POLITIQUE SUR LA CONFIDENTIALITE

POLITIQUE SUR LA CONFIDENTIALITE

Préface

Le 25/05/2018 entre en vigueur le règlement de l’UE 679/2016 (GDPR) sur le traitement des données à caractère personnel.

Par conséquent :

• Nous communiquons que, en vertu du nouveau GDPR, la GUARRACINO TRADE COMPANY S.R.L. a ajusté ses politiques et, à cette fin, nous avons intégré notre modèle sur les règles de confidentialité ;
• La société GUARRACINO TRADE COMPANY S.R.L. est autorisée à traiter vos données personnelles exclusivement aux fins énoncées dans le même avis de confidentialité ;
• Nous vous invitons à observer votre politique de confidentialité interne mise à jour conformément au nouveau règlement de l’UE.

La société GUARRACINO TRADE COMPANY S.R.L. s’engage à protéger la confidentialité des personnes concernées et est responsable de la sécurité des données des clients. Nous serons clairs et transparents sur les informations que nous recueillons et ce que nous ferons avec ces informations.

Cette Politique établit ce qui suit :

• Responsable de données
• La liste des traitements de données à caractère personnel (article 30, lettre C, du règlement GDPR)
• L’indication des finalités pour lesquelles les données sont traitées (article 30, lettre b) du GDPR
• Les méthodes de traitement et de communication
• Les zones et outils avec lesquels les traitements sont effectués
• L’analyse des risques que courent les données ainsi que les mesures déjà prises et/ ou pouvant être prises pour garantir l’intégrité et la disponibilité des données
• Les Critères de surveillance envers les gestionnaires externes
• Droits de l’intéressé
• Déclaration d’engagement et signature

Titolaire du traitement.

Le responsable des traitements est la société GUARRACINO TRADE COMPANY S.R.L. en la personne d’administrateur unique ou d’une autre personne à qui les pouvoirs de représentation nécessaires ont été délégués.

LA GUARRACINO TRADE COMPANY S.R.L. a son siège dans la zone industrielle ASI Aversa Nord, Centro SINE ‘-81032 Carinaro (CE), numéro de TVA IT06237151219.

Ses fonctions et responsabilités sont définies par le décret législatif 196/2003 (Code de confidentialité) et le règlement (UE) n° 679/2016.

En particulier, le responsable du traitement des données est chargé d’identifier le traitement nécessaire à la réalisation des processus de la société, de définir les finalités, les méthodes et la nature des données traitées. Le responsable du traitement des données est également responsable, en conformité avec le code et le règlement de l’UE, du respect de toutes les réglementations légales en matière de données à caractère personnel.

Le responsable du traitement est responsable de la définition des mesures de sécurité à mettre en œuvre et du contrôle de l’application afin de garantir et de démontrer que le traitement est effectué dans le respect du code et des réglementations. Le titulaire pourvoit – éventuellement – à la nomination des responsables des traitements, en définissant les tâches. En outre, le contrôleur de données, conformément aux dispositions combinées des articles 33 et art. du RGPD en cas de violation de données à caractère personnel notifie la violation à l’autorité de contrôle compétente conformément à l’art. 55 du même règlement européen sans retard justifié et, si possible, dans un délai de 72 heures à compter du moment où il a eu connaissance, à moins que la violation rende improbable un risque pour les droits et libertés des personnes physiques. La liste mise à jour de tous les responsables et les chargés au traitement est conservée au siège du titulaire du traitement.

Liste de traitement de données personnelles

LA GUARRACINO TRADE COMPANY S.R.L. traite des données fournies dans le cadre des rapports et des relations commerciales. La société traite également des données fournies légitimement par des agences d’information, des associations de protection des créanciers, des sources accessibles au public (ex. registres du commerce, registre des associations, registres de cadastre, moyens de communication), ainsi que, éventuellement, d’autres sociétés avec lesquelles entretient une relation commerciale permanente.

