Annunci Gratuiti PALERMO

Vuoi Pubblicare la Tua inserzione per raggiungere migliaia di utenti di PALERMO?

Inserisci SUBITO il Tuo Annuncio completo di foto e descrizione

Cerchi un prodotto o un servizio?

Chiedi gratuitamente senza impegno un preventivo alle imprese e professionisti della provincia di PALERMO




BEST PRACTICES, STEP PER L'IMPLEMENTAZIONE SISTEMA PRIVACY - Palermo

All’interno del capitolo vengono descritti gli esempi degli step per l’implementazione di un sistema privacy.

INTERVISTA
L’intervista è una raccolta di informazioni sullo stato di adeguamento al D.Lgs 196/RE (strumenti interviste preliminari, analisi di documenti, eventuali audit) finalizzati alla  predisposizione del Piano di lavoro, o offerta nel caso di attività consulenziale.

Esempio Intervista:
• Denominazione / Ragione Sociale Azienda
• Attività Svolta
• Dipendenti collaboratori numero
• Esiste una persona indicata come referente per l Privacy?
• Esiste una persona indicata come responsabile del sistema informativo?
• Descrizione dell’architettura del sistema informatico.
• Viene effettuato una o più procedure di backup dei dati del sistema informatico?
• Esiste un sistema di autenticazione informatica?
• L’accesso ai personal computer e ai dati contenuti è protetto da password?
• Ogni macchina che può accedere ad Internet è protetto da AntiVirus aggiornato?
• Esiste un documento, riservato, che specifica i vari livelli di accesso ai dati?
• Vengono trattati dati sensibili (vedi definizione dati sensibili)?
• Le informazioni riservate sono protette contro gli accessi non autorizzati?
• Indicare, oltre a quelle standard (clienti, fornitori, ecc.)  quali delle seguenti banche dati sono presenti nelle sedi legali ed operative dell’organizzazione:
◦ curriculum collaboratori, contratti collaboratori, dati personale dipendente, curriculum personale dipendente, curriculum persone in cerca di occupazione, dati personali e recapiti dei soci e degli amministratori, società, rubrica outlook, centralizzata, database dei clienti, database su cloud, database fuori dalla UE, database CRM, database ERP/gestionale, database frutto di attività di profilazione.
• E’ stato chiesto, tramite informativa privacy, il consenso agli interessati per il trattamento?
• Le informazioni riservate sono protette contro gli accessi non autorizzati?
• Sono state condotte all’interno dell’organizzazione attività di profilazione dei dati?
• E’ stato implementato Il Modello Organizzativo 231 all’interno dell’azienda?
• Sono presenti cause/ricorsi pendenti in materia privacy e/o con il Garante
• E’ presente all’interno dell’organizzazione il regolamento informatico  in materia di protezione dei dati personali.
• E’ stato stabilito un protocollo per la protezione e il trattamento dei dati con i fornitori di servizi esterni. Es. (commercialista, consulente del lavoro, fornitori servizi in outsourcing).
• I dipendenti sono stati informati del fatto che l'utilizzo delle risorse (personal computer/internet) è ammesso esclusivamente per utilizzi professionali. 
• Il personale (specialmente i responsabili) è adeguatamente informato degli eventuali rischi che ci possono essere nel non seguire le procedure di sicurezza informatica previste nell'organizzazione e l'applicazione del codice della privacy.
• Oltre la raccolta via telefono è prevista una raccolta degli ordini via email e/o Sito Internet.
• Quali sono le misure adottate per ridurre il rischio relativo alla perdita dei dati.
• La gestione dei software e della rete informatica aziendale è interna o è affidata all'esterno.
• Quale tipo contratto è in essere (garanzie offerte).

ESEMPIO STESURA PIANO DI LAVORO
Stesura del piano di lavoro (offerta nel caso di attività consulenziale) con indicazione degli obiettivi, fasi, tempi, responsabilità, budget, ecc., ed approvazione delle funzioni deputate.

Esempio:

Tempistica: Avvio del progetto previsto per il DATA, chiusura del progetto prevista per DATA.

