Direttiva sulla protezione dei dati
Gstaad Palace
1. Oggetto e principi fondamentali
La presente direttiva sulla protezione dei dati contiene le norme sulla protezione dei dati personali che si applicano a Gstaad Palace (di seguito denominata azienda). Essa fornisce ai dipendenti le principali nozioni di base sulla protezione dei dati e, insieme ad altre misure e documenti, consente loro di svolgere le proprie attivitĂ in conformitĂ alle disposizioni vigenti in materia di protezione dei dati.
PoichĂŠ lâazienda offre servizi alberghieri e, se del caso, altri servizi e beni e tratta e scambia dati personali in questo contesto, le normative svizzere in materia di protezione dei dati e, se del caso, altre leggi in materia di protezione dei dati (ad esempio le normative europee in materia di protezione dei dati) sono pertinenti per lâazienda
2. Ambito di applicazione
La presente direttiva sulla protezione dei dati si applica a tutti i dipendenti dellâazienda che trattano dati personali. Nellâambito del loro rapporto di lavoro, i dipendenti sono tenuti a rispettare le disposizioni pertinenti della normativa in materia di protezione dei dati e la presente direttiva sulla protezione dei dati.
3. Oggetto
Oggetto della presente direttiva sulla protezione dei dati è il trattamento dei dati personali, a prescindere dal tipo e dalla forma del trattamento (ossia cartaceo, digitale, orale, totale, parziale o non automatizzato).
4. Termini
La normativa applicabile in materia di protezione dei dati definisce alcuni termini importanti. In linea di massima, i termini seguenti hanno lo stesso significato di quelli definiti nella Legge federale sulla protezione dei dati (FADP). I termini piĂš importanti hanno il seguente significato:
Dati personali: Per dati personali si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile
Esempi: Nome, indirizzo, dati di localizzazione, identificatori online come ID del dispositivo, ID del cookie, indirizzo IP, tag RFID, ecc.
Nota: Ci riferiamo a persone fisiche e non a persone giuridiche o altre entitĂ . Ma: Anche le informazioni relative a un referente di un fornitore o a un altro rapporto tra imprese (B2B) sono considerate dati personali
Dati personali che richiedono una protezione speciale: Dati personali delle seguenti categorie:
- dati su opinioni o attivitĂ religiose, ideologiche, politiche o sindacali;
- dati sulla salute, sulla riservatezza o sullâorigine razziale o etnica;
- dati genetici;
- dati biometrici che identificano in modo univoco una persona fisica;
- dati relativi a procedimenti o sanzioni amministrative e penali;
- dati sulle misure di assistenza sociale.
Esempi: Registrazioni di sistemi di videosorveglianza, dati sulla salute dei dipendenti, precedenti penali dei dipendenti, ecc.
Soggetto interessato: Persona fisica i cui dati personali sono oggetto di trattamento.
Esempi: Ospiti, dipendenti, partner, fornitori, ecc.
Modifica/trattamento: Il trattamento dei dati personali comprende qualsiasi trattamento dei dati personali, indipendentemente dai mezzi e dalle procedure utilizzati.
Esempi: Ottenere, conservare, mantenere, utilizzare, modificare, divulgare, archiviare, cancellare o distruggere i dati.
5. Principi per il trattamento dei dati personali
Lâazienda e tutti i dipendenti osservano i seguenti principi nel trattamento dei dati personali:
5.1 LegittimitĂ , trattamento in buona fede, trasparenza
I dati personali devono essere trattati legittimamente, in buona fede e in modo comprensibile per lâinteressato. La âcomprensibilitĂ â richiede in particolare che lâacquisizione dei dati personali nonchĂŠ lâambito e la finalitĂ del trattamento siano trasparenti per lâinteressato (ad esempio, attraverso unâinformativa sulla privacy con le informazioni necessarie sul rispettivo trattamento). Ogni volta che vengono trattati dati personali, i dipendenti devono quindi verificare se le persone interessate sono state informate di questo e degli altri dettagli in conformitĂ con il paragrafo 8/9
Indicazioni pratiche:
Prima di trattare i dati personali, i dipendenti devono innanzitutto accertarsi che il trattamento sia legittimo, ossia che siano stati rispettati i principi di trattamento dei dati personali indicati in questa sezione e se sia o meno necessario ottenere il consenso dellâinteressato. Inoltre, i dipendenti devono assicurarsi che gli interessati siano stati informati in modo trasparente sul trattamento dei dati personali. Queste informazioni devono essere fornite prima del trattamento dei dati.
In caso di dubbio sulla sussistenza di una di queste condizioni, il trattamento deve essere sospeso fino a quando lâunitĂ di coordinamento della protezione dei dati non ne abbia confermato la legittimitĂ . Sono fatti salvi trattamenti esplicitamente dichiarati legittimi in altre direttive.
