P&S s.r.l. - Payroll Services Strada 1 Palazzo F3 - Milanofiori Assago (MI) Tel: P.IVA

Documenti analoghi
Innovando GmbH Dorfstrasse, Gonten Tel: P.IVA CHE

BERSANETTI GIOVANNI VIALE NAVIGAZIONE INTERNA PADOVA (PD) Tel: P.IVA

Kineo Energy e Facility S.r.l. Via dell Arcoveggio, Bologna (BO) Tel: Fax: C.F.-P.IVA-R.I.

Trattamenti con strumenti elettronici

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2018

Codice in materia di protezione dei dati personali.

Azienda Servizi alla Persona A.S.P. Carlo Pezzani. Provincia di Pavia. Documento di Adozione delle Misure Minime di Sicurezza ALLEGATO A

TITOLO V Sicurezza dei dati e dei sistemi. CAPO I Misure di sicurezza

Capo II - Misure minime di sicurezza

Innovando GmbH Dorfstrasse, Gonten Tel: P.IVA CHE

Corso di formazione per incaricati del trattamento dei dati personali Anno Eleonora Bovo

02/10/2010 ABILITA INFORMATICHE E TELEMATICHE. Introduzione al problema. Obiettivi. Protezione dei dati e Privacy A.A

PRIVACY e SICUREZZA Dr. Antonio Piva

CORSO: PRIVACY E SICUREZZA NEL TRATTAMENTO DEI DATI (VERS. 1.1) Unità didattica: Sicurezza nel trattamento dei dati

Allegato DPS n. 5 Provincia di Latina

TAB 3 Riepilogo delle misure di sicurezza

FPf per Windows 3.1. Guida all uso

Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza - (artt. da 33 a 36 del codice)

Nome modulo: MISURE DI SICUREZZA ADOTTATE DALL AMMINISTRAZIONE NOME LEZIONE: INTRODUZIONE

STUDIO MURER COMMERCIALISTI

REGOLAMENTO RECANTE NORME PER L INDIVIDUAZIONE DELLE MISURE MINIME DI SICUREZZA PER IL TRATTAMENTO DEI DATI PERSONALI

Nell augurare a tutti buon lavoro restiamo a disposizione per ulteriori chiarimenti.

AFFIDAMENTO DI INCARICO AL TRATTAMENTO DEI DATI PERSONALI

REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

Cambiamenti Normativi

DPR 318 e sua entrata in vigore

SPA-BA s.r.l. Assessment: 24 maggio 2018 GDPR. via sorelle Girelli, 55 - Poncarale (Bs)

Informativa sul trattamento dei dati personali ex artt Reg.to UE 2016/679

Informativa sul trattamento dei dati personali

Informativa Privacy. Il Titolare del trattamento è SARI 2000 Srl con sede in ROMA Via Gabi 24,

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS) D.Lgs. n. 196 del 30/06/2003 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Le misure di sicurezza relative al trattamento dei dati personali e responsabilità connesse.

Informativa sul trattamento dei dati personali

REGISTRO DELLE ATTIVITA DI TRATTAMENTO DATI PERSONALI

REGISTRO DELLE ATTIVITA DI TRATTAMENTO DATI PERSONALI

Informativa sul trattamento dei dati personali

Il "Custode delle password": dalla definizione alla nomina

Circolare N.26 del 22 febbraio DL semplificazioni: eliminato il DPS

REGISTRO DELLE ATTIVITA DI TRATTAMENTO DATI PERSONALI

Codice della Privacy. Diritti, Doveri e Implicazioni organizzative. Maurizio Gatti

Gestione del protocollo informatico con OrdineP-NET

Circolare per i Clienti del 22 febbraio 2012

ISTRUZIONI AGLI INCARICATI DEL TRATTAMENTO DEI DATI PERSONALI COMUNI, SENSIBILI E/O GIUDIZIARI

Obiettivi di controllo Presidio Verifica effettuata Grado di conformità

DOCUMENTO PROGRAMMATICO sulla SICUREZZA Rev. 0 Data MISURE IN ESSERE E DA ADOTTARE

Informativa sul trattamento dei dati personali

Seminario sul suo recepimento in ISS

PRIVACY POLICY- STUDIO DOTT. MONICA MELANI CDL PRIVACY POLICY

CENTURION PAYROLL SERVICE SRL PRIVACY POLICY

PREPARARSI ALLA NUOVA PRIVACY: CONOSCERE ED APPLICARE IL GDPR IN AZIENDA GESTIRE LA SICUREZZA INFORMATICA

GDPR - Audit Checklist DATA PROTECTION GAP ANALYSIS

Allegato C Questionario informativo per la redazione / aggiornamento del D.P.S.

INFORMATIVA PRIVACY TARI

DOCUMENTO PROGRAMMATICO sulla SICUREZZA Rev. 0 Data ELENCO DEI TRATTAMENTI DI DATI PERSONALI

Dichiaro di aver preso visione dell informativa privacy riportata e accettare i trattamenti per la finalità di marketing come riportate.

