Ai sensi delle disposizioni del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, all’abrogazione della Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) e delle disposizioni della Legge sull'attuazione del Regolamento generale sulla protezione dei dati (Gazzetta Ufficiale croata, 42/18),
la società VAPOUR INTERNATIONAL d.o.o. per il commercio e servizi con sede a Buie, Digitronska 2, numero di identificazione personale OIB: 12135052940 (VAPOUR INTERNATIONAL d.o.o.), rappresentata dal direttore Mattia Sparacino di Buie, Digitronska 2, numero di identificazione personale OIB: 68434733388,
il 24 maggio 2018 ha adottato le seguenti:
NORME SULLA PROTEZIONE
DEI DATI PERSONALI
INTRODUZIONE
I.
Il Regolamento generale sulla protezione dei dati stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché le norme relative alla libera circolazione dei dati personali che proteggono i diritti e le libertà fondamentali delle persone fisiche, e particolarmente il loro diritto alla protezione dei dati personali.
Le disposizioni del Regolamento generale sulla protezione dei dati stabiliscono che per "dati personali" si intendono tutti i dati relativi a un individuo la cui identità è stata determinata o può essere determinata. Per individuo si intende una persona che può essere identificata direttamente o indirettamente, e particolarmente con l'aiuto di diversi identificatori come ad esempio nome, numero d'identificazione, informazioni sulla posizione, identificatori di rete ecc.
Le disposizioni del Regolamento generale sulla protezione dei dati stabiliscono che per trattamento dei dati personali si intende qualsiasi procedura o insieme di procedure eseguite su dati personali o insiemi di dati personali per mezzo di strumenti automatizzati o meno, ad esempio raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento/modifica, recupero, ispezione, utilizzo, divulgazione mediante trasmissione, diffusione o messa a disposizione in qualsiasi altro modo, sincronizzazione/combinazione, limitazione, eliminazione/distruzione.
Dall'ambito di applicazione definito dalla Legge generale sulla protezione dei dati o tenendo conto del fatto che VAPOUR INTERNATIONAL d.o.o. tratta le informazioni personali, sorge l'obbligo di VAPOUR INTERNATIONAL d.o.o. di applicare principalmente il Regolamento generale sulla protezione dei dati, e di conseguenza le norme attuative del Regolamento generale sulla protezione dei dati, soprattutto la Legge sull'attuazione del Regolamento generale sulla protezione dei dati, nonché altre leggi sostanziali in materia di protezione dei dati personali, sia quelle legate all'acquis europeo che quelle legate alla legislazione della Repubblica di Croazia – la legge in vigore al momento dell’adozione delle presenti norme e le modifiche e integrazioni della legislazione in futuro.
OGGETTO DELLE NORME
II.
Riconoscendo l'obbligo di applicare la legislazione come definito dall’articolo I, VAPOUR INTERNATIONAL d.o.o. adotta le presenti norme che stabiliscono i diritti dell'interessato in relazione a cui vengono trattati i dati personali e che definiscono il trattamento dei dati personali.
VAPOUR INTERNATIONAL d.o.o. adotta le presenti norme al fine di proteggere i dati personali delle persone di cui al comma precedente del presente articolo, alla luce della legislazione di cui all'articolo I. La suddetta legislazione riconosce e tutela il diritto alla protezione dei dati personali, collocandolo nei diritti e nelle libertà fondamentali delle persone.
NOZIONI E DEFINIZIONI
III.
Alcuni termini di cui alle presenti norme sono riferiti ai termini corrispondenti contenuti nel Regolamento generale sulla protezione dei dati e hanno lo stesso significato. Ai fini delle presenti norme, alcuno termini vengono definiti come segue:
- "il titolare" è la società VAPOUR INTERNATIONAL d.o.o.;
- "l’interessato" è la persona fisica le cui informazioni personali vengono trattate da VAPOUR INTERNATIONAL d.o.o.
- "il responsabile" indica una persona fisica o giuridica, un ente pubblico, o un'altra autorità che tratta i dati personali per conto del titolare.
INFORMAZIONI GENERALI SUL TRATTAMENTO
DEI DATI PERSONALI
IV.
I dati personali dell’interessato devono essere trattati in maniera lecita, equa e trasparente nei confronti dell'interessato.
I dati personali vanno raccolti per scopi specifici, espliciti e legittimi e non possono essere trattati in modo non consono ai suddetti scopi.
I dati personali devono essere adeguati, rilevanti e limitati a quanto necessario in relazione agli scopi per cui vengono trattati.
I dati personali devono essere corretti e, se necessario, aggiornati.
I dati personali vanno conservati in un formato che consenta l'identificazione dell'interessato, ma soltanto per il tempo necessario per la realizzazione degli scopi per i quali i dati vengono trattati.
