QUESTIONARIO PER LA PREDISPOSIZIONE DEL PRIMO DPS CON STRUMENTI INFORMATICI

Transcript

1 QUESTIONARIO PER LA PREDISPOSIZIONE DEL PRIMO DPS CON STRUMENTI INFORMATICI DATI DELLO STUDIO PROFESSIONALE / SOCIETA / IMPRESA INDIVIDUALE E OBBLIGATORIO COMPILARE TUTTI I CAMPI. IL FILE E COMPILABILE A VIDEO. Studio Professionale/Azienda Indirizzo Città CAP Prov Codice Fiscale Partita IVA Telefono Fax Persona di riferimento da contattare Attività svolta Numero di dipendenti: - 1 -

2 NOMINA RESPONSABILI ED INCARICATI Per la normativa Privacy occorre nominare le successive figure: (nel caso di Studi Professionali o piccole Aziende le figure possono essere rappresentante dalla stessa persona) 1 - Il Responsabile del trattamento (E la persona designata per il coordinamento di tutte le attività sulla privacy) NOME E COGNOME DEL RESPONSABILE AL TRATTAMENTO : 2 - L Incaricato del trattamento (E la persona che opera fisicamente sia sui computer che a livello cartaceo per il trattamento dei dati) NOME E COGNOME DELL INCARICATO AL TRATTAMENTO: 3 - L Incaricato alle copie di sicurezza (E la persona che si occupa delle copie di sicurezza e del ripristino dei dati in caso di distruzione) NOME E COGNOME DELL INCARICATO ALLE COPIE DI SICUREZZA: 4 - Il Responsabile della gestione e manutenzione degli strumenti informatici (E la persona che ha il compito di gestire le infrastrutture informatiche e di telecomunicazione. Può essere anche un soggetto esterno che dovrà certificare tutti gli interventi effettuati) NOME E COGNOME / RAGIONE SOCIALE DEL RESPONSABILE o SOGGETTO TERZO: - 2 -

3 Tipologia dei dati trattati Porre una X sul tipo di dati trattati (dati personali, sensibili e giudiziari). Di seguito dovrete compilare solo le tabelle inerenti ai dati da Voi trattati. Le Sezioni Dati Comuni e Dati Personali sono obbligatori. DATI COMUNI OBBLIGATORI Compilare pag. 4 Dati comuni: dati relativi alla struttura aziendale. DATI PERSONALI - OBBLIGATORI Compilare pag. 5 Dati personali: a titolo esemplificativo citiamo il cognome, il nome, l indirizzo, il numero di telefono, il codice fiscale, la partita IVA, i dati bancari. Informazioni circa la composizione del nucleo familiare, la professione esercitata da un soggetto sia persona fisica che giuridica. Fotografie, radiografie, video, registrazioni, impronte. DATI SENSIBILI - Compilare tabella pag. 6 Dati sensibili: dati personali o idonei a rilevare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati idonei a rilevare lo stato di salute o la vita sessuale. DATI GIUDIZIARI - Compilare tabella pag. 6 Dati giudiziari: dati personali o idonei a rilevare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato. (art. 60 e 61 del codice di procedura penale) DATI DEI DIPENDENTI - Compilare pag. 7 e 8 Dati dei dipendenti: dati di carattere personale relativi ai dipendenti, idonei a diffondere emolumenti percepiti, sanzioni disciplinari, assenze per malattia, adesioni ad associazioni, dati sanitari, dati biometrici. Si devono considerare i rapporti di lavoro di qualunque tipo, dipendente o autonomo, anche non retribuito o onorario o a tempo parziale o temporaneo, e di altre forme di impiego che non comportano la costituzione di un rapporto di lavoro subordinato