Pianificazione di dettaglio e budget

TIPO
ATTIVITA'
TEMPI
OUTPUT PRODOTTI
BUDGET
FUNZIONE RESP.
INTERVISTE
Intervista con le funzioni:
Entro il primo mese
Check list compilate

DPO
NOTIFICHE OBBLIGATORIE
Individuazione degli eventuali ambiti di trattamento da notificare al garante

INTEGRAZIONE
Individuazione di ambiti di integrazione con il sistema di gestione

Report di ambiti di integrazione

INTEGRAZIONE
Integrazione sulla base degli ambiti decisi al punto precedente

Procedure del sistema di gestione integrate con gli aspetti relativi all'applicazione del codice della privacy/RE

VIDEO SORVEGLIANZA
Verifica presenza di sistemi di videosorveglianza

implementazioni procedure/pratiche adeguamento alle norme vigenti

INFORMATIVA
Verifica presenza informative rivolte agli interessati al trattamento e della loro conformità alle norme vigenti;

- redazione informative ai sensi norme vigenti;
- procedura per la richiesta del consenso agli interessati per i dati non coperti da informativa assente e/o non conforme.


AMM. SISTEMA
Verifica presenza nomina Amministratore di Sistema e della conformità alle norme vigenti

Redazione nomina Amministratore di Sistema ai sensi norme vigenti

FORNITORI
Verifica del protocollo per la protezione dei dati affidati ai fornitori di servizi

Nomina a Responsabile esterno al trattamento dei dati

FORMAZIONE
Verifica attività formative

Formazione del personale

AUDIT
Verifiche attività di AUDIT

Configurazione protocolli di AUDIT

REGOLAMENTO

Redazione regolamento informatico per il trattamento dei dati all'interno dell'organizzazione

RELAZIONE
Relazione finale sull'attività condotta

INTERVISTE APPROFONDITE ED ANALISI DEI DOCUMENTI
Le interviste approfondite sono utili per svolgere le successive fasi di "Adeguamento rispetto al D.lgs 196/RE" (fase 5) ed eventualmente "Implementazione del sistema di gestione della privacy" (fase 6).

Esempio:
Funzioni aziendali da coinvolgere nelle interviste approfondite:

• Direzione/Amministrazione;
• R. Personale;
• R. Marketing;
• Sistema Qualità e Haccp;
• RSPP;
• Amministratore sistema informativo;
• R. Logistica

Argomenti da trattare:

• Profilazione;
• Informativa e consenso sul Sito Internet;
• Informativa e consenso raccolto altri canali (es. call center);
• Cookie;
• Attività di Profilazione;
• Affidamento di dati a Terzi;
• Contenziosi Privacy in corso;
• Attività sui Social NetWork.


FASE ANALISI DI PRIVACY IMPACT ASSESSMENT
Viene svolta in considerazione di quanto è emerso nei punti precedenti

Esempio
Analisi del contesto (ERM fase 1 ambiente interno)

Fattore
Impatto sull’azienda
Tecnologia
Sistema informatico obsoleto
Normativa
Nazionale ed extra europa
Tipi di dati trattati
Sensibili relativi ai risultati dei test delle prove a seguito dello sviluppo di ricette di cosmetici
Sistemi di gestione applicato
Iso 9001
Ads
Risorsa esterna
Sito internet

Livello di scolarizzazione del personale

Esigenze ed aspettative delle parti interessate (ERM fase 2 obiettivi)
Parte interessata
Esigenza aspettativa
Clienti
Mantenimento delle informazioni riservate di ogni cliente (segregazione dei dati)
Soggetti coinvolti dai test sui prodotti
Tutela dei dati personali e sensibili (conformità alla legge)
Dipendenti
Tutela dei dati personali e sensibili (conformità alla legge)

Formazione

Organizzazione ed accesso ai dati che sia funzionale alla gestione interna

Tecnologia adeguata
Proprietà
Rispetto della normativa, tutela del know-how (il dato come asset), efficienza dei processi, tutela del marchio

Avvalersi di consulenti e fornitori di beni che tutelino il proprio know-how
Fornitori di beni

