AGATHAE DREAMS BY TOURIST DREAM - s.r.l - Catania
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 AGATHAE DREAMS BY TOURIST DREAM s.r.l. - Catania VIA VASTA 10 95131 CATANIA (CT) P.IVA 05346950875 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (D.P.S.) Redatto ai sensi degli art. 33, 34, 35, 36 e dell’Allegato B del Decreto Legislativo 30 giugno 2003, n. 196 "Codice in materia di protezione dei dati personali" Aggiornamento Governance Dati Sensibili- G.D.P.R. REDAZIONE ING. SALVATORE CATANIA - STRUCTURAE s.r.l.s VERIFICA ING. SALVATORE CATANIA - STRUCTURAE s.r.l.s DATA 10/09/2020 REVISIONE 0 Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. -1-
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 1. SCOPO Il presente Documento Programmatico Sulla Sicurezza (D.P.S.) è adottato ai sensi del decreto Legislativo 30 giugno 2003, n. 196, per definire le politiche di sicurezza in materia di trattamento di dati personali ed i criteri organizzativi per la loro attuazione. In particolare sono definiti i criteri tecnici e organizzativi individuati e le informazioni riguardanti (secondo la Guida Operativa per redigere il D.P.S.): l'elenco dei trattamenti di dati personali (19.1.); la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati (19.2.); l'analisi dei rischi che incombono sui dati (19.3.); le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità (19.4.); la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni (19.5.); la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali (19.6.); la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare (19.7.); Il presente documento è gestito tramite le revisioni ed è di norma aggiornato ogni anno, tranne nel caso intervengano modifiche sostanziali alle attività sui dati. Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. -2-
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 2. CAMPO DI APPLICAZIONE Il Documento Programmatico Sulla Sicurezza definisce le politiche e gli standard di sicurezza in merito al trattamento dei dati personali effettuato dal Titolare dei dati Lamagna Giuseppe (Codice Fiscale LMGGPP65A07I754C) dello Studio Lamagna - con sede in CATANIA (CT). Il Documento Programmatico Sulla Sicurezza riguarda: Dati Comuni Dati Sensibili Il Documento Programmatico Sulla Sicurezza si applica al trattamento di tutti i dati personali effettuati per mezzo di: Strumenti elettronici Strumenti non elettronici 3. RIFERIMENTI NORMATIVI Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali PARTE I - DISPOSIZIONI GENERALI Titolo I - PRINCIPI GENERALI Art. 1. Diritto alla protezione dei dati personali Art. 2. Finalità Art. 3. Principio di necessità nel trattamento dei dati Art. 4. Definizioni Art. 5. Oggetto ed ambito di applicazione Art. 6. Disciplina del trattamento Titolo II - DIRITTI DELL'INTERESSATO Art. 7. Diritto di accesso ai dati personali ed altri diritti Art. 8. Esercizio dei diritti Art. 9. Modalità di esercizio Art. 10. Riscontro all'interessato Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. -3-
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 Titolo III - REGOLE GENERALI PER IL TRATTAMENTO DEI DATI CAPO I - REGOLE PER TUTTI I TRATTAMENTI Art. 11. Modalità del trattamento e requisiti dei dati Art. 12. Codici di deontologia e di buona condotta Art. 13. Informativa Art. 14. Definizione di profili e della personalità dell'interessato Art. 15. Danni cagionati per effetto del trattamento Art. 16. Cessazione del trattamento Art. 17. Trattamento che presenta rischi specifici CAPO III - REGOLE ULTERIORI PER PRIVATI ED ENTI PUBBLICI ECONOMICI Art. 23. Consenso Art. 24. Casi nei quali può essere effettuato il trattamento senza consenso Art. 25. Divieti di comunicazione e diffusione Art. 26. Garanzie per i dati sensibili Art. 27. Garanzie per i dati giudiziari TITOLO IV - SOGGETTI CHE EFFETTUANO IL TRATTAMENTO Art. 28. Titolare del trattamento Art. 29. Responsabile del trattamento Art. 30. Incaricati del trattamento TITOLO V - SICUREZZA DEI DATI E DEI SISTEMI CAPO I - MISURE DI SICUREZZA Art. 31. Obblighi di sicurezza CAPO II - MISURE MINIME DI SICUREZZA Art. 33. Misure minime Art. 34. Trattamenti con strumenti elettronici Art. 35. Trattamenti senza l'ausilio di strumenti elettronici Art. 36. Adeguamento CAPO III – VIDEOSORVEGLIANZA Art. 134. Codice di deontologia e di buona condotta PARTE III - TUTELA DELL'INTERESSATO E SANZIONI CAPO III - ACCERTAMENTI E CONTROLLI Art. 157. Richiesta di informazioni e di esibizione di documenti Art. 158. Accertamenti Art. 159. Modalità Art. 160. Particolari accertamenti Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. -4-