I dati personali vanno trattati in modo tale da garantirne la protezione, compresa la protezione dal trattamento non autorizzato o illecito, nonché dalla perdita, distruzione o danneggiamento accidentale tramite l'applicazione di adeguate misure tecniche o organizzative.
Il titolare riconosce i doveri di cui ai commi precedenti e:
- tratta i dati personali in maniera lecita, equa e trasparente nei confronti dell'interessato;
Il trattamento lecito da parte del titolare implica il trattamento legato all'adempimento di almeno uno dei seguenti fattori:
- raccoglie i dati personali dai dipendenti allo scopo di stabilire i rapporti di lavoro, nonché i dati personali dei clienti e fornitori allo scopo di redigere le offerte per lo stabilimento dei rapporti d'affari e/o per stabilire i rapporti di affari, e esclusivamente a tale scopo;
- raccoglie i dati personali adeguati, rilevanti e limitati a quanto necessario per gli scopi per i quali vengono trattati, come previsto dal punto precedente;
- garantisce la correttezza e l'aggiornamento dei dati personali e adotta le misure per garantire che i dati personali incorretti vengano corretti oppure eliminati;
- conserva le informazioni personali per il periodo necessario per realizzare lo scopo per cui vengono raccolte.
INFORMARE L'INTERESSATO
V.
Il titolare raccoglie i dati personali degli interessati esclusivamente dagli interessati stessi.
Quando raccoglie i dati personali dell'interessato, il titolare lo deve informare di quanto segue:
- l’identità e le informazioni di contatto del titolare;
- lo scopo del trattamento e dell'uso dei dati personali nonché la base legale del trattamento;
- gli interessi legittimi, del titolare o di terzi, quando il trattamento è necessario per gli interessi legittimi del titolare o di terzi;
- il periodo di tempo per cui i dati personali verranno conservati;
- il diritto dell'interessato di richiedere dal titolare l'accesso ai dati personali e il diritto alla correzione/cancellazione dei dati personali o alla limitazione del trattamento dei dati, o il diritto di opporsi ai trattamento e il diritto alla portabilità dei dati;
- il diritto di presentare reclami all'Agenzia per la protezione dei dati personali in qualità di organo di controllo;
- se la fornitura di dati personali sia un obbligo o una condizione legale o contrattuale.
DIRITTI DELL'INTERESSATO
VI.
Diritto all’accesso dell'interessato
L'interessato ha il diritto di ottenere dal titolare una conferma riguardante il trattamento dei dati personali che lo riguardano e, nel caso in cui i suddetti dati personali vengano trattati, ha il diritto all'accesso ai dati personali, nonché il diritto di sapere lo scopo del trattamento e il periodo stimato per cui i dati personali verranno conservati.
Diritto alla correzione
L'interessato ha il diritto di ottenere dal titolare la correzione dei dati personali incorretti che lo riguardano, senza ingiustificato ritardo. Tenendo conto degli scopi del trattamento, l'interessato ha il diritto di completare i suoi dati personali incompleti, fornendo tra l’altro anche una dichiarazione aggiuntiva.
Diritto alla cancellazione ("diritto all’oblio")
L'interessato ha il diritto di ottenere dal titolare la cancellazione dei dati personali che lo riguardano, e il titolare è obbligato a eliminare i suddetti dati personali senza ingiustificato ritardo.
Diritto alla limitazione del trattamento
L'interessato ha il diritto ottenere dal titolare la limitazione del trattamento dei dati se una delle seguenti condizioni risulta soddisfatta:
- L'interessato contesta l'accuratezza dei dati personali, nel periodo in cui il titolare può verificare la correttezza dei suddetti dati personali;
- Il trattamento è illegale e l'interessato si oppone alla cancellazione dei suoi dati personali, ed invece richiede la limitazione del loro utilizzo.
- Il titolare non ha più bisogno dei suoi dati personali a fini di trattamento, ma l'interessato li richiede per l'istituzione, la realizzazione o la difesa dei requisiti legali.
Diritto al reclamo
In qualsiasi momento, l'interessato ha il diritto di presentare un reclamo al titolare in relazione al trattamento dei dati personali che lo riguardano.
Nel caso in cui l'interessato si avvalga di uno dei diritti previsti dal presente articolo, il titolare:
- non può rifiutare di agire su richiesta dell'interessato, previa identificazione dell'identità dell'interessato.
- addotta le misure necessarie per fornire all'interessato tutte le informazioni relative al trattamento in forma concisa, trasparente, comprensibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice, in formato cartaceo oppure elettronico. Le informazioni possono essere fornite in forma orale se l'interessato lo richiede.