Identificazione eventi e dei rischi associati ai processi aziendali (ERM 3,4)

rischio
evento
misure di mitigazione in essere
gravità
probabilità
valore del rischio
misure di mitigazione da pianificare
perdita dei dati
furto del server
sistema di allarme, videosorveglianza
a
m
= A x M
polizza, crittografia

Estratto dalla lista fornita dal Garante della Privacy per la protezione dei dati dei rischi che incombono sui sistemi informatici:
• Comportamenti degli operatori: Furto di credenziali di autenticazione, Carenza di consapevolezza, disattenzione o incuria, Comportamenti sleali o fraudolenti, Errore materiale;
• Eventi relativi agli strumenti: azione di virus informatici o di codici malefici, Spam o altre tecniche di sabotaggio, malfunzionamento, indisponibilità o degrado degli strumenti, Accessi esterni non autorizzati, Intercettazione di informazioni in rete;
• Eventi relativi al contesto: Accessi non autorizzati a locali/reparti ad accesso ristretto, asportazione e furto di strumenti contenenti dati, Eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti ad incuria, guasto ai sistemi complementari (impianto elettrico, climatizzazione….), errori umani nella gestione della sicurezza fisica.

ADEGUAMENTO RISPETTO ALLE NORME VIGENTI

Il Privacy Officer potrebbe trovare più lacune rispetto a quelle emerse al punto 1 e 3, che è una analisi sommaria

Esempio:


AZIONI DA EFFETTUARE PER ADEGUAMENTO ALLE NORME PRIVACY
DOCUMENTI DA PREDISPORRE PER ADEGUAMENTO CODICE PRIVACY
IMPATTO SUL SISTEMA DI GESTIONE INTEGRATO (AZIONI DA EFFETTUARE, AZIONI DA PREDISPORRE)

Disattivare il sistema di video registrazione.
Informativa
Documento (es. Mansionario) in cui indicare quali funzioni hanno accesso al sistema di video registrazioni

Disattivare il sistema di video registrazione.
Informativa
Predisporre accordo con Sindacato o chiedere autorizzazione alla Direzione Territoriale del Lavoro

Trasmettere informativa al campione già interpellato, verifica del consenso e distruzione dei dati in possesso se privi di autorizzazione
Informativa
Redazione Informativa con raccolta del consenso

Conferire ai soggetti che accedono al sotterraneo lettera conferimento incaricato al trattamento dei dati;
Verificare la data dell'interruzione del rapporto dei dipendenti non più in servizio e distruggere tutti i dati di coloro la cui data di interruzione è antecedente a quella consentita dalle norme privacy.
Nomina Incaricato Al Trattamento per ogni responsabile;
Definizione Mansionario con indicazione della Funzione;
Togliere le chiavi a tutti i soggetti che accedono al sotterraneo, sostituire serratura, verificare il mansionario con le relative funzioni, sottoscrivere lettera con assegnazione delle nuove chiavi di accesso, digitalizzare i documenti cartacei.

Adeguamento del piano di backup e di restore dei dati alle misure idonee di protezione e conservazione dei dati previste dalle norme vigenti nonché dal Garante;
Nomina ad Amministratore di Sistema, Nomina a DBA, nomina di responsabile esterno del trattamento alla società esterna che ha la manutenzione del sistema
- Effettuare subito un backup di tutti i database;
- Effettuare subito una simulazione di restore dei dati per capire se questi sono integri
- stabilire un piano di backup e di disaster recovery tale da consentire la protezione dalla perdita dei dati in relazione alla frequenza temporale di popolamento dei database aziendali;

Raccolta del consenso dei collaboratori che forniscono la foto per le campagne promozionali
Informativa comprensiva di consenso
Raccolta del consenso collaboratori per impiego immagini (diritto d'autore) con la cessione dei diritti patrimoniali

Indicare all'interno dell'informativa il consenso unico per la raccolta dei dati. Fornire le specifiche tecniche per consentire agli utenti di poter scegliere successivamente il mezzo da cui ricevere le informazioni commerciali OPT OUT
Informativa comprensiva raccolta di consenso


Responsabili esterni al trattamento
Nomina dell'hoster, nonché dell'Agenzia che sviluppa il software come responsabile esterno al trattamento dei dati


Controllo accesso ai locali
Registro personale autorizzato all'accesso


Adeguare informativa del sito Internet
Nuova Informativa

IMPLEMENTAZIONE SISTEMA PRIVACY
Stesura di procedure, documenti e modelli, condivisione con le risorse aziendali e successiva applicazione. Le attività previste nei punti 5 e 6 possono essere sequenziali o integrate, ovvero potrebbe essere svolta solo l'attività 5 e non la 6 (mentre la 6 richiede necessariamente la 5).

