Politica di protezione dei dati

Ogni persona ha dei diritti in merito al trattamento dei propri dati personali. Nel corso delle attività di ISI Dublino possiamo raccogliere, conservare ed elaborare informazioni personali su personale, studenti, tutori, famiglie ospitanti, partner educativi, clienti e fornitori di servizi, e riconosciamo la necessità di trattare questi dati in modo appropriato e legittimo. L'ISI di Dublino si impegna a rispettare i suoi obblighi in relazione a tutti i dati personali che tratta.

I tipi di dati personali che ISI Dublin può essere tenuto a trattare includono i dettagli dei dipendenti attuali, passati e potenziali, degli studenti, dei tutori, dei partner educativi, delle famiglie ospitanti, dei fornitori, dei clienti e di altre persone con cui ISI Dublin comunica. Le informazioni, che possono essere conservate su carta o su computer o altri supporti, sono soggette a determinate tutele legali specificate nel Regolamento generale sulla protezione dei dati (GDPR) (UE) 2016/679 e in altri regolamenti. Il GDPR impone restrizioni sulle modalità di raccolta e trattamento dei dati da parte di ISI Dublin.

In conformità con il GDPR, Jen Diaz Green è il 'Data Protection Lead' (DPL) designato all'interno di ISI Dublino ed è responsabile di tutti gli aspetti della Politica di Protezione dei Dati e dell'attuazione della stessa.

Questa politica non fa parte del contratto di lavoro dei dipendenti e può essere modificata in qualsiasi momento. Qualsiasi violazione di questa politica sarà presa sul serio e potrà comportare azioni disciplinari fino al licenziamento.

Scopo e ambito della Politica

Questa politica definisce le regole di ISI Dublin sulla protezione dei dati e le condizioni legali che devono essere soddisfatte in relazione alla raccolta, all'ottenimento, al trattamento, all'elaborazione, alla conservazione, al trasporto e alla distruzione di informazioni personali e sensibili.

Se un individuo ritiene che la politica non sia stata rispettata per quanto riguarda i dati personali che lo riguardano o altri, deve sollevare la questione con il DPL.

Definizione dei termini di protezione dei dati

  • Dati - Informazioni memorizzate elettronicamente, su un computer o in alcuni sistemi di archiviazione cartacei. Sono compresi i sistemi informatici e i sistemi di telecamere a circuito chiuso.
  • Soggetti interessati - Ai fini del presente documento, comprende tutte le persone viventi su cui ISI Dublin detiene dati personali.
  • Dati personali - Dati relativi a una persona vivente che può essere identificata dai dati (o da tali dati e da altre informazioni che sono o potrebbero essere in possesso del titolare del trattamento). I dati personali possono essere fattuali (come il nome, l'indirizzo o la data di nascita) o possono essere un'opinione (come una valutazione delle prestazioni).
  • Controllori dei dati - Le persone o le organizzazioni che controllano e sono responsabili della conservazione e dell'utilizzo dei dati.
  • Utenti dei dati - Dipendenti il cui lavoro comporta l'utilizzo di dati personali. Gli utenti dei dati hanno il dovere di proteggere le informazioni che gestiscono, seguendo sempre le politiche di sicurezza di ISI Dublin in materia di protezione dei dati.
  • Elaborazione - Esecuzione di qualsiasi operazione o serie di operazioni sui dati, tra cui: -
  • Ottenere, registrare o conservare i dati
  • Raccogliere, organizzare, archiviare, modificare o adattare i dati.
  • Recupero, consultazione o utilizzo dei dati
  • Divulgare le informazioni o i dati trasmettendoli, diffondendoli o rendendoli disponibili in altro modo.
  • Allineare, combinare, oscurare, cancellare o distruggere i dati.
  • Dati personali sensibili - Informazioni sull'origine razziale o etnica, sulle opinioni politiche, sulle convinzioni religiose o simili, sull'appartenenza a un sindacato, sulle condizioni di salute fisica o mentale o sulla vita sessuale di una persona, sulle condanne penali o sulla presunta commissione di un reato. I dati personali sensibili possono essere elaborati solo a condizioni rigorose e di solito richiedono il consenso esplicito della persona interessata.