PRINCIPALI ADEMPIMENTI, RESPONSABILITÀ E SANZIONI NEL CODICE DELLA PRIVACY

Privacy e Misure di Sicurezza. Giulia M. Lugoboni

S&B EsseBi Insurance Broker S.r.l.

Gestione del protocollo informatico con OrdineP-NET

CONFERIMENTO INCARICO DI RESPONSABILE ESTERNO PREMESSO CHE

Unione Provinciale degli Industriali di L Aquila

ALLEGATO ALLA LETTERA DI NOMINA AD INCARICATO DEL TRATTAMENTO

D.P.R. 28 luglio 1999, n. 318

DELIBERAZIONE n. 75 (Consiglio )

S.E.F. s.r.l. Servizi Etici Finanziari. Documento Programmatico sulla Sicurezza

Dati Personali riferiti al Tirocinante e raccolti a Norma del Regolamento Europeo 2016/679 e Dlgs 139/05

REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

La gestione amministrativa e contabile è affidata da uno studio di consulenza esterno? (se si indicare Ragione sociale e indirizzo)

ALLEGATO B CASA DI RIPOSO CESARE BERTOLI VIA CAMPAGNOLA NOGAROLE ROCCA VR REGOLAMENTO PER LA SICUREZZA DEI DATI PERSONALI

REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI. Approvato con deliberazione del Consiglio Comunale n.

Corso di formazione sulla Privacy

FAQ GDPR Agenzie d affari

IUR3 INFORMATIVA UTENTI

Informativa ai sensi dell art.13 del Regolamento UE del 27 aprile 2016 n. 679

Il dirigente scolastico. 1. VISTO il Regolamento UE 2016/679 con particolare riguardo agli artt. 24, 28, 29 e 32;

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO

ELENCO MISURE DI SICUREZZA

MECAL srl Società Unipersonale S.da per Felizzano, Fubine (AL) Tel: Fax: P.IVA

Teknus - Privacy check list

Farma3Tec S.r.l. Informativa privacy clienti

INFORMATIVA RELATIVA AL TRATTAMENTO DEI DATI PERSONALI

INFORMATIVA AI SENSI DELL ART. 13 REGOLAMENTO UE N. 2016/679 ( GDPR - GENERAL DATA PROTECTION REGULATION) IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Gestione credenziali di autenticazione p e r a c c e s s o a i s i s t e m i i n f o r m a t i c i d e l l a zi e n d a

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI NEI RAPPORTI CON CLIENTI E FORNITORI EX

ISTITUTO TECNICO ECONOMICO E PER IL TURISMO STATALE "PIO LA TORRE" Registro attività di trattamento

COMUNE DI QUINCINETTO CITTA METROPOLITANA DI TORINO

COMUNE DI COTIGNOLA PROVINCIA DI RAVENNA

CBC Centro Biologia Clinica

ISTITUTO COMPRENSIVO STATALE 8 ORIANI / DIAZ SUCC. Registro attività di trattamento

EX ART. 13 GDPR UFFICIO PRIVACY TITOLO DEL DOCUMENTO INFORMATIVA CLIENTI

IN REGOLA CON IL (GDPR) UE 679/2016 REGOLAMENTO GENERALE PER LA PROTEZIONE DEI DATI

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO

Informativa sul trattamento dei dati personali

ISTITUTO NAZIONALE PREVIDENZA SOCIALE. Direzione Centrale Risorse Strumentali CENTRALE UNICA ACQUISTI ALLEGATO E AL CONTRATTO

Progetto serie IT

MISURE MINIME DI SICUREZZA

INFORMATIVA PRIVACY DESTINATA AGLI INTESTATARI DELLE PRATICHE

DI GESTIONE E CONSERVAZIONE DEI DOCUMENTI

Transcript:

Regi s t r o dei t r at t am ent i Ultima modifica 23/05/2018 REGISTRO DEI TRATTAMENTI Cod.Doc. 10459.40.1.985078 P&S s.r.l. - Payroll Services Strada 1 Palazzo F3 - Milanofiori 20090 Assago (MI) Tel: +39 02 89084.200 P.IVA 11341280151 REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO CONTO TERZI Organigramma dei trattamenti conto terzi Elenco dei trattamenti conto terzi affidati ad enti esterni Elenco delle misure di sicurezza per ogni trattamento conto terzi Elenco dei Trattamenti e dei Soggetti Interessati Elenco dei trattamenti affidati ad enti esterni. Descrizione generale delle misure di sicurezza tecniche ed organizzative di cui all'art. 32, paragrafo 1 del Regolamento Europeo, finalizzate al registro dei trattamenti. Stampato il 23/05/2018 1

