Informativa dipendenti
Informativa dipendenti
Data | Rev | Descrizione | Autore | Verificato | Approvato |
15/02/2023 | 06 | Aggiornamento | X.Xxxxxxxxx | X. Xxxxxxxx | X.Xxxxxxxxxxx |
16/01/2023 | 05 | Aggiornamento | X. Xxxxxxxx | X.Xxxxx | X. Xxxxxxxx |
29/09/2022 | 04 | Aggiornamento | X. Xxxxxxxx | X.Xxxxx | X. Xxxxxxxx |
31/01/2022 | 03 | Aggiornamento | X. Xxxxxxxx | X.Xxxxx | X. Xxxxxxxx |
03/06/2020 | 02 | Adeguamento layout documento | X. Xxxxxxxx | X. Xxxxxxxx | X. Xxxxxxxx |
04/10/2019 | 01 | Classificazione disclosure documenti | X. Xxxxxxxx | X. Xxxxxxxx | X. Xxxxxxxx |
22/06/2018 | 00 | Prima emissione | X. Xxxxxxxx | X. Xxxxxxxx | X. Xxxxxxxx |
Sommario
1. Storia delle revisioni
06 | Aggiornamento documento: modifica termini di conservazione ed inserimento paragrafo sui sistemi di controllo adottati |
05 | Aggiornamento documento: cambio sede legale |
04 | Aggiornamento documento: estensione ai lavoratori somministrati |
03 | Aggiornamento documento: estensione a tirocinanti e stagisti |
02 | Aggiornamento con layout standard e separazione tra dipendenti e candidati |
01 | Classificazione disclosure documenti |
00 | Prima emissione |
2. Informativa semplificata
Titolare del trattamento SIGMA S.p.A. Xxx xxxx’Xxxxxxxxx, 00 Xxxxxxxxxxxxx (XX) xxxxxxx@xxxxxxxx.xxx | |
Contitolari del trattamento Nessuno | |
Responsabile della protezione dei dati | |
Finalità del trattamento Gestione del rapporto di lavoro dipendente | |
Dati trattati Comuni, Particolari | |
Natura del conferimento − Obbligatorio: in tutti i casi in cui il trattamento è necessario per l’adempimento principale che, diversamente, non potrebbe aver luogo − Facoltativo: in tutti gli altri casi in cui il diniego al trattamento non incide sul rapporto principale | |
Base giuridica Attività contrattuale e precontrattuale, consenso dell’Interessato, obbligo di legge, legittimo interesse | |
Termini di conservazione − Dati relativi alla posta elettronica, amministrativi, contabili e retributivi: fino a 10 anni dalla cessazione del rapporto − Dati del traffico telematico interno ed esterno: 6 mesi dalla raccolta | |
Comunicazione e diffusione − Banche, assicurazioni, società finanziarie, altre aziende legate da contratto di servizio al Titolare − Consulenti e collaboratori del Titolare − Aziende controllate e collegate − Pubblica Amministrazione, Enti previdenziali e assistenziali − Poste, corrieri, trasportatori | |
Trasferimento all’esterno dello Spazio Economico Europeo NO | |
Diritti dell’Interessato Accesso, rettifica, integrazione, cancellazione, limitazione ed opposizione, portabilità, ricorso all’Autorità di controllo |
Processi decisionali automatizzati NO | |
Autorità di controllo Autorità Garante per la protezione dei dati personali Xxxxxx Xxxxxxx x. 00, 00000 – Xxxx | |
Informativa completa A seguire nel presente documento |
3. Informativa estesa
Informazioni sul trattamento dei dati dei dipendenti
(Art. 13, Reg. UE 679/2016)
La società SIGMA S.p.A., con sede legale in Monterubbiano, Via dell’Industria 19, P. Iva IT01590580443, in qualità di Titolare del trattamento e di datore di lavoro
INFORMA
i propri dipendenti i lavoratori somministrati e i collaboratori (ivi inclusi consulenti, tirocinanti e stagisti) che i dati personali acquisiti tramite i vari canali di raccolta saranno trattati in modo lecito e secondo correttezza, nel rispetto dei principi sanciti dall’ordinamento comunitario ed italiano. Le principali norme di riferimento sono il Regolamento Europeo 679/2016 e il D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018, oltre alle linee guida e ai provvedimenti dell’Autorità Garante e del Comitato Europeo per la protezione dei dati personali.
