PRIVACY POLICY
OF PERSONAL DATA
Corporate Counselling Services Sarl (di seguito denominata CCS, CCS Sarl, la Società) è una società fondata per riunire le competenze di vari professionisti al fine di fornire una serie di servizi completi a società e organizzazioni in Europa e al di fuori dell’SEE, per aiutarle ad affrontare le questioni legate alle risorse umane, in particolare la gestione preventiva della salute aziendale. La gestione della salute sul posto di lavoro è ora una componente essenziale della vita lavorativa. Le persone trascorrono circa il 65% della loro vita lavorativa sul luogo di lavoro. Creare un ambiente sano ed equilibrato, in cui le persone possano sentirsi a proprio agio e dove troveranno l’opportunità di sviluppare il proprio potenziale, è considerato importante, tanto quanto fornire gli elementi essenziali per l’igiene occupazionale e il benessere personale. Ciò ha un impatto sostanziale sulla vita personale dei dipendenti.
Corporate Counseling Services Sarl è un Titolare del trattamento dei dati personali, come definito dal GDPR, e lo scopo di questa Policy è stabilire come la Società elabora i dati personali in conformità con la legislazione sulla protezione dei dati vigente.
A seconda delle relazioni stabilite dalle clausole dei contratti di fornitura di servizi, stipulati tra la nostra Società e i suoi partner, CCS Sarl può essere sia un titolare autonomo del trattamento dei dati personali in relazione ai suoi partner, datori di lavoro degli utenti dei servizi di consulenza offerti, sia un responsabile del trattamento o subappaltatore dei servizi di consulenza, quando il rapporto di trattamento è stabilito tra noi e un responsabile del trattamento dei dati personali.
La presente informativa sulla privacy stabilisce le modalità di trattamento insieme allo scopo del trattamento dei dati personali raccolti da CCS Sarl dagli interessati,
Le categorie di dati personali (che rappresentano qualsiasi informazione che può portare all’identificazione di un interessato) che elaboriamo sono dettagliate nella sezione (4) di seguito. La nostra intenzione è quella di fornire informazioni sufficienti, presentate in modo intuitivo, per garantire che tu comprenda le operazioni di trattamento che Corporate Counseling Services Sarl esegue, garantendo al contempo che la riservatezza e la sicurezza dei tuoi dati personali siano rispettate.
Per ogni ulteriore dettaglio che dovesse rendersi necessario per comprendere la presente Informativa o le procedure di trattamento dei dati personali, offriamo la possibilità di comunicare eventuali quesiti o richieste agli interessati, che potranno utilizzare i recapiti indicati in calce alla presente Informativa.
Corporate Counseling Services S.a.r.l, Rue du Kiem 2, L-8435, Steinfort, Lussemburgo, e-mail: office@ccsint.com.
Corporate Counselling Services Sarl ha esternalizzato i servizi di Responsabile della protezione dei dati (RPD) a The Insource Development Group, rappresentato dal Sig. Marius Medeleanu, indirizzo e-mail: dpo@ccsint.ro.
Dati personali trattati da CCS Sarl, per categorie di interessati:
a) Dipendenti, candidati
Dati identificativi e di contatto:
Nome e cognome, indirizzi e-mail, indirizzo di domicilio/residenza, numero di telefono (fisso e/o cellulare), indirizzo di corrispondenza, data di nascita; sesso; età; Codice numerico personale; numero di documento di identità e numero di serie; dati di istruzione e dati dei certificati (se applicabile);
Dati finanziari-contabili appartenenti o necessari all’interessato;
Dati legali appartenenti o necessari all’interessato;
Categorie di dati personali speciali/sensibili:
- dati biometrici – firma, voce (basati su registrazioni di conversazioni con il consenso dell’interessato)
- dati sanitari – dati medici, relativi alla gestione preventiva della salute, controllo medico regolare/salute e sicurezza sul lavoro per i dipendenti dell’azienda;
- immagini video (ottenute da registrazioni video effettuate nei locali della Società, dove sono installate telecamere di videosorveglianza)
b)Rappresentanti di partner commerciali, fornitori di servizi e servizi di pubblica utilità, autorità pubbliche, responsabili del trattamento e/o subappaltatori:
- Dati di contatto: nome e cognome, indirizzi e-mail, indirizzo di domicilio/residenza, numero di telefono (fisso e/o cellulare), indirizzo di corrispondenza, data di nascita; numero di documento di identità e numero di serie;
- Codice Fiscale; Dati finanziari-contabili, di pertinenza o necessari per la finalizzazione dei pagamenti;
- Dati personali speciali/sensibili: dati biometrici – firma, registrazioni vocali,
- immagini video (ottenute da registrazioni video effettuate nei locali della Società, dove sono installate telecamere di videosorveglianza)
c) Utenti dei servizi EAP – interessati (dipendenti dei partner commerciali di CCS Sarl o loro familiari) che, sulla base dei diritti da loro indicati nel contratto di lavoro individuale, richiedono consulenza psicologica/legale/finanziaria:
- I dati personali che gli interessati (INTERESSATO) forniscono quando fissano un appuntamento per telefono, e-mail o in clinica (nome, cognome, telefono, e-mail, data di nascita, sintomi, dati sulle analisi e indagini eseguite o che desiderano far eseguire) vengono registrati ed elaborati da Corporate Counselling Services Sarl, solo nella misura in cui tali informazioni sono state fornite dagli interessati senza alcuna costrizione e con informazioni preventive.