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 TITOLO III - SANZIONI CAPO I - VIOLAZIONI AMMINISTRATIVE Art. 161. Omessa o inidonea informativa all'interessato Art. 162. Altre fattispecie Art. 163. Omessa o incompleta notificazione Art. 164. Omessa informazione o esibizione al Garante Art. 165. Pubblicazione del provvedimento del Garante Art. 166. Procedimento di applicazione CAPO II - ILLECITI PENALI Art. 167. Trattamento illecito di dati Art. 168. Falsità nelle dichiarazioni e notificazioni al Garante Art. 169. Misure di sicurezza Art. 170. Inosservanza di provvedimenti del Garante Art. 171. Altre fattispecie Art. 172. Pene accessorie TITOLO IV - DISPOSIZIONI MODIFICATIVE, ABROGATIVE, TRANSITORIE E FINALI CAPO II - DISPOSIZIONI TRANSITORIE Art. 180. Misure di sicurezza Art. 181. Altre disposizioni transitorie CAPO III - ABROGAZIONI Art. 183. Norme abrogate CAPO IV - NORME FINALI Art. 184. Attuazione di direttive europee Art. 185. Allegazione dei codici di deontologia e di buona condotta Art. 186. Entrata in vigore Allegato B. Disciplinare tecnico in materia di misure minime di sicurezza Guida operativa per redigere il Documento programmatico sulla sicurezza (D.P.S.) Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. -5-
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 4. DEFINIZIONI Trattamento: qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. Dato personale: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Dati identificativi: i dati personali che permettono l'identificazione diretta dell'interessato. Dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Esempi: Adesione ad organizzazioni a carattere religioso Adesione ad organizzazioni a carattere filosofico Adesione ad organizzazioni a carattere sindacale Dati relativi alla famiglia (stato civile, figli, ecc.) Dati relativi alle esperienze lavorative (attività, dati contabili, ecc.) Istruzione e cultura Beni e proprietà Abitudini di vita e di consumo Libro presenze (contiene informazioni sullo stato di salute dei dipendenti) Certificati di malattia o eventuali inabilità di lavoratori Documentazione relativa a sentenze o decreti verso clienti/fornitori/dipendenti Curricula di candidati (potrebbero contenere dati sensibili) Dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. -6-
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 Dato anonimo: il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile. Titolare: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Responsabile: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali. Cura il coordinamento di tutte le operazioni di trattamento dei dati; Impartisce direttive ed istruzioni per la corretta elaborazione dei dati personali e sensibili; Dà disposizioni in ordine alla sicurezza delle banche dati; Procede alla verifica delle metodologie di gestione tramite attività di controllo a campione da svolgersi periodicamente; Verifica le richieste di accesso e di trattamento dei dati presentati da privati e da enti pubblici ed esprime parere in merito; Stipula degli accordi con gli altri enti pubblici e con privati al fine di regolamentare e rendere operativo lo scambio di dati contenuti nelle singole banche dati; Provvede, con cadenza annuale, all'aggiornamento del documento programmatico relativo all'adozione delle misure di sicurezza dei dati; Riferisce al titolare dei risultati della gestione in materia di privacy e del corretto adempimento alla normativa in materia provvedendo, quando necessario, alla modifica dei regolamenti e dei documenti. Incaricati: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile. (Esempi: chi esegue materialmente le operazioni sui dati con strumenti elettronici o chi accede ai fascicoli degli archivi cartacei). Responsabile copie credenziali di autenticazione (Custode Password): detiene copie delle autenticazioni dei singoli incaricati. Tale figura prevista dall’art. 10 del disciplinare, deve assicurare il rispetto delle autenticazioni, il loro ricambio periodico ed in casi eccezionali deve rendere disponibile le password detenute. Figura non più obbligatoria ma opportuna. Responsabile manutenzione: preposto alla gestione e al controllo dei database e archivi aziendali e agli strumenti preposti. Se oltre ad un incaricato interno, come succede di solito, è preposta anche una società esterna, la medesima deve essere incaricata per iscritto. Inoltre è opportuno ricevere dalla Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. -7-