Principi di protezione dei dati

Chiunque elabori dati personali deve rispettare gli otto principi di buona prassi applicabili. Questi prevedono che i dati personali debbano essere: -

Ottenuto ed elaborato in modo equo

Il GDPR non ha lo scopo di impedire il trattamento dei dati personali, ma di garantire che esso avvenga in modo equo e senza pregiudicare i diritti dell'interessato. All'interessato deve essere comunicato chi è il DPL, in questo caso Jen Diaz Green, lo scopo per cui i dati saranno trattati da ISI Dublin e l'identità di coloro ai quali i dati possono essere divulgati o trasferiti.

Affinché i dati personali siano trattati legalmente, devono essere soddisfatte alcune condizioni. Queste possono includere, tra le altre cose, i requisiti che l'interessato abbia acconsentito al trattamento, o che il trattamento sia necessario per il legittimo interesse del titolare del trattamento o della parte a cui i dati vengono divulgati. Quando vengono elaborati dati personali sensibili, deve essere soddisfatta più di una condizione. Nella maggior parte dei casi sarà necessario il consenso esplicito dell'interessato al trattamento di tali dati.

Conservato solo per uno o più scopi specificati, espliciti e legittimi.

I dati personali possono essere elaborati solo per le finalità specifiche notificate all'interessato al momento della prima raccolta dei dati o per altre finalità specificamente consentite dal GDPR. Ciò significa che i dati personali non devono essere raccolti per uno scopo e utilizzati per un altro. Se diventa necessario cambiare lo scopo per cui i dati vengono elaborati, l'interessato deve essere informato del nuovo scopo prima che avvenga qualsiasi elaborazione. Tutti i dati personali dei dipendenti raccolti da ISI Dublin sono utilizzati per scopi ordinari di Risorse Umane. Qualora sia necessario raccogliere i dati dei dipendenti per un altro scopo, ISI Dublin lo comunicherà al dipendente e, ove opportuno, otterrà il consenso del dipendente a tale trattamento.

L'uso e la divulgazione avvengono solo in modi compatibili con questi scopi.

I dati personali devono essere raccolti solo nella misura in cui sono necessari per le finalità specifiche notificate all'interessato. I dati che non sono necessari per tale scopo non devono essere raccolti in primo luogo.

Tenuto al sicuro e protetto

ISI Dublin e i suoi dipendenti devono garantire l'adozione di misure di sicurezza adeguate contro il trattamento illegale o non autorizzato dei dati personali e contro la perdita accidentale o il danneggiamento dei dati personali.

Il GDPR richiede che ISI Dublin metta in atto procedure e tecnologie per mantenere la sicurezza di tutti i dati personali. I dati personali possono essere trasferiti a un elaboratore di dati terzo solo se quest'ultimo ha accettato di rispettare tali procedure e politiche o ha adottato misure di sicurezza adeguate.

Devono essere mantenute le seguenti condizioni: -

  • Riservatezza - Solo le persone autorizzate all'uso dei dati possono accedervi. ISI Dublin farà in modo che solo le persone autorizzate abbiano accesso al file personale di un dipendente e a qualsiasi altro dato personale o sensibile in possesso di ISI Dublin. I dipendenti sono tenuti a mantenere la riservatezza dei dati a cui hanno accesso.
  • Integrità - I dati personali sono accurati e adatti allo scopo per cui vengono elaborati.
  • Disponibilità - Solo gli utenti autorizzati devono poter accedere ai dati se ne hanno bisogno per scopi autorizzati.

Le politiche/procedure di sicurezza includono: -

  • Scrivanie e armadietti sicuri con serratura. - Politica della scrivania libera, tutte le scrivanie e gli armadi rimangono chiusi a chiave quando non sono in uso. (Le informazioni personali sono sempre considerate riservate) e vengono trattate con ulteriori precauzioni per garantire che nessuno possa vedere il lavoro che le contiene.
  • Metodi di smaltimento. - I documenti cartacei devono essere distrutti. Tutti i supporti rimovibili devono essere cancellati e distrutti fisicamente quando non sono più necessari.
  • Apparecchiature - Gli utenti dei dati devono assicurarsi che i singoli monitor non mostrino informazioni riservate ai passanti e che lo screen saver si avvii non appena il suo PC non è presidiato.
  • ISO 27001 - È richiesta la conformità a tutte le politiche in materia di ISO27001, compresi i documenti della Politica di sicurezza informatica.