- su richiesta dell’interessato, gli fornisce informazioni senza ingiustificato ritardo, entro e non oltre un mese dalla ricezione della richiesta. Se necessario, il suddetto termine può essere prorogato per due mesi tenendo conto della complessità e del numero di richieste. Il titolare informa l'interessato di qualsiasi proroga entro un mese dalla ricezione della richiesta, e gli fornisce anche le motivazioni del ritardo. Se l'interessato presenta la sua richiesta elettronicamente, pure le informazioni gli vengono fornite elettronicamente (se possibile), a meno che l'interessato non richieda diversamente.
- se non agisce su richiesta dell'interessato immediatamente, e non oltre un mese dalla ricezione della richiesta, deve informare l’interessato dei motivi per cui non ha agito sulla sua richiesta, nonché della possibilità di presentare un reclamo all’organo di sorveglianza e di cercare un rimedio legale.
Quando agisce ai sensi del comma precedente, il titolare fornisce i suoi servizi gratuitamente. Se le richieste dell'interessato sono evidentemente infondate oppure eccessive, in particolare a causa della loro frequente ripetizione, il titolare può:
- applicare una tassa ragionevole, tenendo conto dei costi amministrativi per la fornitura delle informazioni o notifiche oppure per agire su una richiesta; o
- rifiutare di agire su richiesta.
RELAZIONE SULLE ATTIVITÀ
DI TRATTAMENTO
VII.
Il titolare tiene un registro delle attività di trattamento di cui è responsabile.
La Relazione sulle attività di trattamento costituisce un atto separato basato sulle presenti norme.
INCARICATO ALLA PROTEZIONE DEI DATI PERSONALI E
INOLTRO DEI DATI PERSONALI
VIII.
Il titolare non ha nominato un incaricato alla protezione dei dati personali poiché dalla legislazione applicabile non risulta un obbligo del genere. Il titolare, tenendo conto delle esigenze aziendali, conclude contratti scritti sul trattamento dei dati personali con certi soggetti, in base ai quali gli trasferisce il compito di trattare i dati personali fuori del suo ambito dell’attività (contabilità, monitoraggio della salute sul posto di lavoro, formazione professionale riguardante la sicurezza sul posto di lavoro ecc.). Tali dati vengono trattati dall'incaricato autorizzato dal titolare.
Quando conclude il contratto di cui al comma precedente, il titolare garantisce che la persona con cui il contratto è stato concluso è autorizzata a svolgere l’attività in relazione alla quale i dati vengono trattati, nonché che offre la protezione dei dati personali che è almeno equivalente alla protezione offerta da VAPOUR INTERNATIONAL d.o.o. in qualità di titolare.
Quando conclude il contratto di cui al comma precedente, VAPOUR INTERNATIONAL d.o.o. in qualità di titolare garantisce che i dati personali inoltrati a terzi verranno trattati esclusivamente allo scopo per il quale sono stati inoltrati e che non verranno utilizzati/inoltrati per altro.
SICUREZZA DEI DATI PERSONALI
IX.
In funzione delle sue capacità, il titolare adotta le misure tecniche ed organizzative necessarie per garantire un livello adeguato di sicurezza, tra cui le seguenti (se necessario):
- pseudonimizzazione e crittografia dei dati personali;
- garantisce la riservatezza, l'integrità, la disponibilità e la resistenza permanenti dei sistemi e dei servizi di trattamento;
- garantisce la disponibilità e l’accesso ai dati personali tempestivamente in caso di un incidente fisico oppure tecnico;
- verifica, valuta e stima regolarmente l'efficacia delle misure tecniche e organizzative per poter garantire la sicurezza del trattamento.
PROCEDURA IN CASO DI VIOLAZIONE DEI
DATI PERSONALI
X.
Segnalazione all'organo di sorveglianza in caso di violazione dei dati personali
In caso di violazione dei dati personali, il titolare riferisce all'Agenzia per la protezione dei dati personali le violazioni dei dati subite, senza ingiustificato ritardo e, se possibile, non oltre settantadue ore dopo aver saputo della violazione, a meno che non sia improbabile che la violazione dei dati personali possa comportare un rischio per i diritti e le libertà delle persone. Se la segnalazione non viene effettuata entro le settantadue ore, è necessario anche allegare le motivazioni del ritardo.
La segnalazione all'Agenzia per la protezione dei dati personali viene effettuata su un modulo prescritto.
Il titolare documenta tutte le violazioni dei dati personali, inclusi i fatti relativi alla violazione dei dati personali, le sue conseguenze e le misure adottate per porre rimedio al danno.
Notifica all’interessato delle violazioni dei dati personali
In caso di violazioni dei dati personali che potrebbero comportare un rischio elevato per i diritti e le libertà delle persone, il titolare deve immediatamente informare l'interessato della violazione dei dati personali.
DISPOSIZIONI TRANSITORIE E FINALI
XI.
Le presenti norme entrano in vigore il 2 gennaio 2019.
