Protección de datos – Directiva de protección de datos – Política
El Wirz Transporte SA
Objetivo de la directiva de protección de datos
Wirz Transporte SA se compromete a cumplir con su responsabilidad social en el marco de la legislación de protección de datos. Esta directiva de protección de datos se aplica a todas las sucursales de Wirz Transporte SA y se basa en principios fundamentales aceptados para la protección de datos.
La protección de datos es la base para las relaciones comerciales de confianza.
Definimos nuestros propios objetivos de protección de datos como autocompromiso. Estos incluyen, entre otros:
Ámbito de aplicación y modificación de la directiva de protección de datos
Esta directiva de protección de datos se basa en las disposiciones del Reglamento General de Protección de Datos de la UE y las leyes nacionales correspondientes.
Esta directiva de protección de datos se aplica a todas las sucursales de Wirz Transporte SA en todos los lugares.
La versión más actualizada de la directiva de protección de datos puede obtenerse en el sitio web de Wirz Transporte SA (www.wirztransport.com);
Principios para el tratamiento de datos personales
Justicia y legalidad
Al tratar datos personales, se debe proteger el derecho a la autodeterminación de la información del afectado. Los datos personales deben recopilarse y procesarse de manera legítima.
Limitación de fines
El tratamiento de datos personales solo puede tener los fines que se establecieron antes de recopilar los datos. Los cambios posteriores de los fines solo son posibles de manera limitada y requieren justificación.
Transparencia
El afectado debe estar informado sobre el tratamiento de sus datos. En principio, los datos personales deben recopilarse directamente del afectado. Al recopilar los datos, el afectado debe poder reconocer o ser informado sobre:
Evitación de datos y ahorro de datos
Antes de tratar datos personales, se debe verificar si y en qué medida son necesarios para lograr el propósito del tratamiento.
Eliminación y limitación del almacenamiento
Los datos personales que ya no son necesarios después de que hayan expirado los plazos legales o relacionados con el proceso comercial deben eliminarse. Si existen indicios de intereses dignos de protección o
una importancia histórica de estos datos, los datos deben almacenarse más tiempo hasta que el interés digno de protección se resuelva legalmente.
Precisión y actualidad de los datos
Los datos personales deben almacenarse de manera correcta, completa y, si es necesario, actualizada. Deben tomarse medidas adecuadas para garantizar que los datos que no son correctos, incompletos o obsoletos se eliminen, corrijan, complementen o actualicen.
Confidencialidad y seguridad de los datos
Los datos personales están sujetos al secreto de datos.
Deben tratarse de manera confidencial en el trato personal y protegerse mediante medidas organizativas y técnicas adecuadas contra el acceso no autorizado, el tratamiento o la transmisión ilegal, así como contra la pérdida, el cambio o la destrucción accidental.
Admisibilidad del tratamiento de datos
La recopilación, el tratamiento y el uso de datos personales solo son admisibles si se cumple uno de los siguientes requisitos de autorización. Un requisito de autorización también es necesario si el propósito del tratamiento de los datos personales se cambia con respecto a la designación original.
Datos del cliente y datos del socio
Tratamiento de datos para una relación contractual
Si el tratamiento de datos personales sirve para cumplir o hacer cumplir medidas contractuales o precontractuales, el tratamiento es admisible.
Consentimiento para el tratamiento de datos
El tratamiento de datos puede realizarse con el consentimiento del afectado. Antes del consentimiento, el afectado debe estar informado de acuerdo con la directiva de protección de datos.
Tratamiento de datos por autorización legal
El tratamiento de datos personales también es admisible si las leyes estatales exigen, suponen o permiten el tratamiento de datos. El tipo y el alcance del tratamiento de datos deben ser necesarios para el tratamiento de datos legalmente admisible y deben ajustarse a estas leyes.
Tratamiento de datos por interés legítimo
El tratamiento de datos personales también puede realizarse si es necesario para lograr un interés legítimo de Wirz Transporte SA.
Tratamiento de datos especialmente protegidos
El tratamiento de datos personales especialmente protegidos solo puede realizarse si es legalmente necesario o si el afectado ha dado su consentimiento expreso.
Datos de los usuarios y Internet
Si se recopilan, tratan o utilizan datos personales en sitios web o aplicaciones, los afectados deben estar informados sobre esto en las declaraciones de protección de datos y, si corresponde, en las notas sobre cookies.
Tratamiento de datos para la relación laboral
Para la relación laboral, se pueden tratar los datos personales que son necesarios para la creación, ejecución y terminación del contrato de trabajo.
Al iniciar una relación laboral, se pueden tratar los datos personales de los solicitantes.
Después de la negativa, los datos del solicitante deben eliminarse bajo consideración de los plazos de prescripción legal, a menos que el solicitante haya consentido en una retención adicional para un proceso de selección posterior o un procedimiento de solicitud.
