La tua privacy è importante per noi e Bluefin prende molto sul serio questo problema.
Informativa sulla privacy dei dati v2.0_14 / 05/18
Bluefin Trading Ltd. si impegna a essere trasparente su come raccoglie e utilizza i dati personali e si impegna a soddisfare i suoi obblighi di protezione dei dati. Questa dichiarazione espone il suo impegno per la protezione dei dati. Questa dichiarazione si applica ai dati personali di clienti, fornitori, contatti, terzi
parti o altri dati personali trattati a fini commerciali. I dati personali dei richiedenti lavoro, impiegati, imprenditori, stagisti, apprendisti e ex dipendenti, indicati come “I dati personali relativi alle risorse umane” sono coperti dalla nostra politica di protezione dei dati delle risorse umane. La formulazione in questa dichiarazione riflette i requisiti del regolamento generale sulla protezione dei dati (GDPR), che entra in vigore il 25 maggio 2018.
Bluefin ha nominato il Data Manager comr responsabile della protezione dei dati. Domande o richieste di ulteriori informazioni sulla sua conformità, dovrebbero essere indirizzate al responsabile dei dati, Bluefin Trading Ltd, Keelham Farm, Hebden Bridge, HX7 8TG.
1. Interpretazione
Decisione automatica (ADM): quando viene presa una decisione basata esclusivamente su Elaborazione automatizzata (compresa la creazione di profili) che produce effetti legali o influisce in modo significativo su un individuo. Il GDPR proibisce il processo decisionale automatico (a meno che non siano soddisfatte determinate condizioni) ma non l’elaborazione automatizzata.
Elaborazione automatizzata: qualsiasi forma di elaborazione automatizzata di Dati personali costituita dall’uso di Dati personali per valutare alcuni aspetti personali relativi a un individuo, in particolare per analizzare o prevedere aspetti riguardanti le prestazioni di quel soggetto sul lavoro, la salute, le preferenze, interessi, affidabilità, comportamento, posizione o movimenti. Il profiling è un esempio di Elaborazione automatizzata
Organizzazione: Bluefin Trading Ltd
Consenso: accordo che deve essere dato liberamente, specifico, informato ed essere univoca indicazione dei desideri del Soggetto mediante il quale con una dichiarazione o con una chiara azione positiva, acconsente al trattamento dei propri dati personali.
Controller dei dati: la persona o l’organizzazione che determina quando, perché e come elaborare i dati personali. È responsabile di stabilire pratiche e politiche in linea con il GDPR. Noi siamo il Titolare del trattamento dei dati personali utilizzati nella nostra attività e per gli scopi della nostra attività.
Soggetto dei dati: un individuo vivo, identificato o identificabile, di cui deteniamo i Dati personali. I soggetti dei dati possono essere cittadini o residenti di qualsiasi paese e possono avere diritti legali in merito ai loro dati personali.
Valutazione dell’impatto sulla privacy dei dati (DPIA): valutazioni utilizzate per identificare e ridurre i rischi di una data attività di elaborazione. La DPIA può essere eseguita come parte della Privacy e deve essere condotta per tutti i principali sistemi o programmi di gestione aziendale che comportano l’elaborazione di dati personali.
SEE: i 28 paesi dell’UE e Islanda, Liechtenstein e Norvegia.
Consenso esplicito: consenso che richiede una dichiarazione molto chiara e specifica.
Regolamento generale sulla protezione dei dati (GDPR): il regolamento generale sulla protezione dei dati. I Dati personali sono soggetti alle garanzie legali specificate nel GDPR.
Dati personali: qualsiasi informazione che identifichi un Soggetto o informazioni relative a un Soggetto che possiamo identificare (direttamente o indirettamente) da quei dati da soli o in combinazione con altri identificatori di cui disponiamo o a cui possiamo ragionevolmente accedere. I dati personali includono i Date sensibili e i dati personali pseudonimizzati, ma escludono dati anonimi o dati di un individuo permanentemente rimosso. I dati personali possono essere effettivi (ad esempio nome, indirizzo email, luogo o data di nascita) o un’opinione sulle azioni di quella persona o comportamento.
