Suncani Hvar Hotels

Politica di protezione dei dati

Riassunto

Questa politica di protezione dei dati (“Politica di protezione dei dati”) stabilisce le regole per la protezione dei dati personali presso la Società SUNČANI HVAR d.d. (SpA), Ive Miličića 3, 21 450 Hvar (Lesina), OIB (codice fiscale) 29834131149 ("Società"). Prevede le regole per la protezione dei dati personali e riflette le regole sulla privacy dei dati richieste dal Regolamento generale sulla protezione dei dati (GDPR) e dalla legislazione nazionale sulla privacy dei dati.

La Società prende sul serio la protezione dei dati personali e tratta i dati personali con sufficiente attenzione e responsabilità nell'esecuzione delle proprie attività commerciali. La violazione dei dati personali può comportare gravi conseguenze legali ed economiche per la Società, i suoi dipendenti e le persone interessate.

Potrebbe anche causare danni alla reputazione della Società. Attraverso l'attuazione della Politica di protezione dei dati in tutta la Società, i rischi e la conseguente violazione della protezione dei dati saranno ridotti al minimo.

Memorandum informativo   

Applicabilità

Questa politica di protezione dei dati è vincolante per la Società e i suoi dipendenti. Si riferisce a tutti i trattamenti di dati personali cui si applica il Regolamento generale sulla protezione dei dati e la legislazione nazionale.

1. Procedure e competenze 

I seguenti articoli descrivono le procedure seguite dalla Società durante il trattamento dei dati personali. Inoltre, forniscono una breve descrizione della divisione delle competenze e dei ruoli chiave nella Società nell'ambito del trattamento dei dati personali.

1.1 Obbligo generale

La Società ha adottato e continuerà ad adottare misure tecniche e organizzative adeguate per garantire la protezione dei dati personali da uso improprio, perdita e danneggiamento, e per trattarli in conformità con il Regolamento generale sulla protezione dei dati e la legislazione nazionale nell’ambito della privacy dei dati. La protezione dei dati si applica al trattamento dei dati personali dei partner, dei dipendenti, dei loro familiari, dei candidati, dei clienti e di altre persone i cui dati personali sono trattati dalla Società.

1.2 Principi di base della protezione dei dati personali 

La Società rispetta i principi di base stabiliti dal Regolamento generale sulla protezione dei dati nel trattamento dei dati personali. I rispettivi principi di base sono elencati di seguito:

  • principio di liceità – almeno una base lecita deve essere determinata prima del trattamento dei dati personali;
  • principio di limitazione delle finalità dei dati – trattare i dati personali solo per finalità predefinite; 
  • principio di minimizzazione dei dati personali – trattamento di soli dati personali necessari, pertinenti e adeguati per qualsiasi finalità legittima;
  • principio di correttezza e trasparenza – trattamento aperto e trasparente all'interessato;
  • principio di integrità e riservatezza, applicazione del principio “need to know” – implementazione di misure organizzative e tecniche necessarie per garantire la limitazione dell'accesso ai dati personali per impedire il trattamento non autorizzato o illecito;
  • principio di esattezza – trattamento di dati personali esatti e aggiornati;
  • regime controllato di gestione delle modifiche – la modifica dell'attuale sistema di trattamento a un nuovo metodo è soggetta alla considerazione del Responsabile della protezione dei dati o del Responsabile del trattamento e una potenziale successiva preparazione della Valutazione dell'impatto sulla riservatezza dei dati;
  • definizione dei ruoli che partecipano alla protezione dei dati personali nella Società.

1.3 Basi legittime e finalità di trattamento dei dati personali 

Il trattamento dei dati personali si basa sempre su basi legittime, tra cui il consenso al trattamento dei dati personali, l'adempimento di un obbligo legale, l'esecuzione di un contratto, l'interesse legittimo, l'interesse pubblico o la tutela degli interessi dell’interessato.

1.4 Trattamento di categorie speciali di dati personali e dati personali relativi a questioni criminali

Speciali categorie di dati personali e dati personali relativi a questioni criminali sono particolarmente sensibili e pertanto viene applicato un elevato grado di protezione. Qualsiasi trattamento di categorie speciali di dati personali viene consultato con il Responsabile della protezione dei dati.

1.5 Trasferimento dei dati personali

La Società può mettere i dati personali a disposizione di terzi (incluso il trasferimento di dati personali all'interno del gruppo) solo a determinate condizioni. I dati personali possono essere disponibili solo a una terza parte che agisce come un elaboratore sulla base di un accordo di trattamento dei dati personali. I dati personali possono anche essere disponibili a una terza parte che agisce come controllore o controllore congiunto sulla base di accordi contrattuali rilevanti.