5.2 Limitazione dello scopo
I dati personali devono essere raccolti per finalitĂ specifiche, chiare e legittime e possono essere ulteriormente elaborati a tale scopo. Non è pertanto consentito il trattamento di dati senza che sia specificata la finalitĂ , per esempio in unâinformativa sulla privacy. Se i dati devono essere ulteriormente trattati per una finalitĂ diversa da quella specificata, i dipendenti dovranno verificare se tale finalitĂ rientra ancora in quella originaria
In determinati casi, i dati personali possono essere trattati per finalitĂ aggiuntive rispetto a quelle originariamente previste al momento della raccolta dei dati. Per stabilire se il trattamento per una finalitĂ diversa da quella originaria è compatibile, lâazienda tiene conto, tra lâaltro, di quanto segue:
- qualsiasi collegamento tra le finalitĂ per cui i dati personali sono stati raccolti e le finalitĂ dellâulteriore trattamento previsto;
- il contesto in cui i dati personali sono stati raccolti, in particolare per quanto riguarda il rapporto tra gli interessati e il titolare del trattamento;
- il tipo di dati personali, in particolare se vengono trattati dati personali che richiedono una protezione speciale;
- le possibili conseguenze dellâulteriore trattamento previsto per gli interessati;
- lâesistenza di garanzie adeguate, che possono includere la crittografia o la pseudonimizzazione.
Indicazioni pratiche:
Per valutare la legittimitĂ di tale ulteriore trattamento, prima di iniziare la raccolta dei dati è necessario consultare lâunitĂ di coordinamento della protezione dei dati e ottenere il suo consenso al trattamento.
LâunitĂ di coordinamento della protezione dei dati annoterĂ la base del trattamento nei dati personali in questione.
5.3 Minimizzazione dei dati
I dati personali devono essere adeguati, pertinenti e limitati alla finalitĂ specificata. Pertanto, non possono essere raccolti piĂš dati di quelli necessari per la finalitĂ del trattamento.
Indicazioni pratiche:
Prima di trattare i dati personali, è necessario verificare se i dati raccolti in relazione al trattamento sono assolutamente necessari per il trattamento stesso. In caso contrario, questi dati personali non possono essere raccolti su base obbligatoria, ma su base volontaria
Esempi:
1. Sul sito web dellâhotel câè la possibilitĂ di registrarsi alla newsletter. A tal fine, il saluto, il nome e lâindirizzo e-mail vengono raccolti e contrassegnati come informazioni obbligatorie. Per lâinvio della newsletter, tuttavia, sarebbe sufficiente che lâospite fornisse lâindirizzo e-mail. Per rispettare il principio della minimizzazione dei dati, solo lâindirizzo e-mail può essere raccolto come informazione obbligatoria. Il saluto e il nome possono essere raccolti solo su base volontaria
2. Allâhotel, lâospite deve compilare un modulo di registrazione. Oltre al saluto, al nome, allâindirizzo e alle altre informazioni richieste dalla legge, anche gli interessi dellâospite sono indicati come informazioni obbligatorie. Tuttavia, per adempiere allâobbligo di registrazione sarebbe sufficiente che lâospite fornisse solo i dati che devono essere raccolti per legge. Al fine di rispettare il principio della minimizzazione dei dati, possono essere raccolte solo le informazioni obbligatorie per legge. Le altre informazioni dellâospite possono essere raccolte solo su base volontaria
In caso di dubbi sulla possibilitĂ di raccogliere determinati dati come informazioni obbligatorie, il trattamento deve essere sospeso fino a quando lâunitĂ di coordinamento della protezione dei dati non avrĂ analizzato il singolo caso e deciso in merito. Sono esclusi i trattamenti esplicitamente dichiarati legittimi in altre direttive.
5.4 Accuratezza dei dati personali
I dati personali devono essere corretti e aggiornati. Tuttavia, non vi è alcun obbligo attivo di indagare sullâesattezza dei dati. Tuttavia, se vi sono direttive giustificate che i dati personali non sono piĂš aggiornati, questo sospetto deve essere accertato e i dati in questione devono essere corretti, se necessario.
Indicazioni pratiche:
I dipendenti che si accorgono di dati non corretti informano il loro superiore o, se dispongono dei diritti di modifica appropriati e non ci sono dubbi, correggono i dati stessi.
5.5 Limitazione della memoria
I dati personali devono essere conservati in una forma che consenta lâidentificazione degli interessati solo per il tempo necessario alle finalitĂ per cui sono trattati. I dati che non sono piĂš necessari devono quindi essere cancellati o resi anonimi. La questione di quanto tempo i dati non siano piĂš necessari non può essere generalizzata e deve essere definita in direttive specifiche del dipartimento o valutata caso per caso. Lâazienda e tutti i suoi dipendenti non conserveranno i dati personali per un periodo superiore a quello necessario per le finalitĂ per le quali sono stati originariamente raccolti o successivamente trattati
Indicazioni pratiche:
Ciò che è considerato necessario dipende dalle circostanze di ogni singolo caso e viene determinato con il supporto dellâunitĂ di coordinamento della protezione dei dati.
5.6 IntegritĂ e riservatezza (âsicurezza dei datiâ)
I dati personali devono essere trattati in modo da garantirne unâadeguata sicurezza. Pertanto, devono essere protetti con misure tecniche e organizzative adeguate da trattamenti non autorizzati o illegittimi e dalla perdita, distruzione o dal danno accidentale. In particolare, i dipendenti devono assicurarsi che altre persone, compresi altri dipendenti, non possano accedere ai dati personali o trattarli senza che sia chiaramente predisposta la loro autorizzazione.