Corporate Counselling Services Sarl non si assume alcuna responsabilità per eventuali informazioni/dati/documenti inesatti, errati o incompleti forniti dagli interessati a noi. Essi (INTERESSATI) sono tenuti a informarci di eventuali modifiche che si verificano nei loro dati personali, in modo che i loro dati siano sempre accurati e aggiornati. Se Corporate Counseling Services Sarl ha sospetti sull’autenticità dei documenti o delle informazioni fornite, ha il diritto di deferire la questione alle autorità pubbliche/istituzioni responsabili delle indagini, del monitoraggio e del controllo.
I dati degli interessati ottenuti dal loro datore di lavoro si riferiscono ai dati dei dipendenti che hanno la capacità di rappresentanti. Firmano documenti per conto del Titolare del trattamento o mantengono contatti con i nostri partner commerciali, al fine di adempiere all’oggetto dei contratti conclusi tra le parti, il trattamento dei loro dati identificativi e di contatto è necessario a tale scopo.
Si prega di notare che, in linea di principio, non vi è alcun obbligo per gli interessati di fornirci i dati personali indicati nella presente Informativa. Tuttavia, nella misura in cui qualcuno non ci fornisce i dati personali descritti, non saremo in grado di fornirgli i servizi richiesti e non potrà beneficiare di tutte le strutture che Corporate Counselling Services Sarl gli offre (ad esempio: non fornirci il suo numero di telefono/indirizzo e-mail non ci consentirà di comunicare con l’utente in merito alla conferma o alle possibili modifiche degli appuntamenti, o di inviargli i risultati dei servizi medici eseguiti, nel qual caso la comunicazione o il ritiro dei risultati avverrà presso le reception delle nostre cliniche partner).
Se, nel contesto dei servizi che Corporate Counselling Services Sarl fornisce agli utenti, questi ci forniscono dati personali su altre persone (come possibili condizioni mediche riscontrate in famiglia), tratteremo queste informazioni come riservate e le utilizzeremo solo allo scopo di fornire i servizi offerti.
Allo stesso tempo, adotteremo tutte le misure necessarie per garantire che queste informazioni siano adeguatamente protette, tenendo conto dell’obbligo di segreto professionale di Corporate Counselling Services Sarl.
In conformità con le disposizioni del motivo 61 del Regolamento generale sulla protezione dei dati, menzioniamo quanto segue:
- Ottenuto direttamente dall’interessato,
- Ottenuto dal datore di lavoro dell’interessato,
- Ottenuto da fonti pubbliche,
- Se i dati personali sono ottenuti da un’altra fonte, informeremo l’interessato entro un periodo di tempo ragionevole, a seconda delle circostanze del caso.
Il trattamento dei dati personali avviene in condizioni di sicurezza ottimali e per finalità legittime, principalmente connesse alla fornitura di servizi medico/psicologici, di consulenza finanziaria e/o legale, specifici alle attività del titolare del trattamento, nonché alle attività finanziario-contabili correlate, a quelle relative alle risorse umane o necessarie nel rapporto instaurato dal contratto di servizio concluso con il datore di lavoro degli interessati. Ogni qualvolta richiediamo la raccolta, l’ulteriore elaborazione e l’eventuale trasferimento di dati personali, il trattamento avverrà solo per le finalità indicate, per altre finalità sarà richiesto il tuo consenso.
I dati personali indicati nella sezione 5 di seguito saranno trattati per le seguenti finalità:
- Fornitura di servizi di consulenza psicologica/finanziaria/legale tramite il servizio EAP:
Fornitura di servizi di consulenza psicologica/finanziaria/legale richiesti dagli interessati, definizione di una diagnosi/diagnosi/situazione finanziaria/legale, registrazione dei servizi forniti, comunicazione con l’interessato sui servizi forniti, informazione degli utenti sui servizi forniti, attivazione e/o modifica dell’abbonamento dell’utente ai nostri servizi, appuntamenti, identificazione dell’utente e dei servizi a cui accede. Il Titolare fornisce Servizi EAP (Servizio EAP = “Programma di assistenza ai dipendenti”) ai dipendenti dei Beneficiari per i quali fornisce tali servizi (di seguito denominati: “Pazienti” o “Utenti”) al fine di studiare, prevenire, ridurre o eliminare l’esposizione degli Utenti ai rischi psicosomatici sul posto di lavoro e nel loro ambiente personale.
I Pazienti/Utenti utilizzano il servizio EAP volontariamente, a propria discrezione, dopo aver interpretato e accettato i termini dell’informativa sulla privacy e della presente informativa sulla privacy.
Il rapporto contrattuale è stabilito tra il Titolare e i Datori di lavoro, mentre gli Utenti sono i dipendenti dei Beneficiari o i parenti stretti dei pazienti/utenti.
- Statistiche mediche:
Il trattamento per a questo scopo verrà effettuato solo su richiesta scritta delle istituzioni dello Statuto del personale degli uffici responsabili delle statistiche. I dati personali rimarranno sicuri e riservati e non saranno divulgati a terzi.