Les données personnelles comprennent :

Les données principales / données de contact, plus précisément :

• en tant que client privé : nom et prénom, adresse, coordonnées (ex. adresse électronique, numéro de téléphone, numéro de fax), numéro de sécurité sociale, date de naissance,
• en tant que client ou fournisseur : nom du représentant légal, société, numéro de TVA, code de la société, adresse, coordonnées de la personne de contact (adresse électronique, numéro de téléphone, fax), coordonnées bancaires.

Les données supplémentaires traitées sont :

• des informations sur la nature et le contenu des relations commerciales, plus précisément des informations sur les contrats, les missions, les ventes et les reçus, l’historique des clients et des fournisseurs, les documents de consultation,
• données publicitaires et sur les ventes,
• données de documentation (ex. protocoles de consultation), images,
• des informations provenant de transactions électroniques avec GUARRACINO TRADE COMPANY S.R.L (ex. adresse IP, données de login),
• toute autre donnée reçue dans le cadre de notre relation commerciale (ex. entretiens avec des clients),
• les données à générer sur la base de données principales / données de contact et autres données, analysant par exemple les besoins ou le potentiel du client.
• La documentation de votre déclaration de consentement pour recevoir, par exemple, des newsletters.
• Les données communes des clients, fournisseurs, employés, consultants et tiers nécessaires à la relation de travail et à la poursuite d’intérêts commerciaux légitimes au sens de l’art. 6 GDPR et du considérant n. 47 :
• Les données sensibles et / ou judiciaires du personnel dépendant résultant de la relation de travail et relatives aux relations avec les institutions de sécurité sociale et de protection sociale, pour lesquelles le consentement a été expressément donné;
• Consentement préalable, données sensibles des clients, fournisseurs et tiers

But du traitement

Les données personnelles sont traitées :

1) sans consentement exprès (article 24, lettres a), b), c) du code de la vie privée et de l’art.6 lettres b), e) GDPR), aux fins de service suivantes :

– conclure les contrats pour les services du propriétaire ;

– remplir les obligations précontractuelles, contractuelles et fiscales découlant des relations que nous entretenons avec vous ;

– remplir les obligations établies par la loi, par un règlement, par la législation communautaire ou par un décret de l’Autorité (notamment en matière de lutte contre le blanchiment d’argent) ;

– exercer les droits du Titulaire, par exemple le droit de se défendre devant un tribunal ;

2) Uniquement sous réserve d’un consentement spécifique et distinct (articles 23 et 130 du code de Confidentialité et de l’article 7 du RGPD), aux fins de Marketing suivantes :

– envoi par courrier électronique, courrier et / ou sms et / ou contacts téléphoniques, newsletter, communications commerciales et / ou matériel publicitaire sur des produits ou services offerts par le propriétaire et détection du degré de satisfaction quant à la qualité des services ;

– envoi par e-mail, courrier et / ou sms et / ou contacts téléphoniques à des communications commerciales et / ou promotionnelles des tiers (par exemple, business partner, sociétés d’assurance).

Aux clients, En outre, la société se réserve le droit d’envoyer des communications commerciales relatives aux services et produits du titulaire similaires à celles déjà utilisées, sous réserve de désaccord (article 130, paragraphe 4 du code de Confidentialité).

– Recommandations de produits par courrier électronique : Conformément aux dispositions de la loi édictée par les législations nationales et supranationales en vigueur, la Guarracino Trade Company S.r.l. a le droit d’exploiter l’adresse e-mail fournie lors de la commande d’un produit ou service en tant que canal de publicité directe pour des articles ou services similaires. Si par la suite l’utilisateur ne souhaite plus recevoir nos conseils par courrier électronique, il peut retirer le consentement à ce que nous utilisions son adresse à tout moment sans encourir aux frais de transmission autres que ceux prévus aux tarifs de base. Pour ce faire, veuillez contacter le numéro indiqué dans le point 1. Naturellement, chaque e-mail contient également un lien pour procéder à l’annulation.

– Newsletter : Pour l’envoi de la newsletter la société utilise la procédure dite de ” double opt-in “, c’est-à-dire qu’une newsletter ne sera envoyée par courrier électronique que s’il est expressément confirmé au préalable le souhait d’activer le service de newsletter au cours de la procédure d’inscription. Il incombera donc à la société d’envoyer un e-mail par courrier électronique, par laquelle il sera possible de confirmer le souhait de recevoir nos newsletters en cliquant sur le lien approprié contenu dans le texte de celle-ci.

