Modifica dei modelli

Nel menu di navigazione, selezionare la voce di menu “„Processing Activities“ (art. 30 del GDPR).

Secondo quanto descritto nel sezione dati anagrafici, NiōBase viene fornito con un numero di modelli per le attività di trattamento. È possibile utilizzarli per implementare i requisiti del GDPR nella propria organizzazione, ma è necessario verificarli nei dettagli. In particolare, devono essere esaminati ed eventualmente essere adeguati gli incaricati del trattamento dei dati, i sistemi, le categorie di persone interessate, le misure tecniche e organizzative. Si prega inoltre di verificare i rischi potenziali e qualsiasi valutazione riguardante la protezione dei dati richiesta nel caso in cui si utilizzino le categorie speciali ai sensi dell’art. 9 del GDPR.

Prima di iniziare a esaminare e a adeguare i modelli, invitiamo a familiarizzare con il sistema creando una nuova attività di trattamento.

Nei passaggi seguenti mostreremo come creare un’attività di trattamento utilizzando l'esempio "Travel Management".

1. Creazione di attività di trattamento
Nella panoramica delle attività di trattamento, fare clic sul pulsante „NEW“ in basso a destra, come mostrato nella schermata precedente. Si visualizza la seguente schermata (estratto) e si può iniziare inserendo una nuova attività di trattamento.

Le schermate sono divise in due colonne. Se si dispone di uno schermo con una risoluzione inferiore, tutti i campi della sequenza possono apparire in un’unica colonna. Se non si ha ancora sufficiente dimestichezza con il sistema e con la definizione delle attività di trattamento nell’ambito del GDPR, si consiglia di iniziare con la colonna a sinistra, modificandola completamente scorrendo verso il basso e quindi continuare con le misure tecniche e organizzative sulla colonna a destra.

2. Regolare lo stato

Selezionare quindi l’impostazione desiderata dal menu a discesa “Status”. Per tale esempio è meglio selezionare „In Examination“.

Akarion NiōBase – Selezione dello stato mediante il menu a discesa
3. Seleziona nome

Quindi, inserire un termine significativo e descrivere l’uso previsto nel modo più accurato possibile. Si tenga presente che tutto ciò verrà utilizzato per generare o stampare la directory per le informazioni sull’autorità di regolamentazione (DPA).

Akarion NiōBase – Inserimento del termine significativo e dell’uso previsto
4. Assegnazione reparto

Nel passaggio successivo, selezionare il reparto a cui si desidera assegnare l’attività di trattamento facendo clic sulla voce “Department” del menu a discesa.

Akarion NiōBase – Inserimento del termine significativo e dell’uso previsto

Selezione del 'Department' e del 'Process Controller' a cui compete tale attività di trattamento.

5. Selezionare le categorie interessate

Nella sezione "Persone interessate" (categoria di persone interessate), aggiungere i dipendenti o altri interessati e le loro categorie di dati (nome, indirizzo, data di nascita, ecc.) con i rispettivi periodi di conservazione1 previsti dalla legislazione2. Elencare tutte le categorie singolarmente (in futuro sarà possibile raggruppare i periodi di conservazione); é possibile aggiungere i periodi di conservazione mancanti nella sezione di navigazione "Categorie" alla voce "Periodi di conservazione"3.

1 In caso di domande, contattare il proprio consulente legale,il proprio coordinatore o l’incaricato del trattamento dei dati oppure la propria Camera di commercio.

2 Se necessario, contattare il titolare o l’incaricato della protezione dei dati in modo specifico il proprio studio legale.

3 Purtroppo, i periodi di conservazione non sono disponibili in tutti i Paesi. Quelli riguardanti l’Austria si possono trovare a questo link:
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-speicher-und-aufbewahrungsfristen.html, data ultima consultazione 26/05/2018

Akarion NiōBase – Aggiunta di categorie di interessati e di dati
6. Acquisire l’origine della raccolta dati

Immettere quindi l'origine della raccolta dati alla voce "Flusso di dati". Per questo esempio, scegliere "Altra attività di elaborazione" in quanto c'è un'attività di lavorazione a monte, ad esempio la "gestione del personale".

Akarion NiōBase – Selezione origine della raccolta dati
7. Specificare il sistema di destinazione

Grazie alla logica integrata, il sistema riconosce automaticamente il passo successivo e chiede di selezionare l'attività di elaborazione precedente "Gestione del personale". Nella fase successiva selezionare "Sistema" e selezionare il software HR appropriato - in questo esempio "Salesforce".