- Adempimento degli obblighi legali:
Elaborazione per adempiere a vari obblighi legali della nostra Società (ad esempio: obblighi finanziari, sanitari, di sicurezza, di protezione, di risorse umane, di tenuta dei registri o altri obblighi imposti dalle leggi applicabili).
- Miglioramento dei servizi:
Identificazione di problemi o possibili questioni rilevanti relative ai servizi esistenti al fine di migliorarli, implementazione di nuovi servizi o miglioramenti a quelli esistenti, gestione dei reclami.
- Risoluzione delle controversie:
Formulazione di varie richieste/reclami in caso di controversie derivanti in relazione ai servizi resi all’interessato e/o in relazione alla relazione tra l’interessato e la nostra Società.
La nostra Società non è responsabile per l’elaborazione effettuata, in qualsiasi forma, al di fuori delle coordinate menzionate nella presente Politica (anche tramite lo scambio/registrazione di informazioni/dati personali in conversazioni tra psicologi e pazienti).
Definizioni
- Telelavoro: è “la forma di organizzazione del lavoro in cui il dipendente, su base regolare e volontaria, svolge le mansioni specifiche della funzione, occupazione o mestiere che ricopre, in un luogo diverso dal luogo di lavoro organizzato dal datore di lavoro, almeno un giorno al mese, utilizzando le tecnologie dell’informazione e della comunicazione”. Questa è la definizione che troviamo nella Legge n. 81/2018 sulla regolamentazione del telelavoro.
- Teledipendente: il dipendente che ha sottoscritto una modalità di esecuzione del lavoro, in tutto o in parte e su base regolare, al di fuori dei locali del datore di lavoro, utilizzando le tecnologie dell’informazione e della comunicazione, è stato definito nella Legge n. 81/2018 come “teledipendente”, ma se il lavoratore può a sua volta assumere manodopera, se partecipa a profitti e perdite, se investe capitale, allora non è un dipendente. CCS Sarl utilizza processori con cui stipula Contratti di servizi, ma applica tutte le disposizioni di legge in materia di telelavoro, quando le attività lavorative non vengono svolte nei locali (locali di lavoro) di sua proprietà. Questi contratti contengono anche un Contratto di elaborazione dati. In questo Contratto, saranno evidenziati anche gli obblighi delle parti relativi all’elaborazione dei dati in condizioni di riservatezza e sicurezza in condizioni di telelavoro, ove applicabile. Il Responsabile del trattamento, che è il Titolare del trattamento dei dati in relazione ai suoi dipendenti, implementerà le disposizioni del Contratto nel loro lavoro.
- Home office: nome generico per il/i luogo/i di lavoro, concordato e approvato dal datore di lavoro.
- Contratto per l’elaborazione dei dati tramite telecomunicazione: il legislatore stabilisce che il datore di lavoro e il dipendente devono stabilire con un atto aggiuntivo al contratto di lavoro (Contratto) i luoghi in cui verrà svolto il telelavoro; il datore di lavoro sarà tenuto a garantire misure di salute e sicurezza sul lavoro nei luoghi in cui viene svolto il telelavoro.
Il telelavoro è una forma di organizzazione del lavoro in base alla quale il dipendente, su base regolare e volontaria, svolge le mansioni specifiche della sua funzione, occupazione o mestiere in un luogo diverso dal luogo di lavoro organizzato dal datore di lavoro, almeno un giorno al mese, utilizzando le tecnologie dell’informazione e della comunicazione.
Poiché il limite minimo per il telelavoro è di 1 giorno al mese, il telelavoratore lavora per la maggior parte del tempo da un posto di lavoro diverso da quello fornito da CCS Sarl.
La sede del telelavoro deve essere concordata dalle parti. Il dipendente non ha il diritto di decidere unilateralmente sulla scelta di un luogo per svolgere le proprie attività tramite telelavoro che non sia stato concordato e approvato in anticipo.
CCS Sarl comprende che le disposizioni della Legge 81/2018 impongono i seguenti obblighi:
- l’obbligo di prevedere espressamente nel contratto di lavoro individuale o nell’atto aggiuntivo ad esso, che il lavoro sia svolto in modalità telelavoro;
- l’obbligo di avere il consenso del dipendente al telelavoro;
- l’obbligo di avere il consenso del telelavoratore a tempo pieno se lavora straordinario su sua richiesta;
- l’obbligo di includere nel contratto di lavoro del dipendente tutte le 10 clausole stabilite nell’art. 5 comma (2);
- l’obbligo di fornire i mezzi di tecnologia dell’informazione e della comunicazione e/o attrezzature di lavoro sicure necessarie per svolgere il lavoro;
- l’obbligo di installare, controllare e mantenere le attrezzature di lavoro necessarie;
- l’obbligo di garantire che il telelavoratore riceva una formazione sufficiente e adeguata in materia di sicurezza e salute sul lavoro, in particolare sotto forma di informazioni e istruzioni di lavoro specifiche per il luogo di telelavoro.