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 ditta esterna l’elenco degli addetti che provvederanno alle varie manutenzioni. Figura non più obbligatoria ma opportuna. Responsabile copie di sicurezza e ripristino: preposto alla gestione della misura che garantisce il ripristino dei dati persi, o danneggiati. Il ripristino dei dati consiste nella nuova installazione dei dati, e per far questo bisogna impartire istruzioni organizzative e tecniche per la custodia delle copie di sicurezza. E’ specifico obbligo del titolare assicurare la possibilità di questo ripristino entro 7 giorni, affinché sia consentita la prosecuzione delle operazioni di trattamento dei dati. Responsabile locali: controlla l’accesso e la protezione dei locali adibiti a contenere database e archivi aziendali o locali dove sono trattati i dati. Interessato: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali. Comunicazione: Il dare conoscenza dei dati personali a uno o più soggetti determinati, diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Comunicazione elettronica: ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Diffusione: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Blocco: la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento. Banca di dati: qualsiasi complesso organizzato di dati personali, sia di tipo cartaceo che informatizzato, ripartito in una o più unità dislocate in uno o più siti. Garante: l'autorità di cui all'articolo 153, istituita dalla legge 31 dicembre 1996, n. 675, Misure minime: il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31. Art. 31 del Testo Unico: i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Art. 33 del Testo Unico: nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti a adottare le misure minime Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. -8-
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. L’adozione delle Misure Minime di Sicurezza è obbligatorio per tutti coloro che effettuano trattamenti di dati personali. Art. 169 del Testo Unico: chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’art. 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro. Ravvedimento operoso: Prescrizione del Garante. Termine massimo per la regolarizzazione non eccedente sei mesi Verifica dell’adempimento da parte del Garante Pagamento di una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione Estinzione del reato Strumenti elettronici: gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento. Esempi: Computer, server, portatili, palmari, PDA, cellulari con fotocamera, macchine fotografiche digitali, smart card ecc. Autenticazione informatica: l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità. Credenziali di autenticazione: i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o a lei univocamente correlati, utilizzati per l'autenticazione informatica. Parola chiave: componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica. Riservata e conosciuta solamente dall’incaricato L’incaricato deve assicurarne la riservatezza La lunghezza minima è di otto caratteri Non contiene riferimenti agevolmente riconducibili all’incaricato Modificata al primo utilizzo Modificata ogni sei mesi od ogni tre mesi (trattamento di dati sensibili o giudiziari) Profilo di autorizzazione: l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti a lei consentiti. Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. -9-
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 Sistema di autorizzazione: l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente. Regola l’accesso alle informazioni in base ad un corretto criterio di necessità delle stesse per svolgere le diverse attività lavorative. Riguarda, ad esempio: Utilizzo di applicazioni o funzioni applicative Accesso alle informazioni mediante applicazioni, definendone le modalità (lettura o scrittura) Accesso diretto alle informazioni (database) Accesso agli archivi (documenti, posta elettronica, ecc.) Notificazione: dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali, l’esistenza di un’attività di raccolta e di utilizzazione dei dati personali, svolta quale autonomo titolare del trattamento. La notificazione riguarda l’attività di trattamento di dati personali (a volte solo se registrati in banche dati o archivi indicati dalla legge o dal Garante), ma non una banca dati o un archivio in quanto tale. Può aversi, infatti, un trattamento anche se materialmente i dati non sono organizzati in una banca dati. La notificazione deve essere fatta solo nei casi previsti dal Codice (Art. 37). Per maggiori informazioni sui soggetti tenuti e quelli esonerati si consulti il sito del Garante all’indirizzo: www.garanteprivacy.it. Virus: codice informatico scritto con l’esplicita intenzione di replicare se stesso in modo autonomo attraverso programmi, messaggi di posta elettronica ecc. Può danneggiare l’hardware, il software e le informazioni contenute su PC e periferiche. Antivirus: i virus sono debellati tramite software denominati antivirus, in grado di intercettare un virus, prima che entri sulla macchina locale (via posta elettronica, tramite un floppy disk infetto, tramite una condivisione di rete, ecc) e di controllare ed eventualmente riparare i file infetti presenti sul computer. Worm: ha caratteristiche simili a un virus, si duplica automaticamente e può farlo in modo estremamente rapido. A differenza di un virus non si attacca ad altri programmi ma tende a mantenersi autonomo e non necessariamente provoca danni diretti (per esempio cancellare file), ma con la sua esistenza può seriamente limitare banda e risorse a disposizione oppure essere causa di attacchi informatici a terze parti. Solitamente un worm si diffonde fra server in rete, sfruttando vulnerabilità note per penetrare in sistemi non protetti. I worm più noti sono quelli che replicano i messaggi di posta. Spamming: invio massiccio di messaggi di posta elettronica a carattere pubblicitario e commerciale, senza alcuna preventiva richiesta da parte del destinatario. Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. - 10 -