Contitolari del trattamento
Non sono presenti contitolari al trattamento
Responsabile della protezione dei dati
Al fine di garantire un controllo indipendente sulla effettiva applicazione delle norme vigenti per la tutela delle persone fisiche rispetto al trattamento dei loro dati personali, il Titolare ha nominato un Responsabile della Protezione dei Dati ai sensi dell’art. 37 del Reg. UE 679/2016, che potrà essere contattato all’indirizzo xxx@xxxxxxxx.xxx
Definizioni
Interessato | Persona fisica (dirigente, dipendente, collaboratore) alla quale appartengono i dati trattati dal Titolare o dal Responsabile |
Titolare | La persona fisica o giuridica (datore di lavoro) che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali relativo al rapporto di lavoro |
Responsabile | La persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento sulla base di un contratto che disciplina le condizioni dell’affidamento |
Finalità del trattamento
La raccolta ed il conseguente trattamento vengono effettuati dal Titolare presso la sede legale dell’azienda, nel rispetto delle prescrizioni del GDPR 679/2016 e del D.Lgs. 196/2003, da soggetti da esso incaricati o delegati (appositamente selezionati e dotati della necessaria professionalità), con procedure manuali ed automatiche, con la specifica finalità di dare corretta esecuzione agli adempimenti connessi al rapporto di lavoro o di collaborazione e, in particolare:
− assicurare il giusto inquadramento ai fini lavorativi, retributivi e fiscali, calcolare correttamente la retribuzione e gli oneri riflessi, rilevare la presenza in azienda, garantire la sicurezza del lavoratore, ecc.;
− assolvere agli obblighi di legge e di contratto, inclusi quelli derivanti dall'eventuale contratto collettivo nazionale o decentrato;
− assolvere agli obblighi nei confronti di istituti di previdenza ed assistenza, sia obbligatoria che integrativa;
− assolvere agli obblighi nei confronti dell'Amministrazione dello Stato e dell'Erario;
− assolvere ad ogni altro onere derivante dall’instaurazione, esecuzione e cessazione del rapporto di lavoro.
Al fine di favorire i rapporti interpersonali, lo scambio di informazioni e la conoscenza tra colleghi, e di garantire la sicurezza dei dati trattati rispetto al furto di identità, l'azienda potrebbe utilizzare i dati identificativi del dipendente, inclusa la sua foto, per i badge e per la Intranet aziendale. Anche il conferimento di tali dati è obbligatorio e strettamente connesso al rapporto di lavoro.
Dati oggetto di trattamento
Rapporto di lavoro | Comuni, particolari | Nome, cognome, indirizzo e-mail, recapiti telefonici e postali, stato di salute, eventuali condizioni di disabilità, iscrizione a partiti politici e sindacati, livello di istruzione, status lavorativo pregresso ed ogni altro dato necessario alla gestione del rapporto di lavoro, incluse l’instaurazione e la cessazione. |
Dati di Minori
I dati dei minori sono trattati esclusivamente con il consenso dei genitori per le finalità connesse al rapporto di lavoro (attribuzione di detrazioni, assegni familiari, benefici, ecc.) e con i limiti imposti dalla legge.
Natura del conferimento
Il trattamento dei dati necessari per l’assunzione è indispensabile per le attività di inquadramento e per la prosecuzione del rapporto di lavoro, come previsto dalla legge.