Violazione dei dati personali: qualsiasi atto o omissione che compromette la sicurezza, riservatezza, integrità o disponibilità dei dati personali o di natura fisica, tecnica, garanzie amministrative o organizzative che noi o i nostri fornitori di servizi di terze mettiamo in atto per proteggerlo. La perdita, o accesso non autorizzato, divulgazione o acquisizione, di dati personali sono una violazione dei dati personali.
Privacy by Design: implementazione di misure tecniche e organizzative adeguate ed efficaci per garantire la conformità con il GDPR.
Informativa sulla privacy o dichiarazioni: comunicazioni separate che definiscono le informazioni che possono essere fornite a Soggetti quando l’organizzazione raccoglie informazioni su di loro.
Elaborazione o elaborato: qualsiasi attività che implichi l’utilizzo di Dati personali. Include ottenere, registrare o conservare i dati o eseguire qualsiasi operazione o serie di operazioni sui dati includendo l’organizzazione, la modifica, il recupero, l’uso, la divulgazione, la cancellazione o la distruzione. Include anche la trasmissione o il trasferimento di dati personali a terze parti.
Pseudonimizzazione: sostituzione di informazioni che identificano direttamente o indirettamente un individuo con uno o più identificatori artificiali o pseudonimi in modo che la persona, a cui i dati si riferiscono, non può essere identificato senza l’uso di ulteriori informazioni che si intende tenere separati e al sicuro.
Politiche correlate: politiche dell’organizzazione, procedure operative o processi correlati a questa Informativa sulla privacy progettate per proteggere i dati personali.
Dati personali sensibili: informazioni che rivelano origini razziali o etniche, opinioni politiche, credenze religiose o simili, appartenenza sindacale, salute fisica o condizione mentale, vita sessuale, orientamento sessuale, dati biometrici o genetici e dati personali relativi a reati e condanne penali.
2. Campo di applicazione
Riconosciamo che il trattamento corretto e legale dei Dati personali manterrà la fiducia nell’organizzazione e permetterà operazioni commerciali di successo. Proteggere la riservatezza e l’integrità dei Dati personali è una responsabilità critica che prendiamo sul serio in ogni momento.
Il Responsabile del trattamento dei Dati perdonali è responsabile della supervisione della presente Informativa sulla privacy e, se applicabile, lo sviluppo di politiche e linee guida correlate. Si prega di contattare il responsabile dei dati per qualsiasi domanda sul funzionamento della presente Informativa sulla privacy o sul GDPR se si pensa che l’informativa sulla privacy non è stata o non è seguita.
Aderiamo ai principi relativi al trattamento dei Dati personali stabiliti nel GDPR che richiedere che i Dati personali siano:
(a) Elaborati in modo lecito, equo e trasparente (liceità, correttezza e Trasparenza).
(b) Raccolti solo per scopi specificati, espliciti e legittimi (Limitazione di scopo).
(c) Adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per i quali vengono elaborati (riduzione dei dati).
(d) Precisi e, ove necessario, tenuti aggiornati (accuratezza).
(e) Non conservati in una forma che consenta l’identificazione dei Soggetti per un periodo superiore a quello consentito necessario per gli scopi per i quali i dati vengono elaborati (Limitazione dell’archiviazione).
(f) Elaborati in modo tale da garantirne la sicurezza mediante l’uso di tecniche e misure organizzative per la protezione contro l’elaborazione non autorizzata o illegale e contro perdita, distruzione o danno accidentale (sicurezza, integrità e riservatezza).
(g) Non trasferiti in un altro paese senza che siano state introdotte adeguate misure di salvaguardia (Limitazione del trasferimento).