Al momento della stesura della presente Politica, i dipendenti di CCS Sarl non svolgono telelavoro. Tuttavia, tenendo conto delle attuali condizioni, determinate dalla pandemia di Coronavirus, la nostra Società ha ritenuto necessario che la nostra Politica sulla privacy faccia riferimento anche a questa modalità di svolgimento dell’attività e, se necessario, questo capitolo verrà rivisto in futuro, a seconda delle modifiche che saranno richieste.
Le basi giuridiche per il trattamento dei Dati Personali da parte di CCS Sarl sono le seguenti:
1) Basi giuridiche per il trattamento dei dati personali che non rientrano nella categoria dei dati personali speciali.
I dati personali che non comprendono categorie speciali di dati personali (come definiti dall’Articolo 9 del GDPR) sono trattati da Corporate Counseling Services Sarl sulle seguenti basi giuridiche:
1.1) Sulla base delle disposizioni dell’Art. 6, par. 1, lettera a, del GDPR, il consenso degli interessati – questo consenso è richiesto: Prima della prima telefonata dell’Utente con il nostro Operatore del Call center. Con questa chiamata, l’interessato richiede all’Operatore del Call center un appuntamento per una valutazione/consulenza psicologica/finanziaria/legale. Prima dell’inizio della chiamata con il nostro Operatore del Call center, l’Utente ascolterà un messaggio che è una breve informativa sulla nostra politica di elaborazione dei dati. In caso di accettazione, l’interessato premerà un tasto del telefono indicato nel messaggio, che rappresenta il suo consenso espresso tramite un’azione positiva e inequivocabile al trattamento dei dati personali da parte del titolare del trattamento. I dati raccolti dal nostro Operatore del Call center saranno minimi, come nome, cognome, datore di lavoro, problemi mentali/finanziari/legali, espressi nel modo più semplice. Sulla base di questi dati, l’Utente riceverà un appuntamento.
b) Prima della telefonata iniziale dell’Utente con il nostro Operatore del Call center. Attraverso questa chiamata, l’interessato richiede una valutazione/consulenza psicologica/finanziaria/legale all’Operatore del Call center per telefono. Prima di iniziare la chiamata con il nostro Operatore del Call center, l’Utente ascolterà un messaggio che lo informerà brevemente sulla nostra politica di elaborazione dei dati. In caso di accettazione, l’interessato premerà un tasto del telefono indicato nel messaggio, che rappresenta il suo consenso espresso tramite un’azione positiva e inequivocabile al trattamento dei dati personali da parte del titolare del trattamento. I dati raccolti dal nostro titolare del trattamento saranno sufficienti e illuminanti affinché il titolare del trattamento effettui una valutazione sulla base dei dati raccolti e fornisca la consulenza richiesta. L’utente riceverà la consulenza richiesta dal nostro specialista, online, per telefono.
c) Compilando un modulo presso gli ambulatori delle persone da noi autorizzate, o presso gli studi degli psicologi specialisti, dopo che sarà stata portata a conoscenza dell’Utente una nota informativa, le disposizioni della nostra politica di trattamento dei dati e la salvaguardia della loro riservatezza, in condizioni che ne garantiscano la piena sicurezza.
d) Le chiamate del call center vengono registrate sulla base del consenso espresso in anticipo dal chiamante, lo scopo del trattamento è impedire l’interpretazione errata delle informazioni trasmesse da uno qualsiasi dei partecipanti alla chiamata, chiarire situazioni esposte nella comunicazione telefonica in caso di dubbi o confusione, gestire situazioni in cui le chiamate contengano indicazioni di danni che possono essere causati alla sicurezza e all’integrità della persona e della proprietà.
1.2) Tenendo conto delle altre finalità per cui trattiamo i dati personali, la base di tale trattamento può essere l’adempimento degli obblighi legali della Società – art. 6, par. 1, lett. c del GDPR (anche in relazione all’archiviazione, alla salute, alla sicurezza, alla tenuta dei registri, alla richiesta a un’autorità pubblica e ad altri obblighi che la legge impone);
1.3) In determinate situazioni, elaboreremo i dati personali sulla base di un legittimo interesse di Corporate Counseling Services Sarl – art. 6, par. 1, lett. f del GDPR, o di una terza parte (ad esempio: compilazione dei registri delle prestazioni mediche; monitoraggio degli appuntamenti nel nostro sistema elettronico; gestione delle richieste e dei reclami ricevuti dagli Utenti; fornitura di assistenza specialistica di emergenza; conclusione ed esecuzione di contratti per la fornitura di servizi medici/psicologici con cliniche partner al fine di fornire la più ampia copertura territoriale possibile e la gamma di servizi offerti; sorveglianza tramite il sistema di telecamere per garantire la sicurezza di beni e persone (vedere la politica di videosorveglianza CCS).
Il trattamento è necessario per consentire l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, dato che, nel corso del rapporto instaurato con la nostra Società, non si può escludere che tali situazioni possano verificarsi nel contesto dei servizi forniti (nella misura in cui tali controversie siano deferite all’autorità giudiziaria).
