Guida alla conformità al GDPR di ACTpro

Download
This is some text inside of a div block.

Guida alla conformità al GDPR di ACTpro

Vanderbilt Industries si impegna a rispettare pienamente i regolamenti generali europei sulla protezione dei dati introdotti a maggio 2018.

Le soluzioni e i prodotti Vanderbilt consentono ai clienti di gestire ed elaborare i dati personali in modo tale da soddisfare i requisiti del GDPR. Questa guida ha lo scopo di aiutare e supportare i nostri clienti nella valutazione della loro disponibilità ad adempiere alle proprie responsabilità e obblighi nei confronti delle nuove normative.

Panoramica

La protezione dei dati è un diritto fondamentale in base al quale ogni individuo ha il diritto alla protezione dei dati personali che lo riguardano. Il Regolamento generale sulla protezione dei dati (GDPR) è applicabile dal 25 maggio 2018 ed è progettato per dare alle persone un maggiore controllo sui propri dati personali. Esiste una serie di norme per l'intera UE, che può essere integrata in alcune aree dalla legislazione nazionale.

Il GDPR impone obblighi alle aziende o alle organizzazioni che raccolgono, utilizzano ed elaborano dati personali. Al centro del GDPR c'è l'obbligo per le organizzazioni e le aziende di essere completamente trasparenti su come utilizzano e proteggono i dati personali e di essere in grado di dimostrare la responsabilità per le proprie attività di trattamento dei dati. Tali dati devono essere trattati in modo equo per scopi specifici e sulla base del consenso della persona interessata o di qualche altra base legittima prevista dalla legge.

Sebbene Vanderbilt offra ai clienti funzionalità di prodotto flessibili e intuitive per facilitare la conformità alle nuove normative, l'organizzazione Vanderbilt non raccoglie, controlla, utilizza o elabora i dati personali presenti nei prodotti Vanderbilt on-premise. Pertanto, è ruolo e responsabilità del titolare e del responsabile del trattamento dei dati personali garantire il rispetto degli obblighi previsti dal GDPR.

In caso di dubbi o dubbi sull'identità del titolare e/o del responsabile del trattamento, in ogni caso, è necessario consultare il proprio consulente legale.

Cosa sono i dati personali?

Con il termine «dati personali» si intende qualsiasi informazione relativa a una persona vivente identificata o identificabile.

Una persona è identificabile se può essere identificata direttamente o indirettamente utilizzando un «identificatore». Il GDPR fornisce esempi di identificatori, tra cui nomi, numeri di identificazione e dati sulla posizione. Una persona può anche essere identificabile facendo riferimento a fattori specifici della sua identità, come fattori fisici, genetici o culturali.

I dati personali che sono stati resi anonimi, crittografati o pseudonimizzati ma che possono essere utilizzati per identificare nuovamente una persona rimangono dati personali e rientrano nell'ambito di applicazione del GDPR. Se i dati personali sono stati resi anonimi in modo tale che l'individuo non sia più identificabile, non sono considerati dati personali. Affinché i dati siano veramente resi anonimi, l'anonimizzazione deve essere irreversibile.

La legge protegge i dati personali indipendentemente dalla tecnologia o dal metodo utilizzato per il trattamento di tali dati: si applica sia all'elaborazione automatica che manuale. Inoltre, non importa come vengono archiviati i dati personali: in un sistema IT, tramite videosorveglianza o su supporto cartaceo; in tutti i casi, i dati personali sono soggetti ai requisiti di protezione stabiliti dal GDPR.

Cosa costituisce il trattamento dei dati?

Il trattamento copre un'ampia gamma di operazioni eseguite sui dati personali, anche con mezzi manuali o automatizzati. Comprende la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, il recupero, la consultazione, l'uso, la divulgazione mediante trasmissione, diffusione o altra messa a disposizione, l'allineamento o la combinazione, la restrizione, la cancellazione o la distruzione dei dati personali.

Il Regolamento generale sulla protezione dei dati (GDPR) si applica al trattamento dei dati personali interamente o parzialmente con mezzi automatizzati e al trattamento non automatizzato, se fa parte di un sistema di archiviazione strutturato.

Sono un titolare del trattamento o un responsabile del trattamento dei dati?

Un titolare del trattamento è una persona fisica o giuridica che controlla ed è responsabile della conservazione e dell'uso delle informazioni personali su un computer o in file manuali strutturati. Essere un titolare del trattamento comporta delle responsabilità legali, quindi dovresti sapere con chiarezza se tali responsabilità riguardano te o la tua organizzazione.

