Politique de confidentialité
REGISTRE DES ACTIVITÉS DE TRAITEMENT
Traitement : Clients
| a) Responsable du traitement | Identité : SENTIDOS TRUFEROS SL - NIF : ESB67992511
Adresse postale : AVDA. PIRINEOS 3 ALTILLO PUERTA A 22300 BARBASTRO (Huesca) Courrier électronique : informacion@sentidostruferos.com Téléphone : 640050798 |
| b) Finalité du traitement | Gestion des relations avec les clients |
| c) Catégories de personnes concernées | Les clients : Les personnes avec lesquelles une relation commerciale est entretenue en tant que clients. |
| d) Catégories de données | Celles qui sont nécessaires au maintien de la relation commerciale. Facturation, envoi de publicité par courrier postal ou électronique, service après-vente et fidélisation de la clientèle.
Données d'identification : nom et prénom, NIF, adresse postale, numéros de téléphone, adresse électronique. Coordonnées bancaires : pour la domiciliation des paiements. |
| e) Catégories de destinataires | Agence nationale d'administration fiscale
Institut national de sécurité sociale Banques et institutions financières Forces et corps de sécurité |
| f) Transferts internationaux | Aucun transfert international n'est prévu |
| g) Délai de suppression | Ceux prévus par la législation fiscale en matière de prescription du passif. |
| h) Mesures de sécurité | Celles qui figurent dans l'ANNEXE MESURES DE SÉCURITÉ. |
Traitement : Clients potentiels
| a) Responsable du traitement | Identité : SENTIDOS TRUFEROS SL - NIF : ESB67992511
Adresse postale : AVDA. PIRINEOS 3 ALTILLO PUERTA A 22300 BARBASTRO (Huesca) Courrier électronique : informacion@sentidostruferos.com Téléphone : 640050798 |
| b) Finalité du traitement | Gestion de la relation avec les clients potentiels |
| c) Catégories de personnes concernées | Clients potentiels : Les personnes avec lesquelles une relation commerciale est recherchée en tant que clients. |
| d) Catégories de données | Celles qui sont nécessaires à la promotion commerciale de l'entreprise
Données d'identification : nom et prénom et adresse postale, numéros de téléphone, adresse électronique. |
| e) Catégories de destinataires | Agence de marketing |
| f) Transferts internationaux | Aucun transfert international n'est envisagé |
| g) Délai de suppression | Un an après le premier contact |
| h) Mesures de sécurité | Celles qui figurent dans l'ANNEXE MESURES DE SÉCURITÉ |
Traitement : Fournisseurs
| a) Responsable du traitement | Identité : SENTIDOS TRUFEROS SL - NIF : ESB67992511
Adresse postale : AVDA. PIRINEOS 3 ALTILLO PUERTA A 22300 BARBASTRO (Huesca) Courrier électronique : informacion@sentidostruferos.com Téléphone : 640050798 |
| b) Finalité du traitement | Gestion des relations avec les fournisseurs |
| c) Catégories de personnes concernées | Fournisseurs : personnes avec lesquelles une relation commerciale est entretenue en tant que fournisseurs de produits et/ou de services. |
| d) Catégories de données | Celles qui sont nécessaires au maintien de la relation de travail
Données d'identification : nom, NIF, adresse postale, numéros de téléphone, adresse électronique. Coordonnées bancaires : pour la domiciliation des paiements. |
| e) Catégories de destinataires | Agence nationale d'administration fiscale
Banques et institutions financières Autres destinataires possibles] [Autres destinataires possibles |
| f) Transferts internationaux | Aucun transfert international n'est envisagé. |
| g) Délai de suppression | Ceux prévus par la législation fiscale en ce qui concerne la prescription des obligations. |
| h) Mesures de sécurité | Celles prévues à l'ANNEXE MESURES DE SÉCURITÉ |
ANNEXE
INFORMATIONS D'INTÉRÊT GÉNÉRAL
Le présent document a été conçu pour le traitement de données à caractère personnel à faible risque, ce qui signifie qu'il ne peut pas être utilisé pour le traitement de données à caractère personnel comprenant des données à caractère personnel relatives à l'origine ethnique ou raciale, à l'idéologie politique, religieuse ou philosophique, à l'appartenance syndicale, à des données génétiques et biométriques, à des données relatives à la santé et à l'orientation sexuelle des personnes, ainsi que pour tout autre traitement de données présentant un risque élevé pour les droits et les libertés des personnes physiques.