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 Macro: una macro è una sequenza di comandi e azioni eseguiti da tastiera o con il mouse e salvati, in ordine cronologico, per poter essere ripetuti in maniera automatica una seconda volta. Tipicamente si impiegano macro in programmi di office automation o desktop publishing per ottimizzare funzioni ripetitive o salvare azioni di particolare importanza. In ambito di sicurezza informatica una macro è un virus, realizzato come una macro standard, ma con il potere di infettare i programmi e causare una sequenza di azioni dannose per il PC. I macro virus, innescati dalle applicazioni che le eseguono, possono creare sorpresa, ma spesso sono innocui. Si diffondono quasi sempre via e-mail. Firewall: con il termine firewall si indica sia un dispositivo hardware sia un’applicazione software che hanno lo scopo di proteggere la rete locale da accessi non autorizzati, bloccando le porte con cui un sistema comunica all’esterno. Posti normalmente fra la rete locale e Internet, nel perimetro della rete comprendente il router di accesso alla rete, il firewall è configurato in modo da proteggere la rete o le singole applicazioni di un PC. Trojan horse: è un programma modificato che esegue funzioni particolari e potenzialmente nocive all’insaputa del possessore, cui il programma appare funzionare normalmente. Lo scopo di un Trojan Horse è spesso quello di permettere dall’esterno un accesso, ovviamente non autorizzato, al sistema su cui è eseguito. 5. TIPOLOGIE DI DATI TRATTATI In questa sezione sono individuati i trattamenti di dati personali effettuati, con l’indicazione della natura dei dati; nome, cognome, telefono, indirizzo e mail, città di residenza ed altri dati inseriti nelle aree di messaggio libero. Dati di navigazione Inoltre i dati personali sono: Trattati in modo lecito e secondo correttezza. Raccolti e registrati per scopi determinati, espliciti e legittimi. Pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati. Conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario per gli scopi per i quali i dati sono stati raccolti o successivamente trattati. Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. - 11 -
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 La descrizione di ogni trattamento, secondo la regola 19.1 della Guida Operativa per redigere il D.P.S., è riportata di seguito: Dati, è il nome assegnato alla tipologia di dati che stiamo trattando. Formato, indica se i dati sono memorizzati su supporto informatico o si tratta di dati registrati su carta. Tipo, indica la natura dei dati oggetto del trattamento, ovvero se sono comuni, sensibili o giudiziari. Responsabile, il responsabile del trattamento. Attività svolte sui Dati (Trattamento), contiene la descrizione del trattamento con l’indicazione delle finalità e degli incaricati a svolgere le attività. Strumenti utilizzati, elenca gli strumenti utilizzati, elettronici e non elettronici, per tutte le operazioni di trattamento e conservazione dei dati, e i luoghi dove sono ubicati. Dati: Visitatori sito web Formato: Elettronico Tipo: Comune, Sensibile Responsabile: CARUSO GIUSEPPE Interessati: Clienti (anche potenziali) Attività svolte sui Dati (Trattamento): Attività: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati. Incaricati al trattamento: CARUSO GIUSEPPE Strumenti utilizzati: Strumento: PC Utilizzato per: Trattamento e Conservazione Luogo: Server Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. - 12 -
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 6. ORGANIZZAZIONE AZIENDA In questa sezione è descritta la distribuzione dei compiti e delle responsabilità in merito al trattamento dei dati (regola 19.2 della Guida Operativa per redigere il D.P.S.). Il Titolare, secondo l’articolo 29 del Codice della Privacy, designa un responsabile al trattamento dei dati, individuandolo fra i soggetti che hanno particolari capacità organizzative e sufficiente esperienza e che garantiscano, quindi, il pieno rispetto delle disposizioni di legge. Gli incaricati, invece, sono i soggetti che quotidianamente operano per realizzare quanto prescritto dal Codice della Privacy. Responsabili e Incaricati ai Trattamenti e tutti gli altri Responsabili assegnati, sono nominati attraverso lettere d’incarico che riepilogano le responsabilità e i compiti impartiti dal Titolare. Titolare al trattamento dei dati Caruso Giuseppe (Codice Fiscale CRSGPP72R04C351E) della AGATHAE DREAMS BY TOURIST DREAM - con sede in CATANIA (CT). Responsabili e Incaricati al trattamento dei dati Nominativo/Denominazione: CARUSO GIUSEPPE Residenza: Via Teseo, 2 Catania (Ct) Incaricato ai Trattamenti: Registrazione, consultazione, conservazione e aggiornamento (Per il dato: Visitatori Clienti) Responsabile copie di sicurezza e ripristino CARUSO GIUSEPPE Responsabile manutenzione CARUSO GIUSEPPE Custode delle password CARUSO GIUSEPPE Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. - 13 -