(h) Resi disponibili agli interessati che sono autorizzati ad esercitare determinati diritti in relazione ai loro dati personali (diritti e richieste del soggetto interessato).
Dimostreremo la conformità con i principi di protezione dei dati sopra elencati (responsabilità).
3. Liceità, correttezza, trasparenza
3.1 Legittimità ed equità
I dati personali saranno trattati in modo lecito, equo e trasparente in relazione all’Oggetto dei dati. Raccoglieremo, elaboreremo e condivideremo i Dati personali solo in modo equo e legale e per scopi specificati. Il GDPR limita le nostre azioni relative ai dati personali a determinate condizioni legali. Queste restrizioni non hanno lo scopo di impedirne l’elaborazione, ma per garantire che elaboriamo Dati personali in modo equo e senza pregiudizi nei confronti del soggetto dei dati.
Il GDPR consente l’elaborazione per scopi specifici, alcuni dei quali sono elencati di seguito:
(a) se l’interessato ha dato il consenso;
(b) se il trattamento è necessario per l’esecuzione di un contratto con l’interessato;
(c) per soddisfare i nostri obblighi di conformità legale;
(d) per proteggere gli interessi vitali dell’interessato;
(e) per perseguire i nostri interessi legittimi o perché il trattamento pregiudica gli interessi o i diritti e le libertà fondamentali dei Soggetti. Le finalità saranno definite nelle Note sulla privacy.
Identifichiamo e documentiamo la base giuridica su cui ci basiamo per ciascuna attività di elaborazione.
3.2 Consenso
Elaboreremo i Dati personali solo sulla base degli aspetti legali stabiliti nel GDPR, che include il consenso. Un soggetto interessato acconsente all’elaborazione dei propri dati personali con una dichiarazione o un’azione positiva. Il consenso richiede un’azione. Il silenzio, le caselle pre-spuntate o l’inattività non sono sufficienti. Se il consenso è dato in un documento che tratta di altre questioni, allora il consenso sarà tenuto separato da
quelle altre questioni. I Soggetti dei dati possono ritirare il consenso all’elaborazione in qualsiasi momento e il ritiro sarà prontamente onorato. Il consenso potrebbe dover essere aggiornato se vogliamo elaborare i Dati personali per uno scopo diverso e incompatibile che non è stato divulgato quando
il soggetto dei dati ha acconsentito.
A meno che non possiamo contare su un’altra base legale di elaborazione, il consenso esplicito sarà richiesto per l’elaborazione di dati personali sensibili, per il processo decisionale automatizzato e per trasferimenti di dati transfrontalieri. Di solito faremo affidamento su un’altra base legale (e non
richiede il consenso esplicito) per elaborare i dati sensibili. Laddove è richiesto il consenso esplicito, faremo emettere un avviso per l’oggetto dei dati.
Conserveremo i registri di tutti i consensi in modo che possiamo dimostrare la conformità dei consenso richiesti.
3.3 Trasparenza (notifica agli interessati)
Il GDPR richiede ai Data Controller di fornire informazioni dettagliate e specifiche sui dati dei Soggetti. Ogni volta che raccogliamo Dati personali direttamente dai Soggetti, compresi quelli umani, risorse o occupazione, forniremo al Soggetto tutte le informazioni richieste dal GDPR inclusa l’identità del Titolare, come e perché utilizzeremo, elaboreremo, divulgaremo, proteggeremo e conservaremo tali dati personali.
Quando i Dati personali vengono raccolti indirettamente (ad esempio, da una terza parte o pubblicamente disponibili), forniremo al Soggetto dei dati tutte le informazioni richieste dal GDPR non appena possibile dopo aver raccolto / ricevuto i dati. Controlleremo che i Dati personali siano stati raccolti da
la terza parte in conformità con il GDPR e su una base che contempla la nostra proposta di elaborazione di tali dati personali.