En la relación laboral existente, el tratamiento de datos siempre debe relacionarse con el propósito del contrato de trabajo, siempre que no intervenga uno de los siguientes requisitos de autorización para el tratamiento de datos.
Si, al iniciar o durante la relación laboral, es necesario recopilar información adicional sobre el solicitante de un tercero, se deben considerar los requisitos legales nacionales correspondientes.
En caso de duda, se debe obtener el consentimiento del afectado.
Tratamiento de datos por autorización legal
El tratamiento de datos personales de los empleados también es admisible si las leyes estatales exigen, suponen o permiten el tratamiento de datos.
La naturaleza y el alcance del tratamiento de datos deben ser necesarios para el tratamiento de datos legalmente admisible y deben ajustarse a estas leyes.
Si existe un margen de actuación legal, se deben considerar los intereses dignos de protección del empleado.
Consentimiento para el tratamiento de datos
El tratamiento de datos de los empleados puede realizarse con el consentimiento del afectado.
Las declaraciones de consentimiento deben darse de manera voluntaria.
Los consentimientos involuntarios son inválidos.
La declaración de consentimiento debe obtenerse por escrito o electrónicamente.
Si las circunstancias lo permiten, el consentimiento puede otorgarse verbalmente, por ejemplo, por teléfono.
Si el afectado proporciona datos de manera informada y voluntaria, se puede suponer un consentimiento.
Tratamiento de datos por interés legítimo
El tratamiento de datos personales de los empleados también puede realizarse si es necesario para lograr un interés legítimo de Wirz Transporte SA.
Los intereses legítimos suelen ser de naturaleza legal (por ejemplo, para hacer valer, ejercer o defender reclamaciones legales) o económica.
Un tratamiento de datos personales basado en un interés legítimo no puede realizarse si, en cada caso individual, hay indicios de que los intereses dignos de protección del empleado superan el interés en el tratamiento.
Los intereses dignos de protección deben verificarse para cada tratamiento.
Tratamiento de datos especialmente protegidos
El tratamiento de datos personales especialmente protegidos de los empleados solo puede realizarse si es legalmente necesario o si el empleado ha dado su consentimiento expreso.
El tratamiento de estos datos también es admisible si es estrictamente necesario para que el empleador haga valer, ejerza o defienda reclamaciones legales contra el empleado.
Telecomunicaciones y Internet
Las instalaciones telefónicas, las direcciones de correo electrónico, el intranet y el Internet se proporcionan en primer lugar para las tareas comerciales en el marco de la empresa.
Se utilizan como herramientas de trabajo y recursos de la empresa.
Pueden utilizarse dentro de los límites de las leyes aplicables y de las directivas internas de la empresa.
Se realiza una supervisión general de la comunicación telefónica y por correo electrónico, así como del uso del intranet y el Internet.
Para defenderse contra los ataques a la infraestructura de TI o a los usuarios individuales, se han implementado medidas de protección en los puntos de interconexión con la red de Wirz que bloquean el contenido técnico dañino o analizan los patrones de ataque.
Por razones de seguridad y rastreabilidad, se registran el uso de las instalaciones telefónicas, las direcciones de correo electrónico, el intranet y el Internet.
Las evaluaciones de datos personales solo pueden realizarse si hay una sospecha concreta y justificada de una violación de las leyes o las directivas de Wirz Transporte SA.
Estas verificaciones solo pueden realizarse respetando el principio de proporcionalidad.
Las leyes nacionales correspondientes deben tenerse en cuenta, al igual que las regulaciones de grupo existentes.
Las evaluaciones no sirven para registrar el rendimiento.
Transmisión de datos personales
La transmisión de datos personales a destinatarios fuera de Wirz Transporte SA o a destinatarios dentro de Wirz Transporte SA está sujeta a los requisitos de admisibilidad para el tratamiento de datos personales.
El destinatario de los datos debe comprometerse a utilizarlos solo para los fines determinados.
En caso de transmisión de datos a un destinatario fuera de Wirz Transporte SA en un país tercero, este debe garantizar un nivel de protección de datos equivalente a esta directiva de protección de datos.
Esto no se aplica si la transmisión se realiza debido a una obligación legal.
En caso de transmisión de datos de terceros a Wirz Transporte SA, se debe garantizar que los datos pueden utilizarse para los fines previstos.
Tratamiento de datos por encargo
Se considera que hay un tratamiento de datos por encargo cuando un contratista es encargado del tratamiento de datos personales sin que se le transfiera la responsabilidad del proceso comercial correspondiente.
En estos casos, se debe concluir un acuerdo con los contratistas externos sobre el tratamiento de datos por encargo.
El empresario encargado conserva la responsabilidad total por el tratamiento correcto de los datos.