1.4) In considerazione di determinate situazioni in cui l’Utente potrebbe trovarsi (fisicamente o legalmente) e che potrebbero rendere difficoltoso per lui il consenso al trattamento (ad esempio: situazioni di emergenza), i suoi dati personali saranno trattati al fine di proteggere gli interessi vitali di dell’Utente o di altro interessato – Art. 6, par. 1(d) GDPR;
2) Basi per il trattamento dei dati personali che rientrano nella categoria dei dati speciali (secondo l’art. 9 del GDPR)
Considerando la specificità dell’attività/dei servizi forniti da Corporate Counseling Services Sarl, tratteremo i dati personali che rientrano nella categoria dei dati speciali (come definiti dall’art. 9 del GDPR) in base alle seguenti basi giuridiche (basi che si applicheranno in aggiunta alle basi dettagliate nell’art. 6 del GDPR):
a) Trattamento in base al consenso dell’interessato
Ai sensi dell’art. (2)(a) del GDPR, il trattamento dei dati sanitari è consentito laddove “l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, a meno che il diritto dell’Unione o nazionale non disponga che il divieto previsto al paragrafo 1 non possa essere revocato dal consenso dell’interessato. Il trattamento è necessario per finalità connesse alla medicina preventiva o occupazionale, alla valutazione della capacità lavorativa del dipendente, all’elaborazione di una diagnosi medica, alla fornitura di assistenza medica o sociale o di trattamenti medici o alla gestione dei sistemi e servizi sanitari, sulla base del diritto dell’Unione o nazionale o sulla base di un contratto concluso con un professionista sanitario e fatto salvo il rispetto delle condizioni e delle garanzie di cui al paragrafo 3″ – Art. 9 par. (2) lett. (h) del GDPR. Trattamento da parte di un professionista soggetto all’obbligo del segreto professionale nel contesto dei servizi sanitari
b) Il trattamento è necessario per proteggere gli interessi vitali dell’interessato o di un altro interessato qualora l’interessato sia fisicamente o giuridicamente incapace di prestare il consenso; Art. 9(2)(c) GDPR
c) Il trattamento è necessario per motivi di interesse pubblico nel campo Trattamento in base al consenso dell’interessato
d) ld di sanità pubblica (come: protezione da gravi minacce per la salute a carattere transfrontaliero o garanzia di elevati standard di qualità e sicurezza dell’assistenza sanitaria, ai sensi del diritto dell’UE o nazionale); e/o servizi sanitari o di assistenza sociale; – 9, paragrafo 2, lett. (i) del GDPR
In sostanza, Corporate Counseling Services Sarl elabora i tuoi dati personali che rientrano nella categoria dei dati speciali sulla base di quelle disposizioni che consentono l’elaborazione dei dati sanitari dei pazienti nel contesto della fornitura di servizi sanitari, sia quando tale elaborazione è richiesta dalla legge sia quando la fornitura di servizi sanitari è concordata contrattualmente. Tuttavia, l’elaborazione può e deve essere eseguita solo da o sotto la responsabilità di un professionista soggetto all’obbligo del segreto professionale o da un’altra persona anch’essa soggetta a un obbligo di riservatezza ai sensi del diritto dell’Unione o nazionale o di norme stabilite da organismi nazionali competenti.
In linea di principio, i dati personali saranno trattati solo da Corporate Counseling Services Sarl.
Data la complessità dei servizi messi a disposizione dell’interessato dalla nostra Società, la necessità per Corporate Counseling Services Sarl di ricorrere a determinati partner esterni che forniscano supporto nello svolgimento della nostra attività, desideriamo menzionare che i dati personali possono essere trasmessi ad altre persone fisiche o giuridiche, per essere trattati per le finalità dettagliate nella presente Politica.
Tenendo conto del contesto delle relazioni stabilite da Corporate Counseling Services Sarl con i suoi partner, nonché della possibilità di modifiche in tali relazioni, non è possibile identificare tutti questi partner per nome, ma saranno menzionati genericamente, in base alla relazione stabilita/potenziale con Corporate Counseling Services Sarl
A questo proposito, i dati personali possono essere trasmessi a:
- Responsabili del trattamento: psicologi collaboratori e fornitori di servizi psicologici accreditati.
- I servizi psicologici possono essere offerti anche tramite fornitori di servizi specializzati accreditati, psicologi collaboratori e cliniche partner di Corporate Counseling Services Sarl, nel paese o all’estero.
A questo proposito, notiamo che i dati/le informazioni sullo stato di salute degli interessati, indipendentemente dal loro contenuto o volume, possono essere comunicati a fornitori di assistenza sanitaria accreditati nel paese o in altri paesi (sia nell’Unione Europea che al di fuori dell’Unione Europea), in conformità con le disposizioni di legge applicabili.
Corporate Counseling Services Sarl compie ogni sforzo per garantire che i suoi psicologi collaboratori e altri fornitori accreditati rispettino le disposizioni della legislazione sulla protezione dei dati personali. Prima di eseguire il servizio offerto, ove richiesto dalla legge, gli interessati riceveranno il modulo di consenso che li informa dei dati e delle informazioni sul partner della Società e del contesto del trattamento dei dati personali degli utenti da parte di quest’ultimo.