Indicazioni pratiche:
Ogni dipendente contribuisce a garantire la sicurezza dei dati personali degli ospiti. Se viene accertato che lâintegritĂ o la riservatezza dei dati personali sono state violate (ad esempio mediante lâinvio di unâe-mail con lâelenco degli ospiti a un destinatario sbagliato o se si sospetta unâe-mail di phishing, ecc.) dovrĂ esserne data immediata comunicazione allâunitĂ di coordinamento della protezione dei dati che deciderĂ quindi lâulteriore procedura da seguire.
5.7 Obbligo di documentazione
La direzione dellâazienda o dellâhotel garantisce il rispetto dei suddetti principi per tutti i dati personali. Può dimostrare la conformitĂ in qualsiasi momento in modo documentato.
5.8 Consensi
Lâazienda ottiene i consensi necessari dagli interessati in tempo utile, ossia prima che venga effettuato qualsiasi trattamento per il quale è richiesto il consenso.
Qualora il consenso debba essere prestato espressamente, sarĂ fornito mediante un atto positivo inequivocabile, con cui si esprima volontariamente, per il caso specifico, in modo informato e inequivocabile che lâinteressato acconsente al trattamento dei dati personali che lo riguardano.
Una dichiarazione di consenso è fornita in una forma comprensibile e facilmente accessibile e in un linguaggio chiaro e semplice. à chiaramente distinguibile da altre questioni e non contiene clausole abusive.
Lâinteressato può inoltre avvalersi di un metodo semplice per revocare il consenso in qualsiasi momento.
Indicazioni pratiche:
Per valutare lâeventuale soddisfacimento di tali obblighi, è necessario osservare in particolare le indicazioni speciali.
In caso di dubbio, i dipendenti non tratteranno i dati finchĂŠ lâunitĂ di coordinamento della protezione dei dati non avrĂ confermato il rispetto degli obblighi
6. AttivitĂ di trattamento speciali
6.1 Trattamento dei dati personali che richiedono una protezione speciale
I dati personali che richiedono una protezione speciale non sono trattati. Lâazienda e tutti i dipendenti trattano i dati personali che richiedono una particolare protezione solo dopo aver consultato lâunitĂ di coordinamento della protezione dei dati, alle seguenti condizioni e solo nella misura in cui il trattamento non sia in contrasto con le norme di legge:
- lâ interessato ha espressamente acconsentito al trattamento dei dati per una o piĂš finalitĂ specifiche;
- il trattamento è necessario per consentire allâazienda o allâinteressato di esercitare i propri diritti e adempiere agli obblighi previsti dal diritto del lavoro e dalla normativa in materia di sicurezza sociale e protezione sociale;
- il trattamento riguarda dati personali che lâinteressato ha reso manifestamente pubblici;
- il trattamento è necessario per affermare, esercitare o difendere un diritto o in caso di atti giudiziari.
I dipendenti prenderanno atto che tali dati sono particolarmente sensibili e li tratteranno solo dopo che lâunitĂ di coordinamento della protezione dei dati ne avrĂ confermato la legittimitĂ .
Indicazioni pratiche:
Prima di trattare i dati personali che richiedono una protezione speciale, sarĂ consultata lâunitĂ di coordinamento della protezione dei dati e si otterrĂ il suo consenso al trattamento, annotando in ogni caso la base per il trattamento dei dati personali in questione.
Lâazienda applica misure di sicurezza aggiuntive per il trattamento dei dati personali che richiedono una protezione particolare.
6.2 Trattamento dei dati personali di un minore
I dati personali di un minore saranno trattati, in linea di principio, solo se il minore ha raggiunto lâetĂ di sedici anni. Se il minore non ha ancora compiuto il sedicesimo anno di etĂ , i suoi dati personali saranno trattati solo se e nella misura in cui il rappresentante legale del minore presterĂ il suo consenso al trattamento
Lâazienda e tutti i dipendenti si adopereranno al meglio per accertare in questi casi che il consenso sia stato prestato dal rappresentante legale del minore.
Indicazioni pratiche
In caso di dubbi sul rispetto di tali requisiti, i dipendenti non effettueranno alcun trattamento dei dati fino a quando lâunitĂ di coordinamento della protezione dei dati non avrĂ confermato il rispetto degli obblighi
6.3 Marketing digitale
Non saranno inviate comunicazioni a scopo pubblicitario o di marketing ai contatti tramite mezzi digitali quali telefoni cellulari, e-mail o Internet senza aver prima ottenuto il consenso degli interessati. Se è stato prestato il consenso per il trattamento dei dati personali per finalitĂ di marketing digitale, lâinteressato sarĂ informato in ogni comunicazione che ha il diritto di revocare il proprio consenso in qualsiasi momento.