El enco dei t r at t am ent i Ultima modifica 23/05/2018 ELENCO DEI TRATTAMENTI Cod.Doc. 10459.40.1.985078 P&S s.r.l. - Payroll Services Strada 1 Palazzo F3 - Milanofiori 20090 Assago (MI) Tel: +39 02 89084.200 P.IVA 11341280151 ELENCO DEI TRATTAMENTI CONTO TERZI E DEI SOGGETTI INTERESSATI Descrizione dei dati personali trattati, suddivisi per trattamenti ed unità di archiviazione, ed organigramma della distribuzione dei compiti e delle responsabilità per il trattamento e la gestione dei dati. La descrizione dettagliata delle aree di competenza, dei compiti e delle istruzioni affidati ai singoli soggetti è reperibile consultando la corrispondente nomina a responsabile od ad incaricato. Titolare del trattamento : P&S s.r.l. - Payroll Services nella persona del suo legale rappresentante pro tempore Responsabile della protezione dei dati (DPO) art. 37 Reg.to UE 2016/679 : Pierantonio Perotti Sedi interessate ai trattamenti dei dati personali. Sede Principale Azienda Indirizzo: Responsabili: Strada 1 Palazzo F3 - Milanofiori, 20090 Assago (MI); e-mail: info@payroll.it; telefono: +39 02 89084.200; P.Iva: 11341280151 Responsabile della sicurezza: Fabrizio Vecchio Sono sotto riportati gli uffici od i locali della sede interessati al trattamento od alla conservazione dei dati personali. Archivio Archivio storico Sala server Ufficio Service Il locale è dedicato alla conservazione della documentazione cartacea comprendente i fascicoli del personale dipendente L'ufficio è dedicato alla conservazione della documentazione relativa al personale dipendente delle aziende clienti Il locale è dedicato ad ospitare la struttura informatica aziendale e si trova all'interno della sede principale L'ufficio si occupa di tutte le attività di amministrazione del personale per conto delle aziende Stampato il 23/05/2018 2

Ultima modifica 23/05/2018 ELENCO DEI TRATTAMENTI Cod.Doc. 10459.40.1.985078 Elenco Trattamenti Application management piattaforma Zuccheti HR Infinity e consulenza in materia di amministrazione del personale con relativa elaborazione dei cedolini busta paga Il trattamento consiste in: - attività di consulenza del Lavoro e in materia di amministrazione del personale con relativa elaborazione dei cedolini busta paga e tutti gli adempimenti di Legge inerenti; - nella fornitura in outsourcing della piattaforma Zucchetti HR Infinity con relativa customizzazione delle esigenze delle aziende clienti e adeguamento agli aggiornamenti normativi; - gestione e manutenzione delle interfacce realizzate per gli applicativi interni del Titolare; Il data base contenuto nella piattaforma Zucchetti HR Infinity è conservato presso le server farm di Google ubicate in west Europe, delle quali sono state verificate le SLA relative alle misure di sicurezza applicate dal Provider. Zucchetti S.p.a. e la relativa rete di distributori non ha la possibilità di accedere ai dati personali in maniera continuativa, esclusivamente in caso di operazioni di manutenzione straordinaria nella correzione di difetti dell'applicativo, i tecnici autorizzati possono accedere ai data base su stretta vigilanza degli addetti di P&S S.r.l.; l'accesso avviene con sistemi remotizzazione con immissione di credenziale autorizzativa. I dati sono accessibili anche da Consulenti del lavoro che prestano la loro consulenza in veste di Liberi Professionisti. Dati Comuni trattati : Dati Particolari trattati: codice fiscale ed altri numeri di identificazione personale nominativo, indirizzo o altri elementi di identificazione personale dati relativi alla famiglia e a situazioni personali dati sul comportamento dati relativi al tipo di lavoro ed alla retribuzione Codice IBAN Idoneità alla mansione Capacità di solvibilità dei debiti e/o affidabilità creditizia Provvedimenti disciplinari Dati relativi a trasferte aziendali Dati relativi alla valutazione della risorsa Materiale audiovisivo e fotografico adesione a sindacati stato di salute Agevolazioni derivanti dall'applicazione della Legge 104/92 Assunzioni mediante applicazione Legge 68/99 Unità di archiviazione del trattamento 1 - Archivio cartaceo ufficio service (sede: Sede principale azienda) Descrizione archivio: Tipo di archivio: Ufficio: L'archivio contiene documentazione recente relativa al personale dipendente delle aziende clienti, all'interno si possono trovare: cedolini buste paga, contratti di assunzione, lettere di passaggio, copie dei giustificativi, ecc. Archivio cartaceo Ufficio Service 2 - Archivio storico gestione in outsourcing (sede: Sede principale azienda) Descrizione archivio: Tipo di archivio: Ufficio: L'archivio contiene documentazione storica relativa al personale dipendente delle aziende clienti, all'interno si possono trovare: cedolini buste paga, contratti di assunzione, lettere di passaggio, copie dei giustificativi, ecc Archivio cartaceo Archivio storico Stampato il 23/05/2018 3

