Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 concernant la protection des personnes physiques à l’égard du traitement des données à caractères personnel, ainsi que à la libre circulation de ces données. Introduction
Introduction
La protection des données à caractère personnel représente pour Gamma System s.r.l. (ci-après nommée “GAMMA” ou “Société”) un engagement important.
L’entrée en vigueur du Règlement (UE) 2016/679 “Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 concernant la protection des personnes physiques à propos du traitement des données à caractères personnel, ainsi que à la libre circulation de ces données” (ci-après “RGPD”) a fourni la chance pour améliorer ultérieurement les activités effectuées par la Société selon les principes de transparence et de protection des données à caractère personnel, dans le respect des droits et des libertés fondamentales de tous les concernés, qu’ils soient salariés, collaborateurs, clients, fournisseurs ou tiers intéressés à recevoir les informations.
GAMMA SYSTEM a mis en place un “Modèle Organisationnel de Confidentialité” (MOC) qui est décrit ci-après dans ses lignes principales. Il est finalisé à analyser tous les traitements de données, à les organiser de manière fonctionnelle et à les gérer en toute sécurité et transparence. Cette section du site donne les informations sur les droits de la personne concerné et sur les modalités d’exercice envers le Responsable.
Indice
1 – MODÈLE ORGANISATIONNEL DE CONFIDENTIALITĖ RGPD
1.1 - SUJETS
1.2 – ANALYSE DU RISQUE ET MESURE POUR PRĖVENIR LES RISQUES DE CONFIDENTIALITĖ
2 – TRANSPARENCE ET DROITS DE LA PERSONNE CONCERNĖE
2.1 – DROITS EN MATIÈRE DE PROTECTION DES DONNĖES À CARACTÈRE PERSONNEL
2.2 – ĖXERCICE DES DROITS
2.3 – FORMULAIRES ET POLITIQUES
1 – Modèle organisationnel de Confidentialité RGPD
1.1 - SUJETS
RESPONSABLE DU TRAITEMENT
Le Responsable du traitement est :
GAMMA SYSTEM SRL (ci-après nommé “RESPONSABLE”)
VIA Torino 24/I – 10044 PIANEZZA (TO)
Tel. +39 011-9682466
e-mail: info@gammasystem.com.
E-mail certifié : ammin.rps@pec.it
Nr. Tva et Identifiant Fiscal : 02647040233
SUJETS AUTORISĖS AU TRAITEMENT DES DONNĖES (ex art. 29 RGPD)
Le Modèle Organisationnel de Confidentialité (MOC) prévoit que chaque salarié/collaborateur du RESPONSABLE traite uniquement les données nécessaires pour effectuer ses propres activités, en fonction de l’organisation interne et, surtout, des finalités indiquées et proposées à l’utilisateur (principe de "limitation de la finalité et minimisation des données”, art. 5 paragraphe 1, lett. b) et c) du RGPD). Une séparation des traitements par zones homogènes de sujets autorisés au traitement a été préparée. Cette séparation lie les salariés/collaborateurs chargés de chaque zone à un domaine spécifique de traitement. Chaque sujet autorisé a reçu des instructions spécifiques par le RESPONSABLE concernant le traitement des données à caractère personnel. Dans ce but, délibérément, le système informatique est également composé de “compartiments étanches”. Le salarié/collaborateur pourra accéder, de son poste informatique, uniquement aux données nécessaires pour mener à bien ses tâches. La désignation aux zones spécifiques de traitement a lieu après une analyse minutieuse de la structure et de l’organisation de l’entreprise ainsi que du flux de données internes et externes de la Société. Le salarié/collaborateur a également reçu un règlement interne à l’égard de l’utilisation des outils informatiques et des règles de conduite, même éthiques, sur toutes les informations auxquelles il accède en vertu de sa tâche spécifique. Pour assurer, de façon efficace, l’alignement aux principes en matière de traitement des données à caractères personnel, le RESPONSABLE a également prévu une formation adéquate pour ses salariés/collaborateurs qui, en vertu de leur tâches, procèdent au traitement des données à caractères personnel.
ADMINISTRATEURS DE SYSTÈME (INTERNES OU EXTERNES)
Le RESPONSABLE utilise des systèmes informatiques pour gérer et organiser son activité. Pour cette raison, depuis toujours, l’attention à la réalisation des logiciels, des modalités d’utilisation de ces logiciels et de la sécurité des données sont à la base de l’activité du RESPONSABLE. Les sujets ayant les droits “d’administrateur” internes à l’entreprise sont spécifiquement nommés et formés. Les autres Sociétés externes spécialisées qui accèdent à des données de l’entreprise sont spécifiquement désignées Responsables Externes et/ou Administrateurs de Système Externes au sens de l’art. 28 du GDPR.