El contratista solo puede tratar datos personales según las instrucciones del contratante.
Al otorgar el encargo, se deben cumplir las siguientes disposiciones; el departamento encargado debe garantizar su implementación:
Derechos del afectado
Cada afectado puede ejercer los siguientes derechos.
Su ejercicio no debe generar desventajas para el afectado.
Confidencialidad del tratamiento
Los datos personales están sujetos al secreto de datos.
A los empleados se les prohíbe cualquier recopilación, tratamiento o uso no autorizado.
Se considera no autorizado cualquier tratamiento que realice un empleado sin estar autorizado y capacitado para hacerlo en el marco de sus tareas.
Se aplica el principio de necesidad de conocimiento: los empleados solo deben tener acceso a datos personales si y en la medida en que sea necesario para sus tareas respectivas.
Esto requiere una división y separación cuidadosas de roles y responsabilidades, así como su implementación y mantenimiento en el marco de conceptos de autorización.
A los empleados no se les permite utilizar datos personales para sus propios fines privados o económicos, transmitirlos a personas no autorizadas o hacerlos accesibles de otra manera.
Seguridad del tratamiento
Los datos personales deben protegerse en todo momento contra el acceso no autorizado, el tratamiento o la transmisión ilegal, así como contra la pérdida, la alteración o la destrucción.
Esto se aplica independientemente de que el tratamiento de datos se realice de forma electrónica o en papel.
Antes de introducir nuevos procedimientos de tratamiento de datos, en particular nuevos sistemas de TI, se deben determinar y implementar medidas técnicas y organizativas para la protección de datos personales.
Estas medidas deben orientarse hacia el estado de la técnica, los riesgos que plantea el tratamiento y la necesidad de protección de los datos.
Las medidas técnicas y organizativas para la protección de datos personales son parte de la gestión de la seguridad de la información y la protección de datos en la empresa, y deben adaptarse continuamente a los desarrollos técnicos y a los cambios organizativos.
Control de protección de datos
El cumplimiento de las directivas sobre protección de datos y las leyes de protección de datos vigentes se verifica regularmente mediante auditorías de protección de datos y otros controles.
Los resultados de los controles de protección de datos se deben comunicar a la dirección de la empresa.
Incidentes de protección de datos
Cada empleado debe informar a la dirección de la empresa de inmediato sobre casos de infracción de esta directiva de protección de datos u otras disposiciones para la protección de datos personales.
En caso de
se debe informar a la dirección de la empresa o al responsable de protección de datos para que puedan cumplir con las obligaciones de notificación de incidentes de protección de datos según la legislación estatal.
Responsabilidades y sanciones
La dirección es responsable del tratamiento de datos personales de acuerdo con las regulaciones.
Esto la obliga a garantizar que se cumplan los requisitos legales y los contenidos en la directiva de protección de datos para la protección de datos.
La implementación de estas disposiciones es responsabilidad de los empleados correspondientes.
En caso de controles de protección de datos por parte de las autoridades, se debe informar al responsable de protección de datos de inmediato.
El responsable de protección de datos es el contacto local para la protección de datos.
Puede realizar controles y debe familiarizar a los empleados con el contenido de la directiva de protección de datos.
La dirección se compromete a apoyar al responsable de protección de datos en su tarea.
La dirección debe garantizar que sus empleados reciban la capacitación necesaria en protección de datos en la medida necesaria.
Un tratamiento o uso ilegítimo de datos personales o otras infracciones de la ley de protección de datos pueden ser perseguidos penalmente en muchos países y pueden generar reclamaciones de daños y perjuicios.
Las infracciones de las que son responsables los empleados individuales pueden generar sanciones laborales.
El responsable de protección de datos
El responsable de protección de datos, como órgano interno y técnico independiente, actúa para garantizar el cumplimiento de las disposiciones de protección de datos.
Es responsable de la supervisión del cumplimiento de las directivas sobre protección de datos.
El responsable de protección de datos debe informar a la dirección sobre los riesgos para la protección de datos de inmediato.
Cada afectado puede dirigirse al responsable de protección de datos con sugerencias, preguntas, solicitudes de información o quejas relacionadas con cuestiones de protección de datos o seguridad de los datos.
Las preguntas y quejas se tratarán de manera confidencial si se desea.
El responsable de protección de datos:
Sr. Giuseppe Sestito Tel. +49 7731 797 140
Correo electrónico: giuseppe.sestito@wirztransport.com
Vigencia
Este documento se revisa una vez al año, así como según sea necesario, para su integridad y actualidad.
Los cambios en este documento son responsabilidad de la persona responsable de la gestión de la protección de datos.
Este documento debe estar disponible para todos los empleados.
Antonio Ruberto
- Director general - WIRZ TRANSPORTE SA 27.03.2018