Nel caso in cui vi siano requisiti per la rettifica o la cancellazione dei dati personali o per restrizioni del trattamento, in determinate circostanze, la Società informa le terze parti interessate cui sono stati resi disponibili i dati personali, salvo che ciò non sia fattibile o richieda uno sforzo inadeguato. La Società informa l’interessato sulle terze parti cui sono stati comunicati i dati personali in questione solo se richiesto dal soggetto interessato.

A determinate condizioni, la Società può anche trasferire dati personali verso Paesi terzi al di fuori del SEE o dell'Unione Europea o alle organizzazioni internazionali. Per valutare le condizioni legali in base alle quali i dati personali possono essere trasferiti a Paesi terzi o ad organizzazioni internazionali, la Società si rivolge al Responsabile della protezione dei dati per consultazioni.

1.6 Diritti degli interessati

La Società adotta tutte le misure necessarie per l'esecuzione dei diritti delle persone interessate che prevede il Regolamento generale sulla protezione dei dati. In relazione al trattamento dei dati personali, l'interessato vanta diritti che comprendono il diritto di accesso ai dati personali, il diritto alla rettifica, la limitazione del trattamento, la portabilità o la cancellazione dei dati personali, il diritto di opporsi al trattamento dei dati personali e il diritto di non essere soggetto a una decisione basata esclusivamente sul trattamento automatico dei dati personali.

Le persone interessate possono richiedere l'esercizio dei loro diritti tramite domanda scritta o orale. Al fine di fornire una protezione sufficiente dei dati personali trattati dalla Società e impedire l'uso improprio di dati personali, la Società ha introdotto regole per la verifica dell'identità delle persone interessate citate di seguito.

Richiesta scritta

Per richiedere l'esercizio del diritto specifico per iscritto, l'interessato deve compilare il modulo di richiesta allegato alla presente Politica sulla protezione dei dati o disponibile presso il Responsabile per la protezione dei dati. Le firme degli interessati sui moduli di richiesta devono essere certificate ufficialmente. Potreste essere in grado di certificare la vostra firma presso un ufficio notarile, un avvocato, un consolato o, in caso di consegna della richiesta via e-mail, sull'indirizzo del Responsabile per la protezione dati, potete verificare la vostra firma tramite firma elettronica. Se una richiesta scritta viene inviata direttamente ai locali della Società, la verifica della firma non è richiesta, ma è sufficiente per accedervi personalmente con la presentazione di un ID valido.

Richiesta orale

Le persone interessate possono anche richiedere l'esercizio del loro particolare diritto di persona, nella sede legale della Società all'indirizzo: Ive Miličića 3, 21 450 Hvar (Lesina), Croazia. La vostra identità sarà verificata dal dipendente designato della Società (ad esempio presso una reception), in base alla presentazione di uno dei seguenti documenti: carta d'identità personale, passaporto o altro documento con una foto adatta a consentire la vostra chiara identificazione.

L'esercizio dei diritti delle persone interessate non pregiudica i diritti di terzi. Qualora le richieste presentate dagli interessati siano manifestamente infondate o eccessive, in particolare a causa del carattere ripetitivo, la Società può richiedere un compenso ragionevole, non superiore ai costi necessari per la fornitura delle informazioni sopra indicate o per organizzare l'esercizio dei diritti delle persone interessate, al fine di rispondere alla loro richiesta.

La Società garantisce una comunicazione e una cooperazione sufficienti per elaborare tutte le richieste ricevute in tempo utile. I dipartimenti della Società cooperano strettamente per fornire all'interessato una risposta entro i termini legali. 

1.7 Ruoli e responsabilità 

La Società e i suoi organi statutari sono responsabili di assicurare la conformità con il Regolamento generale sulla protezione dei dati e della relativa legislazione nazionale sulla privacy dei dati.

1.8 RPD

La Società ha nominato un Responsabile della protezione dei dati con la responsabilità funzionale e organizzativa per il rispetto delle norme legali e dei regolamenti interni della Società in materia di protezione dei dati personali.

Il responsabile della protezione dei dati può essere contattato via e-mail dataprotection@suncanihvar.com o via posta all'indirizzo Ive Miličića 3, 21 450 Hvar (Lesina), Croazia.

1.9 Responsabilità dei proprietari dei dati e di tutti i dipendenti

Tutti i proprietari di dati all'interno della Società e tutti i dipendenti sono obbligati a trattare i dati personali in conformità con le politiche interne della Società, il Regolamento generale sulla protezione dei dati e altre normative nazionali sulla privacy dei dati.

1.10 Notifica di una violazione dei dati personali 

La Società denuncia immediatamente qualsiasi presunta violazione della sicurezza dei dati personali all'RPD, in ogni caso entro e non oltre 24 ore. Se la violazione dei dati personali soddisfa i requisiti per la denuncia alle rispettive autorità di vigilanza e/o agli interessati, il RPD adempie tale obbligo entro 72 ore dalla violazione dei dati personali.