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 7. ANALISI DEI RISCHI CHE INCOMBONO SUI DATI In questa sezione sono descritti gli eventi potenzialmente dannosi (Rischi) per la sicurezza dei dati trattati, secondo la regola 19.3 della Guida Operativa per redigere il D.P.S. I Rischi sono suddivisi nelle seguenti categorie: Comportamenti degli operatori, includono tutti quei rischi legati alle persone che operano in azienda. Eventi relativi agli strumenti utilizzati , includono tutti quei rischi legati al sistema informativo presente in azienda. Eventi relativi al contesto, includono tutti quei rischi, naturali o artificiali, legati all’ambiente fisico in cui opera l’azienda (guasti, calamità, accessi non autorizzati, ecc). In relazione al contesto e all’adeguatezza degli strumenti utilizzati, per ogni rischio individuato è assegnato un “Indice di Rischio” che rappresenta la combinazione della gravità del rischio e della probabilità che esso accada. Indice di Rischio Basso: non sono noti episodi (probabilità) di furto o perdita dei dati (gravità dell’evento). Indice di Rischio Medio: noto qualche episodio (probabilità) di uso non autorizzato dei dati (gravità dell’evento). Indice di Rischio Alto: noti molti episodi (probabilità) di uso illegale e diffusione dei dati (gravità dell’evento). Il processo di valutazione degli eventi potenzialmente dannosi e dell’Indice di Rischio è effettuato ogni anno e comunque in occasione di eventi gravi che hanno riguardato i trattamenti sui dati. Comportamenti degli operatori Sottrazione di credenziali di autenticazione: Indice di Rischio: Basso Carenza di consapevolezza, disattenzione, incuria: Indice di Rischio: Basso Comportamenti sleali o fraudolenti: Indice di Rischio: Medio Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. - 14 -
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 Errore materiale: Indice di Rischio: Alto Eventi relativi agli strumenti utilizzati Azione di virus, spyware, trojan o di programmi suscettibili di recare danno: Indice di Rischio: Basso Spamming o tecniche di sabotaggio: Indice di Rischio: Basso Malfunzionamento, guasti, indisponibilità o degrado degli strumenti: Indice di Rischio: Alto Accessi esterni non autorizzati: Indice di Rischio: Alto Intercettazione di informazioni in rete: Indice di Rischio: Alto 8. LUOGHI IN CUI SONO TRATTATI I DATI Le apparecchiature informatiche critiche (server di rete, computer utilizzati per trattare e/o conservare dei dati personali o sensibili/giudiziari, apparecchiature di telecomunicazione, dispositivi di copia) e gli archivi cartacei contenenti dati personali o sensibili/giudiziari devono essere situati in aree e locali ad accesso protetto. Di seguito l’elenco dei luoghi preposti al trattamento/conservazione dei dati con l’indicazione delle caratteristiche e degli interventi attivi e programmati. Nome, è il nome assegnato al luogo di cui stiamo trattando. Descrizione, specifica ulteriormente il luogo. Tipo, indica se si tratta di una struttura (sede), ovvero di un singolo ufficio all’interno di una struttura (in quest’ultimo caso indica anche la struttura di riferimento). Misure relative al luogo, elenca le misure relative ai luoghi (ufficio e/o sede) specificati. Per misura si intende uno specifico intervento organizzativo o tecnico per prevenire, contrastare o ridurre gli effetti di una minaccia (Rischio). Prevenzione: attività che permette di diminuire la probabilità di accadimento di un evento dannoso. Contrasto: attività che permette di bloccare gli effetti di un evento dannoso. Riduzione: attività che permette di diminuire la gravità degli effetti di un evento dannoso. Misure adottate, misure già adottate per fronteggiare i rischi individuati. Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. - 15 -