4. Limitazione di scopo
I Dati personali saranno raccolti solo per scopi specificati, espliciti e legittimi. Non potranno essere ulteriormente trattati in qualsiasi modo incompatibile con tali scopi. Non useremo Dati personali per scopi nuovi, diversi o incompatibili da quelli rilevati quando sono stati raccolti che non abbiamo informato il Soggetto dei nuovi scopi e che sia stati acconsentiti il nuovo trattamento dove necessario.
5. Riduzione dei dati
I dati personali saranno adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per i quali vengono raccolti. Il nostro personale non elaborerà i Dati personali per nessuna ragione non correlata alle mansioni lavorative. Quando i dati personali non sono più necessari per specificati
scopi, saranno cancellati o resi anonimi in conformità con le nostre linee guida sulla conservazione dei dati.
6. Precisione
I dati personali saranno accurati e, ove necessario, aggiornati. Saranno corretti o cancellati senza ritardo quando inaccurati. Ci assicureremo che l’uso e la conservazione dei Dati personali siano accurati, completi, aggiornati e pertinenti allo scopo per il quale sono stati da noi raccolti. Adotteremo tutte le misure ragionevoli per distruggere o modificare Dati personali inaccurati o non aggiornati.
7. Limitazione dello spazio di archiviazione
I dati personali non saranno conservati in forma identificativa per un periodo di tempo superiore a quello necessario per gli scopi per i quali vengono elaborati. Non conserveremo i Dati personali in una forma che consenta l’identificazione del soggetto per un periodo più lungo del necessario per il business legittimo e per gli scopi per i quali li abbiamo originariamente raccolti, anche allo scopo di soddisfare eventuali richieste legali, contabili o di segnalazione. Prenderemo tutte le misure ragionevoli per distruggere o cancellare dai nostri sistemi tutti i dati personali che non ci servono più, in conformità con i nostri registri e le nostre politiche di conservazione. Ciò include la richiesta a terze parti di cancellare tali dati ove possibile. Noi
informeremo i Soggetti del periodo in cui i dati sono archiviati e quando tale periodo è determinato.
8. Integrità della sicurezza e riservatezza
8.1 Protezione dei dati personali
I dati personali saranno protetti da adeguate misure tecniche e organizzative contro elaborazioni non autorizzate o illecite e contro la perdita, la distruzione o il danneggiamento accidentale. Sviluppiamo, attuiamo e manteniamo le salvaguardie adeguate alla nostra dimensione, portata e attività, disponibili
per proteggere i dati dei Soggetti, compreso l’uso di crittografia e Pseudonimizzazione, ove applicabile. Valutiamo e testiamo regolarmente l’efficacia di tali salvaguardie per garantire la sicurezza delle nostre elaborazioni di dati personali.
Manterremo la sicurezza dei dati proteggendo la riservatezza, l’integrità e la disponibilità dei Dati personali, definiti come segue:
(a) Riservatezza significa che solo le persone che hanno bisogno di sapere e sono autorizzate a utilizzare i Dati personali possono accedervi.
(b) Integrità significa che i Dati personali sono accurati e adatti allo scopo per cui sono stati processati.
(c) Disponibilità significa che gli utenti autorizzati possono accedere ai Dati personale solo quando ne hanno bisogno per scopi autorizzati.
8.2 Segnalazione di una violazione dei dati personali
Il GDPR richiede ai responsabili del trattamento dei dati di notificare qualsiasi violazione dei dati personali e, in alcuni casi, l’oggetto dei dati. Abbiamo messo in atto procedure per far fronte a qualsiasi sospetta violazione dei dati personali e notificheremo ai soggetti interessati e qualche altro regolatore applicabile dove siamo obbligati per legge a farlo.