- Istituzioni e/o autorità giudiziarie, investigative, di vigilanza e controllo
Nella misura in cui, in conformità alle disposizioni di legge vigenti, i dati/le informazioni personali sono richiesti alla nostra Società da vari enti e/o istituzioni (ad esempio: organi di indagine penale, polizia, finanziari, fiscali, previdenziali, previdenziali, tribunale e qualsiasi altra istituzione e/o autorità di vigilanza e controllo), Corporate Counselling Services Sarl è tenuta a fornire i dati/le informazioni richiesti senza il previo consenso dell’interessato, anche nel caso in cui l’interessato si opponga o non esprima il proprio punto di vista. Inoltre, potrebbe essere necessario in determinate situazioni che tali dati/informazioni siano resi disponibili senza una richiesta preventiva da parte di tali istituzioni, enti e/o autorità, nel qual caso Corporate Counselling Services Sarl fornirà i dati/le informazioni necessari come richiesto dalla legge.
- Altre persone fisiche/giuridiche che hanno accesso ai tuoi dati.
Altre persone fisiche/giuridiche hanno accesso ai dati personali degli interessati, come: fornitori di servizi di supporto IT o servizi tecnici e organizzativi in relazione ad attività correlate alla manutenzione di apparecchiature mediche, servizi di pagamento, servizi di archiviazione, consulenti legali, revisori, consulenti finanziari e contabili o altri consulenti della Società in relazione a operazioni aziendali straordinarie (ad esempio in caso di fusioni, acquisizioni e simili), con i quali la Società stipulerà accordi di riservatezza, ove opportuno (nella misura in cui determinati requisiti/garanzie legali e/o statutarie di riservatezza non saranno applicabili a loro). I dati personali possono anche essere trasmessi ad altre persone fisiche o giuridiche in Romania o all’estero nel contesto necessario per l’istituzione, l’esercizio e/o la difesa di un diritto di Corporate Counseling Services Sarl.
La Società eserciterà la dovuta diligenza nella selezione dei suoi fornitori di servizi e/o partner e richiederà che tali fornitori/partner mantengano misure di sicurezza tecniche e organizzative adeguate per proteggere i dati personali a cui hanno accesso e per elaborarli in conformità con le disposizioni di legge applicabili.
Nel caso in cui le operazioni di trattamento dei dati personali siano svolte da Corporate Counseling Services Sarl, tramite i suoi responsabili del trattamento, la nostra Società garantirà il rispetto degli specifici requisiti imposti dalle disposizioni dell’articolo 28 del GDPR, assicurando, tra l’altro, che:
- le operazioni di trattamento dei dati personali interessate siano svolte sulla base di un contratto/accordo che regoli le questioni specifiche del rapporto titolare-responsabile del trattamento, in conformità con il GDPR e
- il responsabile del trattamento tratterà i dati personali sulla base delle istruzioni di Corporate Counseling Services Sarl.
In determinate situazioni specifiche, i dati personali degli interessati possono essere trasferiti a entità situate in altri stati all’interno dell’Unione Europea e/o dello Spazio Economico Europeo.
Ci sono anche situazioni in cui i dati personali possono essere trasferiti anche a entità al di fuori dell’Unione Europea e/o dello Spazio Economico Europeo (ad esempio Canada, Australia, Nuova Zelanda). In tali casi, garantiremo che siano in atto adeguate misure di salvaguardia per consentire che il trasferimento venga eseguito correttamente in conformità con i requisiti della legislazione sulla protezione dei dati (le misure di salvaguardia possono includere: l’applicazione di clausole contrattuali standard sulla protezione dei dati o l’esistenza di una decisione della Commissione Europea in tal senso).
In ogni caso, per eseguire il trasferimento effettivo, gli interessati compileranno il Modulo di Consenso per esprimere il loro consenso esplicito alla situazione richiesta dal servizio, alle condizioni di salute, ecc.
Manteniamo i dati personali degli interessati accurati e aggiornati. Ci impegniamo inoltre a conservare i dati personali non più a lungo del necessario per soddisfare le finalità elencate nella presente Politica o come richiesto dalla legge applicabile.
A questo proposito, conserveremo i dati personali degli Utenti per l’intero periodo del rapporto instaurato con i Datori di lavoro e anche per un determinato periodo di tempo successivo, in considerazione delle disposizioni di legge applicabili. Pertanto, i dati personali saranno conservati per un periodo di tempo stabilito di seguito:
I dati di natura speciale, raccolti da responsabili del trattamento, specialisti, psicologi, cliniche di psicologia, fornitori di servizi psicologici, saranno conservati per un periodo di 2 anni dopo la fine della terapia, al fine di analizzare le esigenze terapeutiche e l’evoluzione delle condizioni dell’Utente, in caso di suo successivo ritorno allo specialista. Solo le persone interessate e lo psicologo avranno accesso a tali dati. Saranno quindi eliminati, distrutti o resi anonimi, in conformità con le disposizioni della Politica di archiviazione dei dati di CCS Sarl. Durante il periodo di conservazione da parte della persona autorizzata, ciò avverrà in condizioni di massima sicurezza in conformità con la legislazione pertinente e con le disposizioni dell’appendice al contratto di elaborazione dei dati concluso con il Titolare del trattamento dei dati CCS.
Nella misura in cui determinati dati personali sono inclusi o si riferiscono anche a determinati registri contabili della Società, per i quali deve essere rispettato uno specifico periodo di conservazione (ad esempio 5 o 10 anni), tali dati personali saranno conservati per tali periodi applicabili.