L'article 5, paragraphe 1, point f), du règlement général sur la protection des données (ci-après dénommé "RGPD") établit la nécessité de mettre en place des garanties de sécurité appropriées contre le traitement non autorisé ou illicite, contre la perte de données à caractère personnel et contre la destruction ou l'endommagement accidentel. Cela implique la mise en place de mesures techniques et organisationnelles visant à garantir l'intégrité et la confidentialité des données à caractère personnel et la possibilité de démontrer, comme le prévoit l'article 5, paragraphe 2, que ces mesures ont été mises en œuvre(responsabilité proactive).
En outre, elle doit mettre en place des mécanismes visibles, accessibles et simples pour l'exercice des droits et avoir défini des procédures internes pour garantir un traitement efficace des demandes reçues.
ATTENTION PORTÉE À L'EXERCICE DES DROITS
Le responsable du traitement informe tous les employés de la procédure de prise en compte des droits des personnes concernées, en définissant clairement les mécanismes par lesquels les droits peuvent être exercés (moyens électroniques, référence au délégué à la protection des données, s'il y en a un, adresse postale, etc :
- Sur présentation de leur carte nationale d'identité ou de leur passeport, les titulaires de données à caractère personnel (personnes concernées) peuvent exercer leurs droits d'accès, de rectification, d'effacement, d'opposition, de portabilité et de limitation du traitement. L'exercice de ces droits est gratuit.
- Le responsable du traitement doit répondre aux personnes concernées dans un délai raisonnable et dans un langage concis, transparent, intelligible, clair et simple, et conserver la preuve du respect de l'obligation de répondre aux demandes d'exercice des droits formulées.
- Si la demande est faite par voie électronique, les informations sont fournies par voie électronique dans la mesure du possible, sauf demande contraire de la personne concernée.
- Il doit être répondu aux demandes dans un délai d'un mois à compter de leur réception, qui peut être prolongé de deux mois supplémentaires compte tenu de la complexité ou du nombre de demandes, mais dans ce cas, la personne concernée doit être informée de la prolongation dans un délai d'un mois à compter de la réception de la demande, en indiquant les raisons du retard.
DROIT D'ACCÈS : Dans le cadre du droit d'accès, les personnes concernées doivent recevoir une copie des données personnelles détenues ainsi que la finalité pour laquelle elles ont été collectées, l'identité des destinataires des données, les périodes de conservation prévues ou les critères utilisés pour les déterminer, l'existence du droit de demander la rectification ou l'effacement des données personnelles ainsi que la limitation de leur traitement ou l'opposition à celui-ci, le droit d'introduire une réclamation auprès de l'Agence espagnole de protection des données et, si les données n'ont pas été collectées auprès de la personne concernée, toutes les informations disponibles sur leur origine. Le droit d'obtenir une copie des données ne doit pas porter atteinte à aux droits et libertés des autres personnes concernées.
DROIT DE RECTIFICATION : Le droit de rectification permet de modifier les données des personnes concernées qui sont inexactes ou incomplètes au regard des finalités du traitement. La personne concernée doit indiquer dans sa demande à quelles données elle se réfère et la correction à apporter, en fournissant, le cas échéant, la documentation justifiant l'inexactitude ou le caractère incomplet des données traitées. Si les données ont été communiquées par le responsable du traitement à d'autres responsables du traitement, celui-ci leur notifie leur rectification, à moins que cela ne soit impossible ou ne nécessite un effort disproportionné, en fournissant à la personne concernée des informations sur ces destinataires, si elle en fait la demande.