Esempio azioni per l’implementazione di un sistema privacy
Ambito di Integrazione
Documenti da Modificare o Creare
Modifica
Risorse Umane
Procedure di selezione delle risorse umane
deve prevedere gestione dei Curriculum Vitae
Risorse Umane
Procedura di ingresso Collaboratori
deve prevedere all'atto dell'assunzione la consegna dell'informativa, nomina incaricato, formazione in ingresso
Risorse Umane
Procedura di ingresso Collaboratori
Fornitura delle credenziali di accesso ai sistemi informativi
Risorse Umane
Procedura interruzione collaboratore
Modifica e/o distruzioni delle credenziali di accesso
Risorse Umane
Procedura gestione interruzioni pregresse
Verificare ogni 6 mesi la presenza di dati relativi a rapporti di lavoro intercorsi prima dei termini previsti per legge
Risorse Umane
Piano di Conversazione
Redigere il nuovo piano di conversazione adottato dal Call Center a favore dei Clienti
Risorse Umane
Definizione del Mansionario comprendente la funzione
Definire il Mansionario con l'indicazione delle funzioni
Risorse Umane
Codice di Condotta del Personale
Indicare il comportamento da tenere all'interno dell'azienda nonché sui social network
Risorse Umane
Elenco accessi ai locali fisici
Revisione totale dei soggetti che accedono con relative chiavi ecc..
Risorse Umane
ORGANIGRAMMA
Aggiornare ai sensi norme Privacy
Risorse Umane
FUNZIONIGRAMMA

Aggiornare ai sensi norme Privacy
Risorse Umane
VideoSorveglianza
Autorizzazioni previste ai sensi norme vigenti
IT
Account di accesso ai Social
Definizione degli account di accesso ai social e dei soggetti che accedono
IT
Procedura per il backup ed il restore dei database
Indicare modi e tempi per il backup ed il restore dei dati
IT
Procedura per la mappatura, protezione e conservazione dei database (banche dati)

IT
Elenco dei dispositivi muniti di sistemi di memoria dati
Capire i soggetti che accedono alle varie banche dati
IT
Elenco delle caselle di posta elettronica
Definire elenco e soggetti in possesso degli accessi
IT
Elenco delle caselle PEC
Elenco dei soggetti che accede alla PEC
IT
Misure previste dalla 27001

IT
Verifica Licenze Software

MTG
Informativa e consenso raccolta dati via web, cartaceo
Predisporre il consenso
MTG
Garante per Profilazione Dati
Adeguare la prassi interna alle prescrizioni ai sensi norme privacy
DIREZIONE
PIANO DI QUALITA'
Adeguare le attività minime di autditing alle norme sulla privacy
CALL CENTER
Informativa del messaggio telefonico
Adeguare il messaggio alle norme privacy
DIREZIONE
Elenco pratiche legali
Definire e/o integrare elenco delle pratiche legale comprensivo di eventuali contenziosi con il garante
DIREZIONE
Istruzioni per fornitori esterni
Requisiti minimi ai sensi privacy per i contratti con fornitori esterni
LOGISTICA
Protocollo consegna prodotti
Adeguamento ai sensi privacy
CALL CENTER
AUDIT DEDICATO
Elementi minimi del piano audit del Call Center
AZIENDA
Verifica e revisione annuale del DPS



FORMAZIONE DEL PERSONALE
Schema di formazione del personale che prevede la somministrazione di test, criteri di valutazione e il rilascio di un attestato di partecipazione

