Regolamento
Ai sensi dell’art. 3 comma 1 del Regolamento generale sulla protezione dei dati (UE) 2016/679 e dell’art. 30 del Contratto societario della società Mon Perin d.d. Bale-Valle, Piazza la Musa 2, OIB 06374155285, il Consiglio di Amministrazione della Società adotta il giorno 24 maggio 2018 il seguente
REGOLAMENTO INTERNO SUL TRATTAMENTO E PROTEZIONE DEI DATI PERSONALI
I. DISPOSIZIONI GENERALI
Articolo 1
Nella procedura di trattamento dei dati personali e protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati, la società Mon Perin d.d. Bale-Valle (qui di seguito: Società) rientra nell’ambito di applicazione del Regolamento generale sulla protezione dei dati (UE) 2016/679 (qui di seguito: Regolamento generale) nonché della Legge di applicazione del Regolamento generale sulla protezione dei dati (NN 42/18).
Articolo 2
Ai sensi dell’art. 4 Punto 7 del Regolamento generale sulla protezione dei dati il titolare del trattamento è la Società la quale stabilisca le finalità e i mezzi del trattamento dei dati personali conformemente alla legislazione nazionale e/o diritto dell’UE.
Articolo 3
In conformità al Regolamento generale s’intende per:
„dato personale“ qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale
„trattamento” qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione
„archivio” qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
„titolare del trattamento” la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
„destinatario” la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.
„terzo” la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile
„consenso dell’interessato“ qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
„violazione dei dati personali” la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
„pseudonimizzazione” il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
Articolo 4
La Società tratta i dati personali delle persone fisiche in modo lecito, corretto e trasparente. Vengono trattati solamente dati adeguati e pertinenti, e in particolare per finalità determinate, esplicite e legittime, e successivamente non vengono trattati in modo che non sia incompatibile con tali finalità.
I dati personali trattati dalla Società sono esatti e, se necessario, aggiornati. I dati inesatti si cancellano o rettificano tempestivamente.
La Società tratta i dati personali in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
La Società conserva i dati personali non oltre il tempo necessario a perseguire le finalità per le quali essi sono stati raccolti, di norma per l’intera durata del rapporto contrattuale e per ogni periodo successivo se giuridicamente vincolante o permesso dalla legislazione applicabile. Le norme della Società relative alla conservazione dei dati personali riflettono i termini di prescrizione e i requisiti giuridici applicabili.
II. TRATTAMENTO DEI DATI PERSONALI
Articolo 5
La Società tratta i dati personali solo se e nella misura in cui ricorre una delle seguenti condizioni:
- l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità,
- il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte;
- il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento
- il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica
- il trattamento è necessario per l’esecuzione di un compito di interesse pubblico
- il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
Articolo 6
Il consenso dell’interessato al trattamento dei dati personali che lo riguardano fornito alla Società è espresso liberamente, in forma scritta, usando un linguaggio comprensibile, semplice e chiaro, per finalità indicate chiaramente e non contiene clausole abusive.
Qualora il trattamento riguardi un minore di età inferiore ai 16 anni, il consenso di cui al comma 1 del presente articolo viene prestato dal titolare della responsabilità genitoriale (genitore o tutore legale).
Il consenso comprende lo scambio di dati tra la Società e le sue affiliate e in particolare con: Mon Perin Castrum d.o.o., Maian d.o.o., Dandoli d.o.o., Plinio d.o.o., Libero professionista Jasmina Cuccurin (Italia), nonché lo scambio dei dati personali degli interessati con le aziende Google Ireland, Facebok Ireland ltd., Instragam Inc.
Articolo 7
Nella procedura di trattamento dei dati personali la Società fornisce all’interessato in modo adeguato (per iscritto o oralmente direttamente) tutte le informazioni relative al trattamento dei suoi dati personali, e in particolare riguardo le finalità del trattamento, la base giuridica per il trattamento dei dati, i legittimi interessi della Società, l’intenzione di concedere dati personali a terzi, il periodo di conservazione dei dati, il diritto di accesso ai dati personali da parte dell’interessato nonché il diritto di cancellazione, rettifica, e limitazione di trattamento, il diritto di proporre reclamo, ecc.
III. DIRITTI DELL’INTERESSATO
Articolo 8
La Società provvederà immediatamente e comunque entro un mese dal ricevimento della richiesta dell’interessato oppure del suo legale rappresentante o procuratore a:
- informare l’interessato sulle finalità del trattamento, sulle categorie di dati personali in questione, sui destinatari o sulle categorie di destinatati a cui i dati personali sono stati o saranno comunicati, sul periodo di conservazione dei dati personali previsto e, nel caso in cui i dati non vengono raccolti dall’interessato, sulla fonte da cui hanno origine i dati
- fornire all’interessato una copia dei dati personali che lo riguardano contenuti nell’archivio
- rettificare i dati personali inesatti e integrare i dati personali incompleti
- effettuare la cancellazione dei dati personali che riguardano l’interessato, a condizione che i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti o nel caso in cui l’interessato revochi il consenso su cui si basa il trattamento.