Indicazioni pratiche:
In caso di dubbio sulla natura pubblicitaria di una comunicazione, sul fatto che sia stato prestato il consenso o che siano state fornite informazioni sul diritto di revoca, il trattamento dei dati deve essere sospeso fino a quando lâunitĂ di coordinamento della protezione dei dati non avrĂ confermato il rispetto degli obblighi
Buone pratiche:
Non è consentito quanto segue:
- Caselle di accettazione (opt-in) precompilate.
- Fare affidamento sul silenzio, sullâinattivitĂ , sulle impostazioni predefinite o sui vostri termini e condizioni.
- Esclusivamente una facoltĂ di rifiuto (opt-out) (senza richiedere un opt-in esplicito).
Ă necessario garantire quanto segue:
- La conservazione della documentazione del processo di consenso (per esempio, la data del consenso, il tipo di consenso, le informazioni fornite alla persona che presta il consenso).
- Il consenso al trattamento è identificativo, chiaro e non legato ad altri accordi o dichiarazioni scritte.
- Le persone sono informate della possibilitĂ di far valere il diritto di revocare il proprio consenso in qualsiasi momento.
- Esistono metodi semplici per revocare il consenso.
- Il consenso viene ottenuto separatamente per le diverse operazioni di trattamento (il consenso al marketing diretto deve sempre essere separato da qualsiasi altro consenso al trattamento).
Nota: ai clienti esistenti possono essere applicati alcuni privilegi che devono essere verificati con lâufficio legale in ogni singolo caso.
7. Elenco delle attivitĂ di trattamento
Lâazienda e, se del caso, i suoi rappresentanti, terranno un elenco di tutte le attivitĂ di trattamento sotto la loro responsabilitĂ . Tale elenco conterrĂ almeno le seguenti informazioni:
- LâidentitĂ del titolare del trattamento, ossia il nome e i dati di contatto dellâazienda e, se del caso, delle persone congiuntamente responsabili, del loro eventuale rappresentante e dellâeventuale Responsabile della protezione dei dati;
- le finalitĂ del trattamento;
- una descrizione delle categorie di soggetti interessati e delle categorie di dati personali trattati;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati (compresi i destinatari in paesi terzi o organizzazioni internazionali);
- se possibile, il periodo di conservazione dei dati personali o i criteri per determinare tale periodo;
- se possibile, una descrizione generale delle misure tecniche e organizzative;
- se i dati vengono divulgati allâestero, lâindicazione del Paese e delle garanzie attuate per assicurare un adeguato livello di protezione dei dati.
Indicazioni pratiche:
Al fine di mantenere sempre aggiornato lâelenco delle attivitĂ di trattamento, i dipendenti comunicheranno allâunitĂ di coordinamento della protezione dei dati le nuove attivitĂ di trattamento prima del loro inizio, includendo, se possibile, le informazioni sopra elencate.
8. Obblighi di informazione in caso di raccolta di dati personali direttamente dallâinteressato
Al momento della raccolta dei dati personali, lâazienda deve fornire agli interessati in particolare le seguenti informazioni:
- lâidentitĂ e i dati di contatto;
- o le finalitĂ del trattamento;
- se del caso, i destinatari o le categorie di destinatari dei dati personali;
- se i dati personali sono divulgati allâestero: il paese o lâorganismo internazionale e, se del caso, le garanzie per assicurare un livello adeguato di protezione dei dati o lâapplicazione di unâeccezione per assicurare un livello adeguato di protezione dei dati;
- quando si adottano le cosiddette decisioni individuali automatizzate: La decisione adottata senza intervento umano, la possibilitĂ per lâinteressato di esprimere il proprio punto di vista e la possibilitĂ per una persona fisica di rivedere la decisione individuale automatizzata.
Se necessario, la legge applicabile in materia di protezione dei dati può prevedere contenuti aggiuntivi, come per esempio la normativa europea in materia di protezione dei dati, che prevede inoltre la seguente descrizione dettagliata delle informazioni:
- la base giuridica del trattamento;
- se del caso, lâintenzione di trasferire i dati personali a un Paese terzo e lâesistenza o lâassenza di una decisione di adeguatezza da parte della Commissione UE, un riferimento alle garanzie appropriate o adeguate e le modalitĂ per ottenerne una copia o dove sono disponibili.
- la durata della conservazione dei dati personali o, se ciò non è possibile, i criteri per determinare tale durata;
- lâesistenza di un diritto di accesso ai dati personali in questione, nonchĂŠ il diritto alla rettifica o alla cancellazione o alla limitazione del trattamento o il diritto di opporsi al trattamento, nonchĂŠ il diritto alla portabilitĂ dei dati;
- se del caso, lâesistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la legittimitĂ del trattamento effettuato sulla base del consenso fino alla revoca;
- lâesistenza di un diritto di fare ricorso a unâautoritĂ di controllo;
- lâesistenza di un processo decisionale automatizzato, compresa la profilazione, e - almeno in questi casi - informazioni significative sulla logica coinvolta e sulla portata e gli effetti previsti di tale trattamento per lâinteressato.
Queste informazioni sono messe a disposizione degli interessati, per esempio tramite unâinformativa sulla privacy.
