Questo documento spiega, ad alto livello, come rispettiamo i principi fondamentali del GDPR
Liceità, correttezza e trasparenza
- Ci assicuriamo di avere una base giuridica adeguata per il trattamento dei dati e scegliamo di utilizzare il Consenso solo quando è appropriato. Se desideriamo utilizzare gli Interessi Legittimi, ci assicuriamo che venga effettuata una Valutazione degli Interessi Legittimi.
- Trattiamo i dati solo in modi che le persone si aspetterebbero. Quando progettiamo nuovi processi di trattamento dei dati, ci assicuriamo che la raccolta dei dati sia vista come equa e non sproporzionata rispetto ai nostri obiettivi.
- Spieghiamo tutti questi dettagli nelle nostre Informative sulla Privacy per garantire la trasparenza.
Limitazione delle finalità
- Le nostre Informative sulla Privacy e la documentazione interna chiariscono i motivi della raccolta dei dati e ci assicuriamo che i dati raccolti per scopi specifici non vengano riutilizzati per altri scopi.
Minimizzazione dei dati
- In parole povere, raccogliamo solo i dati personali di cui abbiamo effettivamente bisogno per scopi specifici. Se non ne abbiamo bisogno, non li raccogliamo.
- Il nostro processo di Privacy by design garantisce che i dati che raccogliamo siano adeguati, pertinenti e limitati a quanto necessario
Accuratezza
- La maggior parte dei dati che possediamo sui membri proviene dai sistemi di informazione delle risorse umane (HRIS) dei nostri clienti e quindi dovrebbe essere già accurata.
- Invitiamo i nostri clienti a fornire regolarmente aggiornamenti sui membri per acquisire le informazioni su nuovi ingressi, uscite e qualsiasi cambiamento nelle informazioni dei membri.
- I membri possono aggiornare i loro dettagli direttamente attraverso il loro Profilo o contattando i nostri team di supporto.
Limitazione di archiviazione
- Non siamo interessati a conservare i dati più a lungo del necessario. Applichiamo politiche di conservazione rigorose ai nostri dati;
- Cancellazione dei dati entro 180 giorni dalla risoluzione del contratto
- Durante il contratto, cancelliamo i dati dei membri dopo 2 anni di inattività, e
- 60 giorni dopo che un membro è stato segnato come uscente
- Questo è riflesso nelle nostre Informative sulla Privacy e nel nostro Accordo di Trattamento dei Dati
Integrità e riservatezza
- Reward Gateway ha messo la Sicurezza al centro del nostro business sin dalla sua fondazione nel 2006 ed è stata la prima azienda di benefici nel Regno Unito a ottenere la conformità ISO27001 nel 2009.
- Abbiamo un team a tempo pieno di professionisti della Sicurezza delle Informazioni con qualifiche tra cui CISSP, PCI ISA, ISO27001 Internal Auditor.
- Applichiamo le baseline di hardening del Centre for Internet Security (CIS) a tutti gli asset e eseguiamo analisi delle minacce utilizzando il framework STRIDE di Microsoft.
- Il nostro Programma di Gestione delle Vulnerabilità esegue scansioni mensili di tutti gli asset e abbiamo stipulato contratti con società di analisi forense per la risposta agli incidenti.
- Pubbliciamo rapporti di test di penetrazione due volte l'anno, copie delle nostre politiche e procedure e molto altro nel nostro Security Pack
Responsabilità e Governance
- Abbiamo Politiche di Protezione dei Dati che coprono le nostre società del gruppo.
- Garantiamo la ‘protezione dei dati per progettazione e per impostazione predefinita’ assicurando che il nostro Team di Sicurezza delle Informazioni e il Responsabile della Protezione dei Dati siano coinvolti in tutte le discussioni sulla progettazione dei prodotti.
- Effettuiamo Valutazioni di Impatto sulla Protezione dei Dati quando necessario
- Abbiamo un Responsabile della Protezione dei Dati (DPO@rewardgateway.com)
- Manteniamo contratti scritti e Accordi di Elaborazione dei Dati con clienti e fornitori
Commenti
0 commenti
Accedi per aggiungere un commento.