Per quanto riguarda le immagini ottenute tramite videosorveglianza, saranno conservate per un massimo di 30 giorni di calendario dalla data di registrazione, a meno che un periodo più lungo non sia consentito o richiesto dalla legge applicabile.
I dati minimi, nome, cognome, datore di lavoro, numero di sedute di terapia completate, saranno comunicati dal responsabile del trattamento dei dati a Corporate Counseling Services Sarl. Il titolare del trattamento dei dati li utilizzerà per segnalare i servizi forniti agli interessati, al loro datore di lavoro con cui CCS ha un contratto di servizio. Questi dati non saranno utilizzati per nessun altro scopo. Il loro periodo di conservazione è determinato in base al periodo di rendicontazione del servizio indicato nel contratto e non può superare un anno.
I moduli di consenso saranno archiviati e conservati per un periodo di 3 (tre) anni.
I dati personali vengono trattati da CCS Sarl in modo da garantire un’adeguata sicurezza. Il responsabile della protezione dei dati esegue regolarmente una valutazione dei rischi, tenendo conto di tutte le circostanze delle operazioni di trattamento effettuate dal titolare del trattamento. Nel determinare la sicurezza del trattamento, il responsabile della protezione dei dati deve tenere conto dell’entità del possibile danno o perdita che potrebbe essere causato agli interessati in caso di violazione della sicurezza. Nel valutare le misure tecniche appropriate, il responsabile della protezione dei dati deve considerare l’esistenza delle seguenti misure di sicurezza:
- Protezione tramite password;
- Bloccare automaticamente i terminali (computer/laptop ecc.) quando non sono in uso;
- Rimuovere i diritti di accesso per USB e altri supporti di memoria;
- Disponibilità di software antivirus e firewall;
- Regolare i diritti di accesso in base ai ruoli, compresi quelli assegnati al personale temporaneo;
- Crittografia dei dispositivi che escono dai locali della Società, come i laptop;
- Sicurezza della rete locale;
- Esistenza di tecnologie di miglioramento della privacy come l’anonimizzazione;
Nel valutare le misure organizzative appropriate, il Responsabile della protezione dei dati ha anche preso in considerazione quanto segue:
- Livelli di formazione adeguati all’interno dell’unità;
- Che tutti i dipendenti/personale siano responsabili di garantire che tutti i dati personali detenuti dal Titolare del trattamento e di cui il Titolare del trattamento è responsabile siano tenuti al sicuro e non divulgati in alcun modo a terzi, a meno che tali terzi non siano stati specificamente autorizzati a ricevere tali informazioni e abbiano stipulato un accordo di riservatezza
- Che le misure di protezione dei dati siano incluse nei contratti di lavoro;
- Sono disponibili misure disciplinari per le violazioni dei dati;
- Il personale è monitorato per la conformità agli standard di sicurezza pertinenti;
- Deve essere eseguito il controllo dell’accesso fisico ai registri elettronici e cartacei;
- I dati cartacei sono conservati in armadi sicuri;
- L’uso di dispositivi elettronici portatili al di fuori del posto di lavoro è limitato;
- L’uso dei dispositivi personali del dipendente sul posto di lavoro è limitato;
- Vengono adottate regole chiare sulle password e sul loro utilizzo;
- Vengono effettuati backup regolari dei dati personali;
- Sono imposti obblighi contrattuali alle organizzazioni importatrici per adottare misure di sicurezza appropriate durante il trasferimento di dati al di fuori dello SEE. Tutti i dati personali sono accessibili solo a coloro che devono utilizzarli e l’accesso è concesso solo in conformità con la Politica di controllo degli accessi.
- Gli schermi dei PC e i terminali sono visibili solo ai dipendenti/personale autorizzati del Titolare del trattamento.
- I dati personali vengono eliminati o smaltiti solo in conformità con la procedura di conservazione dei record. I record in formato fisico scaduti vengono distrutti e scartati come “rifiuti riservati”.
- Il personale che elabora i dati fuori sede deve essere specificamente autorizzato.
I responsabili del trattamento si assumono la responsabilità di garantire la sicurezza solo per le informazioni, i dati personali e i dati sensibili (dati sulla salute fisica e mentale; dati genetici; se applicabile, dati biometrici) che vengono forniti loro e vengono elaborati esclusivamente dal loro personale (compresi gli psicologi) e tramite l’accumulo delle seguenti coordinate:
- nella clinica dei nostri responsabili del trattamento
- sistemi/strumenti/dispositivi informatici e/o elettronici, hardware e software, record e moduli di CCS Sarl; e
- come parte di CCS Sarl.
In conformità con le disposizioni applicabili ai dati personali, gli interessati hanno i seguenti diritti principali:
(1) Il diritto di accesso ai dati personali trattati, ovvero il diritto di ottenere dalla Società la conferma che i dati personali che li riguardano siano o meno trattati e, in tal caso, l’accesso ai dati e alle condizioni in cui vengono trattati (incluse le finalità del trattamento, le categorie di dati trattati, i destinatari dei dati).
(2) Il diritto di richiedere la rettifica dei dati personali, ovvero il diritto degli utenti/interessati di richiederci di rettificare dati personali inesatti o obsoleti o di completare dati incompleti.
