La società OULIDE GROUP SRL con sede in Strada Parco della Marinella 18, – 50013 CAMPI BISENZIO (FI)P.iva/CF: 06636220482 (di seguito, per brevità “OULIDE GROUP”) adotta il presente Regolamento –suscettibile di costante aggiornamento – al fine di conformarsi alle disposizioni in materia di Privacy eprotezione dei dati personali previste dal General Data Protection Regulation, ovvero Regolamento UE679/2016 (di seguito, per brevità “GDPR” o “Regolamento UE”), applicabile a partire dal 25 maggio 2018.

OULIDE GROUP garantisce che i trattamenti dei dati personali si svolgano nel rispetto dei diritti e delle libertà fondamentali dell’interessato e della normativa in materia, sensibilizzando in tal senso tutti i membridel personale.

La nuova normativa privacy alla luce del Regolamento UE 679/2016Il GDPR relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchéalla libera circolazione degli stessi, è volto ad armonizzare tutte le normative in materia di Privacy presentiall’interno dell’Unione Europea.

Il Regolamento UE muta l’approccio al tema della protezione dei dati personali, rafforzando ed incrementando la tutela dei diritti dell’interessato ed affidando un ruolo pro-attivo al Titolare ed al Responsabile del trattamento, accrescendone così la cd. accountability.

Inoltre, il Regolamento UE mira a focalizzare l’attenzione di tutte le figure coinvolte sul rispetto e sulla conformità dei trattamenti effettuati alla normativa europea, mediante:

– la cooperazione con le Autorità;

– l’incoraggiamento di meccanismi di certificazione;

– l’ampliamento del sistema di vigilanza;

– il rafforzamento del sistema sanzionatorio.

Quanto all’ambito di applicazione, il GDPR supera il principio della territorialità e si applica a tutti itrattamenti di dati personali da parte di Titolari non necessariamente stabiliti nell’Unione Europea, purchéquesti riguardino beni, servizi o comportamenti degli interessati all’interno dell’UE.

  1. Principi del Trattamento
  2. Il trattamento dei dati personali da parte di OULIDE GROUP è effettuato nel rispetto dei principi di cui
  3. all’art. 5 GDPR e, nello specifico:
  4. – liceità, correttezza e trasparenza nei confronti dell’interessato;
  5. – limitazione della finalità del trattamento;
  6. – minimizzazione della raccolta dei dati;
  7. – esattezza dei dati rispetto alle finalità per le quali vengono trattati;
  8. – limitazione temporale della conservazione dei dati;
  9. – integrità e riservatezza;
  10. – responsabilizzazione del titolare.
     
