G E N O V A -- P A R C H E G G I Documento di sintesi sulla protezione dei dati personali TITOLARE DEL TRATTAMENTO: Dott. Giovan Battista Seccacini Scopo di questo documento è di mostrare in forma sintetizzata il quadro delle misure di sicurezza, organizzative, fisiche e logiche che all’interno dell’azienda Genova Parcheggi sono adottate per il trattamento dei dati personali, la struttura di questo documento segue il modello proposto dal Garante della Privacy per la compilazione del DPS. La Genova Parcheggi per il suo stesso oggetto sociale gestisce sistemi di parcheggi e attività inerenti alla mobilità urbana, in prevalenza si occupa, tramite concessione dell’amministrazione comunale, della gestione di diverse aree cittadine destinate alla sosta a pagamento di autoveicoli, sia tramite il comune sistema di parcheggio a pagamento, cosiddetto a “rotazione”, oppure con rilascio di abbonamenti “residenti” essendo validi solamente nella zona in cui si risiede (sistema “Blu Area”). Altre attività svolte dalla società Genova Parcheggi riguardano il servizio di “sharing” sia di automobili e sia di biciclette. Parte dell’acquisizione dei dati avviene direttamente su strada attraverso la struttura operativa costituita da operatori della sosta e ausiliari del traffico. Un’altra parte è invece raccolta presso gli uffici della sede della Genova Parcheggi, dove sono poi conservati per i differenti processi lavorativi di analisi, eventuale trattamento ed eliminazione. Infine un’ultima parte è raccolta tramite web o altri servizi online. Il tipo di dati trattati all’interno dell’azienda è per circa la metà costituito da dati anonimi mentre il restante è di tipo personale di cui solo una minima parte rientra tra quelli definiti “sensibili”. Ciascun dipendente, all’atto dell’assunzione o nel caso di cambiamento della propria mansione, è assegnato stabilmente presso una o più strutture organizzative presso cui esiste un trattamento dei dati e per ciascuna delle quali sono individuate le categorie di dati cui si può avere accesso e gli ambiti del trattamento, dal momento che gli viene dato l’incarico per il trattamento dei dati il dipendente è istruito su come agire oltre a ricevere una formazione sulla privacy e il trattamento dei dati personali con la partecipazione a specifici corsi di che si svolgono periodicamente all’interno dell’azienda. Gestione flusso dati raccolta operatori / strada-f.o. eliminazione archiviazione impiegati - uffici impiegati - uffici trattamento analisi impiegati - uffici impiegati - uffici - 2014 : - Genova Parcheggi spa protezione dati personali (redatto da ermanno persico) - RESPONSABILE DEL TRATTAMENTO: Sig. Persico Ermanno Gestioni particolari - dati sensibili – Nel caso di trattamento di dati sensibili, l’accesso agli stessi è consentito solo a determinate persone a cui è affidato con la massima attenzione e discrezione il compito di seguire l’iter completo di lavorazione degli stessi dati che sono trattati con l’attivazione di particolari procedure di sicurezza del più alto livello sia in ambito fisico che elettronico. - videosorveglianza – Sono attive all’interno della Genova Parcheggi due strutture di videosorveglianza gestite, una dal centro operativo TVCC e una seconda dall’ufficio ZTL, entrambi situati presso la sede dell’azienda. I due uffici hanno ognuno un locale a disposizione per la loro attività che sono svolte da operatori specificamente formati per il controllo e la gestione delle immagini, nel caso del centro operativo TVCC la finalità è la prevenzione rispetto a eventuali tentativi di furto o gesti di vandalismo ai danni di strutture e macchinari della Genova Parcheggi, l’ufficio ZTL effettua invece un controllo sull’accesso alle zone a traffico limitato attraverso le immagini di targhe raccolte dai varchi d’entrata alle suddette zone. Anche in questo caso sono adottate le misure di più alto livello per il trattamento delle immagini e la loro conservazione è limitata al periodo massimo indicato dal Garante della Privacy. SCHEMA ORGANIZZATIVO titolare trattamento responsabile trattamento incaricati trattamento consulenti esterni - 2014 : - Genova Parcheggi spa protezione dati personali (redatto da ermanno persico) - - procedura di recupero crediti – Rispetto alle procedure di recupero crediti la Genova Parcheggi, attraverso l’ufficio incaricato, tratta i dati personali