16 de juny de 2018

Política de privadesa

Responsable

  • Identidad: Autoescola Tramuntana
  • NIF: B17430695
  • Dir. postal: Cl Riera Ginjolers 94, 17480 Roses, Girona
  • Teléfono: 972254451
  • Correo elect: tramuntana1@telefonica.net

Resum

En nom de l’empresa tractem la informació que ens facilita amb la finalitat de prestar-los el servei sol·licitat, realitzar la facturació del mateix. Les dades proporcionades es conservaran mentre es mantingui la relació comercial o durant els anys necessaris per complir amb les obligacions legals. Les dades no se cediran a tercers excepte en els casos en què existeixi una obligació legal. Vostè té dret a obtenir confirmació sobre si en AutoescolaTramuntana estem tractant les seves dades personals per tant té dret a accedir a les seves dades personals, rectificar les dades inexactes o sol·licitar la seva supressió quan les dades ja no siguin necessaris.

Registre d’activitats del tractament

Clients

Finalitat del tractament

  • Gestió de la relació amb els clients

Descripció de les categories de clients i de les categories de dades personals:

  • Clients:
    • Persones amb les quals es manté una relació comercial com a clients
  • Categories de dades personals:
    • Els necessaris per al manteniment de la relació comercial. Facturar, enviar publicitat postal o per correu electrònic, servei postvenda i fidelitzaci
    • D’identificació: nom i cognoms, NIF, adreça postal, telèfons, e-mail
    • Dades bancàries: per a la domiciliació de pagaments
  • Les categories de destinataris als qui es van comunicar o comunicaran les dades personals:
    • Administració tributària
  • Quan sigui possible, els terminis previstos per a la supressió de les diferents categories de dades:
    • Els previstos per la legislació fiscal respecte a la prescripció de responsabilitats

Potencials Clients

Finalitat del tractament

  • Gestió de la relació amb els potencials clients

Descripció de les categories de potencials clients i de les categories de dades personals:

  • Potencials clients:
    • Persones amb les quals es busca mantenir una relació comercial com a clients
  • Categories de dades personals:
    • Els necessaris per a la promoció comercial de l’empresa
    • D’identificació: nom i cognoms i adreça postal, telèfons, e-mail
  • Les categories de destinataris als qui es van comunicar o comunicaran les dades personals:
    • No es contempla
  • Quan sigui possible, els terminis previstos per a la supressió de les diferents categories de dades:
    • Un any des del primer contacto

Treballadors

Finalitat del tractament

  • Gestió de la relació laboral amb els emprats

Descripció de les categories d’empleats i de les categories de dades personals:

  • Treballadors:
    • Persones que treballen per al responsable del tractament
  • Categories de dades personals:
    • Els necessaris per al manteniment de la relació comercial. Gestionar la nòmina, formació
    • D’identificació: nom, cognoms, nombre de Seguretat Social, adreça postal, telèfons, e-mail
    • Dades acadèmiques
    • Dades professionals
    • Dades bancàries, per a la domiciliació del pagament de les nòmines
  • Les categories de destinataris als qui es van comunicar o comunicaran les dades personals:
    • Gestoria laboral
  • Quan sigui possible, els terminis previstos per a la supressió de les diferents categories de dades:
  • Els previstos per la legislació fiscal i laboral respecte a la prescripció de responsabilitats

Proveïdors

Finalitat del tractament

  • Gestió de la relació amb els proveïdors

Descripció de les categories de proveïdors i de les categories de dades personals:

  • Proveïdors:
    • Persones amb les quals es manté una relació comercial com a proveïdors de productes i/o serveis
  • Categories de dades personals:
    • Els necessaris per al manteniment de la relació laboral
    • D’identificació: nom, NIF, adreça postal, telèfons, e-mail
    • Dades bancàries: per a la domiciliació de pagaments
  • Quan sigui possible, els terminis previstos per a la supressió de les diferents categories de dades:
    • Els previstos per la legislació fiscal respecte a la prescripció de responsabilitats

