WuBook Community Forum
GDPR ufficiale - Versione stampabile

+- WuBook Community Forum (https://wubook.net/forum)
+-- Forum: WuBook Suite (https://wubook.net/forum/forumdisplay.php?fid=1)
+--- Forum: Idee Proposte e Discussioni (https://wubook.net/forum/forumdisplay.php?fid=5)
+--- Discussione: GDPR ufficiale (/showthread.php?tid=1521)



GDPR ufficiale - luther - 05-31-2018

Salve a tutti,

Abbiamo terminato la produzione dei documenti (in via definitiva) per l'adeguamento alla nuova norma della provacy Europea (GDPR).

vi elenco i documenti che abbiamo prodotto:

Un documento che e' inserito nelle pagine del booking engine e nelle pagine pubbliche per il check-in on line di ZAK) che attesta che Wubook SRL e' il Gestore del dato e la struttura ricettiva ne e' il Titolare.

Per aiutarvi nella gestione complessa della notifica della privacy:
A breve inseriremmo la possibilita' di poter allegare un link per allegare la privacy policy della struttura. Appena sara' disponibile vi avvertiremo sempre sul forum.

Un altro documento (che vi allego) e' la nuova versione del contratto generale, che include la politica sulla gestione dei dati personali, dove riassumendo, vengono suddivise le responsabilita' e la titolarita' dei dati personali.
- Noi siamo titolari e gestori dei dati personali dei vostri account
- Voi siete i titolari dei dati personali legati alle prenotazioni e noi i relativi Gestori.

Scusate per il ritardo,


RE: GDPR ufficiale - AT025 - 06-02-2018

Salve,
L' idea di poter allegare un link per allegare la privacy Policy della struttura mi sembra ottima.
Sarà possibile chiedere il consenso al trattamento dei dati già in questa fase? Sarebbe una cosa fantastica.


RE: GDPR ufficiale - grey - 06-03-2018

(06-02-2018, 02:50 PM)AT025 Ha scritto: Salve,
L' idea di poter allegare un link per allegare la privacy Policy della struttura mi sembra ottima.
Sarà possibile chiedere il consenso al trattamento dei dati già in questa fase? Sarebbe una cosa fantastica.

Salve,

si, si pensava di fare in questa maniera:
Al momento dell'inserimento dei dati verra' accettata la privacy policy, (che includera' sia quella del Gestore che quella allegata del Titolare) in modo d rendere automatico, chiaro e semplice l'inserimento dei dati.


RE: GDPR ufficiale - PR045 - 06-12-2018

Buongiorno,
sto compilando i dati sul mio software per la realizzazione dei documenti relativi alla privacy.
Purtroppo nella scheda fornitori (tra cui rientra wubook) mi chiede oltre i dati aziendali anche i dati (ruolo aziendale , cognome nome) di un referente.

Potete aiutarmi?


RE: GDPR ufficiale - grey - 06-12-2018

(06-12-2018, 09:53 AM)PR045 Ha scritto: Buongiorno,
sto compilando i dati sul mio software per la realizzazione dei documenti relativi alla privacy.
Purtroppo nella scheda fornitori (tra cui rientra wubook) mi chiede oltre i dati aziendali anche i dati (ruolo aziendale , cognome nome) di un referente.

Potete aiutarmi?

Salve,

Il nostro consulente ci ha elencato le normative che descrivono la nomina del Resposabile dei trattamenti (DPO), e ci ha visto che WuBook, non rientra nella fascia di aziende che necessita della nomina di una persona fisica.

Detto questo, WuBook e' per tutti gli effetti il Gestore dei Dati e inserendo come referente i dati:

nome e cognome
Wubook S.R.L

ruolo aziendale
gestore privacy

Potrebbe risolvere i problemi legati alla configurazione del Gestionale (che molto probabilmente ha inserito i campi senza tenere conto delle variabili).

Riporto per completezza i riferimenti normativi.


Dalle FAQ sul sito del Garante (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793):

3. Chi sono i soggetti privati obbligati alla sua designazione?

Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di "core business") consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di "monitoraggio regolare e sistematico" e di "larga scala", v. le "Linee guida sui responsabili della protezione dei dati" del 5 aprile 2017, WP 243). Il diritto dell'Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.


Dalle linee guida citate (https://www.garanteprivacy.it/documents/10160/0/WP+243+-+Linee-guida+sui+responsabili+della+protezione+dei+dati+%28RPD%29.pdf):

- Riguardo a “larga scala"
A ogni modo, il Gruppo di lavoro raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:
 il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
 il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
 la durata, ovvero la persistenza, dell’attività di trattamento;
 la portata geografica dell’attività di trattamento.

Alcuni esempi di trattamento su larga scala sono i seguenti:
 trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
 trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
 trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile del trattamento specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
 trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
 trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
 trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici

Alcuni esempi di trattamento non su larga scala sono i seguenti:
 trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario;
 trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato.

- Riguardo a “monitoraggio regolare e sistematico"
L’aggettivo “regolare” ha almeno uno dei seguenti significati a giudizio del Gruppo di lavoro:
 che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
 ricorrente o ripetuto a intervalli costanti;
 che avviene in modo costante o a intervalli periodici.

L’aggettivo “sistematico” ha almeno uno dei seguenti significati a giudizio del Gruppo di lavoro:
 che avviene per sistema;
 predeterminato, organizzato o metodico;
 che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
 svolto nell’ambito di una strategia.
Alcune esemplificazioni di attività che possono configurare un monitoraggio regolare e sistematico di interessati: curare il funzionamento di una rete di telecomunicazioni; la prestazione di servizi di telecomunicazioni; il reindirizzamento di messaggi di posta elettronica; attività di marketing basate sull’analisi dei dati raccolti; profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio); tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili; programmi di fidelizzazione; pubblicità comportamentale; monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili; utilizzo di telecamere a circuito chiuso; dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc. .

4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?

Nei casi diversi da quelli previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività "accessoria").

In ogni caso, resta comunque raccomandata, anche alla luce del principio di "accountability" che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.