Ultima modifica 23/05/2018 ELENCO DEI TRATTAMENTI Cod.Doc. 10459.40.1.985078 3 - Server farm Google Ireland Limited Descrizione archivio: Tipo di archivio: L'archivio contiene tutti i data base relativi alla gestione in outsourcing del personale dipendente delle aziende clienti, fornita mediante la piattaforma Zucchetti HR Infinity Archivio in Cloud 4 - Server farm Microsoft Azure Descrizione archivio: Tipo di archivio: L'archivio contiene tutto il data base della posta elettronica aziendale e del file server sottoposto a policy di autorizzazione relative alle varie funzioni aziendali. All'interno è archiviata varia documentazione prodotta con strumenti Office necessaria allo svolgimento delle attività aziendali. Archivio in Cloud Attività di assistenza in materia di erogazione dei servizi di welfare aziendali La banca dati contiene informazioni relative al personale dipendente e personale parasubordinato delle aziende clienti che intendono accedere ai servizi di welfare aziendale. Le informazioni raccolte vengono comunicate a Società esterne indicate dalle aziende clienti per l'esecuzione dei servizi sopraindicati. I dati trattati si limitano ai dati anagrafici e identificativi Dati Comuni trattati : codice fiscale ed altri numeri di identificazione personale nominativo, indirizzo o altri elementi di identificazione personale Unità di archiviazione del trattamento 1 - Server farm Google Ireland Limited Descrizione archivio: Tipo di archivio: L'archivio contiene tutti i data base relativi alla gestione in outsourcing del personale dipendente delle aziende clienti, fornita mediante la piattaforma Zucchetti HR Infinity Archivio in Cloud 2 - Server farm Microsoft Azure Descrizione archivio: Tipo di archivio: L'archivio contiene tutto il data base della posta elettronica aziendale e del file server sottoposto a policy di autorizzazione relative alle varie funzioni aziendali. All'interno è archiviata varia documentazione prodotta con strumenti Office necessaria allo svolgimento delle attività aziendali. Archivio in Cloud Stampato il 23/05/2018 4

Ultima modifica 23/05/2018 ELENCO DEI TRATTAMENTI Cod.Doc. 10459.40.1.985078 Categorie di soggetti interessate al trattamento Riportiamo ora in maggior dettaglio i trattamenti effettuati, distinguendo a quali soggetti interessati appartengono i dati oggetto di trattamento. Ulteriori informazioni a riguardo possono essere trovate, se previste, nelle relative informative. fornitori esterni che erogano servizi di varia natura Trattamenti coinvolti : Dati trattati : Tipologie di trattamento dei dati : Tempo di conservazione dei dati : I dati potranno essere trasferiti in : Application management piattaforma Zuccheti HR Infinity e consulenza in materia di amministrazione del personale con relativa elaborazione dei cedolini busta paga nominativo, indirizzo o altri elementi di identificazione personale. a mezzo calcolatori elettronici con utilizzo di sistemi software gestiti da Terzi. stabilito per un arco di tempo non superiore al conseguimento delle finalità per le quali sono raccolti e trattati e nel rispetto dei tempi obbligatori prescritti dalla legge. paesi UE. personale dipendente, personale parasubordinato e lavoratori interinali delle aziende clienti Trattamenti coinvolti : Dati trattati : Tipologie di trattamento dei dati : Tempo di conservazione dei dati : Application management piattaforma Zuccheti HR Infinity e consulenza in materia di amministrazione del personale con relativa elaborazione dei cedolini busta paga Attività di assistenza in materia di erogazione dei servizi di welfare aziendali adesione a sindacati; Agevolazioni derivanti dall'applicazione della Legge 104/92; Assunzioni mediante applicazione Legge 68/99; Capacità di solvibilità dei debiti e/o affidabilità creditizia; codice fiscale ed altri numeri di identificazione personale; Codice IBAN; Dati relativi a trasferte aziendali; dati relativi al tipo di lavoro ed alla retribuzione; dati relativi alla famiglia e a situazioni personali; Dati relativi alla valutazione della risorsa; dati sul comportamento; Idoneità alla mansione; Materiale audiovisivo e fotografico; nominativo, indirizzo o altri elementi di identificazione personale; Provvedimenti disciplinari; stato di salute. trattamento manuale a mezzo di archivi cartacei; trattamento mediante piattaforma Zucchetti HR Infinity usufruibile in modalità cloud e residente presso i data center di Google ubicati in U.E. i dati verranno conservati per i periodi obbligatori stabiliti dalla Legge al termine di un eventuale interruzione del rapporto contrattuale; stabilito per un arco di tempo non superiore al conseguimento delle finalità per le quali sono raccolti e trattati e nel rispetto dei tempi obbligatori prescritti dalla legge. Stampato il 23/05/2018 5

Ultima modifica 23/05/2018 ELENCO DEI TRATTAMENTI Cod.Doc. 10459.40.1.985078 I dati potranno essere comunicati a : I dati potranno essere trasferiti in : Società che erogano servizi di welfare aziendale; tecnici autorizzati di Zucchetti S.p.a. per operazioni di manutenzione straordinaria; consulenti e liberi professionisti, anche in forma associata; nell'ambito di soggetti pubblici e/o privati per i quali la comunicazione dei dati è obbligatoria o necessaria in adempimento ad obblighi di legge o sia comunque funzionale all'amministrazione del rapporto. paesi UE. Stampato il 23/05/2018 6

