Politica di Protezione dei Dati Personali dei Dipendenti

Documento conforme al Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio Europeo del 27 Aprile 2016

Campo d’applicazione, scopo e destinatari

La presente Politica disciplina la gestione dei dati personali relativi ai dipendenti di SANSTEFAR Molise srl e stabilisce regole e procedure applicabili a tutti i dipartimenti e a tutte le persone all'interno dell’Azienda, volte a garantire che i dati personali dei dipendenti siano trattati e protetti correttamente in tutti i Paesi e le regioni. Questa politica si applica al trattamento dei dati personali dei dipendenti da parte di qualsiasi dipartimento o individuo all'interno dell’Azienda, in tutti i paesi e le regioni.

Documenti di riferimento

  • Il GDPR dell’UE 2016/679 (Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio Europeo del 27 Aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE).
  • Decreto Legislativo 30 giugno 2003, n. 196. "Codice in materia di protezione dei dati personali" pubblicato nella Gazzetta Ufficiale n. 174 del 29 luglio 2003.
  • Politica sulla Protezione dei Dati Personali.
  • Politica di Conservazione dei Dati.
  • Politica sulla Violazione dei Dati.
  • Procedura di Trasferimento Transfrontaliero di Dati Personali.
  • Procedura sulla Violazione dei Dati.

Definizioni

Le seguenti definizioni di termini utilizzati in questo documento sono tratte dall’articolo 4 del Regolamento Generale sulla Protezione dei Dati dell'Unione Europea.

Dato Personale

Qualsiasi informazione riguardante una persona fisica identificata o identificabile che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. I dati personali includono l'indirizzo di posta elettronica di una persona fisica, il numero di telefono, le informazioni biometriche, i dati di ubicazione, l'indirizzo IP, le informazioni sanitarie, le credenze religiose, il numero di previdenza sociale, lo stato civile eccetera.

Dati Personali Sensibili

Particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che la divulgazione di tali dati potrebbe portare a danni fisici, perdite finanziarie, danni alla reputazione, furto d'identità o frode o discriminazione e altro. I dati personali sensibili di solito comprendono, ma non sono limitati a, i dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati biometrici (impronte digitali) intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

Trattamento

Un’operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l’estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, la diffusione, la limitazione, la cancellazione o la distruzione dei dati.

Titolare del trattamento

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati.

Principi Generali per il Trattamento dei Dati Personali dei Dipendenti

Liceità, correttezza e trasparenza

I dati personali dei dipendenti devono essere trattati in modo lecito, corretto e trasparente nei confronti del dipendente.

Limitazioni della finalità scopo

I dati personali dei dipendenti devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità.

Minimizzazione dei dati

I dati personali dei dipendenti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. SANSTEFAR Molise srl deve applicare l'anonimizzazione o la pseudonimizzazione ai Dati Personali dei dipendenti ove possibile per ridurre i rischi per i dipendenti interessati.

Esattezza

I dati personali dei dipendenti devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.

Limitazione della Conservazione

I dati personali dei dipendenti devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, in accordo alla Politica di Conservazione dei Dati.

Integrità e riservatezza

Tenuto conto dello stato della tecnologia e delle misure di sicurezza disponibili, dei costi di attuazione e della probabilità e gravità dei rischi per la privacy, i dati personali devono essere trattati in maniera da garantire un'adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate dalla distruzione accidentale o illecita, perdita, modifica, accesso non autorizzato o divulgazione.

Responsabilizzazione

L’Azienda nella persona del Titolare del Trattamento sarà responsabile della conformitá ai principi sopra descritti e dovrá essere in grado di dimostrarlo.

Finalità Legittime per il Trattamento dei Dati Personali dei Dipendenti

I dipartimenti o le persone all’interno dell’Azienda possono trattare i dati personali dei dipendenti per finalità legittime che includono, a titolo esemplificativo ma non esaustivo:

  • Gestione delle risorse umane. Questo scopo comprende le attività di gestione delle risorse umane svolte durante l'assunzione o l'esecuzione di un contratto di lavoro, come colloqui, assunzione, cessazione del rapporto di lavoro, presenza, gestione delle prestazioni, indennità e benefici, formazione, servizi ai dipendenti, salute e sicurezza sul lavoro, e altre attività ai fini della gestione delle risorse umane o della protezione degli interessi vitali dei dipendenti.
  • Altre operazioni aziendali. Questo scopo comprende attività quali la gestione di viaggi e spese, la gestione di beni aziendali, la fornitura di servizi, la sicurezza delle informazioni, lo svolgimento di audit interni e indagini, l'adempimento degli obblighi di contratti commerciali, consulenza legale o aziendale e la preparazione a contenziosi legali, ecc.
  • Conformità con la legge. Il trattamento dei dati personali dei dipendenti al fine di adempiere a obblighi di legge, ad esempio: la divulgazione di dati personali dei dipendenti a un'autorità fiscale al fine di ottemperare alle leggi fiscali applicabili.