Si par la suite l’utilisateur ne souhaite plus recevoir nos newsletters par courrier électronique, il peut révoquer son consentement à tout moment sans utiliser de frais de transmission autres que ceux prévus au tarif de base. Il suffira d’envoyer simplement une notification écrite à Guarracino Trade Company S.r.l.

Méthodes de traitement et communications

Les données seront traitées à des fins liées aux obligations mutuelles découlant du contrat avec GUARRACINO TRADE COMPANY S.R.L. ainsi que pour les obligations imposées par la loi et les règlements, même secondaires. Le traitement des données sera fait à l’aide d’outils appropriés garantissant la sécurité et la confidentialité et pourra également être effectué à travers des outils automatisés pour stocker, gérer et transmettre les données de manière licite et correcte, collectées et enregistrées à des fins spécifiques, explicites et légitimes ; exacts et, si nécessaire, mis à jour ; pertinents, complets et non excessifs au regard des finalités du traitement.

Nous vous informons également que le traitement susmentionné de données à caractère personnel concernant, liées et / ou essentielles aux relations de travail avec GUARRACINO TRADE COMPANY S.R.L., peut être effectué et / ou communiqué par les personnes suivantes :

• de / vers les administrations publiques, les organismes de sécurité sociale publics et privés, les associations de syndicats, les organismes bilatéraux, les commissions paritaires et les fonds de pension complémentaire avec adhésion obligatoire ou facultative ;
• de / vers des sociétés ou consortiums, des professionnels qui fournissent au rédacteur des services de conseil et / ou de traitement ou exercent des activités qui sont déterminantes pour l’entreprise et en particulier par les avocats et les consultants en général ;
• auprès de compagnies d’assurances, de courtiers, d’experts, de compagnies aériennes et de compagnies de chemin de fer, d’agences de voyages, de sociétés de leasing ou de location de voitures, d’émetteurs de cartes de crédit et de titres-restaurant, de banques clientes et de fournisseurs et en général à des tiers pour lesquels nécessaire dans l’exercice de son activité professionnelle normale ;
• de / vers les personnes auxquelles le droit d’accéder à leurs données à caractère personnel est reconnu par les dispositions de la loi ou du droit communautaire dérivé, ainsi que par la négociation collective et par entreprise ;
• de / vers les sujets pour lesquels la communication de leurs données personnelles est nécessaire ou est en tout état de cause fonctionnelle pour la gestion de la relation de travail.
• Communication obligatoire de la délégation au Département du travail (articles 39 et 40 du décret législatif no 112/2008, convertis par la loi no 133/2008).

Les sujets appartenant aux catégories auxquelles les données peuvent être communiquées, les traiteront comme des “propriétaires” conformément à la loi, en toute autonomie, sans aucun lien avec le traitement initial effectué dans l’entreprise. De même, aux fins liées à l’activité économique de l’entreprise et à la relation de travail, il pourrait également être nécessaire de traiter les données à caractère personnel incluses dans la liste des données sensibles, c’est-à-dire appropriées pour détecter l’origine raciale ou ethnique, les convictions religieuses et philosophiques ou d’autre genre, l’adhésion à des partis, syndicats, associations et organisations à caractère religieux, philosophique, politique ou syndical, ainsi que des données personnelles permettant de détecter l’état de santé et la vie sexuelle ou celles relatives à l’enregistrement dans le casier judiciaire . Nous vous informons également que, dans le cadre du traitement susmentionné, la personne concernée peut exercer les droits prévus à l’art. 7 du décret législatif n ° 196/2003 et de l’art. 15 G.D.P.R.

Conformément à l’art. 13 du décret législatif. 196/2003 il est indiqué également que “tout refus de répondre” au moment de la collecte d’informations ou le refus éventuel de traiter des données pourrait conduire à l’impossibilité objective de respecter une partie des obligations légales et / ou contrat lié à la relation de travail ; relation qui ne peut donc être ni établie ni poursuivie.