DROIT D'EFFACEMENT : En vertu du droit d'effacement, les données des personnes concernées sont effacées lorsqu'elles expriment leur refus du traitement et qu'aucune base légale ne s'y oppose, qu'elles ne sont pas nécessaires au regard des finalités pour lesquelles elles ont été collectées, qu'elles retirent leur consentement et qu'il n'existe aucune autre base légale légitimant le traitement ou que le traitement est illicite. Si l'effacement résulte de l'exercice du droit de la personne concernée de s'opposer au traitement de ses données à des fins de prospection commerciale, les données d'identification de la personne concernée peuvent être conservées afin d'empêcher tout traitement ultérieur. Si les données ont été communiquées par le responsable du traitement à d'autres responsables du traitement, le responsable du traitement leur notifie l'effacement, à moins que cela ne soit impossible ou ne nécessite des efforts disproportionnés, en fournissant à la personne concernée, sur demande, des informations sur ces destinataires.
DROIT D'OBJECTION : En vertu du droit d'opposition, lorsque les personnes concernées s'opposent au traitement de leurs données à caractère personnel par le responsable du traitement, ce dernier doit cesser de traiter leurs données à caractère personnel, à condition qu'il n'y ait pas d'obligation légale de le faire. Lorsque le traitement est fondé sur une mission d'intérêt public ou sur l'intérêt légitime du responsable du traitement, à la suite d'une demande d'exercice du droit d'opposition, le responsable du traitement cesse de traiter les données, à moins que des motifs impérieux ne prévalent sur les intérêts, droits et libertés de la personne concernée ou ne soient nécessaires à la constatation, à l'exercice ou à la défense d'un droit. Si la personne concernée s'oppose au traitement à des fins de marketing direct, les données à caractère personnel ne seront plus traitées à ces fins.
DROIT DE PORTABILITÉ : En vertu du droit de portabilité, si le traitement est effectué par des moyens automatisés et est basé sur le consentement ou est effectué dans le cadre d'un contrat, les personnes concernées peuvent demander à recevoir une copie de leurs données personnelles dans un format structuré, couramment utilisé et lisible par machine. Elles ont également le droit de demander que ces données soient transférées directement à un nouveau responsable du traitement, dont l'identité doit être communiquée, lorsque cela est techniquement possible.
DROIT DE LIMITATION DU TRAITEMENT : En vertu du droit de limitation du traitement, les personnes concernées peuvent demander la suspension du traitement de leurs données afin d'en contester l'exactitude pendant que le responsable du traitement effectue les vérifications nécessaires ou lorsque le traitement est effectué sur la base de l'intérêt légitime du responsable du traitement ou dans le cadre de l'exécution d'une mission d'intérêt public, tout en vérifiant que ces motifs ne prévalent pas sur les intérêts, les droits et les libertés de la personne concernée. La personne concernée peut également demander la conservation des données si elle considère que le traitement est illicite et demande, au lieu de l'effacement, la limitation du traitement, ou si elle n'a plus besoin des données aux fins pour lesquelles elles ont été collectées, mais qu'elle en a besoin pour la formulation, l'exercice ou la défense de réclamations. Le fait que le traitement des données de la personne concernée est limité doit être clairement indiqué dans les systèmes du responsable du traitement. Si les données ont été communiquées par le responsable du traitement à d'autres responsables du traitement, le responsable du traitement doit leur notifier la limitation du traitement des données, à moins que cela ne soit impossible ou ne nécessite un effort disproportionné, en fournissant à la personne concernée des informations sur ces destinataires, si elle en fait la demande.
Si la demande de la personne concernée n'est pas suivie d'effet, le responsable du traitement l'informe, sans délai et au plus tard un mois après réception de la demande, des motifs de son inaction et de la possibilité d'introduire une réclamation auprès de l'Agence espagnole de protection des données et d'intenter une action en justice.