Les fournisseurs de services informatiques externes sont sélectionnés en prêtant une attention particulière à leur professionalité, non seulement technique, mais aussi en rapport au respect et à la protection des données, en privilégiant les sociétés certifiées.
RESPONSABLE DU TRAITEMENT (ex art. 28 RGPD)
En règle générale, le RESPONSABLE gère à l’intérieur la quasi-totalité des activités de traitement. Les cas d’attribution en externalisation à des tiers de certaines activités qui impliquent le traitement de données pour le compte du RESPONSABLE sont adéquatement indiqués à l’intérieur de chaque politique. Dans ces cas le rapport avec la tierce partie est régi par un contrat spécifique de nomination comme “Responsable du Traitement” au sens de l’art. 28 du RGPD.
Le RESPONSABLE confie cette activité de traitement à des sujets externalisés qui présentent des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles adéquates pour satisfaire aux exigences prévues par le RGPD et assurer la protection des droits des personnes concernées.
1.2 ANALYSE DU RISQUE ET MESURES POUR PRĖVENIR LES RISQUES DE CONFIDENTIALITĖ
Selon les principes de “accountability” (responsabilisation) il incombe au RESPONSABLE de mettre en œuvre une série de mesures – organisationnelles, physiques, juridiques, techniques et informatiques – visant à prévenir le risque de violation des droits et des libertés personnelles des personnes concernées. Pour atteindre cet objectif, on effectue une analyse constante des risques, en fonction des traitements, des outils utilisés, de la typologie et de la quantité de données traitées.
REGISTRE DES TRAITEMENTS (ex art. 30 RGPD) ET ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNĖES (ex art. 35 RGPD)
Le MOC prévoit une analyse soignée et constante des risques liés au traitement des données à caractère personnel identifiés pour chaque activité ou service fourni au moyen d’un Registre des Traitements au sens de l’art. 30 paragraphe 1 du RGPD. Après avoir analysé l’activité de traitement effectuée par le RESPONSABLE, on estime que à ce jour il n’existe pas d’activités à risque telles à avoir besoin d’une évaluation spécifique d’impact au sens de l’art. 35 du RGPD ( “DPIA”). L’analyse concernant les risques informatiques et les infrastructures matérielles et logicielles de conformité a été réalisée par notre Administrateur de Système au moyen d’outils et de listes de contrôle prévus à cet effet par une entreprise externe spécialisée en cybersécurité qui a effectué un contrôle approfondi avec des tests de sécurité. Les résultats de l’enquête ont permis aux techniciens d’améliorer les mesures de protection contre les cyber-attaques et les menaces informatiques, de manière graduelle et proportionnelle au risque pour les droits et les libertés des personnes concernées.
2 – Transparence et droits de la personne concernée
2.1 DROITS EN MATIĖRE DE DONNĖES À CARACTÈRE PERSONNEL
Le RESPONSABLE, également ici, juge essentiel d’informer les personnes concernées sur l’existence de certains droits en matière de protection de données à caractère personnel. Ces droits sont énumérés ci-après.
Droit d’être informé (transparence dans le traitement des données)
La personne concernée a le droit d’être informée sur la méthode que le RESPONSABLE utilise pour traiter les données à caractère personnel qui la concerne, sur quelles finalités et sur d’autres informations visées à l’art. 13 du RGPS. À cet effet, le RESPONSABLE a préparé des processus organisationnels qui permettent, lors de la collecte ou de la requête de données à caractère personnel, la délivrance d’un modèle de Politique créé “ad hoc” en fonction de la catégorie des personnes concernées à laquelle la personne concernée appartient (salarié, fournisseur, etc…). Ce document permet d’informer, de manière adéquate, tous les sujets auxquels les données se réfèrent, sur la méthode avec laquelle le traitement est effectué par le RESPONSABLE. Le formulaire de déclaration de confidentialité peut être requis par demande spécifique adressée au RESPONSABLE.
Droit de révocation du consentement (art. 13)
Vous avez le droit de révoquer, à tout moment, votre consentement pour tous les traitements dont la condition préalable de légitimité est une votre manifestation de volonté. La révocation du consentement ne préjuge pas la légitimité du traitement précédent.