unicamente con lo scopo di portare a termine le operazioni in misura strettamente necessaria alle pratiche di esazione con comunicazioni indirizzate esclusivamente ai diretti interessati. Al riguardo non si procede alla creazione di archivi personali e lo “storico” che supporta l'iter delle pratiche legali è continuamente aggiornato con l'eliminazione di quei dati non più utili e necessari alle varie procedure amministrative. Come per tutte le strutture lavorative a contatto con dati non sensibili ma comunque di una certa rilevanza per questo tipo di attività lavorativa, a livello di accesso ai dati, sono attive tutte le misure di sicurezza sia quelle di tipo generale sia quelle di tipo preventivo. ELENCO TRATTAMENTI DATI PERSONALI (tab. 01) paghe contributi dipendenti S G paghe gestione personale legge 626 fatturazione dipendenti dipendenti clienti S S personale direzione contabilità acquisti e fornitori fornitori G G P A medicina lavoro ciclo produttivo dipendenti S - acquisizione dati clienti - trattamento dati clienti S S progettazione adempimenti società gestione qualità clienti/dipendenti clienti/fornitori dipendenti/enti dip/clienti/forn S P A strumenti utilizzati consulenti lavoro software house consulenti lavoro RSPP esterno lan aziendale, wan acquisti segreteria P P ufficio esterno lan aziendale, wan wan, pc stand alone lan aziendale, wan lan aziendale, wan medico competente lan, pc stand alone lan aziendale, wan pers. esterno / uffici palmari, lan aziendale amministrazione lan aziendale tecnico/IT lan aziendale, wan progetti/tecnico/IT amm./segreteria qualità consulenti legali consulenti qualità lan aziendale, wan lan aziendale, wan lan aziendale attività svolta – indicazione delle attività svolte nell’ambito del trattamento dei dati interessati – indicazione delle categorie di persone cui i dati si riferiscono tipo dati – indicazione del tipo di dati (S:sensibile; G:giudiziario; P:personale; A:anonimo) ufficio riferimento – indicazione dell’ufficio all’interno del quale è compiuto il trattamento ufficio esterno – indicazione di eventuali strutture lavorative esterne che concorrono al trattamento dei dati in questione strumenti utilizzati– indicazione della tipologia di strumenti elettronici impiegati COMPITI E RESPONSABILITA’ (tab. 02) ufficio trattamenti effettuati responsabilità e compiti ufficio paghe paghe e contributi personale gestione personale direzione legge 626 e sicurezza del personale contabilità fatturazione attiva/gestione economica personale esterno gestione aree parcheggio e altre attività acquisizione dati, consultazione comunicazione a terzi acquisizione dati, consultazione comunicazione a terzi acquisizione dati, consultazione comunicazione a terzi acquisizione dati, consultazione comunicazione a terzi acquisizione dati, consultazione front office vendita/rinnovo abbonamenti - vendita titoli di sosta acquisizione dati, consultazione amministrazione gestione amministrativa soste/penali tecnico IT gestione manutenzione hardware/software progetti/IT prototipi e nuovi progetti direzione/amministrazione gestione qualità direzione/amministrazione adempimenti societari acquisizione dati, consultazione trattamento acquisizione dati, consultazione trattamento acquisizione dati, consultazione trattamento acquisizione dati, consultazione comunicazione a terzi acquisizione dati, consultazione comunicazione a terzi ufficio – indicazione dell’ufficio all’interno del quale è compiuto il trattamento (come sopra tab.01) trattamenti effettuati – indicazione dei trattamenti di competenza di ciascun ufficio indicato responsabilità e compiti ufficio – indicazione sintetica delle responsabilità e compiti dell’ufficio competente rispetto ai trattamenti effettuati - 2014 : - Genova Parcheggi spa protezione dati personali (redatto da ermanno persico) - interessati - gestione manutenzione tipo dati ufficio riferimento attività svolta ANALISI DEI RISCHI CHE INCOMBONO SUI DATI (tab. 03) rischi si/no valore impatto sulla sicurezza (alta/media/bassa) si si si si alta media alta bassa si si si si si alta alta media media media si si si si si media alta alta media media comportamento dipendenti - sottrazione di credenziali - disattenzione incuria - comportamento sleale o fraudolento - errore materiale o altro eventi relativi strumenti - azione virus informatici e malware - spamming - malfunzionamento / degrado - accessi esterni non autorizzati - intercettazione informazione in rete eventi relativi contesto ambientale - sottrazione strumenti contenenti dati - eventi distruttivi naturali - eventi dolosi, accidentali o dovuti a incuria - errori umani gestione sicurezza fisica - guasto sistemi complementari rischi – elenco degli eventi che possono generare danni e che comportano rischi anche per la sicurezza dei dati personali – valore impatto sulla sicurezza – principali conseguenze individuate per la sicurezza dei dati, in relazione a ciascun evento e MISURE IN ESSERE PER CONTRASTARE I RISCHI (tab. 04) misure sede - videosorveglianza accessi - videosorveglianza perimetrale - controlli accessi (badge) - sistema anti-intrusione - controlli automatici manuali - formazione aree esterne videosorveglianza sistemi informatici - backup nastro/nas - disaster recovery - antivirus / antimalware - sistema server cluster - ssl vpn - firewall - firewall HA (backup firewall) - email security rischi contrastati trattamenti interessati uffici / ditte esterne ingressi non autorizzati ingressi non autorizzati - atti delittuosi ingressi non autorizzati atti delittuosi comportamento sleale/fraudolento errori/inconsapevolezza/slealtà tutti tutti tutti tutti tutti tutti tvcc / vigilanza privata tvcc /vigilanza privata segreteria tvcc / vigilanza privata personale segreteria ingressi non autorizzati atti vandalici/delittuosi eventi naturali/accidentali tutti tutti tutti tvcc tvcc tvcc eventi distruttivi naturali/artificiali eventi distruttivi naturali/artificiali eventi distruttivi naturali/artificiali eventi distruttivi naturali/artificiali accessi esterni non autorizzati accessi esterni non autorizzati attività su lan/wan non consentite eventi distruttivi naturali/artificiali virus/spam/malware -eventi distruttivi tutti tutti tutti tutti tutti tutti tutti tutti tutti tecnico/IT - ass. esterna tecnico/IT - ass. esterna tecnico/IT - ass. esterna tecnico/IT - ass. esterna tecnico/IT - ass. esterna tecnico/IT - ass. esterna tecnico/IT - ass. esterna tecnico/IT - ass. esterna tecnico/IT - ass. esterna misure – elenco sintetizzato delle misure adottate rischi contrastati – elenco sintetizzato dei rischi contrastati attraverso le rispettive misure adottate trattamenti interessati – tipo di trattamento dei dati interessati dalle rispettive misure adottate uffici / ditte esterne – indica l’ufficio preposto e/o eventuali ditte esterne responsabili misure adottate - 2014 : - Genova Parcheggi spa protezione dati personali (redatto da ermanno persico) - valutazione della loro gravità riguardo alla rilevanza e alla probabilità stimata dell’evento CRITERI E MODALITA DI RIPRISTINO DATI (tab. 05) archivio dati criteri e procedure pianificazione test dati lan database area produzione posta elettronica attività firewall dati sistema cluster backup giornaliero su nastro e nas backup giornaliero su nastro e nas backup giornaliero su nastro e nas backup HA continua h24 (high availability) backup giornaliero su nastro e nas periodica (bimestrale/trimestrale) periodica (bimestrale/trimestrale) periodica (bimestrale/trimestrale) continua (h24) periodica (bimestrale/trimestrale) archivio dati – indica l’archivio dati, i database o banca dati interessata criteri e procedure – descrizione sintetica dei criteri e procedure individuati per salvataggio e ripristino dati pianificazione test – indica i tempi pianificati per effettuare test di efficacia riguardo a criteri e procedure PIANIFICAZIONE INTERVENTI FORMATIVI sintesi interventi formativi interessati tempi previsti corso base privacy (formazione) corso incaricati trattamento (formazione) dipendenti dipendenti incaricati trattamento periodici - 2014/2015 periodici - 2014/2015 - 2014 : - Genova Parcheggi spa protezione dati personali (redatto da ermanno persico) - sintesi interventi formativi – sintesi delle modalità d’intervento formativo interessati – individua i gruppi interessati dall’intervento formativo tempi previsti – indica i tempi previsti per lo svolgimento degli interventi formativi Informativa al trattamento dei dati personali ai sensi del d.lgs. 196/2003 “Codice in materia di protezione dei dati personali” Ai sensi dell'art. 13 del d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” e in relazione al rapporto contrattuale in essere con la nostra azienda, si informa