  11. www.lovehealspet.it
  12. Tel. 0558974525 – info@lovehealspet.it
  13. Pag. 2 a 6
  14. Definizioni
  15. Ai fini di una agevole comprensione del presente Regolamento, si riportano alcune delle definizioni
  16. contenute nell’art. 4 del Regolamento UE:
  17. – “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile. Si
  18. considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente,
  19. con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi
  20. all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica,
  21. fisiologica, genetica, psichica, economica, culturale o sociale;
  22. – “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi
  23. automatizzati e applicate a dati personali o insiemi di dati personali come la raccolta, la registrazione,
  24. l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la
  25. consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di
  26. messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
  27. – “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo
  28. che, singolarmente o insieme ad altri, determina le finalità ed i mezzi del trattamento dei dati
  29. personali;
  30. – “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro
  31. organismo che tratta dati personali per conto del Titolare;
  32. – “destinatario”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che riceve
  33. comunicazione di dati personali, che si tratti o meno di terzi;
  34. (non sono considerati destinatari quelle autorità pubbliche che possono ricevere comunicazioni
  35. nell’ambito di una specifica indagine conformemente al diritto dell’Unione Europea).
  36. – “autorità di controllo”: l’autorità pubblica indipendente istituita da uno stato membro ai sensi dell’art.
  37. 51 GDPR
  38. – “profilazione”: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di
  39. tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare
  40. per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la
  41. saluta, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli
  42. spostamenti di detta persona fisica;
  43. – “pseudonimizzazione”: il trattamento dei dati personali in modo tale che gli stessi non possano più
  44. essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive, purchè le
  45. medesime siano conservate separatamente e soggette a misure tecniche e organizzative tali da
  46. assicurare che i dati non siano attribuiti ad una persona fisica identificata o identificabile;
  47. – “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata ed
  48. inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante
  49. dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di
  50. trattamento;
  51. – “violazione dei dati personali”: la violazione di sicurezza che comporta accidentalmente o in modo
  52. illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati
  53. personali trasmessi, conservati o comunque trattati.
    1. Tipologia trattamenti
  54. Sono individuate le seguenti tipologie di trattamento:
  55. – gestione amministrazione clienti;
  56. – gestione vendite / logistica
  57. – gestione amministrazione fornitori;
  58. – gestione acquisti / logistica
  59. – gestione del personale
  60. – gestione rilevazione presenze
  61. – gestione Videosorveglianza
  62. Pag. 3 a 6
  63. Finalità del trattamento
  64. Con il presente Regolamento OULIDE GROUP garantisce che i trattamenti di cui al paragrafo che precede
  65. vengano effettuati per finalità strettamente connesse all’attività svolta dalla OULIDE GROUP stessa – nel
  66. rispetto dei diritti e delle libertà fondamentali degli iscritti – e, nello specifico per: motivi istituzionali,
  67. amministrativo-contabili, di ricerca, commerciali.
    1. Banche dati
  68. Per banca dati si intende il complesso organizzato di una o più unità, dislocate in uno o più siti. OULIDE
  69. GROUP, in particolare, utilizza banche dati di tipo cartaceo ed informatico, software gestionali.
    1. I soggetti del trattamento
  71. OULIDE GROUP individua quali soggetti coinvolti nel trattamento dei dati personali le figure di seguito
  72. riportate.
  73. 7.1 Titolare
  74. Il Titolare del trattamento è OULIDE GROUP SRL – in persona del legale rappresentante – in quanto
  75. esercita un potere decisionale autonomo in merito alle finalità ed i mezzi del trattamento dei dati personali
  76. individuati.
  77. Ai sensi dell’art. 24 del GDPR il Titolare mette in atto le misure tecnico-organizzative adeguate per
  78. garantire la conformità del trattamento ai principi di cui al paragrafo 2 del presente Regolamento.
  79. Il Titolare del trattamento tiene un registro di tutti i trattamenti svolti sotto la propria responsabilità,
  80. conformemente a quanto prescritto dall’art. 30 n. 1 del GDPR.
  81. 7.2 Responsabile del trattamento
  82. Sono indicati quali Responsabili esterni del trattamento:
  83. Le seguenti società e consulenti:
