Policy aziendali di Just Knock s.r.l. (“JK”) in materia di trattamento di dati personali

A. Successivi contatti con gli interessati

Ai fini della fruizione del Sito e dei servizi a esso inerenti offerti da JK, viene utilizzato da JK ai fini dell’invio di newsletter e offerte di prodotti e servizi analoghi.
Gli utenti possono essere ricontattati per proporre offerte analoghe solo via email.
Gli utenti potranno opporsi in ogni momento, sia in sede di registrazione (è inserita una checkbox con possibilità di opt out dall’invio di newsletter ed email) che in occasione dell’invio di ogni successiva comunicazione (è inserito un link in calce a ciascuna email).
In caso di opposizione, è adottata la procedura indicata nel capitolo D che segue in merito alle richieste di opposizione.
L’opposizione all’invio di newsletter e offerte analoghe non comporta alcuna conseguenza rispetto alla possibilità di fruire dei contenuti del sito e dei servizi di JK.

 

B. Gestione account di posta elettronica dei dipendenti al termine del rapporto di lavoro

Al termine del rapporto di lavoro, in conformità ai principi in materia di protezione dei dati personali come precisati dal Garante della privacy (provv.ti 1 febbraio 2018 n. 53, 30 luglio 2015, 5 marzo 2015, 27 novembre 2014):

  1. gli account aziendali di posta elettronica dei dipendenti sono rimossi previa disattivazione degli stessi contestualmente alla cessazione del rapporto di lavoro;

  2. la disattivazione è effettuata secondo modalità tali da inibire in via definitiva la ricezione in entrata di messaggi diretti al predetto account, nonché la conservazione degli stessi su server aziendali;

  3. contestualmente è adottato un sistema automatico di risposta (messaggi di mancato recapito) che informa i terzi della disattivazione dell’account e fornisce a questi ultimi indirizzi alternativi riferiti all’attività professionale di Just Knock s.r.l. [esempio: Questo account non è più attivo. Per qualsiasi informazione o richiesta si prega di inviare una email all’indirizzo info@justknock.it]; 

  4. non sono adottati sistemi di reindirizzamento automatico dei messaggi in transito sugli account riferiti ai dipendenti il cui rapporto di lavoro è cessato su indirizzi di posta elettrica aziendale attribuiti ad altri dipendenti.

 

C. Tempo di conservazione dei dati personali

I dati personali sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. I dati sono eliminati o anonimizzati quando la relativa conservazione (in tutto o in parte) non sia più necessaria per la finalità per cui i dati sono stati conferiti, o in caso di opposizione o richiesta in tal senso dell’interessato
I dati personali possono essere conservati per un periodo corrispondente ai termini di prescrizione previsti dalla legge (prescrizione ordinaria: 10 anni) al solo fine di consentire a JK la possibilità di accertare, esercitare o difendere un diritto in sede giudiziaria.
I tempi di conservazione sono specificati per ciascuna categoria di dati nel registro dei trattamenti.

 

D. Gestione delle richieste degli interessati inerenti ai dati personali

Gli interessati hanno diritto di chiedere a JK l’accesso ai dati personali e la rettifica o la cancellazione o la limitazione del trattamento che li riguardano, di ottenere la portabilità dei dati e di opporsi al trattamento, secondo quanto previsto dagli artt. 15 e ss. del Regolamento.
Di seguito sono riportate le procedure per la risoluzione delle richieste degli interessati in relazione ai trattamenti di dati personali effettuati da JK.

L’indirizzo email di contatto indicato per la presentazione delle relative istanze è: info@justknock.it. Tuttavia, anche richieste inviate ad altri indirizzi di contatto di JK vengono soddisfatte.

I primi step a seguito di una qualsiasi delle sopracitate richieste sono:
– richiedere una copia di documento di identità al fine di verificare che il richiedente corrisponda all’avente diritto;
– verificare che nei sistemi di JK siano presenti i dati a cui la richiesta si riferisce.
In caso di esito positivo di queste verifiche (in caso contrario, ne viene data comunicazione all’interessato) sono da intraprendere i seguenti ulteriori step.

In caso di richieste di accesso:
– comunicare tutti i dati relativi al richiedente presenti nei sistemi di JK.

In caso di richieste di rettifica:
– modificare i dati presenti nei sistemi di JK secondo quanto richiesto;
comunicare la rettifica ai soggetti a cui i dati sono stati comunicati da JK;
confermare l’avvenuta rettifica al richiedente.