Indicazioni pratiche:
Per garantire che le informazioni fornite agli interessati siano sempre aggiornate, i dipendenti comunicheranno allâunitĂ di coordinamento della protezione dei dati le nuove attivitĂ di trattamento prima che inizino, includendo, se possibile, le informazioni sopra elencate.
9. Obblighi di informazione per la raccolta indiretta di dati personali
I dati personali degli interessati possono essere raccolti anche indirettamente, cioè da terzi Tuttavia, ciò non esonera lâazienda dallâinformare lâinteressato del trattamento. Oltre alle informazioni di cui alla sezione 8, lâazienda informerĂ lâinteressato sulle categorie di dati personali trattati. Le informazioni devono essere fornite allâinteressato entro un mese dalla ricezione dei dati personali da parte di terzi o al piĂš tardi al momento della comunicazione a terzi.
Se necessario, la legge applicabile in materia di protezione dei dati può prevedere contenuti aggiuntivi, per esempio la normativa europea in materia di protezione dei dati, che stabilisce inoltre che le seguenti informazioni devono essere incluse nellâinformativa (in aggiunta alla precedente sezione 8):
- la fonte dei dati personali e, se del caso, se i dati personali provengono da fonti accessibili al pubblico.
Indicazioni pratiche:
Per garantire che le informazioni fornite agli interessati siano sempre aggiornate, i dipendenti comunicheranno allâunitĂ di coordinamento della protezione dei dati le nuove attivitĂ di trattamento prima che inizino, includendo, se possibile, le informazioni sopra elencate.
10. Diritti degli interessati
Lâazienda e tutti i dipendenti rispettano i seguenti diritti degli interessati:
10.1 Diritto allâinformazione
Qualsiasi soggetto interessato i cui dati personali sono trattati dallâazienda ha il diritto di richiedere alla societĂ la conferma che i dati personali relativi al soggetto che effettua la richiesta siano o meno trattati. A tal fine, lâinteressato deve inviare una richiesta scritta via e-mail al Responsabile della protezione dei dati dellâazienda. Prima di rispondere alla richiesta, è necessario verificare lâidentitĂ dellâinteressato.
Se lâidentitĂ può essere stabilita al di lĂ di ogni dubbio, lâinteressato ha il diritto di ottenere le seguenti informazioni sui propri dati personali:
- lâidentitĂ e i dati di contatto del titolare del trattamento;
- i dati personali trattati in quanto tali;
- le finalitĂ del trattamento;
- il periodo di conservazione dei dati personali o, se ciò non è possibile, i criteri per determinare tale periodo di conservazione;
- le informazioni disponibili sullâorigine dei dati personali, nella misura in cui non sono state ottenute dallâinteressato;
- se del caso, lâesistenza di una decisione individuale automatizzata e la logica su cui si basa la decisione;
- se del caso, i destinatari o le categorie di destinatari a cui vengono comunicati i dati personali e il paese o lâorganismo internazionale e, se del caso, le garanzie per assicurare un livello adeguato di protezione dei dati o lâapplicazione di unâeccezione per assicurare un livello adeguato di protezione dei dati
Se necessario, la normativa applicabile sulla protezione applicabile può prevedere ulteriori contenuti, per esempio la normativa europea in materia di protezione dei dati che prevede inoltre la comunicazione allâinteressato dei seguenti dati:
- lâesistenza di un diritto alla rettifica o alla cancellazione dei dati personali che li riguardano o alla limitazione del trattamento da parte del titolare del trattamento o il diritto di opporsi a tale trattamento;
- lâesistenza di un diritto di fare ricorso a unâautoritĂ di controllo;
- lâesistenza di un processo decisionale automatizzato, compresa la profilazione, e - almeno in questi casi - informazioni significative sulla logica coinvolta e sugli effetti previsti di tale trattamento per lâinteressato.
Lâazienda fornirĂ una copia dei dati personali oggetto del trattamento.
La divulgazione delle informazioni richieste allâinteressato potrebbe, in determinati casi, rivelare i dati personali di un altro interessato. In questi casi, le informazioni in questione devono essere occultate o espunte, in base a quanto ritenuto necessario o opportuno per proteggere i diritti di tale persona.
Indicazioni pratiche:
Le richieste di informazioni da parte degli interessati devono essere inoltrate immediatamente allâunitĂ di coordinamento della protezione dei dati.
10.2 Diritto alla rettifica
Lâinteressato ha il diritto di chiedere che lâazienda rettifichi senza indugio eventuali dati personali inesatti che lo riguardano. Tenendo conto delle finalitĂ del trattamento, lâinteressato ha il diritto di richiedere il completamento di dati personali incompleti - anche mediante una dichiarazione integrativa
Indicazioni pratiche:
Le richieste di rettifica da parte degli interessati devono essere inoltrate immediatamente allâunitĂ di coordinamento della protezione dei dati.
Le richieste di rettifica dei dati dei dipendenti da parte degli interessati devono essere indirizzate allâUfficio Risorse Umane dellâazienda.
10.3 Diritto alla cancellazione (âdiritto allâoblioâ)
Lâinteressato ha il diritto, a determinate condizioni, di richiedere allâazienda la cancellazione immediata dei dati personali che lo riguardano, e lâazienda è obbligata a cancellare i dati personali senza indugio.