(3) Il diritto alla cancellazione dei dati personali che può essere esercitato in determinate circostanze previste dalla legge applicabile, tra cui:
- i dati personali non sono più necessari in relazione alle finalità del trattamento;
- quando l’interessato si oppone al trattamento e non vi sono altri interessi legittimi prevalenti per il trattamento;
- quando i dati personali sono stati trattati illecitamente.
(4) Diritto di richiedere la limitazione del trattamento, ovvero il diritto dell’interessato di ottenere dalla Società la limitazione del trattamento nei seguenti casi:
- l’interessato contesta l’esattezza dei dati (la limitazione durerà finché la Società non verificherà l’esattezza dei dati personali);
- il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati, chiedendone invece la limitazione dell’utilizzo;
- la Società non ha più bisogno dei dati personali per le finalità sopra indicate, ma l’interessato richiede i dati personali per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; oppure
- l’interessato si è opposto al trattamento, per il periodo di tempo in cui la Società verifica se i diritti legittimi della Società prevalgono sui diritti dell’interessato.
(5) Il diritto dell’interessato di opporsi al trattamento, ovvero il diritto dell’interessato di opporsi al trattamento per motivi connessi alla sua situazione particolare quando il trattamento:
- si basa sui legittimi interessi della Società o di una terza parte, anche nel caso di attività di profilazione basate su tale base, o
- nella misura applicabile, viene effettuato ai fini di comunicazioni di marketing diretto che comportano la profilazione.
(6) Il diritto di non essere soggetto a una decisione automatizzata, ovvero, in quanto utente dei nostri servizi, gli interessati non saranno soggetti a una decisione basata esclusivamente sul trattamento automatizzato dei propri dati (inclusa la profilazione) che produca effetti giuridici nei confronti dell’interessato o che influisca in modo analogo su di loro in misura significativa.
(7) Il diritto alla portabilità dei dati, ovvero il diritto degli Utenti di richiedere lo spostamento, la copia o il trasferimento dei propri dati personali presenti nel database della Società in un altro database, in un formato strutturato, di uso comune e leggibile da una macchina, laddove il trattamento si basi sul consenso o su un contratto e venga effettuato con mezzi automatizzati.
(8) Diritto di presentare reclamo all’Autorità nazionale di controllo per il trattamento dei dati personali e di rivolgersi ai tribunali competenti.
Gli utenti/interessati possono esercitare i diritti di cui ai punti da (1) a (7) sopra mediante richiesta scritta, firmata e registrata presso Corporate Counseling Services Sarl utilizzando i seguenti recapiti (all’attenzione del Responsabile della protezione dei dati): e-mail dpo@ccsint.ro.
Nella richiesta, l’interessato ha la possibilità di indicare se desidera che le informazioni vengano comunicate a un indirizzo specifico (che può essere un indirizzo e-mail) o tramite un servizio di corriere che garantisca la consegna personale delle informazioni.
Le informazioni richieste saranno comunicate entro 1 (un) mese dalla data di ricezione della richiesta, rispettando le tue possibili opzioni di comunicazione. Se non è possibile rispettare la scadenza sopra menzionata, l’Utente sarà informato del motivo del rinvio della risposta, nonché della procedura prevista per la risoluzione della sua richiesta e della scadenza stimata.
In caso di incidente/violazione della sicurezza, il Titolare del trattamento ne dà comunicazione all’Autorità di controllo competente senza indebito ritardo e, se possibile, entro e non oltre 72 ore dal momento in cui ne è venuto a conoscenza, a meno che la violazione dei dati personali non sia improbabile che comporti un rischio per i diritti e le libertà degli interessati. Se la notifica all’Autorità di controllo non viene effettuata entro 72 ore, deve essere corredata dei motivi del ritardo. Corporate Counseling Services Sarl ha elaborato una propria procedura applicabile alle violazioni della sicurezza, che può essere consultata su richiesta.
Qualora modificassimo in modo sostanziale le nostre pratiche di elaborazione dei dati personali o la presente Informativa, pubblicheremo un’Informativa rivista e/o adotteremo altre misure per informarti di tali modifiche, in conformità con la legge applicabile.
Se gli interessati non sono soddisfatti del modo in cui trattiamo i loro dati, preferiremmo che ci contattassero direttamente in modo che possiamo risolvere i loro problemi. Tuttavia, se hanno ancora dei reclami, possono contattare l’Autorità nazionale di vigilanza per l’elaborazione dei dati personali (www.dataprotection.ro):
Indirizzo. Gheorghe Magheru, Bucarest, Romania; telefono: +40.318.059.211/ +40.318.059.212; fax: +40.318.059.602; e-mail: anspdcp@dataprotection.ro.
Il Titolare pubblicherà la presente Policy sul proprio sito web (www.ccsint.com). In caso di richiesta specifica da parte di un interessato, il Titolare invierà la presente Policy direttamente all’interessato.
La presente Politica entra in vigore alla data della sua pubblicazione.
Le disposizioni della presente Politica si applicheranno anche ai dati in fase di elaborazione al momento dell’entrata in vigore della presente Politica.
A partire dalla Data di entrata in vigore, la presente Politica sostituisce e abroga le precedenti politiche di elaborazione dei dati in vigore presso il Titolare del trattamento.