Le responsable du traitement des données traitera les données personnelles pendant le temps nécessaire à la réalisation des objectifs précisés ci-dessus et, en tout état de cas pour pas plus 10 ans à compter de la fin de la relation aux fins du service et pas plus de 2 ans à compter de la collecte des données à des fins de marketing.

Les données personnelles sont stockées sur des serveurs situés dans l’Union européenne. Dans tous les cas, le Titulaire aura le droit, au cas échéant, de déplacer les serveurs même en dehors de l’UE. Dans ce cas, le responsable du traitement des données veille à ce que le transfert de données ne provenant pas de l’UE se fasse conformément aux dispositions légales applicables, sous réserve de la stipulation des clauses contractuelles types fournies par la Commission européenne.

Zones et outils avec lesquels les traitements sont effectués

L’infrastructure informatique de GUARRACINO TRADE COMPANY S.R.L. est caractérisée par un seul serveur central.

LA GUARRACINO TRADE COMPANY S.R.L. dispose des systèmes de gestion suivants :

– Email du client Mozilla Thunderbird

– Document ad hoc pour la détection de la présence du personnel

– Server Web

– PC client

– Intranet

Pour les connexions internes, il est utilisé LAN ; La connectivité externe “Internet” est dédiée et exploite la technologie Fibre Optic / ADSL, gérée par des fournisseurs externes et protégée par un double firewall interne présent au siège, qui couvre tout transfert de données vers l’extérieur. Les accès des fournisseurs et du personnel de maintenance se font toujours avec l’autorisation préalable du propriétaire. La seule documentation papier est représentée par les impressions de facturation à la conclusion des contrats signés avec la société.

Les documents papier sont généralement conservés dans des classeurs (ou équivalent) munis d’un verrou fourni au personnel chargé des traitements eux-mêmes. Lorsqu’ils sont compatibles avec les objectifs et la structure des documents, on procède à la conservation séparée des documents spécifiques contenant des données sensibles. Dans les cas où ils sont produits de manière centralisée, les procédures de sécurité spécifiques définies dans ce modèle sont appliquées.

Analyse des risques inhérents aux données

Afin de mettre en œuvre une politique de sécurité et de confidentialité conforme au règlement (UE) n ° 679/2016 et malgré l’absence d’obligation expresse de le faire, la société GUARRACINO TRADE COMPANY S.R.L. a effectué une analyse des risques qui peut être résumée comme suite :

• Pour les données à caractère personnel (données communes) des employés, des clients, des fournisseurs, des consultants et éventuellement des tiers : le risque associé à leur gestion peut être défini comme faible.
• Pour les données sensibles des employés, clients, fournisseurs, consultants et éventuellement de tiers pour lesquels un consentement explicite a été donné : le risque associé à leur gestion peut être défini comme moyen / faible.

• Le risque d’accès au siège de la société peut être défini comme faible: l’accès est contrôlé par le service de sécurité privé.

Il existe un système antivol adéquat avec un service de vidéosurveillance intégré.

Le risque d’altération et / ou de défaillance de l’équipement de gestion du traitement de l’information peut être défini comme étant faible : les structures sont en fait équipées d’un système antivol. Le personnel est sensibilisé à l’utilisation et à la gestion des appareils. Les Hardware utilisés proviennent des fabricants primaires et récents. Le parc de machines est géré en interne et est couvert de contrats de garantie.

• Le risque d’installer un logiciel non autorisé et un accès non autorisé à des programmes d’application peut être défini comme faible : tous les utilisateurs accèdent aux ressources de l’entreprise avec un profil standard auquel les fonctions d’administration du poste de travail sont interdites. L’installation de programmes non contrôlés est donc inhibée.

L’accès aux ressources de l’application s’effectue en spécifiant un nom d’utilisateur et un mot de passe personnels et non transférables, à celle-ci sont liés des profils d’autorisation interdisant la possibilité d’accéder à des zones pour lesquelles vous n’êtes pas autorisé.

La gestion de bloc de session a lieu automatiquement, en cas d’utilisation non prolongée du poste de travail.