Indicazioni pratiche:
Le richieste di cancellazione da parte degli interessati devono essere inoltrate immediatamente allâunitĂ di coordinamento della protezione dei dati.
Le richieste di cancellazione dei dati dei dipendenti da parte degli interessati devono essere indirizzate allâUfficio Risorse Umane dellâazienda.
10.4 Diritto di limitare il trattamento
Lâinteressato ha il diritto di richiedere la limitazione del trattamento al verificarsi di una delle seguenti condizioni:
- lâesattezza dei dati personali è contestata dallâinteressato (compreso lâinserimento di una nota di contestazione). Il trattamento è limitato per un periodo di tempo che consente al titolare del trattamento di verificare lâesattezza dei dati personali;
- il trattamento è illegittimo e lâinteressato rifiuta di cancellare i dati personali e chiede invece che lâuso dei dati personali sia limitato;
- lâazienda non ha piĂš bisogno dei dati personali per le finalitĂ del trattamento. Tuttavia, lâinteressato ne ha bisogno per lâaccertamento, lâesercizio o la difesa di un diritto in sede giudiziaria;
- lâinteressato si è opposto al trattamento in conformitĂ al diritto di opposizione. La limitazione avrĂ luogo fino a quando non sarĂ stato stabilito se i motivi legittimi dellâazienda prevalgono su quelli dellâinteressato.
Se il trattamento è stato limitato, questi dati personali - oltre a essere conservati - possono essere trattati solo con il consenso dellâinteressato, per lâaccertamento, lâesercizio o la difesa di un diritto in sede giudiziaria, per la tutela dei diritti di unâaltra persona fisica o giuridica o per motivi di rilevante interesse pubblico.
Lâinteressato che ha ottenuto una limitazione del trattamento sarĂ informato dal titolare del trattamento prima che la restrizione sia revocata.
Indicazioni pratiche:
Le richieste di limitazione da parte degli interessati devono essere inoltrate immediatamente allâunitĂ di coordinamento della protezione dei dati.
10.5 PortabilitĂ dei dati
Lâinteressato ha il diritto di ricevere i dati personali che lo riguardano e che ha fornito alla societĂ in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Ha inoltre il diritto di trasmettere tali dati a unâaltra societĂ senza impedimenti, a condizione che:
- il trattamento si basi sul consenso dellâinteressato;
- il trattamento sia effettuato in diretta connessione con la conclusione o lâesecuzione di un contratto tra lâazienda e lâinteressato; oppure
- il trattamento sia effettuato con lâausilio di procedure automatizzate.
Indicazioni pratiche:
Le richieste di trasferimento dei dati da parte degli interessati devono sempre essere inoltrate allâunitĂ di coordinamento della protezione dei dati.
10.6 Diritto di opporsi
Lâinteressato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano per motivi legati alla sua situazione particolare.
In questi casi, lâazienda non tratterĂ piĂš i dati personali a meno che non possa dimostrare lâesistenza di motivi preminenti e legittimi per il trattamento, che prevalgono sugli interessi, i diritti e le libertĂ dellâinteressato, o il trattamento serva per lâaccertamento, lâesercizio o la difesa di un diritto in sede giudiziaria
Indicazioni pratiche:
LâunitĂ di coordinamento della protezione dei dati sarĂ coinvolta nellâesercizio del diritto di opposizione da parte dellâinteressato in caso di ambiguitĂ .
10.7 Diritti in caso di decisioni individuali automatizzate
Lâinteressato ha il diritto di non vedersi attribuire decisioni, che producono effetti giuridici nei suoi confronti o che lo riguardano in modo analogo e significativo, basate esclusivamente su un trattamento automatizzato. Sono ammesse eccezioni ove siano previste dalla legge.
Lâazienda applicherĂ decisioni individuali automatizzate che hanno effetti legali nei suoi confronti solo se la decisione è necessaria per la conclusione o lâesecuzione di un contratto tra lâinteressato e lâazienda, è necessaria a causa delle disposizioni di legge applicabili o con il consenso esplicito dellâinteressato.
Le decisioni in questo senso sono quelle che si basano su un trattamento puramente automatizzato dei dati e che hanno effetti giuridici nei confronti dellâinteressato o che incidono in modo significativo su questâultimo. CosĂŹ, ad esempio, nel caso di un controllo automatizzato del merito creditizio, sulla base del quale può essere rifiutata la conclusione di un contratto con una persona, devono essere osservate le disposizioni del presente paragrafo
La profilazione si riferisce a qualsiasi trattamento automatizzato di dati personali che consiste nellâutilizzare tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti relativi al rendimento sul lavoro, alla situazione economica, alla salute, alle preferenze personali, agli interessi, allâaffidabilitĂ , al comportamento, allâubicazione o al cambiamento di ubicazione di tale persona fisica. Nella misura in cui la profilazione è combinata con una decisione individuale automatizzata, che ha effetti giuridici in relazione allâinteressato o incide analogamente in modo significativo sullâinteressato, dovranno inoltre essere rispettati anche gli obblighi di questo punto
Lâazienda garantisce che la profilazione e le decisioni individuali automatizzate nei singoli casi si basino su dati corretti.