Droit d’accès aux données de la personne concernée (art. 15)
Vous pourrez demander: a) les finalité du traitement; b) les catégories de données à caractère personnel en question; c) les destinataires ou les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales; d) dans la mesure du possible, la durée prévue de conservation des données à caractère personnel ou, si non possible, les critères utilisés pour déterminer cette période; e) l'existence du droit de la personne concernée de demander au responsable du traitement des données à caractère personnel la rectification ou l’effacement ou la limitation du traitement des données à caractère personnel qui la concernent ou de s’opposer à leur traitement; f) le droit d’introduire une réclamation à une autorité de contrôle; g) lorsque les données n’ont pas été collectées auprès de la personne concernée, toutes les informations disponibles sur leur origine; h) l'existence d’un processus décisionnel automatisé, y compris le profilage visé à l’article 22, paragraphes 1 et 4, et, au moins dans ces cas, informations significatives portant sur la logique utilisée, l’importance et les conséquences prévues par ce traitement pour la personne concernée. Vous avez le droit de demander une copie des données à caractère personnel qui font l’objet du traitement.
Droit de rectification (art. 16)
Vous avez le droit de demander la rectification des données à caractère personnel non correctes qui vous concernent et d’obtenir l’intégration des données à caractère personnel incomplètes.
Droit à l’oubli (art. 17)
Vous avez le droit d’obtenir par le responsable du traitement l’effacement des données à caractère personnel qui vous concernent lorsque ces données ne sont plus nécessaires par rapport aux finalités pour lesquelles elles ont été collectées ou traitées, si vous révoquez le consentement, s’il n’existe aucune raison légitime prévalente pour procéder au traitement de profilage ; si les données ont été traitées illicitement ; s’il existe une obligation légale de les effacer ; si les données sont relatives à des services web rendus à des mineurs sans le consentement relatif. L’effacement peut avoir lieu à moins que ne soit présent le droit à la liberté d’expression et d’information, que les données ne soient conservées pour l’accomplissement d’une obligation de lois ou pour l’exécution d’une tâche effectuée dans l’intérêt public ou dans l’exercice de l’autorité publique; pour des raisons d’intérêt public dans le domaine de la santé, aux fins d’archivage dans l’intérêt public, de la recherche scientifique ou historique ou aux fins statistiques ou pour la constatation, l’exercice ou la défense d’un droit en justice.
Droit à la limitation du traitement (art. 18)
Vous avez le droit d’obtenir du Responsable du traitement la limitation du traitement lorsque il a contesté l’exactitude des données à caractère personnel (pour la durée dont le responsable du traitement a besoin pour vérifier l’exactitude de ces données à caractère personnel) ou lorsque le traitement est illicite, mais vous vous opposez à l’effacement de données à caractère personnel et vous demandez plutôt d’en limiter l’utilisation ou si vous en avez besoin pour la constatation, l’exercice ou la défense d’un droit en justice, alors que ces données ne sont plus nécessaires au Responsable.
Droit à la portabilité (art. 20)
Vous avez le droit de recevoir, dans un format structuré, d’usage courant et lisible par un dispositif automatique, les données à caractère personnel qui vous concernent et que vous nous avez fournies; vous avez le droit de les transmettre à un autre lorsque le traitement s’est fondé sur le consentement, sur le contrat et lorsque le traitement est effectué avec des moyens automatisés, à moins que le traitement ne soit nécessaire pour l’exécution d’une tâche d’intérêt public ou liée à l’exercice de l’autorité publique et que cette transmission ne porte pas préjudice au droit de tiers.
Droit d’opposition (art. 21)
Vous avez le droit, à tout moment, de vous opposer, en tout ou en partie, au traitement de vos données à caractère personnel lorsque le traitement est effectué pour la poursuite d’un intérêt légitime du Responsable c’est-à-dire pour des finalités de marketing.
Droit d’introduire une réclamation auprès d’une autorité de contrôle pour la protection des données à caractère personnel (art. 77).
Sans préjudices de tout autre recours administratif ou juridictionnel, si vous estimez que le traitement qui vous concerne viole le règlement en matière de protection des données à caractère personnel, vous avez le droit d’introduire une réclamation auprès d’une autorité de contrôle, notamment dans l’Ėtat Membre où vous avez la résidence habituelle, vous travaillez ou le lieu où la violation présumée s’est vérifiée.
2.2 ĖXERCICE DES DROITS
Pour l’exercice effectif de Vos droits vous pouvez demander des informations au RESPONSABLE, ou compiler les formulaires d’accès que vous trouvez ci-après.
2.3 FORMULAIRES ET POLITIQUES
1) Formulaires – Ci-dessous vous trouvez un projet de document à imprimer et compiler pour l’exercice concret des droits de la personne concernée en spécifiant le droit demandé. Le formulaire pourra être envoyé à l’attention du RESPONSABLE aux adresses indiquées plus haut, conformément à la législation en vigueur.
Formulaire d’exercice des droits
2) Politique de Confidentialité :