VideoVigilancia

Finalitat del tractament

  • Seguretat de les persones i béns

Descripció de les categories d’interessats i de les categories de dades personals:

  • Interessats:
    • Persones que accedeixin o intentin accedir a les instal·lacions
  • Categories de dades personals:
    • Imatges
  • Les categories de destinataris als qui es van comunicar o comunicaran les dades personals:
    • Administració tributària
    • Cossos i forces de seguretat de l’estat
  • Quan sigui possible, els terminis previstos per a la supressió de les diferents categories de dades:
    • Un mes des del seu enregistrament

ANNEX MESURES DE SEGURETAT

INFORMACIÓ D’INTERÈS GENERAL

Aquest document ha estat dissenyat per a tractaments de dades personals de baix risc d’on es dedueix que el mateix no podrà ser utilitzat para tractaments de dades personals que incloguin dades personals relatives a l’origen ètnic o racial, ideologia política religiosa o filosòfica, filiació sindical, dades genètiques i biomètrics, dades de salut, i dades d’orientació sexual de les persones així com qualsevol altre tractament de dades que comporti alt risc per als drets i llibertats de les persones.

L’article 5.1.f del Reglament General de Protecció de Dades (RGPD) determina la necessitat d’establir garanties de seguretat adequades contra el tractament no autoritzat o il·lícit, contra la pèrdua de les dades personals, la destrucció o el dany accidental. Això implica l’establiment de mesures tècniques i organitzatives encaminades a assegurar la integritat i confidencialitat de les dades personals i la possibilitat (article 5.2) de demostrar que aquestes mesures s’han portat a la pràctica (responsabilitat proactiva).

A tenor del tipus de tractament que ha posat de manifest quan ha emplenat aquest formulari, les mesures mínimes de seguretat mínimes que hauria de tenir en compte són les següents:

MESURES ORGANITZATIVES

INFORMACIÓ QUE HAURÀ DE SER CONEGUDA PER TOT EL PERSONAL AMB ACCÉS A DADES PERSONALS

Tot el personal amb accés a les dades personals haurà de tenir coneixement de les seves obligacions en relació amb els tractaments de dades personals i seran informats sobre aquestes obligacions. La informació mínima que serà coneguda per tot el personal serà la següent:

  • DEURE CONFIDENCIALITAT I SECRET
    • S’haurà d’evitar l’accés de persones no autoritzades a les dades personals, a tal fi s’evitarà: deixar les dades personals exposades a tercers (pantalles electròniques desateses, documents en paper en zones d’accés públic, suports amb dades personals, etc.), aquesta consideració inclou les pantalles que s’utilitzin per a la visualització d’imatges del sistema de videovigilancia. Quan s’absent del lloc de treball, es procedirà al bloqueig de la pantalla o al tancament de la sessió.
    • Els documents en paper i suports electrònics s’emmagatzemaran en lloc segur (armaris o estades d’accés restringit) durant les 24 hores del dia.
    • No es rebutjaran documents o suports electrònics (cd, pen drives, discos durs, etc.) amb dades personals sense garantir la seva destrucció.
    • No es comunicaran dades personals o qualsevol informació personal a tercers, es pararà esment especial en no divulgar dades personals protegides durant les consultes telefòniques, correus electrònics,tc.
    • El deure secret i confidencialitat persisteix fins i tot quan finalitzi la relació laboral del treballador amb l’empresa
  • DRETS DELS TITULARS DE LES DADES
    • S’informarà a tots els treballadors sobre el procediment per atendre els drets dels interessats, definint de forma clara els mecanismes pels quals poden exercir-se els drets (mitjans electrònics, referència al Delegat de Protecció de Dades si ho hi hagués, adreça postal, etc.) tenint en compte el següent:
    • Prèvia presentació del seu document nacional d’identitat o passaport, els titulars de les dades personals (interessats) podran exercir els seus drets d’accés, rectificació, supressió, oposició i portabilitat. El responsable del tractament haurà de donar resposta als interessats sense dilació indeguda.
    • Per al dret d’accés es facilitarà als interessats la llista de les dades personals que disposi juntament amb la finalitat per la qual han estat recollits, la identitat dels destinataris de les dades, els terminis de conservació, i la identitat del responsable davant el qual poden sol·licitar la rectificació supressió i oposició al tractament de les dades.
    • Per al dret de rectificació es procedirà a modificar les dades dels interessats que anessin inexactes o incomplets atenent a les finalitats del tractament.
    • Per al dret de supressió se suprimiran les dades dels interessats quan els interessats manifestin la seva negativa o oposició al consentiment per al tractament de les seves dades i no existeixi deure legal que ho impedeixi.
    • Per al dret de portabilitat els interessats hauran de comunicar la seva decisió i informar al responsable, si escau, sobre la identitat del nou responsable al que facilitar les seves dades personals.
    • El responsable del tractament haurà d’informar a totes les persones amb accés a les dades personals sobre els termes de compliment per atendre els drets dels interessats, la forma i el procediment en què s’atendran aquests drets.
  • VIOLACIONS DE SEGURETAT DE DADES DE CARÀCTER PERSONA
    • Quan es produeixin violacions de seguretat DE DADES DE CARÀCTER PERSONAL, com per exemple, el robatori o accés indegut a les dades personals es notificarà a l’Agència Espanyola de Protecció de Dades en terme de 72 hores sobre aquestes violacions de seguretat, incloent tota la informació necessària per a l’esclariment dels fets que haguessin donat lloc a l’accés indegut a les dades personals. La notificació es realitzarà per mitjans electrònics a través de la seu electrònica de l’Agència Espanyola de Protecció de Dades en l’adreça: https://sedeagpd.gob.es
  • CAPTACIÓ D’IMATGES AMB CÀMERES I FINALITAT DE SEGURETAT (VIDEOVIGILANCIA)
    • UBICACIÓ DE LES CÀMERES: S’evitarà la captació d’imatges en zones destinades al descans dels treballadors.
    • UBICACIÓ DE MONITORS: Els monitors on es visualitzin les imatges de les càmeres se situaran en un espai d’accés restringit de manera que no siguin accessibles a tercers.
    • CONSERVACIÓ D’IMATGES: Les imatges s’emmagatzemaran durant el termini màxim d’un mes, amb excepció de les imatges que siguin aportades als tribunals i les forces i cossos de seguretat.
    • DEURE INFORMACIÓ: S’informarà sobre l’existència de les càmeres i enregistrament d’imatges mitjançant un distintiu informatiu on mitjançant un pictograma i un text es detalli el responsable davant el qual els interessats podran exercir el seu dret d’accés. En el propi pictograma es podrà incloure el text informatiu. A la pàgina web de l’Agència disposen de models, tant del pictograma com del text.
    • CONTROL LABORAL: Quan les càmeres vagin a ser utilitzades amb la finalitat de control laboral segons el previst en l’article 20.3 de l’Estatut dels Treballadors, s’informarà al treballador o als seus representants sobre les mesures de control establertes per l’empresari amb indicació expressa de la finalitat de control laboral de les imatges captades per les càmeres.
    • DRET D’ACCÉS A les IMATGES: Per donar compliment al dret d’accés dels interessats se sol·licitarà una fotografia recent i el Document Nacional d’Identitat de l’interessat, així com el detall de la data i hora a la qual es refereix el dret d’accés. No es facilitarà a l’interessat accés directe a les imatges de les càmeres en les quals es mostrin imatges de tercers. En cas de no ser possible la visualització de les imatges per l’interessat sense mostrar imatges de tercers, es facilitarà un document a l’interessat en el qual es confirmi o negui l’existència d’imatges de l’interessat.

Per a més informació pot consultar les guies de videovigilancia de l’Agència Espanyola de Protecció de Dades que es troben a la seva disposició en la secció de publicacions de la web www.aepd.es.