Requisiti per il Trattamento dei Dati Personali dei Dipendenti

Qualsiasi trattamento dei dati personali dei dipendenti da parte di dipartimenti e individui all’interno dell’Azienda deve avvenire per uno scopo legittimo e deve soddisfare i seguenti requisiti:

  • Comunicazione ai Dipendenti: Ai fini della trasparenza del trattamento dei dati personali dei dipendenti, quando un dipartimento o un individuo all’interno dell’Azienda raccoglie i dati personali di un dipendente, il dipendente deve essere informato dei tipi di dati raccolti, delle finalità e dei tipi di trattamento, dei diritti del dipendente e delle misure di sicurezza adottate per proteggere i dati personali. La comunicazione può assumere la forma della pubblicazione o dell'aggiornamento di dichiarazioni sulla protezione dei dati personali dei dipendenti, ad esempio: l'inserimento di termini sulla protezione dei dati personali dei dipendenti nei contratti di lavoro da parte del dipartimento rapporti con i dipendenti/risorse umane; l'inserimento della Dichiarazione dei Dati Personali nei sistemi pertinenti da parte del dipartimento Qualità, Processi Aziendali e gestione.
  • Scelta e Consenso dei Dipendenti: In linea di principio, l’Azienda può trattare i dati personali dei dipendenti per finalità legittime come datore di lavoro e generalmente può farlo senza ottenere il consenso del dipendente, per migliorare l'efficienza delle operazioni interne.
  • Raccolta: I dipartimenti aziendali e le persone fisiche devono raccogliere i dati personali dei dipendenti per finalità legittime e devono rispettare il principio della minimizzazione dei dati. Se i dati personali di un candidato a un lavoro o di un dipendente sono raccolti da un terzo l’Azienda deve fare il possibile per garantire questo terzo ottenga i dati personali con mezzi legittimi.
  • Uso, Conservazione e Smaltimento: I dipartimenti aziendali e gli individui devono utilizzare, conservare e disporre dei dati personali dei dipendenti in modo coerente con la comunicazione al dipendente. Devono inoltre garantire la sua esattezza, integrità e rilevanza. Devono essere messe in atto misure di sicurezza adeguate per proteggere i dati personali dei dipendenti da distruzione accidentale o illecita, perdita, modifica, accesso non autorizzato o divulgazione, in accordo alla politica di sicurezza delle informazioni e altri documenti che descrivono la sicurezza dei dati. I dipartimenti aziendali e le persone fisiche non devono distruggere o modificare illecitamente i dati personali dei dipendenti. Non devono accedere, vendere o fornire illecitamente o senza autorizzazione dati personali dei dipendenti a terzi. Nel corso delle operazioni aziendali, il Responsabile della Protezione dei Dati deciderà se i dati
    personali dei dipendenti saranno trattati nei modi seguenti per ridurre al minimo il rischio per la protezione dei dati: i dati personali dei dipendenti possono essere anonimizzati ai fini della irreversibile identificazione; o i dati possono essere aggregati in risultati statistici o di ricerca.
  • Divulgazione a Terzi: Quando i dipartimenti aziendali e gli individui devono comunicare i dati personali dei dipendenti a un fornitore, a un partner commerciale o a terzi, devono cercare di garantire che il fornitore, il partner commerciale o altri terzi forniscano misure di sicurezza per salvaguardare i dati personali dei dipendenti che siano adeguate ai rischi associati. Dovrebbero inoltre richiedere al terzo di fornire lo stesso livello di protezione dei dati che forniscono all’Azienda per contratto o altro accordo.
  • Accesso dei Dipendenti: I dipartimenti aziendali devono fornire mezzi ragionevoli ai dipendenti per accedere ai dati personali detenuti su di essi e consentire ai dipendenti di aggiornare, correggere, cancellare o trasmettere i propri dati personali se necessario o richiesto dalla legge. Quando si risponde a una richiesta di accesso di un dipendente, i dipartimenti aziendali possono non fornire alcun dato personale fino a quando non abbiano verificato l'identità del dipendente. L'Azienda deve assicurarsi di conoscere l'identità della persona che effettua la richiesta prima di poter inviare i
    dati personali alla persona stessa.

Responsabilità

Il Reparto Risorse Umane, nella persona del Responsabile, è competente per la gestione della protezione dei Dati personali dei dipendenti.

Risposta in Caso di Non Conformità

Chiunque sia a conoscenza di una violazione dei dati che coinvolga i dati personali dei dipendenti deve segnalarlo alle persone competenti all'interno dell’Azienda. Quando è necessario segnalare la violazione dei dati al di fuori della Società, si prega di seguire la Politica sulla Violazione dei Dati Personali.

Tuttavia, se richiesto dalla legge locale del paese in cui si è verificata la violazione dei dati, la persona designata nella Procedura di Risposta e Comunicazione di una violazione dei dati deve segnalare l'incidente al regolatore e/o alle parti interessate entro il periodo di riferimento specificato dalla legge.

Responsabilizzazione

Qualsiasi persona che violi questa Politica può essere soggetta ad azioni disciplinari interne e può inoltre dover affrontare responsabilità civili o penali se la sua azione viola la legge.

Titolare e Contatti

Il Dipartimento Gestione Risorse Umane è titolare di questa politica ed è sua competenza interpretarla e gestirla.

Gestione delle registrazioni sulla base di questo documento

Nome del documento Luogo di archiviazione Persona responsabile dell’archiviazione Controlli per la protezione del documento Tempo di archiviazione
Contratti di Assunzione File Sever Sicuro e file cartacei conservati in cassetti chiusi a chiave nell’ufficio del personale Responsabile del personale Solo le persone autorizzate possono
accedere a questi contratti.
Fai riferimento alla Politica sulla Conservazione dei Dati

Validità e gestione del documento

Questo documento ha effetto dal 03/12/2018.

Il responsabile per questo documento è il Titolare del Trattamento dei dati e i suoi delegati, i quali devono controllare e se necessario aggiornare il documento con frequenza almeno annuale.