MESURES DE SÉCURITÉ
Compte tenu du type de traitement que vous avez indiqué en remplissant ce formulaire, les mesures de sécurité minimales que vous devez prendre en compte sont les suivantes :
MESURES ORGANISATIONNELLES
INFORMATIONS À CONNAÎTRE PAR L'ENSEMBLE DU PERSONNEL AYANT ACCÈS AUX DONNÉES À CARACTÈRE PERSONNEL
Tous les membres du personnel ayant accès à des données à caractère personnel doivent être conscients de leurs obligations en matière de traitement des données à caractère personnel et être informés de ces obligations. Les informations minimales que doit connaître l'ensemble du personnel sont les suivantes :
- OBLIGATION DE CONFIDENTIALITÉ ET DE SECRET
- L'accès aux données à caractère personnel par des personnes non autorisées doit être empêché. À cette fin, il convient d'éviter de laisser des données à caractère personnel exposées à des tiers (écrans électroniques non surveillés, documents papier dans les zones d'accès public, supports contenant des données à caractère personnel, etc. ). Cela inclut les écrans utilisés pour l'affichage des images du système de vidéosurveillance. En cas d'absence du poste de travail, l'écran doit être verrouillé ou la session doit être fermée.
- Les documents papier et les supports électroniques doivent être conservés dans un endroit sûr (casiers ou salles à accès limité) 24 heures sur 24.
- Aucun document ou support électronique (CD, lecteurs de stylo, disques durs, etc.) contenant des données à caractère personnel ne doit être éliminé sans que sa destruction soit effective.
- Aucune donnée personnelle ou autre information à caractère personnel ne doit être communiquée à des tiers, en veillant tout particulièrement à ne pas divulguer des données personnelles protégées lors de demandes de renseignements par téléphone, par courrier électronique, etc.
- L'obligation de secret et de confidentialité persiste même lorsque la relation de travail de l'employé avec l'entreprise prend fin.
- VIOLATIONS DE LA SÉCURITÉ DES DONNÉES À CARACTÈRE PERSONNEL
- En cas d'atteinte à la sécurité des données à caractère personnel, par exemple en cas de vol ou d'accès abusif à des données à caractère personnel, l'Agence espagnole de protection des données doit être informée dans les 72 heures de cette atteinte à la sécurité, y compris de toutes les informations nécessaires pour clarifier les faits qui ont donné lieu à l'accès abusif à des données à caractère personnel. La notification se fera par voie électronique au siège électronique de l'Agence espagnole de protection des données, à l'adresse https://sedeagpd.gob.es/sede-electronica-web/.
MESURES TECHNIQUES
IDENTIFICATION
- Lorsque le même ordinateur ou dispositif est utilisé pour le traitement de données à caractère personnel et pour un usage personnel, il est recommandé d'avoir plusieurs profils ou utilisateurs différents pour chacune des finalités. L'utilisation professionnelle et personnelle de l'ordinateur doit être séparée.
- Il est recommandé d'avoir des profils avec des droits d'administration pour l'installation et la configuration du système et des utilisateurs sans privilèges ni droits d'administration pour l'accès aux données personnelles. Cela empêchera l'obtention de privilèges d'accès ou la modification du système d'exploitation en cas d'attaque de cybersécurité.
- Des mots de passe doivent être prévus pour l'accès aux données à caractère personnel stockées dans les systèmes électroniques. Le mot de passe doit comporter au moins 8 caractères, un mélange de chiffres et de lettres.
- Lorsque plusieurs personnes ont accès à des données à caractère personnel, chacune d'entre elles doit disposer d'un nom d'utilisateur et d'un mot de passe spécifiques (identification sans ambiguïté) pour accéder aux données à caractère personnel.
- La confidentialité des mots de passe doit être garantie, afin d'éviter qu'ils ne soient exposés à des tiers. Pour la gestion des mots de passe, veuillez consulter le guide de la confidentialité et de la sécurité sur Internet de l'Agence espagnole de protection des données et de l'Institut national de cybersécurité. En aucun cas les mots de passe ne seront partagés ou laissés écrits dans un endroit commun et accessibles à d'autres personnes que l'utilisateur.