Ora si dovrebbero avere le seguenti voci:

Akarion NiōBase – Panoramica sul trattamento dati
8. Aggiungi trattamento dati

Ora utilizza "+Aggiungi elaborazione dati" per aggiungere il trasferimento dei dati agli hotel, poiché in un gestionale viaggi trasferisci i dati personali per la prenotazione alberghiera.

Akarion NiōBase – Aggiunta di una trasmissione di dati

Ora utilizza "+ Aggiungi elaborazione dati" per aggiungere ulteriori trasferimenti di dati a ferrovie, compagnie aeree, compagnie di autonoleggio, ambasciate, autorità di immigrazione o simili e a tutti quelli di cui hai bisogno per le tue attività commerciali. Tenere sempre a mente le categorie di persone interessate successive.

Si dovrebbe avere una schermata con voci simili alle seguenti:

Akarion NiōBase – Trattamento dei dati di un’attività di trattamento
9. Aggiungere le basi giuridiche

Aggiungere ora la base giuridica pertinente e descriverla brevemente.

Akarion NiōBase – Aggiunta delle basi giuridiche per le attività di trattamento
10. Impostare i permessi di accesso

Definisci chi ha accesso nella tua organizzazione a questi dati aziendali. I ruoli selezionati sono standard ma naturlamente possono differire in ciascun sistema organizzativo. Si prega quindi di controllare attentamente e selezionare i ruoli appropriati. Se mancano i ruoli, è possibile aggiungerli direttamente senza uscire dalla schermata, utilizzando la funzione '+ Aggiungi titolo lavoro'. I ruoli sono ora disponibili anche per altre attività di lavorazione.

Akarion NiōBase – Aggiunta di misure tecniche e organizzative per l’attività di trattamento
11. Eseguire l'analisi dei rischi

Il passo successivo è quello di preparare un'analisi dei rischi. Se necessario, confrontarla con una valutazione d'impatto sulla protezione dei dati e con le misure tecniche e organizzative già adottate (MTO). Può essere richiesta anche una procedura di notifica di violazione dei dati.

NiōBase offre un modello esemplificativo di procedura tipica per una possibile procedura di notifica di violazione dei dati.

Attenzione
Il modello deve essere, in ogni caso, verificato per poter essere utilizzato nella propria organizzazione ed eventualmente dovrebbe essere personalizzato.

Si prega di consultare il testo della legge GDPR in Akarion NiōBase nella sezione di navigazione “GDPR”. Le corrispettive indicazioni sono disponibili ai sensi degli articoli 32, 33, 34, 35 e 36. Consultare, se necessario, il proprio consulente legale, il proprio coordinatore o l’incaricato del trattamento dei dati, le proprie Camere di Commercio.

Akarion NiōBase – Analisi rischio

1. Effettuare qui la propria valutazione dei rischi. Tale operazione deve essere svolta manualmente.

2. Descrivere qui la valutazione dei rischi adottata.
Importante: 
Si deve descrivere la propria analisi dei rischi anche se si considera il rischio basso.

3. A seconda della valutazione, il regolatore è impostato su attivo.

12. Privacy by Design & Default

„Protezione dei dati mediante progettazione tecnologica “ (Privacy by Design) e ”Protezione dei dati per impostazione predefinita“ (Privacy by Default). Descrivere ora quali sono le misure tecniche e organizzative che fondamentalmente si incontrano in anticipo.

Akarion NiōBase – Privacy by Design & Default
13. Adottare misure supplementari (in funzione dell'attività di trattamento)
  1. A seconda delle attività di trattamento e delle misure tecniche e organizzative adottate nell’ambito dell’analisi dei rischi, possono essere necessari sia i processi per la cancellazione dei dati e i processi di correzione dei dati sia le misure di minimizzazione dei dati. È possibile collegarsi direttamente ai processi richiesti se li si è memorizzati nel sistema. È anche possibile collegarsi a documenti che contengono le misure corrispondenti e che sono stati precedentemente caricati o collegati dall’esterno mediante la gestione dei documenti (sezione di navigazione "Operative" - “Documents”).
Akarion NiōBase – Privacy by Design & Default - Misure supplementari

Salvare le voci periodicamente e definire l’inserimento facendo clic su „UPDATE“.

Attivare l'attività di trattamento

Quando l’attività di trattamento è completamente definita, è possibile impostarla su “Active” nella voce “Status” del menu a discesa. Verrà visualizzato ora un cursore con il quale è possibile impostare un periodo di tempo. Ciò ha senso se le attività di trattamento cambiano nel corso degli anni e se esse copiano e modificano un’attività di trattamento disattivando quella precedente. In tal modo è stata richiesta una cronologia del GDPR.

Akarion NiōBase – Protezione dei dati predefinita e sin dalla progettazione