Politique UE 2016/679 – GDPR
Politique de l’entreprise pour la protection des données personnelles, afin de protéger les droits et libertés fondamentaux des personnes physiques qui utilisent le site
1. OBJECTIF
2. DESCRIPTION
3. CHAMP D’APPLICATION
4. POLITIQUE DE SÉCURITÉ DE L’INFORMATION
5. RESPONSABILITÉ DE LA POLITIQUE DE SÉCURITÉ DE L’INFORMATION
1. OBJET
Le but de ce document est de décrire les principes généraux des obligations de sécurité et de confidentialité des informations et des données personnelles définies par le contrôleur des données et assure à tous les sujets impliqués dans le traitement des données, afin de développer un un système de gestion sécurisé des procédures et des processus pour la sécurité des données personnelles respectant les libertés et droits fondamentaux des individus, conformément au règlement européen 2016/679, dorénavant GDPR
2. DESCRIPTION
bluAlghero-Sardaigne a l’intention de poursuivre des objectifs de sécurité de l’information, les données personnelles, la structure technologique, physique, logique et organisationnelle et leur gestion. Cela signifie la réalisation et le maintien d’un système de gestion de l’information sécurisé par le respect des principes énoncés aux articles 5 et 6 du RGPD;
- Légalité, équité, transparence
- Garantie en ce qui concerne la gestion et la collecte de données à des fins contractuelles uniques, déterminées, explicites et légitimes, et ensuite traitées d’une manière qui n’est pas incompatible avec ces fins.
- Adéquates, pertinentes et limitées à ce qui est nécessaire en ce qui concerne les finalités pour lesquelles elles sont traitées (principe de “minimisation des données”);
- Exact et, si nécessaire, mis à jour; toutes les mesures raisonnables doivent être prises pour annuler ou corriger les données inexactes par rapport aux finalités pour lesquelles elles sont traitées (“exactitude”);
- Conserver sous une forme permettant l’identification des personnes concernées pendant une période ne dépassant pas la réalisation des finalités pour lesquelles elles sont traitées;
- Traités de manière à garantir une sécurité adéquate des données personnelles, y compris la protection, par des mesures techniques et organisationnelles appropriées, contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels “principe d’intégrité et de confidentialité”;
- Protéger la cohérence des informations contre les modifications non autorisées
- Assurer la fiabilité des canaux de source d’information;
- Assurer la protection et le contrôle des données personnelles.
3. Champ d’application
La politique de protection des données personnelles s’applique à tous les processus et ressources impliqués dans la conception, la mise en œuvre, le démarrage et la livraison continue dans le domaine des services.
Les produits et services fournis sont décrits ci-dessous et les méthodes de livraison sont illustrées.
Produits et services fournis:
Plate-forme Web pour la promotion du territoire et offre de services touristiques pour la réservation et l’assistance aux touristes. Annonces pour l’hébergement et les entreprises.