9. Limitazione del trasferimento
Il GDPR limita i trasferimenti di dati verso paesi al di fuori del SEE al fine di garantire che il livello di protezione dei dati offerto agli individui non sia compromesso. Noi trasferiremo dati personali al di fuori del SEE se si verifica una delle seguenti condizioni:
a) la Commissione europea ha emesso una decisione che conferma che il paese a cui trasferiamo i dati personali garantisce un livello adeguato di protezione dei dati, diritti e libertà dei soggetti;
(b) sono state predisposte adeguate misure di salvaguardia;
(c) il Soggetto dei dati ha fornito il Consenso esplicito al trasferimento proposto dopo essere stato informato di eventuali rischi potenziali
(d) il trasferimento è necessario per uno degli altri motivi indicati nel GDPR inclusa l’esecuzione di un contratto tra noi e l’interessato; interesse pubblico; stabilire, esercitare o difendere le rivendicazioni legali o proteggere gli interessi vitali del soggetto dei dati in cui il Soggetto dei dati è fisicamente o giuridicamente incapace di dare il consenso, e in alcuni casi limitati, per il nostro interesse legittimo.
10. Diritti dell’interessato
I soggetti dei dati hanno diritti quando si tratta di come gestiamo i loro dati personali. Questi includono i diritti
a:
(a) ritirare il consenso al trattamento in qualsiasi momento;
(b) ricevere alcune informazioni sulle attività di trattamento del Titolare;
(c) richiedere l’accesso ai propri Dati personali che deteniamo;
(d) impedire il nostro utilizzo dei propri Dati personali a fini di marketing diretto;
(e) chiederci di cancellare i Dati personali se non è più necessario in relazione agli scopi per i quali sono stati raccolti o elaborati o per correggere dati inesatti / completare dati incompleti;
(f) limitare il trattamento in circostanze specifiche;
(g) contestare il trattamento che è stato giustificato sulla base dei nostri legittimi interessi o nell’interesse pubblico;
(h) richiedere una copia di un accordo in base al quale i Dati personali sono trasferiti al di fuori del SEE;
(i) opporsi a decisioni basate esclusivamente sull’elaborazione automatizzata, inclusa la profilazione (ADM);
(j) impedire l’elaborazione che potrebbe causare danni o angoscia al Soggetto dei dati o a chiunque altro;
(k) essere informati di una violazione dei dati personali che potrebbe comportare un alto rischio per i loro diritti e libertà;
(l) presentare un reclamo all’autorità di controllo
(m) in circostanze limitate, ricevere o chiedere i propri Dati personali trasferiti a una terza parte in un formato strutturato, comunemente usato e leggibile da una macchina.
Verificheremo l’identità di una persona che richiede i dati in base a uno dei diritti sopra elencati.
11. Responsabilità
11.1 Attueremo misure tecniche e organizzative appropriate in un modo efficace, per garantire il rispetto dei principi di protezione dei dati. Abbiamo preddisposto risorse e controlli per garantire e documentare la conformità GDPR, tra cui:
(a) nominare un dirigente adeguatamente qualificato responsabile della riservatezza dei dati;
(b) implementazione di Privacy by Design durante l’elaborazione dei Dati personali e il completamento DPIA in cui il trattamento presenta un alto rischio per i diritti e le libertà dei Soggetti;
(c) integrazione della protezione dei dati in documenti interni;
(d) formazione regolare del nostro personale sul GDPR e questioni relative alla protezione dei dati compresi i diritti del soggetto interessato, Consenso, basi giuridiche, DPIA e violazioni dei dati personali;
(e) testare periodicamente le misure sulla privacy e condurre revisioni per valutarne la conformità.
11.2 Tenuta dei registri
Il GDPR ci impone di conservare registrazioni complete e accurate del nostro trattamento dei dati di attività. Questi record includono il nome e i dettagli di contatto del Titolare del trattamento, descrizioni chiare dei tipi di dati personali, dei tipi di dati oggetto, delle attività di elaborazione, scopi di elaborazione, destinatari di terze parti dei Dati personali, posizioni di memoria, trasferimenti, periodi di conservazione e una descrizione delle misure di sicurezza in atto.