4 DATI COMUNI DATI OBBLIGATORI Domanda Sì No E stato verificato lo stato di sicurezza attraverso la simulazione di attacchi portati attraverso la rete internet e nei confronti della rete aziendale oppure del singolo PC? Sono stati creati sistemi finalizzati alla limitazione del rischio di intrusione attraverso porte, finestre, ecc.? Sono messe in atte politiche di controllo delle prestazioni dei supporti utilizzati per il back - up dei dati? Esiste un sistema atto alla protezione dovuti a fenomeni elettrici (fulmini, sbalzi di tensione, ecc.)? 5 Sono disponibili sistemi atti alla limitazione del rischio di furto (allarmi, ecc.)? 6 7 Sono stati posti in atto sistemi atti a limitare il rischio di incendio con particolare scelta di agenti estinguenti che non pregiudichino l integrità dei dati? Sono stati creati sistemi atti alla protezione dei danni ai dati derivanti da allagamenti? - 4 -

5 DATI PERSONALI - DATI OBBLIGATORI Domanda Sì No 1 L' accesso alle applicazioni in cui si trattano dati personali è consentito solo mediante password? 2 Esistono modalità definite per la creazione della password? 3 E' stato designato il gestore delle password? 4 E' stata effettuata una verifica per valutare se le password utilizzate contengono elementi che le possano far ricondurre alla identità dell'utilizzatore? 5 Le password utilizzate sono composte da almeno 8 caratteri? 6 Sono state redatte istruzioni per la sostituzione periodica delle password? 7 La sostituzione delle password è affidata a persona differente dal gestore? 8 Le password sono sostituite almeno ogni sei mesi? 9 Sono state definite modalità per la assegnazione delle password di primo utilizzo? Comprendono regole per definire il periodo di validità (periodo entro il quale devono essere sostituite con quelle definitive)? Esistono modalità definite per la realizzazione delle copie di back - up relative agli archivi dei dati personali? Per i dispositivi (PC) in cui vengono trattati dati personali è stato previsto l'uso esclusivo da parte degli incaricati? 13 I dispositivi (PC) ad uso esclusivo sono custoditi secondo istruzioni definite? Gli incaricati all'uso di PC contenenti dati personali, sensibili e/o giudiziari, sono stati informati in forma scritta circa il divieto di lasciare incustodito e/o accessibile il PC durante una sessione di trattamento degli stessi? Il sistema operativo del PC viene aggiornato almeno una volta l'anno con pacchetti riguardanti anche la sicurezza informatica? 16 E stata prevista l installazione di un sistema antivirus? 17 Il sistema antivirus è aggiornato almeno semestralmente? 18 Il sistema antivirus prevede la scansione della posta elettronica in entrata? 19 E stato redatto il documento che individua gli incaricati dei trattamenti dati? 20 E stato installato un sistema firewall? 21 E previsto il suo aggiornamento almeno semestrale? Esistono sistemi per il controllo della ricezione del DPSS da parte delle aziende che trattino dati personali, sensibili e/o giudiziari per vostro conto? Esistono sistemi per la cifratura di dati personali idonei a rivelare o stato di salute e la vita sessuale ( art 24)? E stato previsto un piano di formazione per gli incaricati del trattamento dei dati personali? 25 Tale piano prevede l informazione sui rischi che incombono sui dati? 26 Tale piano prevede l informazione sulle misure atte a prevenire eventi dannosi? - 5 -