MESURES TÈCNIQUES

IDENTIFICACIÓ

  • Quan el mateix ordinador o dispositiu s’utilitzi per al tractament de dades personals i finalitats d’ús personal es recomana disposar de diversos perfils o usuaris diferents per a cadascuna de les finalitats. Han de mantenir-se separats els usos professional i personal de l’ordinador.
  • Es recomana disposar de perfils amb drets d’administració per a la instal·lació i configuració del sistema i usuaris sense privilegis o drets d’administració per a l’accés a les dades personals. Aquesta mesura evitarà que en cas d’atac de ciberseguridad puguin obtenir-se privilegis d’accés o modificar el sistema operatiu.
  • Es garantirà l’existència de contrasenyes per a l’accés a les dades personals emmagatzemades en sistemes electrònics. La contrasenya tindrà almenys 8 caràcters, mescla de nombres i lletres.
  • Quan a les dades personals accedeixin diferents persones, per a cada persona amb accés a les dades personals, es disposarà d’un usuari i contrasenya específics (identificació inequívoca).
  • S’ha de garantir la confidencialitat de les contrasenyes, evitant que quedin exposades a tercers. Per a la gestió de les contrasenyes pot consultar la guia de privadesa i seguretat a internet de l’Agència spanyola de Protecció de Dades i l’Institut Nacional de Ciberseguridad. En cap cas es compartiran les contrasenyes ni es deixaran anotades en lloc comú i l’accés de persones diferents de l’usuari.

DEURE SALVAGUARDA

A continuació s’exposen les mesures tècniques mínimes per garantir la salvaguarda de les dades personals:

  • ACTUALITZACIÓ D’ORDINADORS I DISPOSITIUS: Els dispositius i ordinadors utilitzats per a l’emmagatzematge i el tractament de les dades personals hauran de mantenir-se actualitzats en la mitjana possible.
  • MALWARE: En els ordinadors i dispositius on es realitzi el tractament automatitzat de les dades personals es disposarà d’un sistema d’antivirus que garanteixi en la mesura possible el robatori i destrucció de la informació i dades personals. El sistema d’antivirus haurà de ser actualitzat de forma periòdica.
  • TALLAFOCS O FIREWALL: Per evitar accessos remots indeguts a les dades personals es vetllarà per garantir l’existència d’un firewallactivat en aquells ordinadors i dispositius en els quals es realitzi l’emmagatzematge i/o tractament de dades personals.
  • XIFRAT DE DADES: Quan es precisi realitzar l’extracció de dades personals fos del recinte on es realitza el seu tractament, ja sigui per mitjans físics o per mitjans electrònics, s’haurà de valorar la possibilitat d’utilitzar un mètode d’encriptació per garantir la confidencialitat de les dades personals en cas d’accés indegut a la informació.
  • CÒPIA DE SEGURETAT: Periòdicament es realitzarà una còpia de seguretat en un segon suport diferent del que s’utilitza per al treball diari. La còpia s’emmagatzemarà en lloc segur, diferent d’aquell en què estigui situat l’ordinador amb els fitxers originals, amb la finalitat de permetre la recuperació de les dades personals en cas de pèrdua de la informació.

Les mesures de seguretat seran revisades de forma periòdica, la revisió podrà realitzar-se per mecanismes automàtics (programari o programes informàtics) o de forma manual. Consideri que qualsevol incident de seguretat informàtica que li hagi ocorregut a qualsevol conegut li pot ocórrer a vostè, i previngui’s contra el mateix.

Si desitja més informació o orientacions tècniques per garantir la seguretat de les dades personals i la informació que tracta la seva empresa, l’Institut Nacional de Ciberseguridad(INCIBE) a la seva pàgina web www.incibe.és, posa a la seva disposició eines amb enfocament empresarial en la seva secció «Protegeix la teva empresa»   on, entre altres serveis, disposa de:

A més INCIBE, a través de l‘Oficina de Seguretat de l’Internauta, posa també a la seva disposició eines informàtiques gratuïtes i informació addicional poden ser d’utilitat per a la seva empresa o la seva activitat professional.