Ai sensi delle disposizioni del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, all’abrogazione della Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) e delle disposizioni della Legge sull'attuazione del Regolamento generale sulla protezione dei dati (Gazzetta Ufficiale croata, 42/18),
la società VAPOUR INTERNATIONAL d.o.o. per il commercio e servizi con sede a Buie, Digitronska 2, numero di identificazione personale OIB: 12135052940 (VAPOUR INTERNATIONAL d.o.o.), rappresentata dal direttore Mattia Sparacino di Buie, Digitronska 2, numero di identificazione personale OIB: 68434733388,
il 24 maggio 2018 ha adottato la seguente:
I.
RELAZIONE SULLE ATTIVITA' DI TRATTAMENTO
La presente Relazione sulle attività di trattamento viene fornita dalla:
società VAPOUR INTERNATIONAL d.o.o. per il commercio e servizi con sede a Buie, Digitronska 2, numero di identificazione personale OIB: 12135052940 (nel prosieguo de testo: “il titolare”). La persona responsabile per la compilazione della presente relazione è il direttore Mattia Sparacino di Buie, Digitronska 2, numero di identificazione personale OIB: 68434733388.
II.
CATEGORIE DEI DATI PERSONALI
Il titolare del trattamento raccoglie ed tratta:
- i dati personali dei suoi dipendenti;
- i dati personali di persone fisiche – clienti;
- i dati personali di persone fisiche – fornitori.
-
III.
SCOPO DEL TRATTAMENTO E TIPI DI DATI
Il titolare raccoglie le informazioni personali dei suoi dipendenti, necessarie per la stipulazione del rapporto di lavoro nonché per l'adempimento degli obblighi del titolare nei confronti dei dipendenti. Le suddette informazioni vengono raccolte esclusivamente a tale scopo.
I suddetti dati sono, a titolo esplicativo e non esaustivo, nome e cognome, numero di identificazione personale (OIB), numero di matricola unico del cittadino (JMBG), data e luogo di nascita, numero della carta d’identità, numero del passaporto, nome di un genitore, indirizzo di residenza e/o indirizzo di domicilio, numero di assicurazione sanitaria, numero di assicurazione pensionistica, nome e numero dell'assicurazione pensionistica del secondo pilastro, qualifica professionale, titolo, numero del conto corrente, tipo di rapporto lavorativo, posto di lavoro, esperienze lavorative precedenti, data di assunzione, data e motivo della cessazione del rapporto di lavoro, orario di lavoro del dipendente, dati sui diritti acquisiti dal rapporto di lavoro.
I suddetti dati verranno conservati per un periodo di tempo consono allo scopo per cui vengono raccolti, e non oltre la data di scadenza di tutti gli obblighi legali relativi alla conservazione dei dati personali.
Il titolare raccoglie le seguenti informazioni dai suoi clienti e fornitori:
- nome e cognome
- indirizzo
- numero di identificazione personale (OIB)
- numero di telefono fisso / cellulare
- indirizzo di posta elettronica (e-mail) – limitato ai casi in cui il cliente e/o il fornitore richiede la comunicazioni tramite il suddetto canale dal titolare.
I suddetti dati vengono raccolti allo scopo di redigere le offerte per lo svolgimento delle attività commerciali dell’azienda, nonché allo scopo di concludere i contratti per lo svolgimento delle attività commerciali e per poter risolvere i reclami e le controversie derivanti da tali rapporti.
I suddetti dati verranno conservati per un periodo di tempo consono allo scopo per cui vengono raccolti, e non oltre la scadenza di tutti gli obblighi legali relativi alla conservazione dei dati personali.
IV.
CESSIONE DEI DATI PERSONALI
Le informazioni personali raccolte ossia i dati trattati ed elencati negli articoli precedenti vengono trasferiti da parte del titolare in base alle esigenze dell’azienda relative al trattamento dei dati personali, fuori dell'ambito dell’attività del titolare. I dati vengono trasferiti a certi soggetti sulla base di contratti scritti (contabilità, monitoraggio della salute sul posto di lavoro, formazione professionale riguardante la sicurezza sul posto di lavoro ecc.).
V.
PROTEZIONE DEI DATI PERSONALI
Le informazioni personali raccolte ossia i dati trattati ed elencati negli articoli precedenti vengono trattati dal titolare nel modo seguente:
- I dati personali raccolti per iscritto vanno allegati alla cartella del dipendente (per quanto riguarda i dati del dipendente) ossia ai relativi fascicoli (per quanto riguarda i clienti e i fornitori) e conservati negli appositi armadi per la documentazione cartacea all'interno degli spazi lavorativi.
- I dati personali raccolti in formato elettronico vengono salvati nella memoria interna del computer oppure in un database esterno (cloud) protetto da una password di sicurezza.
A Buie, il 2 Gennaio 2019