(Indicare il numero delle stanze dove sono residenti dati elettronici o cartacei)

(Indicare il numero delle sedi dove sono residenti dati elettronici o cartacei)

(Indicare il numero di tutti i PC presenti in azienda, server compresi)

L' Art. 30 del Regolamento europeo in materia di protezione dei dati personali nello specifico il par. 4 dell'art. 30, dice che "su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro dei trattamenti a disposizione dell'autorità di controllo." L'autorità di controllo (Garante) è, d'altro canto, l'ente pubblico che ha titolo per richiedere la disponibilità del registro, al fine di esaminarlo. L'obbligo di redazione e adozione del registro non è, tuttavia, generale. Il par. 5 dell'art. 30 specifica che esso non compete "alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10." I Garanti europei consigliano di dotarsi del registro dei trattamenti anche nel caso di aziende di minori dimensioni La vostra società ha preso posizione sul registro dei trattamenti:

Se si trattano dati sensibili è necessario aumentare le protezioni aziendali. Se tali dati sono trattati su larga scala o sono di particolare importanza, si deve nominare un D.P.O. ed avere obbligatoriamente un registro dei trattamenti e redigere un Privacy Impact Assessment

Le attività principali consistono in trattamenti di dati che richiedono il monitoraggio regolare e sistematico di interessati su larga scala (es. gestione continua e regolare di migliaia di dati sensibili o giudiziari; oppure raccolta di centinaia o migliaia di dati per profilazione a fini pubblicitari, magari tramite carte fedeltà)?

Esiste in azienda un DPO (Data Protection Officer)?

per incaricati si intende ogni persona che ha a vario titolo e a vario livello il permesso di trattare alcuni dati aziendali sia in forma elettronica che cartacea. Sono inclusi anche gli interni Indicare il numero di incaricati alla Sicurezza

Per quanto riguarda la sicurezza, gli incaricati: sono stati formati con sessioni di formazione sulla privacy dimostrabili?

L'azienda è in grado di fornire velocemente un elenco di tutti gli incaricati con i relativi permessi per ogni trattamenti?

E' stata consegnata loro la policy informatica?

Come è stato nominato?

Predisponete annualmente il Documento Programmatico sulla Sicurezza (DPS)

(Per "complete" si intende quelle già a norma GDPR, con tutte le aggiunte che la legge chiede)

Utilizzate un modello di informativa per dipendenti, clienti e fornitori?

Che modelli utilizzate?

Viene richiesto il consenso al trattamento dati?

Con quale modalità viene richiesto il consenso?

Che modelli di consenso utilizzate?

Come trattate la sicurezza dei dati cartacei?

Avete un sistema per gestire l'accesso agli archivi informatici contenenti dati personali (es. login e password)?

Avete regolamentato l'accesso alle cartelle dati esistenti sul server o sui singoli pc oppure ciascun soggetto può accedere a tutte le cartelle?

La rete informatica è dotata di server?

Con che periodicità vengono effettuati i back up?

Tali software antivirus vengono aggiornati automaticamente?

I firewall sono aggiornati?

Utilizzate un software specifico che controlli il corretto funzionamento dei sistemi hardware e software?

Avete un soggetto esterno a cui avete appaltato la gestione dei sistemi hardware e software, la custodia delle password ecc.?

Nei rapporti con tale soggetto utilizzate un contratto scritto?

Utilizzate particolari misure per quanto riguarda i vostri subappaltatori/fornitori? (Revisione periodica delle clausole, controllo del loro sistema di protezione dei dati)

In caso di trasferimenti di dati al di fuori dell'Unione Europea, conservate un backup dei dati personali trasmessi?

Il GDPR dice che in caso di videosorveglianza, anche senza registrazione e anche in caso di telecamere finte usate come deterrente bisogna produrre una serie di documentazioni precise che vanno dalla domanda alla direzione distrettuale del lavoro, al principio di necessità, alla tipologia di impianti scelti, alla modalità di conservazione delle immagini, alla nomina del responsabile e degli incaricati, alla informativa estesa e alla cartellonistica

Sono informati collaboratori e terzi tramite una cartellonistica e un’informativa specifica?

Le telecamere così come sono posizionate potrebbero riprendere vs. dipendenti durante l'attività lavorativa?

Dopo quanto tempo i dati raccolti con la videosorveglianza sono cancellati?

I dipendenti/collaboratori che utilizzano strumenti informatici hanno adeguata preparazione?

Siete a conoscenza delle novità e delle sanzioni introdotte dal nuovo regolamento europeo (GDPR) che entrerà in vigore a Maggio 2018?

In relazione alla nostra informativa consenti il trattamento dei dati ai fini della creazione del rapporto relativo al questionario che hai appena compilato?