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 Misure da adottare, misure da adottare, entro una certa data, per fronteggiare i rischi individuati. Rischi contrastati relativi ai Luoghi, riepiloga i rischi che le misure indicate contrastano divise per categorie. Nome AGATHAE DREAMS BY TOURIST DREAM s.r.l. Descrizione (Non specificata) Tipo Sito web Rischi contrastati relativi ai Luoghi Comportamenti degli operatori Sottrazione di credenziali di autenticazione: Indice di Rischio: Basso Comportamenti sleali o fraudolenti: Indice di Rischio: Medio Eventi relativi agli strumenti utilizzati Accessi esterni non autorizzati: Indice di Rischio: Medio 9. STRUMENTI UTILIZZATI Elenco degli strumenti che si utilizzano per conservare e trattare i dati. Identificativo, si tratta di un nome o un codice che identifica univocamente lo strumento. Luogo, indica il luogo dell’azienda (ufficio, locale, stanza, sala, ecc.) in cui è ubicato lo strumento. Tipo, indica la natura dello strumento utilizzato per effettuare il trattamento; per esempio se si tratta di un computer o di un palmare, nel caso di strumenti elettronici, o se stiamo parlando di un armadio o di uno schedario, nel caso di strumenti non elettronici. Descrizione, ulteriore specificazione dello strumento. Caratteristiche relative allo strumento, indica la tipologia di interconnessione dello strumento, ovvero se sono presenti accessi alla rete locale e ad internet, se sono presenti chiave hardware o gruppo di continuità, le informazioni sul sistema operativo e i programmi installati utilizzati per i trattamenti sui dati (solo per strumenti elettronici). Misure, elenca le misure relative agli strumenti specificati. Per misura si intende uno specifico intervento organizzativo o tecnico per prevenire, contrastare o ridurre gli effetti di una minaccia (Rischio). Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. - 16 -
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 Prevenzione: attività che permette di diminuire la probabilità di accadimento di un evento dannoso. Contrasto: attività che permette di bloccare gli effetti di un evento dannoso. Riduzione: attività che permette di diminuire la gravità degli effetti di un evento dannoso. Misure adottate, misure già adottate per fronteggiare i rischi individuati. Misure da adottare, misure da adottare entro una certa data per fronteggiare i rischi individuati. Attività svolte sullo strumento e relativi incaricati , contiene la descrizione delle attività svolte sugli strumenti e le persone addette. Rischi contrastati relativi agli strumenti , riepiloga i rischi che le misure indicate contrastano divise per categorie. STRUMENTI ELETTRONICI Identificativo PC 1 Luogo Sito web Tipo Computer Desktop Descrizione (Non specificata) Caratteristiche relative allo strumento: Accesso alla rete locale: Si Accesso ad Internet: Si Sistema Operativo: Microsoft Windows Chiave Hardware: no Gruppo di Continuità: No Programmi Installati: ; Microsoft Office; Microsoft Outlook; Adobe Acrobat; Norton Antivirus. Frequenza di aggiornamento dei programmi usati per il trattamento dei dati: semestrale Misure adottate: Nome Utente e Password Non specificato Frequenza aggiornamento: non specificato Firewall Non specificato Frequenza aggiornamento: non specificato Antivirus Non specificato Frequenza aggiornamento: non specificato AntiSpyware Non specificato Frequenza aggiornamento: non specificato Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. - 17 -
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 Misure da adottare: Nome Utente e Password Da adottare dal 10/09/2020 Frequenza aggiornamento: 1 mese Firewall Da adottare dal 10/09/2020 Frequenza aggiornamento: 3 mesi Antivirus Da adottare dal 10/09/2020 Frequenza aggiornamento: 3 mesi AntiSpyware Da adottare dal 10/09/2020 Frequenza aggiornamento: 3 mesi Attività svolte sullo strumento e relativi incaricati: Utilizzo strumento Incaricati: MAZZONE TANIA GIMMARRESI SARA MUSUMARRA MICHELA LANZAFAME SONIA CARUSO MARIA DESIREE RACITI FRANCESCA RECUPERO ROBERTA Identificativo PORTATILE Luogo Reception Tipo Computer Portatile Descrizione (Non specificata) Caratteristiche relative allo strumento: Accesso alla rete locale: Si Accesso ad Internet: Si Sistema Operativo: Microsoft Windows Chiave Hardware: no Gruppo di Continuità: No Programmi Installati: ; Frequenza di aggiornamento dei programmi usati per il trattamento dei dati: semestrale Misure adottate: Nome Utente e Password Non specificato Frequenza aggiornamento: non specificato Firewall Non specificato Frequenza aggiornamento: non specificato Antivirus Non specificato Frequenza aggiornamento: non specificato AntiSpyware Non specificato Frequenza aggiornamento: non specificato Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. - 18 -
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 Misure da adottare: Nome Utente e Password Da adottare dal 10/09/2020 Frequenza aggiornamento: 1 mese Firewall Da adottare dal 10/09/2020 Frequenza aggiornamento: 3 mesi Antivirus Da adottare dal 10/09/2020 Frequenza aggiornamento: 3 mesi AntiSpyware Da adottare dal 10/09/2020 Frequenza aggiornamento: 3 mesi Attività svolte sullo strumento e relativi incaricati: Utilizzo strumento Incaricati: MAZZONE TANIA GIMMARRESI SARA MUSUMARRA MICHELA LANZAFAME SONIA CARUSO MARIA DESIREE RACITI FRANCESCA RECUPERO ROBERTA Rischi contrastati relativi agli Strumenti Elettronici Comportamenti degli operatori Carenza di consapevolezza, disattenzione, incuria: Indice di Rischio: Basso Comportamenti sleali o fraudolenti: Indice di Rischio: Medio Errore materiale: Indice di Rischio: Alto Eventi relativi agli strumenti utilizzati Azione di virus, spyware, trojan o di programmi suscettibili di recare danno: Indice di Rischio: Basso Spamming o tecniche di sabotaggio: Indice di Rischio: Basso Malfunzionamento, guasti, indisponibilità o degrado degli strumenti: Indice di Rischio: Alto Accessi esterni non autorizzati: Indice di Rischio: Alto Intercettazione di informazioni in rete: Indice di Rischio: Alto Eventi relativi al contesto Sottrazione di strumenti contenenti dati: Indice di Rischio: Medio Eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti ad incuria: Indice di Rischio: Medio Guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc.): Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. - 19 -
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 Indice di Rischio: Medio Errori umani nella gestione della sicurezza fisica: Indice di Rischio: Medio 10. RIEPILOGO MISURE ADOTTATE E DA ADOTTARE In questa sezione sono elencate sinteticamente le misure adottate e da adottare per garantire l'integrità e la disponibilità dei dati e contrastare i rischi individuati dall’analisi dei rischi. Le specifiche di ogni misura (regola 19.4 della Guida Operativa per redigere il D.P.S.) sono state dettagliate nelle sezioni precedenti. Misure relative agli strumenti elettronici Strumento: PC 1 Misure adottate: Nome Utente e Password Non specificato Frequenza aggiornamento: non specificato Firewall Non specificato Frequenza aggiornamento: non specificato Antivirus Non specificato Frequenza aggiornamento: non specificato AntiSpyware Non specificato Frequenza aggiornamento: non specificato Misure da adottare: Nome Utente e Password Da adottare dal 10/09/2020 Frequenza aggiornamento: 1 mese Firewall Da adottare dal 10/09/2020 Frequenza aggiornamento: 3 mesi Antivirus Da adottare dal 10/09/2020 Frequenza aggiornamento: 3 mesi AntiSpyware Da adottare dal 10/09/2020 Frequenza aggiornamento: 3 mesi Strumento: PORTATILE Misure adottate: Nome Utente e Password Non specificato Frequenza aggiornamento: non specificato Firewall Non specificato Frequenza aggiornamento: non specificato Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. - 20 -
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 Antivirus Non specificato Frequenza aggiornamento: non specificato AntiSpyware Non specificato Frequenza aggiornamento: non specificato Misure da adottare: Nome Utente e Password Da adottare dal 10/09/2020 Frequenza aggiornamento: 1 mese Firewall Da adottare dal 10/09/2020 Frequenza aggiornamento: 3 mesi Antivirus Da adottare dal 10/09/2020 Frequenza aggiornamento: 3 mesi AntiSpyware Da adottare dal 10/09/2020 Frequenza aggiornamento: 3 mesi 11. SALVATAGGIO DATI E RIPRISTINO COPIE I dati sono conservati in un server ed il loro salvataggio (backup) è eseguito secondo la regola 19.5 della Guida Operativa per redigere il D.P.S., pertanto per poter ripristinare i dati trattati in seguito a distruzione o danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. Il responsabile copie di sicurezza e ripristino verifica il funzionamento dell’attività di ripristino dati, attivando la procedura e verificando che il dato è effettivamente a disposizione e che, quindi, la procedura è efficace. Dati, è il nome assegnato alla tipologia di dati che stiamo trattando. Descrizione procedure di salvataggio dati e ripristino copie, contiene una descrizione approfondita delle procedure tecniche utilizzate. Frequenza Salvataggio/Ripristino, indica la frequenza con la quale procedere a svolgere le attività. Supporto, CD, DVD, memoria esterna USB, Floppy, Hard Disk esterno, nastro magnetico, altro PC. Luogo custodia copie, luogo dove sono custodite le copie. Descrizione luogo, ulteriore specificazione del luogo. Addetti al Salvataggio e Ripristino, indica le persone addette alle operazioni. Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. - 21 -
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 Dati: Visitatori ed eventuali Clienti Descrizione procedure di salvataggio dati e ripristino copie: Salvataggio su file, su server , su memoria esterna, su supporto cartaceo. Salvataggio: attivo dal Data: 10/09/2020 Frequenza: Giornaliera Ripristino: attivo dal Data: 10/09/2020 Frequenza: Giornaliera Supporto: Hard Disk Esterno / cartaceo Luogo custodia copie: Reception Descrizione Luogo: Reception Addetti al Salvataggio e Ripristino: CARUSO GIUSEPPE 12. FORMAZIONE AL TRATTAMENTO DEI DATI E' programmata la formazione dei Responsabili e degli Incaricati del trattamento, in accordo con la regola 19.6 della Guida Operativa per redigere il D.P.S., per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali, o di variazioni normative. Agli Incaricati e/o Responsabili dei trattamenti, inoltre, sono impartite istruzioni scritte finalizzate a mettere in pratica quanto previsto dal Codice della Privacy, sulle misure da adottare e sulle modalità di utilizzo degli strumenti per il trattamento dei dati. Corso di formazione, nome assegnato al corso (intervento formativo). Obiettivi, finalità del corso. Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. - 22 -