Indicazioni pratiche:
I dipendenti si asterranno dallâadottare decisioni individuali automatizzate fino a quando lâunitĂ di coordinamento della protezione dei dati non ne avrĂ dichiarato la legittimitĂ dellâuso e delle modalitĂ .
10.8
Procedura per le richieste degli interessati
Di norma, le richieste di informazione, cancellazione e correzione, nonchĂŠ le richieste di portabilitĂ dei dati, la revoca del consenso e le obiezioni al trattamento dei dati sulla base di legittimi interessi vengono automaticamente inoltrate allâunitĂ di coordinamento della protezione dei dati. Nel caso in cui una tale comunicazione da parte degli interessati debba comunque essere inoltrata a un dipendente, questâultimo provvederĂ a inoltrarla immediatamente allâunitĂ di coordinamento della protezione dei dati.
Ai dipendenti è vietato elaborare le richieste degli interessati o comunicare con loro senza consultare lâunitĂ di coordinamento della protezione dei dati.
11. Trasmissione di dati personali a terzi
11.1 Principio
Il trasferimento di dati personali allâestero è consentito solo se può essere garantito un livello adeguato di protezione dei dati nel Paese terzo o nellâorganizzazione internazionale in questione. Un livello adeguato di protezione dei dati in un paese è considerato esistente se è stato determinato dallâautoritĂ competente (in Svizzera dallâIFPDT o dal Consiglio federale; nellâUE dalla Commissione UE)
Nel caso in cui i dati personali siano trasferiti a Paesi terzi senza una decisione di adeguatezza, devono essere messe in atto garanzie adeguate. Una decisione in tal senso è consentita solo con il consenso dellâunitĂ di coordinamento della protezione dei dati.
11.2 Trasferimenti tra societĂ del gruppo
Tutte le societĂ del gruppo sono cosiddette terzi ai sensi della legge in materia di protezione dei dati. Come base per un approccio uniforme in tutto il gruppo, le societĂ stipulano un accordo infragruppo, in cui tutte le societĂ del gruppo sono nominate sia âtitolare del trattamentoâ che âresponsabile del trattamentoâ. Lâaccordo infragruppo regola gli obblighi delle parti contraenti in base al loro ruolo di titolare del trattamento e di responsabile del trattamento
11.3 Trasferimenti ad altri terzi
Lâazienda trasferisce dati personali a terzi e concede a terzi lâaccesso ai dati personali solo se è garantito che i dati saranno trattati legittimamente e saranno adeguatamente protetti dal destinatario:
- Se il terzo è considerato il titolare del trattamento, lâazienda stipula un accordo con il titolare del trattamento con lâindicazione delle responsabilitĂ relative ai dati personali trasferiti da ciascuna parte.
- Se il terzo è considerato il responsabile del trattamento, lâazienda stipulerĂ con questâultimo un contratto corrispondente, in base al quale il responsabile è tenuto a rispettare i principi della normativa in materia di protezione dei dati. In particolare, il responsabile del trattamento è tenuto a proteggere i dati da ulteriori divulgazioni, a trattare i dati esclusivamente in conformitĂ alle istruzioni dellâazienda, a implementare misure tecniche e organizzative adeguate per proteggere i dati personali e a segnalare eventuali violazioni della sicurezza dei dati
12. Misure tecniche e organizzative
Lâazienda adotterĂ misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali in conformitĂ alle normative vigenti in materia di protezione dei dati. Le violazioni della sicurezza dei dati (ad esempio in caso di attacco hacker) vengono segnalate allâunitĂ di coordinamento della protezione dei dati in base a una direttiva separata.
13. Protezione dei dati attraverso la progettazione tecnologica e le impostazioni predefinite che favoriscono la protezione dei dati
Lâazienda garantisce che i principi di protezione dei dati siano presi in considerazione in una fase iniziale dei nuovi progetti e siano incorporati nellâimplementazione tecnica (âPrivacy by Designâ).
Lâazienda adotterĂ inoltre misure tecniche e organizzative adeguate per garantire, attraverso le impostazioni predefinite, che siano trattati esclusivamente i dati personali il cui trattamento è necessario per la rispettiva finalitĂ di trattamento. A tal fine, si assicurerĂ in particolare che le rispettive impostazioni predefinite siano favorevoli alla protezione dei dati (âPrivacy by Defaultâ)
Indicazioni pratiche:
Se è prevista lâintroduzione di nuovi processi o strumenti, lâunitĂ di coordinamento della protezione dei dati sarĂ coinvolta nella pianificazione il prima possibile, in modo che i principi di âPrivacy by Designâ e âPrivacy by Defaultâ possano essere adeguatamente inseriti nel progetto.
14. Valutazione dellâimpatto sulla protezione dei dati
Lâazienda effettuerĂ una valutazione preventiva delle conseguenze dei trattamenti previsti se il trattamento può comportare un rischio elevato per la personalitĂ o i diritti fondamentali dellâinteressato
Lâesame della necessitĂ di una valutazione dâimpatto sulla protezione dei dati deve essere effettuato in particolare in caso di utilizzo di nuove tecnologie o di nuovi tipi di trattamento dei dati, nonchĂŠ in base al tipo, allâambito, alle circostanze e alle finalitĂ del trattamento (ad esempio, in caso di trattamento estensivo di dati che richiedono una protezione speciale o in caso di monitoraggio sistematico ed esteso di aree pubbliche [per esempio, sistemi di videosorveglianza]).
