Informativa Privacy
Definizioni
AEGEE-Verona | Sede locale di AEGEE-Europe, un’organizzazione indipendente, registrata come Non-Profit. Di seguito identificata solo con “Organizzazione” |
Responsible Person | Presidente in carica di AEGEE-Verona |
GDPR | General Data Protection Regulation, il Regolamento Europeo sulla Privacy |
Sistema di registrazione | Un registro dei sistemi o contesti nei quali vengono trattati i dati personali. |
1. Principi di protezione dati
L’Organizzazione si impegna a trattare i dati in conformità con le proprie responsabilità ai sensi del GDPR, in particolare quelli indicati nell’articolo 5 del suddetto documento e il rispetto dei principi stabiliti all’interno.
2. Disposizioni generali
- Questa politica si applica a tutti i dati personali elaborati dall’organizzazione.
- Il Responsabile, nominato tra gli attuali membri del Consiglio direttivo, si assumerà la responsabilità per il costante rispetto da parte dell’Organizzazione di questa politica.
- Questa politica deve essere riesaminata almeno una volta all’anno
3. Trattamento dei dati legale, equo e trasparente
- Per garantire che il trattamento dei dati avvenga in modo lecito, equo e trasparente, l’Organizzazione deve mantenere un registro dei dati personali, indicando tra l’altro dove, quando, come e da chi i dati vengono elaborati.
- Il registro dei dati personali deve essere riesaminato almeno una volta all’anno.
- Le persone hanno il diritto di accedere ai propri dati personali e qualsiasi richiesta di questo tipo presentata all’organizzazione deve essere trattata in un mese.
4. Finalità legittime
- Tutti i trattamenti di dati effettuati dall’Organizzazione devono essere effettuati su una delle seguenti basi legali: consenso, contratto, obbligo legale, interessi vitali, incarichi pubblici o interessi legittimi.
- L’Organizzazione deve prendere nota delle appropriate basi legali nel Registro dei Dati Personali.
- Laddove il consenso sia considerato una base legale per il trattamento dei dati, le prove del consenso opt-in devono essere conservate insieme ai dati personali.
- Laddove le comunicazioni siano inviate ai singoli in base al loro consenso, l’opzione per la persona di revocare il proprio consenso dovrebbe essere chiaramente disponibile e dovrebbero essere predisposti sistemi per garantire che tale revoca sia rispecchiata in modo accurato nei sistemi dell’Organizzazione.
5. Data minimisation
- L’Organizzazione garantisce che la quantità di dati personali trattati sia adeguata, pertinente e limitata a quanto necessario in relazione agli scopi per cui sono trattati.
6. Precisione
- L’Organizzazione deve adottare misure ragionevoli per garantire che i dati personali siano accurati.
- Laddove necessario per la base legale su cui i dati sono trattati, devono essere predisposti provvedimenti per garantire che i dati personali siano mantenuti aggiornati.
7. Archiviazione/rimozione dei dati
- Per garantire che i dati personali siano conservati per un periodo non più lungo del necessario, l’Organizzazione assicurerà la rimozione dei dati personali dei propri membri 10 anni dopo la cessazione della loro adesione. Tutti i dati relativi ai partecipanti agli eventi dell’Organizzazione saranno rimossi 10 anni dopo l’evento.
- Eccezione alla regola di cui sopra è fatta nel caso dei dati archiviati per realizzare gli “annuari” dei membri, ovvero nome, cognome e periodo di attività. Tali dati non saranno eliminati a meno che non venga fatta pervenire all’organizzazione una richiesta esplicita da parte dell’interessato per rimuovere anche questi dati.
8. Sicurezza
- L’Organizzazione garantirà che i dati personali siano archiviati in modo sicuro utilizzando software moderni e aggiornati, come ad esempio G-suite.
- L’accesso ai dati personali deve essere limitato ai membri del Consiglio direttivo che hanno bisogno di avere accesso ai dati, e ai singoli membri dell’organizzazione dedicati all’organizzazione delle specifiche attività associative (es. nominativi e numeri di telefono delle persone da contattare per la gita ai cui i partecipanti hanno dato adesione) e deve essere predisposta un adeguato sistema sicurezza per evitare la condivisione non autorizzata dei dati.
- Quando i dati personali vengono cancellati, questo dovrebbe essere fatto in modo sicuro in modo che i dati siano irrecuperabili.
- Devono essere predisposte adeguate soluzioni di back-up e di disaster recovery.
9. Violazione
In caso di violazione della sicurezza che porta alla distruzione accidentale o illecita, perdita, alterazione, divulgazione non autorizzata o accesso ai dati personali, l’Organizzazione deve prontamente valutare il rischio per i diritti e le libertà delle persone e, se necessario, segnalare tale violazione all’autorità di controllo.
Per consultare l’originale in lingua inglese, cliccare qui.