Il termine di cui al comma 1 del presente articolo può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta.
Se l’interessato presenta la richiesta mediante mezzi elettronici, la Società fornisce le informazioni, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.
Sui motivi di rigetto della richiesta dell’interessato di cui al comma 1 del presente articolo la Società informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, delle motivazioni di rigetto.
Articolo 9
La Società fornisce le informazioni fornite ai sensi dell’art. 8 a titolo gratuito.
In via eccezionale, se le richieste dell’interessato sono manifestamente infondate o eccessive, la Società addebiterà un contributo spese ragionevole, tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione.
Articolo 10
L’interessato che ritenga che la Società abbia violato un suo diritto garantito dal Regolamento generale ha il diritto di proporre reclamo a un’autorità di controllo.
IV. ARCHIVIO
Articolo 11
La Società raccoglie e tratta le seguenti tipologie di dati personali:
- nome e cognome dell’utente dei servizi prestati dalla Società/dell’interessato
- indirizzo di residenza/domicilio dell’interessato
- cittadinanza dell’interessato
- data di nascita dell’interessato
- stato di nascita dell’interessato
- sesso dell’interessato
- tipo di documento personale dell’interessato
- informazioni relative al pagamento, come il numero del conto bancario e altre informazioni pertinenti relative a carte bancarie
- indirizzo di posta elettronica dell’interessato
- numero di identificazione nazionale dell’interessato
- informazioni sulla disabilità dell’interessato
- indirizzi di protocollo internet (IP) dei dispositivi, numero di identificazione interno, indirizzo MAC del dispositivo, indirizzi di posta elettronica della persona che utilizza la rete Wi-Fi, data e tempo di registrazione al sistema
- numeri di telefono/cellulare dell’interessato
- ragione e denominazione sociale unitamente agli altri dati (se la società è utente dei servizi)
- dati raccolti tramite videosorveglianza delle strutture e del campeggio Mon Perin
La Società tratta anche:
- dati personali dei dipendenti della Società
- dati personali dei candidati che partecipano ai concorsi di assunzione
- dati personali del personale esterno, il che rientra nel campo disciplinato dal Regolamento specifico concernente la protezione dei dati personali nell’ambito dei rapporti di lavoro a disposizione dell’intera forza lavoro dell’impresa nonché al personale esterno.
Articolo 12
Per i dati personali di cui all’articolo 11 del presente regolamento la Società tiene un registro delle attività di trattamento riportato nell’Allegato del presente Regolamento, il quale costituisce parte integrante dello stesso.
Il registro delle attività di trattamento contiene almeno le seguenti informazioni:
- il nome e i dati di contatto della Società, del rappresentante legale della Società e del responsabile della protezione dei dati
- le finalità del trattamento
- una descrizione delle categorie di interessati e delle categorie di dati personali
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati
- i termini ultimi previsti per la cancellazione delle diverse categorie di dati
- una descrizione generale delle misure di sicurezza tecniche e organizzative per la protezione dei dati
Articolo 13
Il Consiglio di Amministrazione della Società adotta la decisione sugli incaricati del trattamento e protezione dei dati personali di cui all’art. 11 del presente Regolamento.
V. RESPONSABILE DELLA PROTEZIONE DEI DATI
Articolo 14
La Società designa un responsabile della protezione dei dati.
Il responsabile della protezione dei dati deve possedere le necessarie qualificazioni tecniche e viene nominato tra i dipendenti della Società.
I dati di contatto del responsabile della protezione dei dati sono disponibili sul sito web della Società.
Il responsabile della protezione dei dati informa e fornisce consulenza alle persone responsabili del trattamento nella Società nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento generale, sorveglia l’osservanza del Regolamento generale nonché delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati, consente la realizzazione dei diritti dell’interessato e coopera con l’autorità di controllo.
Il responsabile della protezione dei dati ha l’obbligo di garantire la riservatezza di tutte le informazioni di cui viene a conoscenza nell’esercizio delle sue funzioni.
VI. MISURE PER LA PROTEZIONE DEI DATI PERSONALI
Articolo 15
Per impedire l’accesso non autorizzato dei dati personali, i dati in forma scritta sono conservati in registratori, in armadi chiusi a chiave, mentre i dati contenuti nel computer vengono protetti tramite l’assegnazione dell’username e della password nota solamente ai dipendenti incaricati del trattamento dei dati e onde continuare a garantire la sicurezza e la riservatezza sono conservati nei dispositivi di memoria.