  84. CONSULENTE DEL LAVORO:
  85.  COLOMBARI LEONARDI Via Bologna 88, 59100 PRATO (PO) 02153230970 C/F
  86. CLMLRD76P01D612C
  87. COMMERCIALISTA:
  88.  RAG. LUCA OLIVA Via Santa Gonda, 14 – 59100 PRATO (PO) P.IVA: 01548720976 C/F
  89. LVOLCU67B27G999O
  90. SICUREZZA SUL LAVORO:
  91.  DOTT. FUCCILLO ANTONIO Via Pietro Maroncelli, 4/b – 59100 PRATO (PO) p.iva: 02103620973
  92. C/F FCCNTN82E10G999T
  93. MEDICINA DEL LAVORO E IGIENE INDUSTRIALE
  94.  AESTHETIC MEDICAL CARE SRL Via Galgianese 93/12 – PRATO (PO) p.iva: 02181310976
  95. CONSULENZA INFORMATICA
  96.  DELTA PHI SRL Via Piovola, 138 – 50055 EMPOLI (FI)
  97. Pag. 4 a 6
  98. Sono Responsabili esterni tutti i soggetti esterni alla OULIDE GROUP che effettuano trattamenti o possono
  99. effettuare trattamenti sulle banche dati della stessa, per suo conto e nel suo interesse; qualora, invece,
  100. questi determini autonomamente le finalità ed i mezzi del trattamento, deve considerarsi titolare dei
  101. trattamenti in questione.
  102. I trattamenti da parte del Responsabile (interno o esterno) del trattamento sono disciplinati, ai sensi dell’art.
  103. 28 GDPR, da un contratto o altro atto giuridico che individui la durata, la natura, la finalità del trattamento,
  104. il tipo di dati personali e le categorie degli interessati, le responsabilità affidate al Responsabile, gli obblighi
  105. ed i diritti del Titolare.
  106. Il Responsabile (interno o esterno) del trattamento tiene, qualora ricorrano i presupposti, al pari del
  107. Titolare, al pari del Titolare, il registro delle attività di trattamento di cui all’art. 30 n. 2 GDPR, svolte per
  108. conto del Titolare stesso.
  109. Il Responsabile del trattamento non può trattare i dati personali se non secondo le istruzioni impartite dal
  110. Titolare ed in caso di trattamenti particolarmente complessi può nominare, a sua volta, un subresponsabile.
  111. 7.3 Persone autorizzate al trattamento (ex “incaricati”)
  112. Ai sensi dell’art. 29 GDPR, il Titolare o il Responsabile del trattamento individua – con apposite nomine e
  113. quali persone autorizzate al trattamento medesimo – tutti i dipendenti, collaboratori, agenti, che
  114. intervengono, in relazione all’esercizio delle rispettive mansioni e competenze, nell’esecuzione dei
  115. trattamenti.
  116. Le persone autorizzate al trattamento dei dati personali agiscono, dunque, sotto l’autorità del
  117. Responsabile o del Titolare del trattamento.
  118. Il presente regolamento identifica quali persone autorizzate al trattamento:
  119. soci/direzione:
  120. i dipendenti impiegati autorizzati ai trattamenti individuati: WENWEN LIU, WEI SUN,
  121. JINGRU HU,
  122. amministratori / dipendenti che utilizzano strumenti elettronici: YUAN QIUXIANG, ZHANG XIAOPING,
  124. I dipendenti dell’Area Logistica che non utilizzano strumenti elettronici: SIMONE BORCHI,
  125. CAVA, MARCO MONTINI
  126. 7.4 Responsabile della Protezione dei Dati (Data Protection Officer, “DPO”)
  127. In base all’art. 37 del Regolamento UE 2016/679, e considerando 97 ove si indica che sono obbligati a
  128. designare un DPO:
  129. le pubbliche amministrazioni e gli enti pubblici, ad eccezione delle autorità giudiziarie;
  130.  tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le
  131. loro finalità, richiedono un monitoraggio regolare e sistematico degli interessi su larga scala;
  132.  tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla
  133. salute o alla vita sessuale, genetici, giudiziari e biometrici.
  134. Inoltre
  135. In base alle indicazioni delle linee guida del gruppo W29 – WP243 linee Guida sul DPO adottate il
  136. 13//12/2016
  137. OULIDE GROUP SRL ha deciso di non nominare nessun DPO
  138. Nelle ipotesi di cui all’art. 37 n. 1 lettere a), b), c), GDPR, il Titolare o il Responsabile del trattamento
  139. designano un Responsabile della Protezione dei dati con comprovate conoscenze in materia di privacy, i
  140. cui riferimenti sono comunicati all’autorità di controllo.
  141. Pag. 5 a 6
  142. Il Responsabile della Protezione dei dati può essere un dipendente del OULIDE GROUP o un soggetto
  143. esterno nominato in virtù di un contratto di servizi.
  144. Ai sensi dell’art. 39 GDPR, il DPO ha, tra gli altri, il compito di:
  145. – informare e fornire consulenza al Titolare o al Responsabile del trattamento;
  146. – sorvegliare l’osservanza della normativa in materia di protezione dei dati personali, compresi
  147. l’attribuzione di responsabilità, la sensibilizzazione e formazione del personale della OULIDE GROUP
  148. che partecipa ai trattamenti;
  149. – fornire pareri, se richiesti;
  150. – cooperare con l’autorità di controllo.
  151. Diritti dell’interessato
  152. Il presente Regolamento riconosce l’esercizio da parte dell’interessato dei diritti di cui agli artt. 15-21 del