Lâazienda chiederĂ preventivamente il parere dellâunitĂ di coordinamento della protezione dei dati quando effettua una valutazione dâimpatto sulla protezione dei dati. Le valutazioni dâimpatto sulla protezione dei dati saranno effettuate in conformitĂ con le linee guida interne separate
15. Segnalazione di violazioni della sicurezza dei dati (âviolazione di datiâ)
Una violazione dei dati si verifica quando una violazione della sicurezza comporta la perdita, la cancellazione, la distruzione o lâalterazione involontaria o illegittima di dati personali, oppure la loro divulgazione o accessibilitĂ a persone non autorizzate.
In caso di violazione dei dati, lâazienda informerĂ lâautoritĂ di controllo competente senza indugio e, se possibile, entro 72 ore dal momento in cui venga a conoscenza della violazione, non appena la violazione dei dati personali comporterĂ un rischio elevato per i diritti e le libertĂ delle persone fisiche. Lâazienda informerĂ lâinteressato se ciò è necessario per la sua protezione o se lâautoritĂ di controllo competente lo richiederĂ
Il processo di comunicazione interna di una violazione dei dati è disciplinato da linee guida separate.
Indicazioni pratiche:
Se i dipendenti riconoscono o sospettano una violazione della sicurezza dei dati (per esempio un attacco hacker o la divulgazione di dati a terzi non autorizzati, ecc.), possono segnalarlo tramite fbm@palace.ch.
16. ResponsabilitĂ
16.1 Direzione o direzione dellâhotel
La direzione o la direzione dellâhotel definisce i principi fondamentali per garantire la protezione dei dati in azienda. Nomina un responsabile della protezione dei dati - il coordinatore della protezione dei dati - che ha il compito di far rispettare gli obblighi relativi alla protezione dei dati.
16.2 Supervisore
I supervisori a tutti i livelli sono responsabili dellâapplicazione e del rispetto delle disposizioni della normativa sulla protezione dei dati nelle loro aree di responsabilitĂ . In collaborazione con lâunitĂ di coordinamento della protezione dei dati, assicurano che i loro dipendenti siano formati e sensibilizzati. Agiscono come modelli di ruolo e promuovono la motivazione dei dipendenti a rispettare le misure di protezione dei dati.
16.3 LâunitĂ di coordinamento della protezione dei dati
Lâazienda ha nominato unâunitĂ di coordinamento della protezione dei dati. LâunitĂ di coordinamento della protezione dei dati è il punto di contatto centrale per le questioni relative alla protezione dei dati e può essere contattata tramite fbm@palace.ch o telefono 861.
LâunitĂ di coordinamento della protezione dei dati ha in particolare i seguenti compiti:
- Ă responsabile del documento per questa direttiva sulla protezione dei dati.
- Supporta lâazienda nellâapplicazione e nellâimplementazione della protezione dei dati.
- Monitora e tiene conto dellâevoluzione degli obblighi di legge in materia di protezione dei dati.
Lâapplicazione di questa direttiva non è di competenza dellâunitĂ di coordinamento della protezione dei dati, ma esclusivamente dei superiori.
Ulteriori compiti sono definiti nelle specifiche dellâunitĂ di coordinamento della protezione dei dati.
17. Sanzioni
Le violazioni di questa direttiva sulla protezione dei dati possono comportare azioni disciplinari e/o civili e/o penali.
18. Disposizioni finali
18.1 Modifiche e integrazioni
La presente direttiva sulla protezione dei dati può essere modificata, integrata o revocata per iscritto solo con una delibera della direzione o della direzione dellâhotel. Qualsiasi aggiunta, cancellazione o modifica di singole disposizioni sarĂ considerata una modifica o unâintegrazione. Sono escluse le correzioni di carattere formale.
18.2 Documenti supplementari
La presente direttiva sulla protezione dei dati costituisce la base per le linee guida dellâazienda in materia di protezione dei dati. Da queste possono essere sviluppati ulteriori documenti, direttive e processi necessari per il trattamento dei dati personali.
18.3 Accesso alla presente direttiva e alle sue modifiche
La presente direttiva sulla protezione dei dati è accessibile a tutti i dipendenti tramite il sistema di direttive esistente in azienda o tramite altri mezzi di comunicazione decisi dallâunitĂ di coordinamento della protezione dei dati.
Modifiche o integrazioni alla presente direttiva sulla protezione dei dati entreranno in vigore al momento della pubblicazione su https://issuu.com/gstaadpalace/docs/direttiva_generale_sulla_protezione_dei_dati_it_?fr=sOGQ1NjY5Mjg5ODA
18.4 Entrata in vigore
La presente direttiva sulla protezione dei dati entrerĂ in vigore il lunedĂŹ, 13 gennaio 2025