In generale, ogni organizzazione dovrebbe tenere un registro delle proprie attività di trattamento. Questo è un inventario di tutte le operazioni di trattamento e può aiutarti a formulare ipotesi corrette sulle tue responsabilità ai sensi del GDPR e sui possibili rischi.
Ciascuna di queste operazioni di trattamento deve essere descritta nel registro con le seguenti informazioni:

• lo scopo del trattamento (ad es. fidelizzazione del cliente);
• le categorie dei dati trattati (ad esempio, per le buste paga: cognome, nome, data di nascita, stipendio, ecc.);
• chi ha accesso ai dati (i destinatari — ad esempio: il dipartimento incaricato del reclutamento, il servizio informatico, il management, il  gestore dei fornitori di servizi, i soci...);
• se applicabile, le informazioni relative ai trasferimenti di dati personali al di fuori dello Spazio economico europeo (SEE);
• ove possibile, il periodo di conservazione dei dati (il periodo per il quale i dati sono utili dal punto di vista operativo e della necessità di archiviazione);
• ove possibile, una descrizione generale delle misure di sicurezza.

La registrazione delle attività di trattamento rientra sotto la responsabilità del responsabile dell'organizzazione.
Tale registrazione deve essere a disposizione dell'Autorità per la protezione dei dati del paese SEE in cui opera, se richiesto.

Non è necessario per le imprese/organizzazioni che impiegano meno di 250 persone menzionare attività puramente occasionali nei loro registri (ad esempio, i dati elaborati per eventi una tantum come l'apertura di un negozio).

Per maggiori informazioni:

• Essere conformi

Sì, i responsabili del trattamento (ossia le persone fisiche o enti che trattano i dati per conto di un titolare del trattamento) hanno obblighi ai sensi del GDPR. Vi sono, tuttavia, alcune differenze tra le responsabilità dei responsabili del trattamento e i titolari del trattamento.

I responsabili del trattamento devono attenersi alle responsabilità stabilite nel contratto con il titolare del trattamento, che dettaglia le operazioni di trattamento e i mezzi per trattare i dati personali. Ad esempio, il responsabile del trattamento dovrà eseguire le operazioni di trattamento con le misure tecniche e organizzative appropriate, come indicato dal titolare. In tal modo, il responsabile del trattamento assiste il titolare del trattamento nel rispetto del GDPR.

Per maggiori informazioni:

• Titolare del trattamento o responsabile del trattamento
   

Secondo il GDPR, ci sono, in linea di principio, due modi principali per trasferire i dati personali ad un paese non SEE o a un'organizzazione internazionale. I trasferimenti possono avvenire sulla base di una decisione di adeguatezza o, in mancanza di tale decisione, sulla base di garanzie adeguate, compresi i diritti giuridicamente applicabili e i rimedi giudiziari per le persone fisiche.

Per maggiori informazioni:

• Trasferimenti internazionali
   

Sì, è possibile, ma il GDPR impone determinati obblighi alle aziende che condividono i dati personali. La tua impresa deve informare le persone che condividerai i loro dati con una terza parte. Devi inoltre informarli dei tuoi scopi, della sicurezza, dell'accesso e delle misure di conservazione che si applicheranno.

Il primo passo per installare una videocamera è quello di identificare lo scopo o gli scopi per farlo. Gli scopi per l'installazione di telecamere a circuito chiuso possono essere diversi, come, ad esempio, garantire la sicurezza dei locali, facilitare la prevenzione e la scoperta di furti e altri reati, e, per la natura del lavoro, proteggere la vita e la salute dei dipendenti. Come per qualsiasi trattamento di dati personali, la ripresa video delle persone fisiche deve avere una base giuridica ai sensi del GDPR. Il consenso può fornire una base giuridica per tale trattamento dei dati. Tuttavia, nella maggior parte dei casi, è improbabile che ciò si applichi all'uso delle telecamere, in quanto sarà difficile ottenere il libero consenso di tutti coloro che potrebbero essere ripresi. La base giuridica più comune per questo tipo di trattamento dei dati personali è l'interesse legittimo. Quando il trattamento si basa su un interesse legittimo, dovrai effettuare un test di bilanciamento degli interessi per determinare se i tuoi interessi legittimi superano i diritti dell'individuo.

È necessario informare le persone che si stanno riprendendo. Questo può essere fatto posizionando indicazioni di facile comprensione in posti visibili. Inoltre, a tutti gli ingressi dovrebbe essere collocato un cartello indicante lo scopo del sistema di telecamere a circuito chiuso e l'identità e i dati di contatto del titolare del trattamento.

Alle persone le cui immagini sono registrate da un sistema di telecamere a circuito chiuso dovrebbero essere fornite le seguenti informazioni:

• l'identità e i dati di contatto del titolare del trattamento;
• le finalità del trattamento;
• la base giuridica del trattamento (se è legittimo interesse, le informazioni specifiche su quali interessi legittimi si fa riferimento per quello specifico trattamento e quale entità persegue ciascun interesse legittimo).
• i recapiti del responsabile della protezione dei dati, RDD/DPO (se esiste);
• i destinatari o le categorie di destinatari dei dati;
• le disposizioni di sicurezza per i filmati delle telecamere;
• il periodo di conservazione dei filmati delle telecamere;
• l'esistenza dei diritti delle persone fisiche ai sensi del GDPR e il diritto di presentare un reclamo all'Autorità nazionale per la protezione dei dati.
   

Per maggiori informazioni:

• Trattare i dati personali in modo lecito
• Rispettare i diritti dei singoli
   

Sì, i clienti devono essere informati, quando effettuano una telefonata, degli scopi della registrazione, dei destinatari delle registrazioni, del loro diritto di opposizione e del loro diritto di accesso alle registrazioni.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito
   

Pubblicare i nomi dei vincitori di un concorso sul tuo sito web potrebbe essere considerato un interesse legittimo, se puoi dimostrarlo effettuando un test di bilanciamento degli interessi per determinare se i tuoi interessi legittimi superano i diritti delle persone.

Una buona prassi consisterebbe nell'istituire una procedura interna in cui siano spiegate le norme sulla pubblicazione dei dati personali dei vincitori.

Inoltre, il trattamento dei dati personali per tali scopi dovrebbe far parte dell'informativa sulla privacy del concorso, in modo che i partecipanti siano informati in anticipo sulle modalità di trattamento dei loro dati.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito
   

Il trattamento dei dati personali è consentito se esiste una base giuridica. Oltre al consenso libero, specifico, informato e inequivocabile, possono essere utilizzate altre basi giuridiche per il trattamento.

In altre parole, il consenso è necessario quando non si applica nessuna delle altre basi giuridiche.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito

1. Assicurarsi che i dati ricevuti siano stati raccolti legittimamente e che le persone interessate siano state informate del trattamento dei loro dati personali.
2. Nel caso in cui una terza parte tratti dati personali per tuo conto, assicurati di avere un contratto con il responsabile del trattamento che dettagli le attività di trattamento ed i mezzi per trattare i dati personali.

E, naturalmente, rispettare tutti gli obblighi dei titolari del trattamento.

Per maggiori informazioni:

• Titolare del trattamento o responsabile del trattamento
   

No, non è necessario rendere pubblico il tuo registro del trattamento. Tuttavia, su richiesta, è necessario essere in grado di mettere il registro a disposizione dell'Autorità per la protezione dei dati.

Per maggiori informazioni:

• Essere conformi