El enco dei Res pons abi l i Es t er ni Ultima modifica 23/05/2018 ELENCO DEI RESPONSABILI ESTERNI Cod.Doc. 10459.40.1.985078 P&S s.r.l. - Payroll Services Strada 1 Palazzo F3 - Milanofiori 20090 Assago (MI) Tel: +39 02 89084.200 P.IVA 11341280151 ELENCO DEI RESPONSABILI ESTERNI PER TRATTAMENTI CONTO TERZI Google Ireland Limited Gordon House Barrow Street Dublin, 4 Ireland P.iva IE 6388047V I dati affidati all'esterno fanno riferimento ai seguenti trattamenti conto terzi: Application management piattaforma Zuccheti HR Infinity e consulenza in materia di amministrazione del personale con relativa elaborazione dei cedolini busta paga Finalità del Trattamento: Erogazione del servizio di hosting relativo alla piattaforma Zucchetti HR Infinity. Le banche dati sono ubicate esclusivamente presso server farm in West Europe. Google Ireland Limited è un soggetto certificato secondo la norme ISO/IEC 27001, ISO IEC 27017, ISO/IEC 27018. Google ha sviluppato i framework di controllo SOC 2 (Service Organization Controls) e SOC 3 dell'american Institute of Certified Public Accountants (AICPA) che definiscono i criteri e i principi di attendibilità per la sicurezza, la disponibilità, l'integrità del trattamento e la riservatezza dei dati. Google aderisce all accordo UE-US Privacy Shield per il trasferimento di dati personali di Cittadini Europei negli Stati Uniti d Amenrica. L'affidatario è responsabile alla gestione ordinaria delle seguenti unità di archiviazione elettroniche: Server farm Google Ireland Limited Criterio adottato per garantire il rispetto delle misure di sicurezza: La nomina dell'affidatario a Responsabile del trattamento. Studio Amarelli & Partners Quinzan Via Mulini, 9/A - 25087 Salò (BS) Partita IVA 02222180982 I dati affidati all'esterno fanno riferimento ai seguenti trattamenti conto terzi: Application management piattaforma Zuccheti HR Infinity e consulenza in materia di amministrazione del personale con relativa elaborazione dei cedolini busta paga Finalità del Trattamento: Stampato il 23/05/2018 7

Ultima modifica 23/05/2018 ELENCO DEI RESPONSABILI ESTERNI Cod.Doc. 10459.40.1.985078 Consulenza e supporto in materia di amministrazione del personale e consulenza del lavoro relativamente al personale dipendente delle aziende clienti e al personale di P&S S.r.l.. Durante le attività il Responsabile può accedere a dati personali e particolari come definiti dagli Artt. 4,9 del GDPR. relativi al personale dipendente. Criterio adottato per garantire il rispetto delle misure di sicurezza: La nomina dell'affidatario a Responsabile del trattamento. Double You S.r.l. Via Enrico Caviglia, 11, 20139 Milano MI CF e PIVA 08714820969 I dati affidati all'esterno fanno riferimento ai seguenti trattamenti conto terzi: Attività di assistenza in materia di erogazione dei servizi di welfare aziendali Finalità del Trattamento: Erogazione dei servizi di welfare aziendale per il personale dipendente delle aziende clienti e per il personale dipendente di P&S Srl. Il Responsabile durante le attività potrà avere accesso ai dati comuni identificativi dei soggetti interessati. Criterio adottato per garantire il rispetto delle misure di sicurezza: La nomina dell'affidatario a Responsabile del trattamento. Stampato il 23/05/2018 8

El enc o del l e m i s ur e di s i c ur ez z a Ultima modifica 23/05/2018 ELENCO DELLE MISURE DI SICUREZZA Cod.Doc. 10459.40.1.985078 P&S s.r.l. - Payroll Services Strada 1 Palazzo F3 - Milanofiori 20090 Assago (MI) Tel: +39 02 89084.200 P.IVA 11341280151 ELENCO DELLE MISURE DI SICUREZZA ADOTTATE PER TRATTAMENTI CONTO TERZI Sono sotto riportate le misure di sicurezza implementate ai sensi dell'art.32 del Reg.to UE 2016/679. Misure di sicurezza adottate a livello logico ed organizzativo Redazione di un piano di formazione per gli addetti Verifica periodica dell'ambito dei trattamenti e dei profili di autorizzazione. Verifica dei Back-up. Consegna istruzioni dettagliate agli addetti. E' previsto un piano di formazione degli addetti, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevedere eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure adottate. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento dei dati personali. Periodicamente, con cadenza almeno annuale, sono aggiornati gli ambiti del trattamento consentito agli addetti ed ai responsabili della gestione o manutenzione dei sistemi elettronici. E' stato predisposto un piano di verifica periodica del corretto funzionamento delle copie di Back-Up. Ad ogni addetto sono state consegnate istruzioni dettagliate e complete riguardanti il trattamento dei dati personali, a seconda dei suoi compiti e dei dati trattati. Istruzioni per la segretezza del sistema di autenticazione e la custodia dei dispositivi personali. Istruzioni per assicurare la segretezza della componente riservata della credenziale (es. password) e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. Istruzioni sulla custodia degli strumenti elettronici durante le sessioni di trattamento. Sono impartite istruzioni agli incaricati per non lasciare incostudito e accessibile lo strumento elettronico durante una sessione di trattamento. Istruzioni per i supporti removibili in caso di dati sensibili o giudiziari. In caso di dati sensibili o giudiziari, sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. Istruzioni scritte finalizzate al controllo ed alla custodia dei documenti cartacei. Gli incaricati hanno ricevuto istruzioni scritte sul comportamento da tenere per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento. Stampato il 23/05/2018 9