L’omessa, parziale o infedele comunicazione delle informazioni il cui conferimento ha natura obbligatoria, oltre a poter concretizzare responsabilità di natura civile e penale, potrebbe comportare l'impossibilità di garantire la congruità del trattamento o la rispondenza dei risultati del trattamento agli obblighi assunti contrattualmente o imposti da norme e regolamenti.
Altri dati, invece, il cui conferimento ha natura facoltativa, potrebbero essere richiesti per attività attinenti, ma non direttamente connesse al rapporto di lavoro (studi statistici, rilevazioni del grado di soddisfazione del lavoratore, suggerimenti per il miglioramento delle condizioni di lavoro, ecc.). Il loro conferimento non è obbligatorio e l’eventuale diniego non pregiudica l’instaurazione o la prosecuzione del rapporto principale.
Nell'ambito dei trattamenti sopra descritti è necessaria la gestione dei dati “generici” dell'interessato e dei suoi familiari, oltre che la gestione dei dati “particolari” che li riguardano (ad esempio: benefici della L. 104/92, categorie protette ai sensi della L. 68/99, situazioni di disabilità finalizzate agli ausili necessari per lo svolgimento dell’attività lavorativa, stato di salute, appartenenza ad associazioni, sindacati e partiti politici, ecc.).
Per particolari categorie di dipendenti e collaboratori (cassieri, custodi, portieri notturni, ecc.) l’azienda potrebbe gestire dati classificabili come “penali” ai sensi del nuovo Regolamento UE 679/2016.
Basi giuridiche del trattamento operato dal Titolare sono l’esistenza di un contratto di lavoro e gli obblighi di legge connessi a tale rapporto, oltre al legittimo interesse del Titolare ad operare determinati controlli ed interventi a tutela dei propri interessi e del patrimonio aziendale. Per taluni trattamenti accessori è richiesto il consenso dell’interessato. È comunque possibile chiedere ulteriori chiarimenti al Titolare del trattamento.
Termini di conservazione
I dati trattati dal Titolare riguardanti posta elettronica, amministrativi, contabili e retributivi sono conservati fino al decimo anno successivo alla cessazione del rapporto di lavoro o di collaborazione, mentre i dati relativi al traffico interno ed esterno della rete sono conservati per 6 mesi, nel rispetto degli obblighi di conservazione amministrativa e contabile, ed anche per garantire l’eventuale esercizio dei diritti dell’Interessato.
Posta elettronica
Al dipendente, all’atto dell’assunzione, viene assegnata una casella di posta elettronica aziendale che dovrà essere obbligatoriamente ed esclusivamente utilizzata per inviare e ricevere tutta la corrispondenza e gli allegati inerenti al rapporto di lavoro, senza eccezioni. I dati trattati saranno accessibili agli amministratori di sistema per le attività di manutenzione ordinaria e straordinaria e potranno essere oggetto di trattamento da parte di colleghi e superiori per comprovate esigenze aziendali.
Nei periodi di assenza del dipendente per ferie, congedi, malattia, ecc., la posta indirizzata alla sua mailbox aziendale potrà essere oggetto di temporaneo reindirizzamento nella mailbox di un collega, al fine di evitare che corrispondenza urgente o importante per l’azienda possa essere visionata in ritardo. Il dipendente, pertanto, nell’utilizzare la posta elettronica aziendale per uso personale, oltre ad esporsi ad un’azione disciplinare per l’uso improprio, accetta il rischio consistente nella potenziale conoscenza, da parte dei suoi superiori o colleghi, del contenuto di eventuali messaggi aventi carattere personale.
Alla cessazione del rapporto, sull’indirizzo di posta elettronica aziendale sarà attivato un risponditore automatico che informerà i mittenti dell’avvenuta disattivazione della casella di posta elettronica, con invito a trasmettere i messaggi ad altro indirizzo aziendale. I dati della posta elettronica aziendale sono conservati per dieci anni.