In caso di richieste di cancellazione (diritto all’oblio):
negare la richiesta (previa consultazione con un legale se ritenuto necessario) e darne comunicazione al richiedente se:
i dati si riferiscono a richiedenti con cui sono in essere contenziosi esistenti o imminenti rispetto al richiedente; o il trattamento sia necessario per adempiere a un obbligo legale; il trattamento dei dati è necessario per una finalità ancora in essere ed è trattato su una base giuridica diversa dal consenso ancora esistente e legittima; altrimenti: (a) cancellare i dati presenti nei sistemi di JK secondo quanto richiesto, (b) comunicare la richiesta di cancellazione ai soggetti a cui i dati sono stati comunicati da JK, e (c) darne conferma al richiedente, comunicando le eventuali conseguenze della cancellazione ove applicabile (es. impossibilità di fruire dei servizi di JK).

In caso di richieste di limitazione:
negare la richiesta (previa consultazione con un legale se ritenuto necessario) e darne comunicazione al richiedente se:
i dati si riferiscono a richiedenti con cui sono in essere contenziosi esistenti o imminenti rispetto al richiedente,
il trattamento è necessario per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante del diritto UE o nazionale;
altrimenti: (a) i dati oggetto della richiesta dovranno essere solo conservati e non altrimenti trattati fino a diversa indicazione del richiedente, (b) comunicare la richiesta ai soggetti a cui i dati sono stati comunicati da JK, e (c) darne conferma al richiedente.

In caso di richieste di portabilità:
negare la richiesta (previa consultazione con un legale se ritenuto necessario) e darne comunicazione al richiedente se:
la trasmissione diretta dei dati personali all’altro titolare non è tecnicamente fattibile,
la portabilità è tale da ledere diritti e libertà altrui;
altrimenti: (a) comunicare i dati presenti nei sistemi di JK al nuovo titolare indicato dal richiedente, e (b) darne contestuale conferma al richiedente.

In caso di opposizioni dall’invio di newsletter o email con offerte analoghe (v. sopra capitolo C):
rimuovere l’indirizzo email dal database relativo all’invio delle ulteriori comunicazioni;
darne conferma al richiedente;
astenersi da ulteriori comunicazioni non necessitate (è possibile ad es. dare corso a successive richieste dell’utente).

In caso di altre opposizioni:
negare la richiesta (previa consultazione con un legale se ritenuto necessario) e darne comunicazione al richiedente se:
il trattamento dei dati a cui si riferisce l’opposizione è necessitato da motivi legittimi cogenti che prevalgono sugli interessi dell’interessato;
il trattamento dei dati a cui si riferisce l’opposizione è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
altrimenti: (a) cessare il trattamento come richiesto; e (b) darne conferma al richiedente, comunicando le eventuali conseguenze ove applicabili (es. impossibilità di fruire dei servizi di JK).

 

E. Gestione delle violazioni di dati

Una violazione di dati (evento di “data breach”) si ha quando accidentalmente o illecitamente (es. a seguito di violazione dei sistemi di sicurezza) si verifica l’accesso, la distruzione, la perdita, la modifica e/o la divulgazione non autorizzata di dati personali trattati da JK.

In tal caso JK (previa consultazione con un legale se ritenuto necessario):
redige un verbale della violazione che contenga le seguenti informazioni: In data […], ora […] è accaduto il seguente fatto […], che ha comportato [l’accesso, la distruzione, la perdita,a modifica e/o la divulgazione non autorizzata di dati personali] dei seguenti dati: [categorie …] relativi a [categorie e numero] di interessati e registrazioni di dati […]. Le probabili conseguenze della violazione sono […]. Le misure [adottate / di cui si propone l’adozione] per porre rimedio alla violazione e attenuarne i possibili effetti negativi sono […]. Si ritiene che la violazione presenti un rischio [improbabile, probabile, elevato] per i diritti e le libertà delle persone fisiche);
notifica la violazione al garante della privacy entro 72 ore dal momento in cui ne è venuta a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche,
comunica la violazione agli interessati a cui i dati si riferiscono senza ingiustificato ritardo, quando la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, salvo che sussista almeno una delle seguenti condizioni:
sono state messe in atto le misure tecniche e organizzative adeguate di protezione dei dati oggetto della violazione;
sono state successivamente adottate misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
la comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.