Ultima modifica 23/05/2018 ELENCO DELLE MISURE DI SICUREZZA Cod.Doc. 10459.40.1.985078 Procedure per ripristino dei dati. Distruzione dei supporti removibili. Redazione del Registro dei Trattamenti sia in qualità di Titolare sia se necessario in qualità di Responsabile Redazione documento Privacy by Design e By Default Nomina del DPO Procedure Gestione Data Breach Implementazione Procedura di Nomina a Responsabile del trattamento Implementazione procedura di verifica per i Responsabile del trattamento Sono state adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori ai 7 giorni. Nel caso di dati particolari o giudiziari, i supporti rimuovibili che contengono tali dati se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere usati da personale non autorizzato solo dopo che i dati in essi contenuti sono resi non intelleggibili e tecnicamente in alcun modo recuperabili. Il Registro dei Trattamenti e documento cogente e contiene la lista dei trattamenti effettuati eventuali comunicazioni degli stessi all'esterno e relative misure di sicurezza attuate. Redazione Piano di Privacy by Design e By Default per documentare per tutti i trattamenti l'attuazione delle necessarie misure di sicurezza ex. Art. 32 in grado di garantire un rischio residuale basso Nomina del Data Protection Officer Redazione ed Implementazione Procedure strutturale ed organizzative per la gestione di eventuali Data Breach Implementazione Procedura di Nomina a Responsabile del trattamento per tutte le strutture esterne che trattano dati per conto del Titolare Implementazione procedura di verifica affinché i trattamenti effettuati da esterni abbiano adeguate garanzie di rischio residuale basso Stampato il 23/05/2018 10

Ultima modifica 23/05/2018 ELENCO DELLE MISURE DI SICUREZZA Cod.Doc. 10459.40.1.985078 Misure di sicurezza adottate per trattamento Application management piattaforma Zuccheti HR Infinity e consulenza in materia di amministrazione del personale con relativa elaborazione dei cedolini busta paga Il trattamento consiste in: - attività di consulenza del Lavoro e in materia di amministrazione del personale con relativa elaborazione dei cedolini busta paga e tutti gli adempimenti di Legge inerenti; - nella fornitura in outsourcing della piattaforma Zucchetti HR Infinity con relativa customizzazione delle esigenze delle aziende clienti e adeguamento agli aggiornamenti normativi; - gestione e manutenzione delle interfacce realizzate per gli applicativi interni del Titolare; Il data base contenuto nella piattaforma Zucchetti HR Infinity è conservato presso le server farm di Google ubicate in west Europe, delle quali sono state verificate le SLA relative alle misure di sicurezza applicate dal Provider. Zucchetti S.p.a. e la relativa rete di distributori non ha la possibilità di accedere ai dati personali in maniera continuativa, esclusivamente in caso di operazioni di manutenzione straordinaria nella correzione di difetti dell'applicativo, i tecnici autorizzati possono accedere ai data base su stretta vigilanza degli addetti di P&S S.r.l.; l'accesso avviene con sistemi remotizzazione con immissione di credenziale autorizzativa. I dati sono accessibili anche da Consulenti del lavoro che prestano la loro consulenza in veste di Liberi Professionisti. Dati Comuni trattati : Dati Particolari trattati: Unità di archiviazione utilizzate per il trattamento codice fiscale ed altri numeri di identificazione personale nominativo, indirizzo o altri elementi di identificazione personale dati relativi alla famiglia e a situazioni personali dati sul comportamento dati relativi al tipo di lavoro ed alla retribuzione Codice IBAN Idoneità alla mansione Capacità di solvibilità dei debiti e/o affidabilità creditizia Provvedimenti disciplinari Dati relativi a trasferte aziendali Dati relativi alla valutazione della risorsa Materiale audiovisivo e fotografico adesione a sindacati stato di salute Agevolazioni derivanti dall'applicazione della Legge 104/92 Assunzioni mediante applicazione Legge 68/99 Archivio cartaceo ufficio service (sede: Sede principale azienda) Archivio storico gestione in outsourcing (sede: Sede principale azienda) Server farm Google Ireland Limited (sede: ) Server farm Microsoft Azure (sede: ) Misure Adottate Contratto con Agenzia di Sorveglianza Copertura Assicurativa Installazione impianto Videosorveglianza Installazione Allarme Dotazione serrature ufficio. Estintori Contratto con Agenzia di Sorveglianza Stipula adeguata copertura assicurativa per eventi inerenti ai trattamenti dati relativi al GDPR Installazione impianto Videosorveglianza Installazione Allarme Se sono presenti dati particolari o giudiziari in archivi cartacei, è consigliata una chiusura a chiave o dell'ufficio o dell'archivio. Installazione Estintori e verifica periodica degli stessi. Stampato il 23/05/2018 11