Articolo 16
La Società, ove necessario, e in particolare al momento della pubblicazione dei dati che potrebbero essere attribuiti a una persona fisica, sottoporrà i dati personali a pseudonimizzazione come una delle misure tecniche per la protezione dei dati personali.
Articolo 17
Gli incaricati del trattamento dei dati personali sono responsabili per la protezione dei dati personali da perdita accidentale o distruzione, da accesso illecito o modifica illecita, da pubblicazione illecita nonché qualsiasi altro abuso.
VII. DISPOSIZIONI FINALI
Articolo 18
Il presente Regolamento entra in vigore il giorno della sua pubblicazione.
Il presente Regolamento verrà pubblicato sul sito web della Società: www.www.camping-monperin.hr.
Mon Perin d.d. Valle
Massimo Piutti, presidente del Consiglio di Amministrazione
ALLEGATO
Modello del registro delle attività di trattamento
REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO
Titolare del trattamento:
La Società „Mon Perin d.d.“
Indirizzo: Piazza la Musa 2
sede: Valle
numero di telefono: +385 (0)52 82 43 38
numero di telefax: +385 (0)52 82 43 82
e-mail: [email protected]
Rappresentante della Società:
Massimo Piutti, presidente del Consiglio di Amministrazione e Ivan Maričić, membro del Consiglio di Amministrazione
Responsabile della protezione dei dati
numero di telefono: : +385 (0)52 82 43 38
e-mail: [email protected]
La finalità del trattamento (descrizione):
trattamento dei dati personali sugli interessati
La finalità del trattamento è determinata:
- dal Regolamento e dalla legge,
- dai legittimi interessi della Società;
- dall’osservanza degli impegni contrattuali della Società;
- dal consenso
Modalità con cui il consenso per la raccolta e il trattamento dei dati personali è espresso dall’interessato:
consenso scritto dell’interessato
Categoria dell’interessato: e tipologia di dati
- ospiti
- dipendenti
- partner commerciali
Tipologie di dati:
- nome e cognome dell’utente dei servizi prestati dalla Società/dell’interessato
- indirizzo di residenza/domicilio dell’interessato
- cittadinanza dell’interessato
- data di nascita dell’interessato
- stato di nascita dell’interessato
- sesso dell’interessato
- tipo di documento personale dell’interessato
- informazioni relative al pagamento, come il numero del conto bancario e altre informazioni pertinenti relative a carte bancarie
- indirizzo di posta elettronica dell’interessato
- numero di identificazione nazionale dell’interessato
- informazioni sulla disabilità dell’interessato
- indirizzi di protocollo internet (IP) dei dispositivi, numero di identificazione interno, indirizzo MAC del dispositivo, indirizzi di posta elettronica della persona che utilizza la rete Wi-Fi, data e tempo di registrazione al sistema
- numeri di telefono/cellulare dell’interessato
- ragione e denominazione sociale unitamente agli altri dati (se la società è utente dei servizi)
La Società tratta anche:
- dati personali dei dipendenti della Società
- dati personali dei candidati che partecipano ai concorsi di assunzione
- dati personali del personale esterno, il che rientra nel campo disciplinato dal Regolamento specifico concernente la protezione dei dati personali nell’ambito dei rapporti di lavoro a disposizione dell’intera forza lavoro dell’impresa nonché al personale esterno della Società.
Categorie di destinatari a cui i dati personali sono stati o saranno comunicati:
Ministero del turismo, Ente turistico, il sistema e-visitor, Mon Perin Castrum d.o.o., Maian d.o.o., Dandoli d.o.o., Plinio d.o.o. (Croazia), Libero professionista Jasmina Cuccurin (Italia), nonché lo scambio dei dati personali degli interessati con le aziende Google Ireland, Facebok Ireland ltd., Instragam Inc.
Termini previsti per la cancellazione dei dati personali: La Società conserva i dati personali non oltre il tempo necessario a perseguire le finalità per le quali essi sono stati raccolti, di norma per l’intera durata del rapporto contrattuale e per ogni periodo successivo se giuridicamente vincolante o permesso dalla legislazione applicabile. Le norme della Società relative alla conservazione dei dati personali riflettono i termini di prescrizione e i requisiti giuridici applicabili.
Descrizione generale delle misure di sicurezza tecniche e organizzative per la protezione di dati:
I dati in forma scritta si conservano nelle cartelle del fascicolo e negli armadi chiusi a chiave, mentre i dati nel computer sono protetti assegnando l’username e la password nota solamente ai dipendenti incaricati del trattamento dei dati e onde continuare a garantire la sicurezza e la riservatezza sono conservati nei dispositivi di memoria.