Esempio:
Reparto
Contenuti
Durata
marketing
Informativa e Raccolta consenso al Trattamento dei Clienti
Attività di profilazione
Dati relativi alle allergie intolleranze (dati sensibili)
Credenziali per l'accesso ai sistemi informativi e alle banche dati
Privacy per il Sito Web
Credenziali per l'accesso ai locali
Codice di Condotta
Formazione e Istruzione dell'AUDITOR
Test di verifica della Formazione Somministrata
Raccolta consenso tramite eventi, fiere, iniziative commerciali fisiche
Min. 8 ore, o quanto previsto dalle norme vigenti
Personale
Credenziali per l'accesso ai locali
Conservazione dei documenti informatici
Conservazione dei documenti cartacei
Distruzione di dati digitali
Codice di Condotta
Formazione e Istruzione dell'AUDIT
Test di verifica della Formazione Somministrata
Min. 8 ore, o quanto previsto dalle norme vigenti
IT
Informativa e Raccolta consenso al Trattamento dei Clienti
Attività di profilazione
Dati relativi alle allergie intolleranze (dati sensibili)
Credenziali per l'accesso ai sistemi informativi
Credenziali per l'accesso ai locali
Misure minime ed idonee per la protezione e conservazione dei dati: backup, restore, disaster recovery, protezione da eventi dolosi e/o accidentali
Conservazione delle informazioni digitali nel tempo
Distruzione di beni informatico con dati digitali
Formazione e Istruzione sull'AUDIT
Test di verifica della Formazione Somministrata
Min. 12 ore, o quanto previsto dalle norme vigenti
Commerciale
Informativa e Raccolta consenso al Trattamento dei Clienti
Attività di profilazione
Dati relativi alle allergie intolleranze (dati sensibili)
Credenziali per l'accesso ai sistemi informativi
Credenziali per l'accesso ai locali
Formazione e Istruzione dull'AUDIT
Test di verifica della Formazione Somministrata
Raccolta consenso tramite eventi, fiere, iniziative commerciali fisiche
Min. 8 ore, o quanto previsto dalle norme vigenti
Logistica
Credenziali per l'accesso ai locali
Formazione e Istruzione dell'AUDITOR
Test di verifica della Formazione Somministrata
Min 3 ore, o quanto previsto dalle norme vigenti
Amministrazione
Responsabilità della proprietà e del legale rappresentanza in seno alle norme Privacy;
Sanzioni previste per la violazione delle norme privacy vigenti
Informativa e Raccolta consenso al Trattamento dei Clienti
Attività di profilazione
Dati relativi alle allergie intolleranze (dati sensibili)
Credenziali per l'accesso ai sistemi informativi e alle banche dati
Privacy per il Sito Web
Credenziali per l'accesso ai locali
Formazione e Istruzione dell'AUDITOR
Test di verifica della Formazione Somministrata
Raccolta consenso tramite eventi, fiere, iniziative commerciali fisiche;
Min. 10 ore, o quanto previsto dalle norme vigenti
RSPP
Credenziali per l'accesso ai locali, elenco dei soggetti autorizzati
Formazione e Istruzione dell'AUDIT
Test di verifica della Formazione Somministrata
Min 3 ore, o quanto previsto dalle norme vigenti


IL SISTEMA PRIVACY VIENE AVVIATO
Il sistema viene avviato, mantenuto ed aggiornato

AUDIT
Dopo un adeguato lasso di tempo, dei processi aziendali, avente come criterio l'applicazione del dlgs 196/RE e/o sistema di gestione della privacy prevalente in plenaria sabato mattino

Esempio scheda di Audit:

Auditor

Funzione auditata

Intervistati

Data

Domanda - Esito: Evidenze - Ok - Non ok

Mantenimento e miglioramento del sistema (ERM 8 Monitoraggio), adeguamento alle variazioni normative, proseguimento dell'attività di audit.

 

http://www.iusprivacy.eu/

 

: 07/06/2017
:

news, post, foto, pagina

:

Landing Page


Contatta Per informazioni

Indica il Nome
Indica il Cognome
Indica la tua mail
Indica il tuo numero di telefono
Indica il CAP
Messaggio
Componi il testo della risposta
Rispondi Come
allega immagine
Autorizzazione e trattameno dei dati ai sensi D.Lgs.n.196/2003 Privacy