4. POLITIQUE DE SÉCURITÉ DE L’INFORMATION
- La vérification des données qui seront traitées avec l’identification des différents types de données et catégories d’adhésion. La vérification de l’objectif de chaque traitement et de la base juridique sur laquelle chacun d’eux est basé, également afin de fournir des informations adéquates aux parties concernées, tel que requis par l’art. 13 et 14 du GDPR;
- La préparation de l’information (ou sa mise à jour) qui doit être fournie aux parties intéressées en conformité avec tous les éléments indiqués à l’art. 13 et 14 du GDPR. En particulier, les parties intéressées doivent être informées des droits que le règlement reconnaît (droit d’accès, droit d’être oublié, droit de rectification, droit de limitation et d’objection au traitement, droit à la portabilité des données); l’information pour les sujets impliqués dans le traitement de données dont le client est le responsable du traitement est fournie par le client si la collecte de données est prévue dans le logiciel ou les services utilisés;
- La mise en place d’une procédure à suivre en cas de violation de données (dénommée Data Breach visée aux articles 33 et 34 du GDPR), par exemple lors d’une divulgation (intentionnelle ou non), destruction, perte, modification ou accès non autorisé aux données personnelles en cours de traitement. En effet, le GDPR prévoit des obligations spécifiques en cas de violation de ce type, en raison d’une attaque informatique, d’un accès abusif ou d’un accident. Dans ces cas, le GDPR impose, comme requis par l’art. 33, pour le contrôleur des données l’obligation d’informer l’autorité de contrôle de la violation dans les 72 heures (ou en tout cas sans délai). Dans le cas où la violation a eu lieu pour supposer qu’il existe également un danger élevé et actuel pour les droits et libertés des personnes concernées, cette dernière doit également être informée sans délai de ce qui s’est passé;
- À l’article. 35 du GDPR, il est de la responsabilité du responsable du traitement des données (et de la possibilité de consulter le responsable de la protection des données s’il est désigné) pour effectuer une analyse d’impact sur la protection des données dans le cas où Le type de traitement, compte tenu également de la nature, de l’objet, du contexte et du but du traitement lui-même, présente un risque élevé pour les droits et libertés des personnes physiques. Il convient de noter que le GDPR n’établit pas d’obligation réelle de réaliser l’analyse d’impact, mais il est rappelé que le règlement prévoit une obligation générale, de la part du responsable du traitement, de mettre en œuvre les mesures appropriées pour gérer correctement les risques pour les droits et libertés des personnes concernées pouvant découler du traitement de leurs données. Il sera donc souhaitable de procéder à l’analyse d’impact même lorsque l’obligation légale de le faire n’est pas du ressort du responsable du traitement des données.
- Les articles 37 – 38 et 39 introduisent une autre exécution requise par le responsable du traitement des données, qui consiste en la désignation du délégué à la protection des données, également dénommé délégué à la protection des données. Cette nomination, comme requis par l’art. 37 du RGPD, n’est obligatoire que dans une série d’hypothèses, notamment dans le cas où le traitement des données est effectué par une autorité publique ou un organisme public (à l’exception des autorités juridictionnelles dans l’exercice de leurs fonctions); lorsque les principales activités exercées par le responsable du traitement ou du traitement consistent en des opérations qui, par leur nature, leur portée ou leur finalité, nécessitent un contrôle régulier et systématique des personnes affectées à grande échelle; et enfin, dans le cas où les principales activités effectuées consistent en un traitement à grande échelle de données sensibles ou de données relatives à des condamnations pénales et à des infractions consistant en un traitement illégal de données à caractère personnel. Comme l’a également suggéré le groupe des 29, l’organe consultatif et indépendant, composé d’un représentant des autorités de protection des données personnelles, désigné par chaque État membre qui a élaboré les lignes directrices et dicté la nomination régulière du responsable de la protection des données personnelles, Lorsque le règlement n’exige pas spécifiquement la nomination d’un DPD, ce chiffre peut dans tous les cas être désigné par le titulaire ou par la personne responsable du traitement sur une base volontaire.
5. RESPONSABILITÉ DE LA POLITIQUE DE SÉCURITÉ DE L’INFORMATION
Le “contrôleur de données” et le “gestionnaire” sont responsables du système de gestion de l’information, en fonction de l’évolution de l’entreprise et du contexte du marché, en évaluant les actions possibles à prendre en relation avec des événements tels que:
· Changements significatifs dans l’entreprise;
· Nouvelles menaces comparées à celles prises en compte dans l’activité d’analyse des risques;
· Incidents de sécurité significatifs
· L’évolution du cadre réglementaire ou législatif sur le traitement sécurisé de l’information.
Les mises à jour concernant l’utilisation des cookies et les réglementations sur le traitement des données personnelles peuvent être consultées sur les pages Cookie et Privacy du website blualghero-sardinia
Lucia Pisanu
Titulaire blualghero-sardinia.com