Ultima modifica 23/05/2018 ELENCO DELLE MISURE DI SICUREZZA Cod.Doc. 10459.40.1.985078 Custodia in classificatori o armadi non accessibili. Dotazione serrature archivio. Archivio ad accesso controllato. Controllo dei documenti con dati particolari o giudiziari da parte degli addetti. Credenziali di autentificazione, assegnate individualmente ad ogni addetto. Cifratura dei dati memorizzati. Cifratura dei dati trasmessi. I dati cartacei sono archiviati in modo da permettere l'accesso esclusivamente agli addetti al trattamento degli stessi e di non essere accessibili a persone non autorizzate. Se sono presenti dati particolari o giudiziari in archivi cartacei, è consigliata una chiusura a chiave o dell'ufficio o dell'archivio. L'accesso all'archivio è controllato dagli incaricati al trattamento o dalla sorveglianza. Dopo l'orario di chiusura possono accedere all'archivio solo le persone preventivamente autorizzate od identificate e registrate. Quando i documenti contenenti dati particolari o giudiziari sono affidati agli addetti del trattamento, sono controllati e custoditi dagli stessi fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. Il trattamento dei dati è consentito solo dopo il superamento di una procedura di autentificazione univocamente associata all'addetto e relativa ad uno specifico trattamento o ad un insieme di trattamenti. Inoltre il codice di identificazione, quando utilizzato, non viene mai assegnato ad altri addetti, nemmeno in tempi diversi. Autenticazione mediante user-id e password. Parola chiave di almeno 8 caratteri. Le parole chiave sono di 8 caratteri od il massimo consentito dal sistema, non devono essere riconducibili all'incaricato e vengono modificate almeno ogni 3 mesi (6 se vi sono solo dati comuni). Disattivazione delle vecchie credenziali. Le credenziali di identificazione sono disattivate se non vengono usate da almeno sei mesi (salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica), oppure non appena l'incaricato perde la qualità di accedere ai dati personali. Disposizioni scritte per la disponibilità dei dati. Quando l'accesso ai dati è consentito solo mediante l'uso della componente riservata della credenziale, sono impartite idonee e preventive disposizioni scritte volte ad individuare chiaramente le modalità con il quale si può assicurare la disponibilità dei dati in caso di prolungata assenza o impedimento dell'incaricato. I dati salvati su sistemi di archiviazione digitale vengono cifrati attraverso sistemi di protezione in ssl, PGP, o altri sistemi di cifratura proprietari Quando vengono trasmessi da un sistema digitale ad un altro i dati prima della trasmissione vengono cifrati co sistemi di protezione come SSL, PGP, ZIP con password o altri Sistemi proprietari. Gli enti sanitari e gli operatori in ambito sanitario hanno l'obbligo di trasmettere i dati sensibili sulla salute utilizzando sistemi di cifratura Stampato il 23/05/2018 12

Ultima modifica 23/05/2018 ELENCO DELLE MISURE DI SICUREZZA Cod.Doc. 10459.40.1.985078 Profili di autorizzazione di ambito diverso per diversi incaricati. Sono stati adottati adeguati criteri tra cui l'eventuale nomina a Responsabile per garantire che la struttura esterna presso cui l'unità di archiviazione risiede abbia adeguate contromisure che garantiscano un rischio residuale basso. Nel caso in cui gli incaricati possano accedere solo a certi tipi di dato, od effettuare solo alcuni trattamenti, i profili di autorizzazione devono essere diversificati per ciascun incaricato. E' utilizzato un sistema di autorizzazione. Sono definiti od utilizzati procedure e strumenti ache abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione. I profili di autorizzazione vengono specificati prima di ogni trattamento. A ciascun incaricato viene assegnato il proprio profilo di autorizzazione prima dell'inizio del trattamento. Verifica periodica del profilo di autorizzazione. Periodicamente, ed almeno annualmente, sono verificati i profili di autorizzazione. Nel caso di archivio gestito in modalità ISP, è necessario che il gestore dell'archivio attui adeguate misure di sicurezza in modo da garantire rischi residuali bassi sui trattamenti. Vedere la sezione sul Registro dei Trattamenti per ulteriori informazione nel caso di dati affidati all'esterno. Verifica e registrazione degli accessi dell'amministratore di sistema se questo è nominato direttamente dall'azienda Certificazione secondo la norma ISO/IEC 27001:2013 Sistema di endpoint protecion e sandbox Data Loss Prevention (DLP Il fornitore è certificato secondo la norma ISO 27001:2013 specifica per la sicurezza delle informazioni L'antivirus sophos e il firewall sophos UTM SG-210 sono dotati di un sistema di endpoint protection per il controllo dei dispositivi USB e di sandbox per la prevenzione di virus e criptolocker La tecnologia DLP, che offre una copertura multi-layer, dall'endpoint all'infrastruttura di rete, fino allo storage, grazie a una console di gestione centralizzata, al fine di garantire la salvaguardia di dati strutturati e non. Verifica ed eventuale nomina degli amministratori di sistema se presenti Attività di assistenza in materia di erogazione dei servizi di welfare aziendali La banca dati contiene informazioni relative al personale dipendente e personale parasubordinato delle aziende clienti che intendono accedere ai servizi di welfare aziendale. Le informazioni raccolte vengono comunicate a Società esterne indicate dalle aziende clienti per l'esecuzione dei servizi sopraindicati. I dati trattati si limitano ai dati anagrafici e identificativi Dati Comuni trattati : Unità di archiviazione utilizzate per il trattamento codice fiscale ed altri numeri di identificazione personale nominativo, indirizzo o altri elementi di identificazione personale Server farm Google Ireland Limited (sede: ) Server farm Microsoft Azure (sede: ) Misure Adottate Stampato il 23/05/2018 13