• Le risque lié au traitement des données (accès non autorisé aux archives, modification ou suppression de données, perte (accidentelle ou malveillante) de données, interception de transmissions, impossibilité de restaurer des données après un événement qui les a endommagés) peut être défini comme faible. : L’accès aux ressources de l’entreprise s’effectue via un profil d’autorisation.
• La documentation papier est conservée dans des salles verrouillées
• Le réseau LAN est protégé contre les accès externes par un système Firewall

Mesures de sécurité pour l’intégrité et la disponibilité des données

Pour protéger les données à caractère personnel des risques mentionnés dans le paragraphe précédent, les mesures de sécurité suivantes sont adoptées.

1) Mesure pour la sécurité physique

Pour garantir la sécurité physique des locaux où les données sont traitées, en plus des mesures prévues par la loi (par exemple, décret législatif 81/2008) ou des règles internes à la société (protection du site), les contrôles suivants sont appliqués :

• Les appareils d’informatique importants pour la sécurité des informations (server de réseau, file server, Data base server, router, switch et firewall) sont installés dans des locaux fermés si aucune personne n’est présente pour les activités de maintenance et de support.
• L’accès à ces zones n’est accordé qu’au personnel de maintenance ou au personnel préalablement autorisé.
• Le personnel extérieur à l’entreprise peut accéder aux locaux et y rester pendant le temps nécessaire pour mener à bien l’activité demandée (ex. nettoyage ou maintenance), uniquement après accord explicite des employés et en présence constante de celle-ci.
• Les sauvegardes de données – même les plus sensibles – sont effectuées sur un disque dur physiquement conservé par la personne désignée, dont l’accès est permis aux personnes autorisées à les conserver, à la maintenance et aux personnes autorisées à traiter ces données.
• Les locaux utilisés pour les archives sont gérés directement par le propriétaire ; pour les données sensibles, ceux-ci sont fermés dans des armoires spéciales, tandis que toutes les autres données conservées sur papier sont protégées par le bureau et les employés qui y travaillent.

2) Mesures de sécurité logique

Pour assurer la sécurité logique des informations, les contrôles suivants sont fournis :

• Pour utiliser les postes de travail (terminaux et PC) et accéder aux applications pour le traitement des données, les employés doivent utiliser un utilisateur (user-id) et un mot de passe d’authentification.
• Les références sont strictement individuelles et sont créés par l’administrateur système, à la demande du propriétaire. Une fois l’utilisateur créé, il est demandé à l’intéressé de spécifier son propre mot de passe conformément aux règles indiquées ci-dessous.
• Les références ne doivent en aucun cas être cédées à une autre personne. Lorsqu’un employé quitte l’entreprise, ses références ne peuvent plus être utilisées.
• La société vérifie régulièrement s’il y a des utilisateurs qui ne sont plus utilisés depuis six mois et les désactive. Avant de supprimer un utilisateur, elle vérifie avec le Propriétaire si le besoin qui a conduit à sa création persiste et prend, avec son accord, les mesures appropriées (annulation ou maintenance).
• Lorsque les raisons pour lesquelles un utilisateur a été créé sont perdues (démission, changement d’activités, changements technologiques), l’administrateur système désactive immédiatement l’utilisateur. L’utilisateur peux être maintenu en place (mais désactivé) jusqu’à la fin des activités de diffusion entre la personne précédente et la nouvelle personne. Tout doit être documenté. À ce stade, il est supprimé, ainsi que toutes les qualifications de l’équipement.
• Les utilisateurs sont authentifiés à l’aide d’un mot de passe. Ceci est secret et ne doit pas être communiqué à d’autres personnes ni laissé sans surveillance, par exemple en l’écrivant sur un agenda ou sur des feuilles de notes. Un traitement illicite effectué en volant le mot de passe d’un employé est toutefois imputable à la personne qui ne l’a pas gardé correctement.
• Lorsqu’un mot de passe est oublié, l’administrateur système vérifie que le demandeur est la personne qui en est le propriétaire légitime et procède à la définition d’un nouveau mot de passe conformément aux règles définies ci-dessus avec le demandeur.
• Pour surmonter les situations d’urgence ou pour répondre aux demandes d’accès légitimes aux données, l’administrateur système peut redéfinir le mot de passe d’un utilisateur pour un accès temporaire. L’activité réalisée doit être documentée et le propriétaire légitime du mot de passe doit en être informé dans les meilleurs délais. À ce stade, il se chargera de changer le mot de passe utilisé pour la situation d’urgence et d’en définir un nouveau, connu uniquement de lui.
• Chaque employé a l’obligation de ne pas laisser le poste de travail sans surveillance pendant l’activation d’une session de travail. En cas d’absence il est nécessaire de fermer la session et, dans le cas d’un PC, d’empêcher l’accès à d’autres personnes, en utilisant si possible la fonction de verrouillage du PC ou en alternative fournir un programme de screen-saver avec mot de passe. Si aucun des deux n’est applicable, l’utilisateur devra arrêter la session active.
• Le nom d’utilisateur et le mot de passe contrôlent le droit d’un employé d’utiliser un poste de travail et d’accéder à une application. Les données sont traitées selon un profil d’autorisation établi en fonction des besoins opérationnels réels de l’employé et en ligne avec autorisations correspondantes.
• Le profil d’activation est défini par l’administrateur système en fonction des autorisations qui lui ont été communiquées par le propriétaire. Une copie de la demande d’activation et de l’autorisation est numérisée puis enregistrée dans le système informatique de l’entreprise.
• Une fois par an, la liste des utilisateurs activés et les profils d’autorisation associés est transmise au propriétaire. Celui-ci vérifie l’exactitude des autorisations et la permanence de leur nécessité. Donc il les confirme ou demande des mises à jour. La documentation soumise à la vérification doit être archivée pour toute vérification ultérieure.

