processo di gestione delle nomine di soggetti autorizzati al trattamento

processo di gestione delle nomine di soggetti autorizzati al trattamento

1.        IL PROCESSO DI GESTIONE DELLE PERSONE AUTORIZZATE AL TRATTAMENTO

1.1 Assunzione o cambio di mansioni di un dipendente e assegnazione dei trattamenti

I compiti e le funzioni connessi al trattamento di dati personali sono attribuiti a persone fisiche, espressamente designate ed autorizzate, che operano sotto l’autorità della Titolare del Trattamento. In occasione di una nuova assunzione, l’ufficio risorse umane autorizza il dipendente, con apposita lettera, al trattamento dei dati personali impartendo le istruzioni necessarie.

Il singolo soggetto designato potrà trattare i dati personali nei limiti delle finalità relative al ruolo allo stesso assegnato all’interno dell’unità organizzativa di appartenenza. Tali autorizzazioni sono rese conoscibili a tutti i dipendenti tramite consultazione del registro dei trattamenti. L’assegnazione formalizzata del dipendente ad altro ruolo aziendale, comporterà la conseguente assunzione delle autorizzazioni riferibili al nuovo incarico; detto meccanismo consente di individuare tempo per tempo i soggetti designati del trattamento e l’ambito dei dati loro accessibili nel rispetto di quanto previsto dalla normativa.

1.2  Codici di condotta, istruzioni, e consultazione del registro dei trattamenti

Nel rispetto del principio di accountability sancito dal GDPR, all’assunzione di un nuovo dipendente, l’ufficio risorse umane provvede a consegnare al dipendente le istruzioni in materia di privacy e data protection, nonché tutte le istruzioni utili per lo svolgimento delle operazioni di trattamento, anche mediante l’affiancamento di personale di esperienza.

Prima dell’abilitazione dei privilegi connessi alle applicazioni pertinenti al trattamento affidatogli, il dipendente deve, da ultimo, prendere visione dei trattamenti di dati personali a lui affidati dall'ufficio di appartenenza e censiti all'interno del Registro dei trattamenti.

1.3  Abilitazione ed eventuale disattivazione di privilegi e applicazioni

Il Responsabile dell’area nella quale viene inserito il nuovo incaricato, in ragione dell’assunzione o del cambio di mansioni, richiede all’ufficio ICT, seguendo le procedure previste all’interno del Regolamento ICT, l’attribuzione dei privilegi connessi alle applicazioni comprese nel trattamento affidato all’incaricato.

Conseguentemente, nell’ipotesi di cambio di mansioni, l'ufficio ICT provvede alla disattivazione degli accessi alle applicazioni connesse ai trattamenti eseguiti in precedenza.

1.4  Prestazione dell’attività lavorativa

Il dipendente svolge l’attività lavorativa assegnatagli entro il perimetro stabilito ed effettua i trattamenti previsti per le mansioni allo stesso affidate. I trattamenti saranno gli stessi o un sottoinsieme di quelli effettuati dalla funzione sulla base di quanto definito a livello di Registro dei trattamenti.

1.5 Formazione periodica

Durante il periodo di svolgimento dell’attività lavorativa, il dipendente è tenuto a frequentare le attività di formazione pianificate dal Titolare del Trattamento

In base agli obblighi di legge posti dalla normativa vigente privacy, nonché in ragione delle necessità aziendali derivanti da un'analisi dei fabbisogni formativi, il Titolare del Trattamento provvede a pianificare le attività di formazione.

Il dipendente è tenuto a seguire i corsi di formazione e a sostenere (laddove previsti) test di verifica dell'apprendimento al termine di ciascun corso. La funzione delegata dal Titolare raccoglie i test di verifica svolti dai dipendenti e ne analizza i risultati al fine di valutare l'efficacia del piano delle attività formative a fronte del livello di apprendimento dimostrato dai dipendenti.

1.6      Interruzione del rapporto di lavoro

L’interruzione definitiva del rapporto di lavoro, comporta la revoca dell'autorizzazione al trattamento dei dati del soggetto interessato.

L'ufficio ICT si occuperà, quindi, della disattivazione dell’accesso alle applicazioni connesse alle operazioni di trattamento precedentemente poste in essere dal dipendente cessato dal soggetto designato. La funzione delegata dal Titolare provvede ad aggiornare il database in cui sono registrate le associazioni dei dipendenti con i corrispondenti trattamenti a loro affidati.