Se tu o la tua organizzazione controllate e siete responsabili dei dati personali in loro possesso, ad esempio decidete quali informazioni personali verranno conservate e a che uso verranno destinate, allora voi o la vostra organizzazione siete titolari del trattamento dei dati.

Esempi di casi in cui il responsabile del trattamento dei dati è una persona fisica includono medici generici, farmacisti, politici e ditte individuali, in cui queste persone conservano informazioni personali sui loro pazienti, clienti, elettori ecc.

Se tu o la tua organizzazione detieni i dati personali, ma un altro individuo o organizzazione decide ed è responsabile di ciò che accade ai dati, allora quell'altro individuo o organizzazione è il titolare del trattamento e tu o la tua organizzazione siete un «responsabile del trattamento dei dati».

Esempi di responsabili del trattamento dei dati includono società di gestione delle retribuzioni, contabili e società di ricerche di mercato, che potrebbero detenere o elaborare informazioni personali per conto di qualcun altro.

Cos'è il consenso ai dati e devo prenderlo in considerazione?

Per trattare legalmente i dati personali, le organizzazioni e le aziende devono identificare e documentare la base legale per farlo sin dall'inizio. Alcuni dei modi legali per trattare i dati includono:

  • Consenso dell'individuo: Il consenso è appropriato se agli individui viene offerta una scelta e un controllo reali su come vengono utilizzati i loro dati.
  • Interessi vitali: Il trattamento è necessario per proteggere gli interessi vitali dell'individuo, ad esempio se è necessario proteggere la vita di qualcuno.
  • Conformità che ha un obbligo legale: I dati possono essere trattati se, ad esempio, sono richiesti dalla legge dell'UE per uno scopo particolare.
  • Un contratto con l'individuo: Il trattamento è necessario per l'esecuzione di un contratto con un individuo, ad esempio per fornire beni o servizi richiesti

In caso di dubbi sull'acquisizione di un consenso sufficiente per il trattamento dei dati personali, è necessario consultare il proprio consulente legale.

Cos'è un contratto per il trattamento dei dati e devo prenderlo in considerazione?

Se detieni o elabori (inserisci, modifichi, gestisci) dati personali (processore di dati) per conto del tuo cliente (titolare del trattamento), avrai bisogno di un contratto di elaborazione dei dati. Consigliamo di richiedere una consulenza legale per garantire al meglio che il contratto preveda adeguate misure di sicurezza e altre misure di protezione dei dati. Inoltre, consigliamo ai clienti di disporre di una lista di controllo sulla gestione dei dati e sulla consegna del sistema di sicurezza.

Conosci il tuo ruolo e la tua responsabilità

È chiaro che la legge sta cambiando in GDPR e questo deve essere preso in considerazione nella pianificazione del sistema di sicurezza. È necessario identificare e risolvere le aree che possono causare problemi di conformità ai sensi del GDPR. Ai sensi del GDPR, le persone hanno il diritto di ricevere informazioni chiare sull'uso dei propri dati.

Il primo passo pratico è identificare il tuo ruolo e la tua responsabilità rispetto al GDPR. Sei un titolare del trattamento o un elaboratore di dati o entrambi? In caso di dubbi o dubbi sull'identità del titolare e/o del responsabile del trattamento, in ogni caso, è necessario consultare il proprio consulente legale.

Il secondo passo è diventare responsabili. Considera tutti i dati personali che gestisci quando lavori con il sistema di sicurezza ed esaminali sotto i seguenti titoli:

  • Quali dati personali vengono memorizzati?
  • Qual è la base giuridica su cui si basa il trattamento dei dati personali?
  • Dove vengono archiviati i dati?
  • Come vengono protetti i dati?
  • Per quanto tempo vengono conservati i dati?
  • Qual è la politica per la gestione delle singole richieste di accesso ai dati?
  • Qual è la procedura se qualcuno chiede di essere rimosso dal sistema?
  • Chi ha accesso ai dati?
  • I dati personali vengono trasferiti al di fuori del SEE?

ACTpro e GDPR

Le seguenti informazioni descrivono in che modo il sistema Vanderbilt ACTPro può essere utilizzato per facilitare la conformità al GDPR.

Quali dati personali vengono memorizzati?

Nessun dato personale è obbligatorio memorizzare per il corretto funzionamento del sistema ACTpro.

Qual è la base giuridica su cui si basa il trattamento dei dati personali?