3) Mesures de sécurité des communications

Pour assurer la sécurité des communications, les mesures de contrôle suivantes sont fournies :

• Un programme antivirus est installé sur tous les postes de travail connectés au réseau Internet, géré via le composant serveur, les mises à jour sont automatiques et ont lieu au moins une fois par an pour la partie logicielle et tous les jours pour la définition des virus.
• L’accès “Internet” à l’extérieur est contrôlé par un firewall, la gestion est confiée au personnel interne qui vérifie périodiquement que les stratégies d’accès et de contrôle soient toujours à jour et conformes.
• Toute transmission de données à l’extérieur doit être autorisée par le propriétaire et doit s’effectuer via le système officiel identifié, ce système doit fournir des systèmes de cryptage de communication.
• Le service de messagerie électronique est géré sur le service ” hosting” de Mobile Thunderbird ; l’utilisation est toutefois autorisée au préalable. L’échange de données à caractère personnel par l’intermédiaire de ce canal ne doit avoir lieu que lorsque cela est strictement nécessaire, explicitement demandé et autorisé. Dans tous les cas, les informations échangées ne doivent pas contenir de données sensibles. Tout envoi de telles données peut être mis en œuvre si les outils appropriés ont été appliqués permettant de rendre les communications intelligibles.

4) Communication et transfert de données

Si les données pour lesquelles la société est le responsable du traitement font l’objet d’une communication ou d’un transfert à des tiers, une vérification appropriée de la conformité de cette communication avec les informations fournies aux parties intéressées est effectuée ; si cette vérification échoue, la communication ne peut avoir lieu.

En cas de retour positif, la communication et / ou le transfert de données à des tiers peuvent avoir lieu sous la contrainte du respect des finalités des informations, spécifiées par écrit au destinataire de la communication ou du transfert.

Si les destinataires de la communication sont identifiés dans l’information au moyen d’indications génériques, le responsable de l’organisation des traitements tient un registre dans lequel les destinataires spécifiques sont dûment indiqués.

La communication de données relatives à des traitements pour lesquels la société est responsable externe n’est autorisée que si le destinataire de la communication a été dûment identifié et autorisé par le responsable du traitement ; dans tous les autres cas, la communication ne peut avoir lieu.

5) Gestion et conservation des documents en papier

Tous les responsables autorisés à des traitements qui prévoient l’utilisation de documents papier sont équipés de casiers ou de récipients fermables à clé pour la protection et le stockage approprié des documents contenant des données personnelles.