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 Docenza, indica se è interna o esterna all’azienda. Durata, tempo previsto per lo svolgimento del corso (Esempio: 2 giorni, 3 ore, ecc.). Data inizio, data di inizio del corso. Programma, descrizione degli argomenti trattati. Partecipanti al corso, personale coinvolto nel trattamento dei dati che è interessato al corso. Corso di formazione: Formazione base Codice Privacy Obiettivi: Adottare le idonee misure di sicurezza previste Docenza: Esterna Durata: 8 ore Data inizio: 10/09/2020 Programma: Le modalità di trattamento in Italia, in Europa ed all’estero. Le modalità di cessazione del trattamento. Le istruzioni per il responsabile. Le istruzioni per l’incaricato. Trattamenti informatizzati e trattamenti cartacei. Prescrizioni specifiche per il trattamento di dati sensibili e giudiziari. L’analisi del rischio e le opportune contromisure. La pianificazione delle situazioni di emergenza. La relazione annuale allegata alla relazione di bilancio. Rischi e responsabilità dei responsabili. Le sanzioni. Comportamenti da adottare nelle operazioni di trattamento. Natura ed il contenuto dei dati su cui è necessario porre maggiore attenzione. Trattamenti di dati personali affidati all’esterno. Partecipanti al corso: CARUSO GIUSEPPE MAZZONE TANIA GIMMARRESI SARA MUSUMARRA MICHELA LANZAFAME SONIA CARUSO MARIA DESIREE RACITI FRANCESCA RECUPERO ROBERTA Corso di formazione: Sicurezza Informatica Obiettivi: Analizzare i sistemi di autenticazione e autorizzazione. Comprendere i pericoli provenienti dalla rete Docenza: Esterna Durata: 8 ore Data inizio: 05/09/2020 Programma: Codici identificativi personali. Strumenti di autenticazione. Costruzione del profilo di autorizzazione. Misure anti-intrusione. Firewall e anti-virus. Partecipanti al corso: CARUSO GIUSEPPE MAZZONE TANIA GIMMARRESI SARA MUSUMARRA MICHELA LANZAFAME SONIA Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. - 23 -
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 CARUSO MARIA DESIREE RACITI FRANCESCA RECUPERO ROBERTA 13. TRATTAMENTI AFFIDATI ALL'ESTERNO DELLA STRUTTURA Il titolare, in accordo con la regola 19.7 della Guida Operativa per redigere il D.P.S., si può avvalere di responsabili esterni cui affidare alcuni o tutti i trattamenti in essere (outsourcing). Nella lettera d’incarico sono specificati tutti gli obblighi e le misure minime di sicurezza da adottare, ovvero: Osservare le istruzioni che saranno impartite, tramite un documento scritto, dal Titolare del trattamento dei dati. Nominare per iscritto l’incaricato al trattamento dei dati specificando le giuste istruzioni per trattare i dati per scopi leciti. Conservare in maniera sicura i dati in possesso su supporti cartacei in armadietti o cassetti chiusi a chiave, o su supporti informatici accessibile tramite password da modificare almeno ogni tre mesi. Effettuare l’analisi dei rischi e stilare un programma di sicurezza. Redigere i piani di formazione. In caso di allontanamento dalla sede bisogna verificare che terze persone anche se collaboratori non possono accedere a dati non di loro pertinenza. Segnalare al Titolare del trattamento eventuali reclami da parte di terzi. Provvedere, su richiesta dell’interessato, ad aggiornare, modificare, cancellare i dati dello stesso. Assistere il Titolare del trattamento nell’adozione di adeguate misure tecniche e organizzative di sicurezza. Eseguire controlli periodici mediante i quali dovrà verificare l’efficacia delle misure di sicurezza adottate in azienda. Comunicare al Custode Password ogni variazione apportata sulle parole chiavi. Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. - 24 -
AGATHAE DREAMS BY TOURIST DREAM - SEDE: VIA VASTA 10 – CT - Aggiornamento Governance Dati Sensibili - G.P.D.R. - 10/09/2020 Provvedere a formare i Suoi collaboratori e ad informarli sulle leggi vigenti generali, fermo restando che in ogni caso essi si intendono operare sotto la Sua diretta ed esclusiva responsabilità. Collaborare per garantire l’esecuzione immediata delle disposizioni del Garante. Dati, è il nome assegnato alla tipologia di dati che stiamo trattando. Formato, indica se i dati sono memorizzati su supporto informatico o si tratta di dati registrati su carta. Tipo, indica la natura dei dati oggetto del trattamento, ovvero se sono comuni, sensibili o giudiziari. Attività svolte sui Dati (Trattamento), contiene la descrizione del trattamento con l’indicazione delle finalità del trattamento stesso. (Nessun Trattamento specificato) Questo documento è proprietà della AGATHAE DREAMS BY TOURIST DREAM S.R.L. - Catania che se ne riserva tutti i diritti. - 25 -
Puoi anche leggere