L'inserimento dei dati e il mantenimento dei dati sono controllati dal titolare e dal responsabile del trattamento dei dati del sito. Pertanto, è responsabilità del titolare e/o del responsabile del trattamento garantire l'ottenimento della base legale per il trattamento dei dati personali.

Non ci sono procedure esplicite integrate nel software ACTPro per ottenere il consenso dell'utente o registrarlo.

Dove vengono archiviati i dati?

I dati vengono memorizzati nel database ACTPro situato sul server e nei backup. Alcuni dati personali possono essere memorizzati nei controller di sistema (nomi), ma possono essere disattivati dal proprietario del sistema.

Come vengono protetti i dati?

Per accedere al contenuto del database ACTPro, viene utilizzato il software client (ACT Manage, Monitor o Install). Il login, il software è protetto da una password.

Non crittografiamo i dati personali. L'utente finale può scegliere di applicare la crittografia autonomamente, a livello di database (SQL Server o SQL Compact).

Il personale di Vanderbilt non ha accesso al sistema del cliente a meno che non sia autorizzato tramite accesso remoto.

Per quanto tempo vengono conservati i dati?

In ACTPro, i dati del titolare della carta vengono conservati per tutto il tempo in cui la persona richiede una carta. Le date di scadenza della validità della carta possono essere definite, ma è compito dell'utente del sistema provvedere alla cancellazione dei dati del titolare della carta una volta scaduta. Vanderbilt offre un rapporto sulla scadenza della carta per semplificare questo processo.

 

Abbiamo una funzione per eliminare gli eventi del registro più vecchi di un determinato periodo di mesi, che può essere personalizzata dall'utente. Per impostazione predefinita, gli eventi vengono conservati per sempre.

Quando si elimina un titolare di carta, il sistema non elimina, per impostazione predefinita, i relativi eventi di registro. Ma questo può essere modificato per eliminare gli eventi di registro quando si elimina l'utente.

Qual è la politica per la gestione delle singole richieste di accesso ai dati?

Se viene effettuata una richiesta, è responsabilità del titolare del trattamento e/o dei responsabili del trattamento delineare la politica e fornire i dati in modo tempestivo in conformità con le normative GDPR.

In ActPro sono disponibili diversi report per dettagliare le informazioni conservate su un individuo, come gli eventi di registro recenti, incluso un modo per esportare tali dati in report PDF standard o file CSV.

Qual è la procedura se qualcuno chiede di essere rimosso dal sistema?

Se viene effettuata una richiesta, è responsabilità del titolare del trattamento e/o dei responsabili del trattamento delineare la politica e rimuovere i dati in modo tempestivo in conformità con le normative GDPR.

I dati dei titolari di carta possono essere eliminati manualmente dal sistema ACTpro dall'utente finale. Per impostazione predefinita, il sistema non elimina i dati degli eventi di registro associati. Ma esiste un'impostazione che può modificare questa impostazione predefinita in modo che anche gli eventi di registro degli utenti eliminati vengano eliminati con essi.

Chi ha accesso ai dati?

È responsabilità del titolare del trattamento e/o del responsabile del trattamento rivelare chi ha accesso ai dati personali sul sistema ACTpro installato sul sito. Il titolare del trattamento e/o il responsabile del trattamento dei dati è responsabile della creazione e dell'applicazione di questi processi.

Enterprise dispone di un sistema di utenti DB per la concessione dei diritti sul software client a persone specifiche. Tutti gli accessi al sistema vengono controllati, inclusi gli accessi, le modifiche ai dati degli utenti e le azioni.

I dati personali vengono trasferiti al di fuori del SEE?

In modalità operativa normale, i dati utente ACTpro non vengono condivisi all'esterno del sistema. È responsabilità del titolare e/o del responsabile del trattamento dei dati rivelare se il sistema è configurato in modo da trasferire i dati al di fuori del SEE.

Uomo in camicia bianca che sorride e guarda in basso.
Mettiti in contatto con il nostro team per esplorare soluzioni scalabili e pronte per il futuro, progettate per proteggere persone, locali e dati.

Proteggiamo il futuro, insieme.

Mettiti in contatto con il nostro team per esplorare soluzioni scalabili e pronte per il futuro, progettate per proteggere persone, locali e dati.
Parla con il nostro team
This is some text inside of a div block.
Perfettamente integrato
Piattaforma pronta per il futuro
Creato per la scelta
Scelto dalle aziende Fortune 500