Si cela est compatible avec leur structure physique, les documents contenant des données particulières sont conservés séparément des documents contenant uniquement des données communes et l’accès est en outre limité aux seules personnes responsables qui effectuent des tâches nécessitant leur utilisation.

Les documents qui n’ont plus de valeur opérationnelle ne sont soumis à la conservation que si cela est dû à des obligations légales ou pour des raisons légales, historiques et dans tous les cas spécifiés et identifiées par le responsable du traitement et documentées par le responsable de l’organisation. Le stockage s’effectue généralement dans des locaux de stockage spéciaux, dont l’accès est contrôlé.

6) Utilisation et conservation des instruments électroniques

Les outils informatiques sont protégés contre les risques d’intrusion et l’action des programmes au sens de l’art. 615 quinquies du code pénal à travers l’activation d’instruments électroniques appropriés. La mise à jour de ces outils, comme en générale, les mises à jour périodiques des programmes visant à prévenir la vulnérabilité des outils électroniques et à corriger les défauts, sont effectuées au moins une fois tous les six mois.

Les postes de travail mis à la disposition des employés sont équipés des outils de protection appropriés et les fonctions de sécurité sont activées conformément aux spécifications techniques des différents appareils. Les distributeurs ne sont pas autorisés (ou, si cela n’est pas techniquement possible, formés) à modifier ces paramètres préconfigurés.

7) Relations avec les fournisseurs

Dans les relations avec ses fournisseurs, la Société adopte des clauses contractuelles appropriées visant à protéger ses droits et responsabilités en matière de traitement des données à caractère personnel.

À cette fin, conformément aux différents types de contrats standards utilisés par la société, des clauses spécifiques ont été développées pour protéger et définir en détail le rôle et les obligations du fournisseur.

8) Restrictions d’accès aux bases de données

L’utilisation d’outils générique d’extraction et de génération de rapports dans les bases de données contenant des données à caractère personnel sensibles ou bien confidentielles doit donc être limitée à quelques sujets spécifiquement autorisés, réalisant dans tous les autres cas des outils d’application prédéfinis.

Critères de surveillance pour tous les gestionnaires externes

La société GUARRACINO TRADE COMPANY S.R.L. dans les cas où elle confie à des tiers externes le traitement de données à caractère personnel, dont la société est le responsable du traitement (désignés comme responsables externes des traitements), régit les critères de surveillance suivants.

Lors de la nomination d’une personne externe comme responsable, et conformément au service demandé, des instructions détaillées sont fournies sur les exigences de sécurité à respecter. La supervision exercée par la Société s’effectue sur un plan organisationnel, logique et physique.

1) Supervision organisationnelle

Le gestionnaire externe est invité à fournir une déclaration spécifique concernant la mise en œuvre des mesures de sécurité minimales prévues dans le Règlement technique.

La société se réserve le droit de vérifier à la fois la nomination en temps utile du personnel utilisé par le fournisseur pour l’exécution des services confiés et la formation achevée. Une copie des procédures di incident reporting est également demandée dans les cas suivants:

• présence de virus
• récupération de données à partir des copies de backup
• perte ou destruction accidentelle de données

2) Supervision logique

Le gestionnaire est tenu de produire, tous les six mois, des informations actualisées, limitées aux traitements auxquels la Société est Propriétaire, concernant :

• liste complète des user-id définis
• user-id non utilisé dans la période
• description des cas de réinitialisation des mots de passe
• détection de la fréquence effective de changement de mot de passe

En outre, tous les événements ayant donné lieu à des incident reporting se rapportant aux traitements de la Société doivent être convenablement communiqués et documentés dans les 15 jours suivant leur survenue.

À intervalles d’au moins un an, le fournisseur est invité à procéder à une simulation des procédures de récupération en présence du personnel de la société.

3) Supervision physique

L’identification et la description des lieux où les supports de backup des données et / ou des programmes informatiques confiés sont demandés. Une copie complète des archives doit être fournie tous les trimestres à la Société pour une garde indépendante dans ses propres locaux.