6 DATI SENSIBILI Da compilare SOLO se vengono trattati dati sensibili Domanda Si No Esistono modalità definite per la sostituzione periodica delle password di accesso alle 1 applicazioni che trattano dati sensibili? 2 La sostituzione delle password avviene da parte del gestore? 3 La frequenza di sostituzione delle password è almeno trimestrale? 4 5 E stato creato un sistema di sicurezza fisico per proteggere i locali atti a custodire dati in formato cartaceo o registrati su memorie di massa fruibili da elaboratori elettronici? Sono state adottate misure idonee a garantire il ripristino dell accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi e compatibili con i diritti degli interessati e comunque non superiori a sette giorni? 6 Esiste un piano per il disaster recovery? Vengono redatte istruzioni tali da rendere non leggibili i dati contenuti nei supporti rimovibili da riutilizzare prima del loro riutilizzo da parte di altri incaricati? Sono state redatte istruzioni per la custodia e l uso di supporti rimovibili su cui sono memorizzati dati al fine di evitare accessi non autorizzati e trattamenti non consentiti? I dati sensibili contenuti in elenchi, registri o banche di dati, tenuti con l ausilio di strumenti elettronici, sono trattati con tecniche che li rendono incomprensibili a chi non è autorizzato ad accedervi? DATI GIUDIZIARI - Da compilare SOLO se vengono trattati dati giudiziari Domanda Si No E stato creato un sistema di sicurezza fisico per proteggere i locali atti a custodire dati 1 in formato cartaceo o registrati su memorie di massa utilizzabili da elaboratori elettronici? 2 Vengono redatte istruzioni tali da rendere non leggibili i dati contenuti nei supporti rimovibili da riutilizzare prima del loro riutilizzo da parte di altri incaricati? 3 Sono state redatte istruzioni per la custodia e l uso di supporti rimovibili su cui sono memorizzati dati al fine di evitare accessi non autorizzati e trattamenti non consentiti? 4 Esiste un piano per il disaster recovery? 5 6 Sono state adottate misure idonee a garantire il ripristino dell accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi non superiori a sette giorni? Esistono modalità definite per la sostituzione periodica delle password di accesso alle applicazioni che trattano dati giudiziari? 7 La sostituzione delle password avviene da parte del gestore? 8 La frequenza di sostituzione delle password è almeno trimestrale? 9 I dati sensibili contenuti in elenchi, registri o banche di dati, tenuti con l ausilio di strumenti elettronici, sono trattati con tecniche che li rendono incomprensibili a chi non è autorizzato ad accedervi? - 6 -

7 DATI DEI DIPENDENTI: Da compilare SOLO se sono presenti lavoratori dipendenti. Domanda Si No I lavoratori dipendenti sono stati informati riguardo alle metodiche di trattamento dei 1 loro dati personali? I lavoratori dipendenti hanno autorizzato in forma scritta il Datore di Lavoro al trattamento dei loro dati personali? Sono state adottate tutte le misure di sicurezza necessarie per impedire l accesso non autorizzato e l utilizzo indebito dei dati personali dei lavoratori dipendenti? Nel 2005 sono state chiaramente definite le figure del Titolare del Trattamento, del Custode delle passwords, del Responsabile del Trattamento e degli Incaricati al Trattamento dei dati personali dei lavoratori dipendenti? Sono state definite le modalità di trattamento dei dati attraverso le eventuali imprese consociate? 6 La società si avvale dei servizi di un Medico Competente? Le cartelle cliniche stilate dal Medico Competente sono conservate in busta chiusa individuale? Le cartelle cliniche stilate dal Medico Competente sono custodite dal Datore di lavoro in luogo protetto da accessi non autorizzati? Il lavoratore dipendente è stato informato della possibilità di richiedere copia della cartella clinica dietro richiesta ed obbligatoriamente al termine del rapporto di lavoro? Il Medico Competente ha informato il datore di lavoro dell'obbligo di trasmissione delle cartelle sanitarie all' ISPELS in caso di cessazione del rapporto di lavoro del lavoratore dipendente? Il Medico Competente informa il Datore di lavoro ed il lavoratore riguardo alla idoneità alla mansione da svolgere? 12 L'azienda utilizza un sistema di posta interna Intranet? 13 L'azienda dispone di collegamento Internet? 14 E' stato formalizzato il consenso del lavoratore alla eventuale pubblicazione di dati personali sulla rete Intranet o Internet? 15 Viene utilizzata una bacheca aziendale per la pubblicazione di informazioni? Nella bacheca aziendale vengono affisse comunicazioni di tipo differente da quelle riguardanti lo svolgimento della attività lavorativa (turni, orari di lavoro, ordini di servizio, ferie) Nella bacheca aziendale vengono affisse comunicazioni conteneti dati di tipo personale riferiti a singoli lavoratori? Nella bacheca aziendale vengono diffuse informazioni riguardanti emolumenti, condizioni personali, sanzioni disciplinari, controversie giudiziarie, assenze per malattia, adesione dei singoli associazioni? Gli eventuali cartellini identificativi oltre alle generalità del lavoratore ed al numero di matricola riportano anche altri dati? Vengono trattati certificati di malattia redatti su modulistica contenente in modo separato i dati relativi alla prognosi ed alla diagnosi? Qualora il certificato di malattia contenga in modo non separato anche i dati di diagnosi, il Datore di lavoro mette in atto opportune cautele per prevenirne la ricezione ed eventualmente definire l'oscuramento dei dati di Diagnosi? Sono state messe in atto le misure minime dei sicurezza relative al trattamento dei dati sanitari previste dal codice della privacy? - 7 -

