguardo agli utenti, se non per espresso obbligo di legge. Qualsiasi dipendente che venga sorpreso a violare questa policy potrebbe incorrere in sanzioni disciplinari. CODICE PRIVACY – PROCEDURA CLEAN DESK 7