IdSurvey e GDPR

Data Protection, GDPR and Information Security

Come rispettiamo il GDPR in veste di responsabili del trattamento

 

Sicurezza dei dati

Garantiamo la sicurezza dei dati, adottando tutte le misure di sicurezza adeguate al rischio, come dispone l’articolo 32 del GDPR e non solo: garantiamo la riservatezza dei trattamenti (vincolando alla riservatezza i nostri dipendenti), e abbiamo adottato politiche sulle violazioni di dati personali per avvisare senza ingiustificato ritardo il titolare del trattamento di tutte le violazioni di dati di cui dovessimo venire a conoscenza, Infine, una volta terminata la prestazione di servizi, secondo le istruzioni ricevute dal titolare gli consentiamo di esportare o cancellare tutti i dati dai nostri sistemi e non ne conserveremo alcuna copia.

Avvisare, assistere e consigliare il titolare

Collaboriamo col titolare del trattamento dei dati personali avvisandolo, assistendolo e consigliandolo in merito al funzionamento dei nostri sistemi.
Presteremo assistenza al titolare per consentirgli di evadere le richieste inerenti l’esercizio dei diritti degli interessati e, tenendo conto della natura del trattamento e delle informazioni a nostra disposizione, aiuteremo il titolare a garantire la conformità con i requisiti di sicurezza del trattamento, notifica delle violazioni di dati e valutazioni di impatto sulla protezione dei dati.

Privacy by design e by default

Consapevoli degli obblighi che gravano sul Titolare in ordine ai principi di privacy by design e privacy by default, ai sensi dell’articolo 25 del Regolamento, e della strumentalità che caratterizza il ruolo del responsabile, abbiamo messo in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato.
In particolare:

  • sin dalla fase di progettazione dei nostri sistemi, mettiamo in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati come la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati (privacy by design);
  • mettiamo in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. (privacy by default).
    Ad esempio:

    • mettiamo a disposizione la possibilità di gestire ed eliminare ogni tipo di dato;
    • consentiamo di impostare password complesse che rispecchino requisiti di sicurezza elevati;
    • consentiamo di impostare una scadenza delle password;
    • consentiamo di creare utenti con permessi personalizzati;
    • consentiamo di permettere la visualizzazione e modifica di qualsiasi dato relativo ai nominativi;
    • consentiamo la visualizzazione di tutti i dati raccolti delle interviste completate dagli utenti;
    • consentiamo di impostare testi di privacy personalizzati con flag di accettazione.

Guarda le caratteristiche e certificazioni della nostra infrastruttura OnCloud.

Siamo obbligati a nominare un responsabile per la protezione dei dati (RPD o DPO)?

Non siamo obbligati a nominare un DPO: La nomina, infatti, è obbligatoria in tre ipotesi:

  • il l trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
  • l’attività principale, effettuata per conto del titolare, comporta il monitoraggio regolare e sistematico degli interessati su larga scala;
  • l’attività principale effettuata per conto del titolare consiste nel trattamento di dati sensibili (categorie particolari di dati personali) o giudiziari (dati relativi a condanne penali e a reati) su larga scala.

Le indicazioni per definire meglio il campo di obbligatorietà della designazione del DPO si traggono dalle Linee – guida sui responsabili della protezione dei dati (RPD o DPO) pubblicate dal Gruppo di Lavoro Articolo 29 che, al paragrafo 2.2, si dedica alla designazione del DPO da parte del responsabile, fornendo anche alcuni esempi.
Poiché la nostra attività principale non è rappresentata da trattamenti su larga scala come quelli sopra descritti, non siamo soggetti all’obbligo di nomina.

Siamo disponibili a sottoscrivere accordi sul trattamento

Ci rendiamo disponibili a fornire o sottoscrivere accordi che prevedano (per iscritto):

  • l’oggetto e la durata della prestazione che il responsabile effettuerà per conto del titolare;
  • la natura e la finalità del trattamento;
  • il tipo di dati personali trattati per conto del titolare;
  • le categorie di interessati;
  • gli obblighi e i diritti del titolare del trattamento;
  • gli obblighi e i diritti del responsabile del trattamento, come previsti dall’articolo 28 del Regolamento.

Siamo dotati di un registro delle attività di trattamento

Come previsto dal Regolamento, teniamo un registro dei trattamenti che effettuiamo per conto del titolare.
Il registro, teniamo per iscritto, contiene:

  • il nome e i dati di contatto di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento;
  • le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, e la documentazione delle garanzie adeguate su cui si fondano;
  • una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 del Regolamento.

Obblighi del responsabile che nomini un sub-responsabile

Siamo consapevoli che il responsabile del trattamento può designare un altro responsabile del trattamento solo previa autorizzazione scritta del titolare del trattamento.
Comunichiamo i dati dei nostri subresponsabili al momento della sottoscrizione dell’accordo sul trattamento, che prevederà la delega per la le successive nomine.
Imponiamo al sub-responsabile, mediante un contratto, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto stipulato tra il titolare del trattamento e il responsabile del trattamento.

Violazione dei dati

La violazione dei dati personali è una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Ove venissimo a conoscenza di una violazione, ne informeremo il titolare del trattamento senza ingiustificato ritardo.
Abbiamo adottato una politica aziendale che ci permette di assistere il titolare nel garantire la conformità dei trattamenti alle norme che presiedono alla loro sicurezza, comprese quelle inerenti alla violazione dei dati personali.

Ruolo del responsabile nella valutazione di impatto

A dover effettuare la valutazione di impatto sulla protezione dei dati a norma dell’articolo 35 RGPD è il titolare, e la relativa responsabilità gli pende in capo e non può essere traslata sul responsabile.
Tuttavia prestiamo assistenza al titolare nella conduzione della DPIA fornendo ogni informazione necessaria, come previsto nell’accordo sul trattamento.

Knowledge base

Accedi alla knowledge base per conoscere le soluzioni e le strategie per la configurazione e costruzione dei questionari.

Guida e documentazione

IdSurvey dispone di una guida integrata per ogni singola funzione del software, così puoi facilmente scoprire tutte le funzioni.

Help Desk support 24/7

Grazie alla tua area ticket potrai richiedere assistenza 7g su 7, 24h/24. Uno dei nostri esperti ti risponderà in brevissimo tempo.