1.11 Cancellazione di dati personali

La Società tratta i dati personali solo per il tempo necessario. I dati personali vengono cancellati o resi anonimi nelle seguenti circostanze:

  • scadenza della finalità del trattamento dei dati personali senza altre finalità legittime per la sostituzione;
  • dati personali non più necessari per le finalità per le quali sono stati trattati;
  • ritiro del consenso dell'interessato senza altre basi legali per il trattamento;
  • obiezione dell'interessato contro il trattamento senza altri motivi giustificati; e
  • trattamento illecito dei dati personali.

La Società pone l'accento sull'osservazione delle necessarie misure di sicurezza durante la cancellazione o l'anonimizzazione.

1.12 Pubblicazione di dati personali su media pubblici e Intranet

La Società può pubblicare dati personali su Intranet, Internet o altri media solo con il consenso dell'interessato, salvo che non vi sia un'altra base legale in casi specifici.

2. Termini / abbreviazioni di base

2.1 Interessato

Una persona identificata o identificabile i cui dati personali sono trattati; un individuo identificabile è un individuo che può essere identificato direttamente o indirettamente, prevalentemente con riferimento a un determinato identificatore, come un nome, numero di identificazione, dati di localizzazione, identificatore online oppure uno o più elementi speciali dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale dell'individuo.

2.2 Controllore dei dati

Una persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che, da solo o in collaborazione con altri, determina le finalità e i mezzi del trattamento dei dati personali.

2.3 Processore

Una persona fisica o giuridica, autorità pubblica, agenzia o altro ente che tratta dati personali per conto del responsabile del trattamento.

2.4 Dati personali

Qualsiasi informazione sull'individuo identificato o identificabile.

2.5 Categoria speciale

Dati personali che forniscono informazioni sull'origine etnica o razziale, opinioni politiche, convinzioni religiose o filosofiche o appartenenza sindacale e il trattamento di dati genetici, dati biometrici ai fini dell'identificazione univoca di una persona fisica, dati riguardanti la salute o dati relativi alla vita od orientamento sessuale di una persona fisica.

2.6 Nationales Datenschutzgesetz der Mitgliedstaaten

Legislazione sulla protezione dei dati personali adottata dagli Stati membri conformemente al GDPR.

2.7 Regolamento generale

sulla protezione dei dati Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati, e abrogata Direttiva 95/46 / CE (Regolamento generale sulla protezione dei dati).

2.8 Trattamento dei dati 

personali Qualsiasi operazione o insieme di operazioni eseguite su dati personali o su serie di dati personali, anche con strumenti automatizzati, quali raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o alterazione, reperimento, consultazione, uso, comunicazione via trasmissione, diffusione o altrimenti messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione.

2.9 RDP

Responsabile dei dati personali.

2.10 Informazioni anonime

Informazioni non relative a una persona identificata o identificabile, compresi i dati personali resi anonimi in modo che l'interessato non sia o abbia smesso di essere identificabile.  

2.11 Terze parti

Qualsiasi persona giuridica o persona fisica che non è il dipendente della Società, ad eccezione delle persone interessate.

2.12 Consenso

Qualsiasi indicazione liberamente fornita, specifica, informata e inequivocabile dei desideri della persona interessata con la quale lui o lei, mediante una dichiarazione o una chiara azione affermativa, dia il proprio consenso al trattamento dei dati personali che la riguardano.

Appendice n. 1 – Modulo di richiesta

Regolamento generale sulla protezione dei dati Modulo di richiesta dell’interessato   
Memorandum informativo   
Annotazioni
  • Si prega di compilare il presente modulo in forma leggibile.
  • Dati errati, non leggibili o incompleti potrebbero causare il trattamento errato o il rigetto di questa richiesta.
  • Per elaborare la richiesta, l'interessato deve essere chiaramente identificato da uno dei seguenti mezzi:
    • verifica della firma in caso di richiesta scritta inviata per posta,
    • identificazione tramite documento di identificazione dell’interessato in caso di richiesta presentata fisicamente,
    • mezzi elettronici verificati inviati dall'interessato.
  • La richiesta può essere inviata tramite servizio postale alla sede legale dell'entità oggetto della richiesta o fisicamente presentata alla sede legale entro l'orario lavorativo standard.
  • La richiesta deve essere sempre contrassegnata come "Richiesta GDPR" (ad esempio su una busta), altrimenti l'elaborazione può essere prolungata.
  • In caso di rappresentazione di un interessato, si prega di fornire un documento in base al quale si rappresenta l'interessato (delega, procura).
  • L'e-mail non è obbligatoria e facilita l'elaborazione di questa richiesta.
Per domande relative alle richieste GDPR, si prega di contattarci via e-mail all'indirizzo dataprotection@suncanihvar.com. Si ricorda che la comunicazione via e-mail non è un mezzo di comunicazione sicuro al 100% e la sua sicurezza, la fonte o la consegna non sono garantite.