che i Vostri dati personali formeranno oggetto di trattamento, e più precisamente che: ● le modalità del trattamento possono prevedere l’utilizzo di mezzi cartacei e informatici atti a memorizzare e gestire i dati stessi, mediante strumenti idonei a garantire la loro sicurezza e la riservatezza; ● i daƟ da voi forniti potranno essere oggetto di comunicazione, nel pieno rispetto delle prescrizioni di legge, per finalità strettamente correlate all’esecuzione dei nostri obblighi contrattuali. ● possono venire a conoscenza dei daƟ, in qualità di incaricati o responsabili, i dipendenti e i collaboratori esterni, nonché soggetti, interni ed esterni, che svolgono per conto della società compiti tecnici, di supporto (in particolare, servizi legali, servizi informatici, spedizioni) e di controllo aziendale. ● oƩenere la conferma della esistenza o meno di daƟ personali che Vi riguardano, e che tali dati vi vengano comunicati in forma intelligibile; ● oƩenere l’indicazione dell’origine dei daƟ, delle finalità e modalità del trattamento, della logica applicata nel caso di trattamento con l’ausilio di strumenti elettronici, degli estremi identificativi del titolare e del responsabile, dei soggetti o delle categorie di soggetti ai quali dati possono essere comunicati o che possono venirne a conoscenza; ● oƩenere l’aggiornamento, la reƫfica o, quando vi avete interesse, l’integrazione dei dati; la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; l’attestazione che tali operazioni sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi (quando ciò non si riveli impossibile o sproporzionato rispetto al diritto tutelato); ● opporvi in tutto o in parte, per motivi legittimi, al trattamento dei Vostri dati personali ancorché pertinenti allo scopo della raccolta, o quando siano trattati ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche di mercato o di comunicazione commerciale. Per l’esercizio di tali diritti, potrete rivolgervi al responsabile del trattamento della Genova Parcheggi domiciliato per le funzioni presso la sede legale della società al quale ci si può rivolgere via email Istruzioni per il trattamento dei dati personali Ai sensi dell’art. 30 d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” (il “Codice”) di seguito Le sono fornite le istruzioni per il trattamento dei dati personali a cui Lei è incaricato. Nel trattare i dati personali, sia se riferiti a persone fisiche, sia se riferiti a soggetti giuridici indipendentemente dalla natura ordinaria o particolare dei dati, si deve operare garantendo la massima riservatezza delle informazioni, considerando tutti i dati personali confidenziali e, di norma, soggetti al segreto d’ufficio; fatta eccezione per i soli dati anonimi, generalmente trattati per elaborazioni statistiche, e quelli acquisibili da chiunque perché contenuti in atti, liste ed elenchi pubblici (seguendo comunque le prescrizioni di legge). La procedura di lavoro e la condotta tenuta nello svolgimento delle operazioni di trattamento, dovranno evitare che i dati personali siano soggetti a rischi di distruzione e perdita anche accidentale; che ai dati possano accedere persone non autorizzate; che vengano svolte operazioni di trattamento non consentite o non conformi ai fini per i quali i dati sono stati raccolti. Si deve dunque operare con la massima diligenza e attenzione in tutte le fasi di trattamento, dalla esatta acquisizione dei dati, all’eventuale loro aggiornamento, così per la conservazione ed eventuale cancellazione o distruzione. Non possono essere eseguite operazioni di trattamento per fini non previsti tra i compiti assegnati dal responsabile diretto, comunque riferiti alle disposizioni e regolamenti vigenti. I dati personali particolari possono essere trattati esclusivamente dagli incaricati, ivi compresi i diretti superiori degli incaricati stessi. - 2014 : - Genova Parcheggi spa protezione dati personali (redatto da ermanno persico) - Vi ricordiamo che l’art. 7 del D. Lgs. 196 del 2003 Vi riconosce taluni diritti. In particolare voi potrete: SINTESI SCHEMA ORGANIZZATIVO AZIENDA direzione blu area ZTL amministrazione segreteria rec crediti sanzioni ufficio titoli di sosta paghe contabilità ufficio tecnico - IT RSPP uff acquisti personale TVCC - 2014 : - Genova Parcheggi spa protezione dati personali (redatto da ermanno persico) - privacy
© Copyright 2024 Paperzz