Ultima modifica 23/05/2018 ELENCO DELLE MISURE DI SICUREZZA Cod.Doc. 10459.40.1.985078 Credenziali di autentificazione, assegnate individualmente ad ogni addetto. Cifratura dei dati memorizzati. Cifratura dei dati trasmessi. Profili di autorizzazione di ambito diverso per diversi incaricati. Sono stati adottati adeguati criteri tra cui l'eventuale nomina a Responsabile per garantire che la struttura esterna presso cui l'unità di archiviazione risiede abbia adeguate contromisure che garantiscano un rischio residuale basso. Il trattamento dei dati è consentito solo dopo il superamento di una procedura di autentificazione univocamente associata all'addetto e relativa ad uno specifico trattamento o ad un insieme di trattamenti. Inoltre il codice di identificazione, quando utilizzato, non viene mai assegnato ad altri addetti, nemmeno in tempi diversi. Autenticazione mediante user-id e password. Parola chiave di almeno 8 caratteri. Le parole chiave sono di 8 caratteri od il massimo consentito dal sistema, non devono essere riconducibili all'incaricato e vengono modificate almeno ogni 3 mesi (6 se vi sono solo dati comuni). Disattivazione delle vecchie credenziali. Le credenziali di identificazione sono disattivate se non vengono usate da almeno sei mesi (salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica), oppure non appena l'incaricato perde la qualità di accedere ai dati personali. Disposizioni scritte per la disponibilità dei dati. Quando l'accesso ai dati è consentito solo mediante l'uso della componente riservata della credenziale, sono impartite idonee e preventive disposizioni scritte volte ad individuare chiaramente le modalità con il quale si può assicurare la disponibilità dei dati in caso di prolungata assenza o impedimento dell'incaricato. I dati salvati su sistemi di archiviazione digitale vengono cifrati attraverso sistemi di protezione in ssl, PGP, o altri sistemi di cifratura proprietari Quando vengono trasmessi da un sistema digitale ad un altro i dati prima della trasmissione vengono cifrati co sistemi di protezione come SSL, PGP, ZIP con password o altri Sistemi proprietari. Gli enti sanitari e gli operatori in ambito sanitario hanno l'obbligo di trasmettere i dati sensibili sulla salute utilizzando sistemi di cifratura Nel caso in cui gli incaricati possano accedere solo a certi tipi di dato, od effettuare solo alcuni trattamenti, i profili di autorizzazione devono essere diversificati per ciascun incaricato. E' utilizzato un sistema di autorizzazione. Sono definiti od utilizzati procedure e strumenti ache abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione. I profili di autorizzazione vengono specificati prima di ogni trattamento. A ciascun incaricato viene assegnato il proprio profilo di autorizzazione prima dell'inizio del trattamento. Verifica periodica del profilo di autorizzazione. Periodicamente, ed almeno annualmente, sono verificati i profili di autorizzazione. Nel caso di archivio gestito in modalità ISP, è necessario che il gestore dell'archivio attui adeguate misure di sicurezza in modo da garantire rischi residuali bassi sui trattamenti. Vedere la sezione sul Registro dei Trattamenti per ulteriori informazione nel caso di dati affidati all'esterno. Verifica e registrazione degli accessi dell'amministratore di sistema se questo è nominato direttamente dall'azienda Certificazione secondo la norma ISO/IEC 27001:2013 Il fornitore è certificato secondo la norma ISO 27001:2013 specifica per la sicurezza delle informazioni Stampato il 23/05/2018 14

Ultima modifica 23/05/2018 ELENCO DELLE MISURE DI SICUREZZA Cod.Doc. 10459.40.1.985078 Sistema di endpoint protecion e sandbox Data Loss Prevention (DLP L'antivirus sophos e il firewall sophos UTM SG-210 sono dotati di un sistema di endpoint protection per il controllo dei dispositivi USB e di sandbox per la prevenzione di virus e criptolocker La tecnologia DLP, che offre una copertura multi-layer, dall'endpoint all'infrastruttura di rete, fino allo storage, grazie a una console di gestione centralizzata, al fine di garantire la salvaguardia di dati strutturati e non. Verifica ed eventuale nomina degli amministratori di sistema se presenti Stampato il 23/05/2018 15

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back