Strumenti di pagamento
L’azienda, al fine di agevolare la prestazione lavorativa, può mettere a disposizione del dipendente strumenti di pagamento (telepass, carte di credito, carte carburante, buoni pasto, ecc.) che devono essere utilizzati esclusivamente per le finalità aziendali e che saranno successivamente verificati e rendicontati dagli uffici amministrativi e contabili per accertare la regolarità degli addebiti da parte delle società che erogano il relativo servizio. Sebbene tale attività non sia destinata al controllo del lavoratore, comporta comunque il trattamento dei dati del dipendente. Nell’ipotesi in cui, incidentalmente, emerga un uso degli strumenti di pagamento per fini personali, illecito o comunque non conforme alle finalità aziendali, potrà comportare l’irrogazione di sanzioni disciplinari.
Videosorveglianza
Alcune strutture aziendali sono protette da sistemi di videocontrollo e videosorveglianza che hanno la finalità di tutelare la sicurezza del patrimonio e l’incolumità delle persone (dipendenti inclusi). Le immagini potranno essere utilizzate anche per esigenze organizzative aziendali, per controlli difensivi conseguenti un fatto illecito e per l’esercizio legittimo di diritti in sede giudiziaria, comunque nel rispetto delle prescrizioni dello Statuto dei Lavoratori. La presenza delle telecamere è segnalata da specifici cartelli conformi alle prescrizioni dell’Autorità Garante e del Comitato Europeo per la protezione dei dati personali. Il termine di conservazione dei dati registrati dalle telecamere è normalmente di 24 ore.
Geolocalizzazione
I veicoli aziendali potrebbero essere dotati di dispositivi di localizzazione satellitare e al dipendente potrebbero essere affidati degli strumenti di pagamento (carte carburante, carte di debito o credito, telepass, ecc.) per esigenze organizzative aziendali, per finalità di tutela delle persone e del patrimonio in caso di sinistro o fatto illecito, per le verifiche relative alla manutenzione e ai consumi del veicolo. Anche tali dati potranno essere utilizzati nel rispetto delle prescrizioni dello Statuto dei lavoratori. La presenza dei dispositivi di localizzazione
sui veicoli è segnalata da specifici adesivi conformi alle prescrizioni dell’Autorità Garante e del Comitato Europeo per la protezione dei dati personali.
Xxxxx working e telelavoro
Le attività da remoto comportano il trattamento dei dati di collegamento del dipendente e saranno utilizzati per realizzare test ed analisi, ove possibile in modo aggregato ed anonimo, per la valutazione e l’aumento della sicurezza delle reti e dei sistemi informativi aziendali.
Non saranno utilizzati per la verifica della prestazione lavorativa, poiché l’azienda utilizza altri indicatori per tali valutazioni (carichi di lavoro, prodotti realizzati, servizi erogati, feedback dei controinteressati, ecc.). Il termine di conservazione dei dati di collegamento è di 12 mesi, salvo disposizioni di legge.
Dispositivi di controllo delle attività di rete
L’azienda ha integrato nei propri sistemi più software di intelligenza artificiale con l’obiettivo di controllare la sicurezza del traffico dati interno ed esterno, alla ricerca di potenziali minacce informatiche. Per poter individuare i comportamenti anomali e fronteggiarli con adeguate contromisure, i software analizzano ogni transazione e bloccano o segnalano quelle sospette. Il trattamento dei dati di navigazione dei dipendenti è indiretto: un comportamento anomalo attiva le contromisure ed è possibile, successivamente, ricostruire l’evento e risalire all’indirizzo IP del dispositivo interessato. Attraverso ulteriori verifiche sui log di sistema è quindi possibile anche individuare il dispositivo, in uso al dipendente, che ha eseguito l’operazione.
Tali controlli possono essere eseguiti solo a seguito dell’evento sospetto e non è quindi possibile controllare il dipendente durante l’attività lavorativa, nel rispetto dello Statuto dei Lavoratori.