                                             Droits de l’intéressé

L’intéressé, en vertu et pour les effets de l’art. 7 du code de la confidentialité et de l’art. 15 GDPR a le droit d’obtenir la confirmation de l’existence ou non de données à caractère personnel les concernant, même si elles ne sont pas encore enregistrées, ainsi que leur communication sous une forme intelligible. Et précisément les droits de :

1) obtenir la confirmation de l’existence ou non de données à caractère personnel le concernant, même si elles ne sont pas encore enregistrées, et leur communication sous une forme intelligible ;

2) obtenir l’indication :

1. a) de l’origine des données personnelles ;
2. b) des finalités et des méthodes du traitement ;
3. c) de la logique appliquée en cas de traitement effectué à l’aide d’instruments électroniques;
4. d) des détails d’identification du propriétaire, des gérants et du représentant désigné conformément à l’art. 5, comma 2 du code de la confidentialité et art. 3, paragraphe 1, GDPR ;
5. e) des sujets ou catégories de sujets auxquels les données personnelles peuvent être communiquées ou qui peuvent en prendre connaissance en tant que représentant désigné sur le territoire de l’État, de responsables ou de mandataires ;

3) obtenir :

1. a) mise à jour, rectification c’est à dire, quand ça vous intéresse, intégration des données;
2. b) l’annulation, la transformation en forme anonyme ou le blocage des données traitées illégalement, y compris les données dont la conservation est inutile par rapport au but pour lesquelles les données ont été collectées ou traitées ;
3. c) l’attestation que les opérations visées aux lettres a) et b) ont été portées à la connaissance, même en ce qui concerne leur contenu, de ceux à qui les données ont été communiquées ou diffusées, excepté le cas où telle exécution s’avère impossible ou implique l’utilisation de moyens manifestement disproportionnés par rapport au droit protégé ;

4) s’opposer, en tout ou en partie :

1. a) pour des raisons légitimes, au traitement des données à caractère personnel vous concernant, même si elles sont pertinentes par rapport à l’objectif de la collecte ;
2. b) au traitement des données personnelles vous concernant pour l’envoi de matériel publicitaire ou de vente directe ou pour la réalisation d’études de marché ou de communications commerciales, par le biais de systèmes automatisés des appels sans l’intervention d’un opérateur par courrier électronique et / ou par le biais de méthodes de marketing traditionnelles, par téléphone et / ou courrier postal.

Il convient de noter que le droit d’opposition de l’intéressée, énoncé précédemment, à des raisons de marketing direct à travers des méthodes automatisées, s’étend aux méthodes traditionnelles et que, dans tous les cas, l’intéressé a la possibilité d’exercer le droit d’opposition même partiellement. Par conséquent, l’intéressée peut décider de ne recevoir que des communications utilisant les méthodes traditionnelles ou uniquement des communications automatisées ou aucun des deux types de communication. Quand c’est possible, il bénéficie également des droits visés aux articles 16-21 du RPGD (droit de rectification, droit d’être oublié, droit de limitation du traitement, droit à la portabilité des données, droit d’opposition), ainsi que du droit de porter plainte auprès de l’autorité garante.

Remarques finales, déclaration d’engagement et signature

Le présent document découle de l’analyse des problèmes liés à l’entrée en vigueur du règlement de l’UE 679/2016 mentionné dans l’introduction.

La copie de ce document est jointe aux destinataires des communications précédentes afin de fournir des instructions sur les tâches et les règles à respecter dans l’activité exercée par la société GUARRACINO TRADE COMPANY S.R.L.

Ce document est signé en bas par SIMONE GUARRACINO en qualité d’administrateur unique de GUARRACINO TRADE COMPANY S.R.L.

L’original du document est conservé au siège social de GUARRACINO TRADE COMPANY S.R.L., dans la zone industrielle ASI Aversa Nord, au Centro SINE ‘-81032 Carinaro (CE) pour être ensuite présenté en cas de contrôle.

Une copie sera livrée :

– à toute personne qui le demande dans le cadre de l’établissement d’une relation impliquant le traitement de données à caractère personnel.