11.3 Formazione
Garantiremo a tutto il personale una formazione adeguata per consentire loro di rispettare le leggi sulla privacy.
11.4 Privacy per progetto e valutazione dell’impatto sulla protezione dei dati (DPIA)
Siamo tenuti a implementare le misure di Privacy by Design durante l’elaborazione dei Dati personali implementando adeguate misure tecniche e organizzative (come Pseudonimizzazione) in modo efficace, per garantire la conformità con i principi sulla privacy. Prenderemo in considerazione quanto segue:
(a) lo stato dell’arte;
(b) il costo di attuazione;
(c) la natura, la portata, il contesto e le finalità del trattamento
(d) i rischi, la probabilità e la gravità dei diritti e delle libertà dei Soggetti posti dalla lavorazione.
Condurremo anche DPIAs in relazione all’elaborazione ad alto rischio.
11.5 Elaborazione automatica (inclusa la profilazione) e processo decisionale automatico
Generalmente, l’ADM è proibito quando una decisione ha un effetto significativo legale o simile su un individuo a meno che:
(a) un soggetto ha esplicitamente autorizzato;
(b) il trattamento è autorizzato dalla legge
(c) il trattamento è necessario per l’esecuzione o la stipula di un contratto.
Se vengono elaborati determinati tipi di dati sensibili, i motivi (b) o (c) non saranno consentiti ma tali Dati sensibili possono essere elaborati laddove è necessario per un interesse pubblico sostanziale come la prevenzione di frodi. Se una decisione deve essere basata esclusivamente sull’elaborazione automatizzata (incluso profilazione), i Soggetti dei dati saranno informati del loro diritto di opporsi. Saranno messe in atto misure per salvaguardare i diritti, le libertà e i legittimi interessi delle persone. Informeremo il Soggetto della logica applicata nel processo decisionale o profilazione, il significato e le conseguenze previste e dare al Soggetto il diritto di richiedere l’intervento umano, esprimere il loro punto di vista o contestare la decisione. Una DPIA sarà eseguita prima di qualsiasi elaborazione automatizzata (incluso profilazione) o attività ADM.
11.6 Marketing diretto
Offriremo specificamente il diritto di opporsi al direct marketing. Un’obiezione del soggetto al direct marketing sarà prontamente onorato. Se un cliente si disconnette in qualsiasi momento, i suoi dettagli saranno cancellati il prima possibile. La cancellazione implica il mantenimento di un numero sufficiente di informazioni da garantire che le preferenze di marketing sono rispettate in futuro.
11.7 Condivisione di dati personali
Generalmente non siamo autorizzati a condividere i Dati personali con terze parti se non in determinati modi e a condizione che siao state messe in atto misure di sicurezza e contrattuali. Condivideremo solo i Dati personali in nostro possesso se il destinatario ha bisogno di conoscere le informazioni e il trasferimento rispetta qualsiasi restrizione applicabile al trasferimento transfrontaliero. Condivideremo solo i Dati personali che deteniamo con terze parti, come i nostri fornitori di servizi, se:
(a) hanno bisogno di conoscere le informazioni allo scopo di fornire il contratto Servizi;
(b) la condivisione dei Dati personali è conforme a un Avviso sulla privacy fornito al Soggetto dei dati e, se richiesto, il consenso del Soggetto dei dati è stato ottenuto;
(c) la parte terza ha accettato di conformarsi alla necessaria sicurezza dei dati;
(d) il trasferimento è conforme alle restrizioni applicabili sul trasferimento transfrontaliero
(e) un contratto scritto pienamente eseguito che contiene clausole di terze parti approvate da GDPR è stato ottenuto.
12. Modifiche alla presente Informativa sulla privacy
Ricontrollare regolarmente questa dichiarazione per ottenere l’ultima versione. La presente Informativa sulla privacy non ha la precedenza sulle leggi e regolamenti sulla privacy dei dati applicabili.