I dati sono conservati per 6 mesi. La base giuridica di tale trattamento è il legittimo interesse del titolare a preservare il patrimonio informativo aziendale.
Coronavirus
I dati relativi ai controlli per il contenimento del contagio da Coronavirus sono registrati ai soli fini di verifica delle condizioni necessarie per accedere alla struttura e saranno conservati, come da disposizioni di legge, fino al termine dell’emergenza.
Processi decisionali automatizzati
Il Titolare non fa uso di processi decisionali automatizzati.
Comunicazione e diffusione
I dati trattati dal Titolare non sono destinati alla diffusione. Saranno trattati esclusivamente per gli adempimenti connessi al rapporto di lavoro o collaborazione e comunicati a terzi per l’esecuzione di attività ad essi attinenti. I riceventi potranno assumere, in base al tipo di rapporto, la qualifica di responsabile del trattamento ex art. 28, Reg. UE 679/2016, o di meri destinatari della comunicazione, per attività connesse o derivanti da quella del Titolare o nell’adempimento di obblighi derivanti da leggi o regolamenti (Istituzioni, Forze dell’Ordine, Autorità Giudiziaria, ecc.). A titolo esemplificativo e non esaustivo si citano:
− Xxxxxxxx che hanno necessità di conoscere i dati del dipendente per finalità riguardanti il rapporto con il datore di lavoro (Istituti di credito, assicurazioni, società di comunicazione, ecc.);
− Consulenti, collaboratori, società di servizi, nei limiti necessari per espletare eventuali incarichi conferiti dal Titolare;
− Società controllate e/o collegate che possono accedere ai dati del dipendente, nei limiti strettamente necessari per svolgere compiti affidati dal Titolare;
− Poste, corrieri, trasportatori;
− Altre aziende legate da contratti ed accordi commerciali con il Titolare che hanno necessità di venire a conoscenza dei dati del dipendente (es.: autisti, addetti alle consegne, dipendenti degli uffici responsabili dei rapporti contrattuali, ecc.).
L’elenco aggiornato dei destinatari delle comunicazioni e dei responsabili del trattamento è disponibile presso la sede del Titolare.
Trasferimento all’esterno dello Spazio Economico Europeo
I dati non sono trasferiti all’esterno dello Spazio Economico Europeo, salvo nei casi in cui il consenso sottoscritto dall’interessato e gli accordi contrattuali stipulati dal Titolare consentano un livello di protezione analogo o superiore a quello richiesto dal Reg. UE 679/2016. A tal fine, il Titolare utilizza le clausole contrattuali standard suggerite dalla Commissione Europea.
Diritti dell’Interessato
Agli interessati sono riconosciuti i diritti di cui agli artt. da 15 a 22 del GDPR 679/2016. In particolare, l’Interessato ha il diritto di accedere ai propri dati (art. 15) di chiederne la rettifica, l’aggiornamento, l’integrazione (art. 16) e la cancellazione (art. 17), di limitarne l’utilizzo da parte del Titolare (art. 18), di ottenerne copia in formato strutturato, di uso comune e leggibile da un dispositivo automatico (art. 20), di opporsi al trattamento ricorrendone i presupposti (artt. 21 e 22). I diritti sono esercitabili nei limiti in cui il trattamento non sia obbligatorio per disposizioni di legge o regolamento. Le istanze relative all’esercizio dei diritti dell’Interessato possono essere inoltrate al Titolare del trattamento al seguente indirizzo: xxxxxxx@xxxxxxxx.xxx. L’Interessato, qualora non sia soddisfatto del riscontro fornito alle sue richieste, può proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali, con sede in Roma, Piazza Venezia n. 11, xxx.xxxx.xx. Il cittadino di altro Stato membro dell’Unione Europea ha facoltà di rivolgersi all’Autorità di controllo del proprio paese.