  153. GDPR e, nello specifico: il diritto di accesso ai dati, di rettifica ed il diritto alla cancellazione (“diritto
  154. all’oblio”) degli stessi, il diritto di limitarne il trattamento, il diritto alla loro portabilità, nonchè il diritto di
  155. opposizione al trattamento.
    1. Sicurezza del trattamento
  156. Il Titolare ed il Responsabile del trattamento garantiscono, ai sensi dell’art. 32 GDPR, un livello di sicurezza
  157. adeguato al rischio per i diritti e le libertà degli interessati, adottando misure tecnico-organizzative, fra le
  158. quali:
  159. – la pseudonimizzazione e la cifratura dei dati personali nel caso il livello di rischio rilevato sia ritenuto
  160. ALTO;
  161. – la capacità di assicurare permanentemente la riservatezza, l’integrità, la disponibilità, nonchè la
  162. resilienza dei sistemi e dei servizi di trattamento;
  163. – la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali ed, in generale,
  164. la manutenzione dei sistemi informatici;
  165. – una procedura per testare regolarmente l’efficacia delle misure adottate per prevenire e/o
  166. fronteggiare i potenziali rischi del trattamento.
  167. Il Data Protection Impact Assessment (DPIA)
  168. La responsabilità del processo di DPIA rimane in capo al Titolare del trattamento, il quale -all’occorrenza –
  169. potrebbe coinvolgere anche i responsabili aziendali, i responsabili esterni, i consulenti, gli outsourcers.
  170. Alla data del 25-05-2018 OULIDE GROUP Srl ha deciso di non procedere con una DPIA motivandone le
  171. ragioni in apposito verbale redatto nella data indicata.
    1. Consenso dell’interessato
  172. Ogni qualvolta il trattamento dei dati personali richieda il consenso dell’interessato, tale consenso dovrà
  173. essere conservato e registrato.
  174. L’interessato deve poter conoscere le modalità per prestare il consenso ed ha diritto – ogni qualvolta lo
  175. stesso venga richiesto ai fini del trattamento – di revocarlo in qualsiasi momento.
  176. Laddove la raccolta di dati personali si riferisca a un minore di età inferiore ai 16 anni, il Responsabile della
  177. Protezione dei Dati deve garantire che il consenso dell’esercente la responsabilità genitoriale sia fornito
  178. prima della raccolta.
  179. Informativa privacy
  180. Pag. 6 a 6
  181. Ai sensi degli artt. 13 e 14 GDPR, il Titolare del trattamento fornisce all’interessato informazioni specifiche,
  182. chiare e sintetiche – sia nel caso di dati raccolti presso l’interessato che di dati raccolti presso terzi – sui
  183. trattamenti che intende effettuare.
    1. Notifica di una violazione dei dati personali all’autorità di controllo
  184. Il Titolare del trattamento è tenuto a notificare, secondo le modalità di cui all’art. 33 n. 3 GDPR, l’eventuale
  185. violazione dei dati personali – di cui sia venuto a conoscenza direttamente o su informazione del
  186. Responsabile del trattamento – all’autorità di controllo competente ex art. 55 del Regolamento UE, salvo
  187. che il rischio venga valutato come improbabile per i diritti e le libertà dell’interessato.
  188. Ad ogni modo il Titolare, nel rispetto del principio di accountability, documenta qualsiasi violazione, così
  189. da consentire all’autorità di controllo di verificare la conformità del trattamento alla normativa vigente.
  190. Comunicazione di una violazione all’interessato e trasparenza
  191. Il Titolare del trattamento, altresì, comunica la violazione di dati personali all’interessato, qualora questa
  192. presenti rischi elevati per i diritti e le libertà dello stesso e salvo che non ricorrano le condizioni di cui all’art.
  193. 34 n. 3 GDPR.
  194. La comunicazione può essere contestuale alla notifica di cui al paragrafo che precede e deve contenere,
  195. almeno, le seguenti informazioni:
  196. – contatti del Responsabile della Protezione dei dati personali;
  197. – probabili conseguenze della violazione in questione;
  198. – le misure adottate o da adottare da parte del Titolare del trattamento per porre rimedio alla
  199. violazione.
  200. Sanzioni
  201. Il mancato rispetto delle disposizioni in materia di protezione dei dati personali è punito con l’applicazione
  202. di sanzioni amministrative pecuniarie, inflitte secondo i criteri di cui all’art. 83 GDPR ed, in generale, tenuto
  203. conto della natura della gravità e della durata della
  204. violazione, delle finalità del trattamento, del numero degli interessati lesi, del livello del danno e
  205. dell’aspetto doloso o colposo della violazione.
  206. Resta ferma l’applicabilità di sanzioni penali, conformemente a quanto previsto dalla legislazione nazionale
  207. in materia.
    1. Disposizioni finali
  208. Per quanto non espressamente previsto nelle presenti Linee Guida, si applicano le disposizioni del
  209. Regolamento (UE) 2016/679 e dei provvedimenti del Garante per la protezione dei dati personali
  210. Campi Bisenzio 25.05.2018
Translate »