Mantenere accurate, complete e aggiornate le informazioni

I dati personali devono essere accurati e aggiornati. Le informazioni non corrette o fuorvianti non sono accurate, e si devono adottare misure per verificare l'accuratezza di qualsiasi dato personale al momento della raccolta e successivamente a intervalli regolari. I dati inesatti o non aggiornati devono essere distrutti. I dipendenti devono assicurarsi di notificare alla DPL e alle Risorse Umane qualsiasi modifica rilevante ai loro dati personali, in modo che possano essere aggiornati e mantenuti accuratamente. Esempi di modifiche rilevanti ai dati includono un cambio di indirizzo.

Adeguato, pertinente e non eccessivo

Conservati per un periodo non superiore a quello necessario per lo scopo o gli scopi per cui sono stati raccolti.

I dati personali non devono essere conservati più a lungo di quanto sia necessario per lo scopo. Per una guida in relazione alla conservazione dei dati, i dipendenti devono contattare il proprio manager. ISI Dublin ha diversi obblighi legali di conservare alcuni dati dei dipendenti per un periodo specifico. Inoltre, ISI Dublin può avere la necessità di conservare i dati personali per un certo periodo di tempo per proteggere i suoi legittimi interessi.

Fornito agli interessati come richiesto

I dati devono essere elaborati in linea con i diritti dell'interessato. Gli interessati hanno il diritto di: -

  • Richiedere l'accesso a qualsiasi dato conservato su di loro dal Titolare del trattamento.
  • Impedire il trattamento dei suoi dati per finalità di marketing diretto
  • Chiedere la modifica dei dati inesatti
  • Impedire un trattamento che possa causare o affliggere se stesso o altri.
  • Gestione delle richieste di accesso ai soggetti

Una richiesta formale da parte di un interessato di informazioni che ISI Dublin detiene su di lui deve essere fatta per iscritto. Qualsiasi dipendente che riceva una richiesta scritta relativa ai dati in possesso di ISI Dublin deve inoltrarla al Titolare del trattamento.

Fornire informazioni per telefono

I dipendenti che si occupano di richieste telefoniche devono prestare attenzione nel rivelare al telefono qualsiasi informazione personale in possesso di ISI Dublin. Il dipendente deve: -

Verifichi l'identità del chiamante per assicurarsi che le informazioni vengano fornite solo a chi ne ha diritto.

Suggerisca al chiamante di formulare la richiesta per iscritto se il dipendente non è sicuro dell'identità del chiamante e in circostanze in cui non è possibile verificare l'identità del chiamante.

Riferire la richiesta al proprio manager e/o al Titolare del trattamento dei dati per ottenere assistenza in situazioni difficili. Nessun dipendente deve sentirsi costretto a rivelare informazioni personali.

Marketing diretto

In ISI Dublin, la nostra politica è quella di non contattare nessun potenziale individuo senza il suo permesso. Per rispettare questa politica, i nostri dipendenti addetti alla prevendita sono tenuti a garantire quanto segue: -

Non chiami o invii un'e-mail a un'altra organizzazione finché non viene confermato che ha una presenza sul web o che è già di dominio pubblico con i suoi dati di contatto, come l'indirizzo e il numero di telefono, pubblicati sullo stesso.

Quando viene effettuata una chiamata, occorre chiedere il permesso di ottenere le informazioni di contatto corrette, come ad esempio il responsabile delle decisioni in materia di acquisti IT. Si deve registrare con chi ha parlato il nostro dipendente e la data e l'ora della telefonata.

Tutti i contatti via e-mail devono contenere un'opzione di 'Opt-Out' chiaramente identificata.

Non facciamo marketing via posta, SMS o fax.

Tutti gli Opt-Out devono essere rispettati (telefonici o elettronici) cancellando il contatto in modo permanente.

Revisione della politica

ISI Dublin continuerà a rivedere l'efficacia di questa politica per assicurarsi che stia raggiungendo i suoi obiettivi dichiarati, almeno su base annuale e più frequentemente, se necessario, considerando i cambiamenti della legge e le modifiche organizzative o di sicurezza.