8 Domanda Si No Gli incaricati al trattamento dei dati sanitari sono stati formati riguardo alle modalità di salvaguardia degli stessi previste dal codice della privacy? I luoghi e le attrezzature ove vengono trattati i dati sanitari dei lavoratori dipendenti sono protetti da indebite intrusioni? Le comunicazioni personali riferibili ai singoli lavoratori avvengono con modalità tali da escluderne l'indebita conoscenza da parte di terzi e soggetti non designati quali incaricati? Gli incaricati del trattamento dei dati personali sono stati informati riguardo al segreto d'ufficio? Viene inibita la acquisizione e la riproduzione di dati personali trattati elettronicamente anche all'interno di documenti in assenza di adeguati sistemi di autenticazione e/o autorizzazione? La conformazione degli spazi di lavoro previene l'involontaria acquisizione da parte di terzi o altri dipendenti di informazioni personali? I lavoratori dipendenti sono stati informati riguardo al diritto di accesso ai dati personali e sanitari che li riguardano? I lavoratori dipendenti sono stati informati riguardo alla possibilità di aggiornamento, rettifica, integrazione, cancellazione e trasformazione dei dati che li riguardano? I lavoratori dipendenti sono stati informati riguardo alla possibilità di blocco dei dati personali se trattati in violazione di Legge? I lavoratori dipendenti sono stati informati riguardo alla possibilità di opposizione al trattamento dei dati per motivi legittimi? I lavoratori dipendenti sono stati informati riguardo la possibilità di ottenere l'aggiornamento dei dati personali trattati dal datore di lavoro? Il datore di lavoro nel caso di richiesta da parte del lavoratore di accesso, modifica, cancellazione, ecc. dei dati personali ha previsto adeguate modalità di riscontro? Le modalità di riscontro sono tali da fornire le informazioni richieste entro 15 giorni dalla data di presentazione dell'istanza in forma scritta da parte del lavoratore? Nel caso in cui il riscontro non possa avvenire entro 15 giorni, il datore di lavoro ha predisposto idonee procedure documentate per attuare il riscontro entro e non oltre i 30 giorni dalla data di presentazione dell'istanza da parte del lavoratore? 37 Sono state predisposte modalità di trasmissione del riscontro in forma cartacea? E' stato aggiornato il Documento Programmatico della Sicurezza (DPS) inserendo le parti relative alla presente Deliberazione del Garante ed in conformità ad eventuali modifiche alle metodiche di trattamento e protezione dei dati? E' stata predisposta la comunicazione dell'avvenuto adempimento dei requisiti minimi di sicurezza previsti dal Codice della Privacy nella relazione annuale di bilancio? - 8 -

9 Glossario questionario Disaster ricovery: piano per il ripristino delle funzionalità dei sistemi informatici nel caso in cui evento disastroso renda indisponibili le risorse informatiche necessarie per lo svolgimento dei processi vitali di un azienda o studio. User id (username): è un codice identificativo personale formato da lettere e/o numeri. Viene sempre abbinato alla password(segreta). I firewall: sono dei filtri che controllano il traffico di rete che proviene dall esterno e dall interno permettendo soltanto quello effettivamente autorizzato. Backup: procedura per la duplicazione/salvataggio dei dati su un supporto esterno al computer (nastri, cassette, cd, ecc... ) - 9 -