OBLIGATION DE SAUVEGARDE
Les mesures techniques minimales visant à garantir la protection des données à caractère personnel sont les suivantes :
- MISE À JOUR DES ORDINATEURS ET DES DISPOSITIFS: les appareils et les ordinateurs utilisés pour le stockage et le traitement des données à caractère personnel doivent être maintenus à jour dans la mesure du possible.
- MALWARE: les ordinateurs et les appareils utilisés pour le traitement automatisé des données à caractère personnel sont équipés d'un système antivirus qui garantit, dans la mesure du possible, le vol et la destruction des données et des informations à caractère personnel. Le système antivirus est régulièrement mis à jour.
- Pare-feu: afin d'empêcher tout accès à distance indu aux données à caractère personnel, un pare-feu activé et correctement configuré doit être garanti sur les ordinateurs et les dispositifs où des données à caractère personnel sont stockées et/ou traitées.
- CHIFFREMENT DES DONNÉES: lorsqu'il est nécessaire d'extraire des données à caractère personnel en dehors des locaux où elles sont traitées, que ce soit par des moyens physiques ou électroniques, il convient d'évaluer la possibilité d'utiliser une méthode de chiffrement pour garantir la confidentialité des données à caractère personnel en cas d'accès inapproprié à l'information.
- SAUVEGARDE: Une copie de sauvegarde est effectuée périodiquement sur un second support différent de celui utilisé pour le travail quotidien. La copie doit être stockée dans un endroit sûr, différent de l'endroit où se trouve l'ordinateur contenant les fichiers originaux, afin de permettre la récupération des données à caractère personnel en cas de perte d'informations.
Les mesures de sécurité doivent être réexaminées régulièrement ; cet examen peut être effectué par des mécanismes automatiques (logiciels ou programmes informatiques) ou manuellement. Considérez que tout incident de sécurité informatique qui est arrivé à une personne que vous connaissez peut vous arriver, et prenez des précautions pour vous en prémunir.
Si vous souhaitez obtenir plus d'informations ou des conseils techniques pour garantir la sécurité des données personnelles et des informations traitées par votre entreprise, l'Institut national de cybersécurité (INCIBE) propose, sur son site web www.incibe.es, des outils destinés aux entreprises dans la section "Protégez votre entreprise" où vous trouverez, entre autres, les services suivants
- une section formation avec un jeu vidéo, défis pour la réponse aux incidents et des vidéos interactives de formation sectorielle,
- un kit de sensibilisation pour les employés,
- divers outils pour aider l'entreprise à améliorer sa cybersécurité, dont politiques pour l'employeur, le personnel technique et l'employé, un catalogue d'entreprises et de solutions de sécurité et un outil d'analyse des risques.
- des dossiers thématiques complétés par des vidéos, des infographies et d'autres ressources,
- des guides pour les entrepreneurs,
En outre, INCIBE, par l'intermédiaire de Oficina de Seguridad del Internauta, propose également des outils gratuits et des informations complémentaires qui peuvent être utiles à votre entreprise ou à votre activité professionnelle.
LA CAPTURE D'IMAGES PAR LA CAMÉRA ET À DES FINS DE SÉCURITÉ
(VIDÉOSURVEILLANCE)
L'image d'une personne, dans la mesure où elle l'identifie ou peut l'identifier, constitue une donnée à caractère personnel qui peut être traitée pour différentes finalités. Si la plus courante consiste à utiliser des caméras pour assurer la sécurité des personnes, des biens et des locaux, elles peuvent également être utilisées à d'autres fins, telles que le contrôle des performances des travailleurs. Les lignes directrices de base à suivre pour s'assurer que le traitement des images obtenues à partir de caméras de vidéosurveillance est conforme aux règles de protection des données sont les suivantes. Nous vous conseillons toutefois de consulter le Guide sur l'utilisation des caméras vidéo à des fins de sécurité et autres pour une connaissance plus exhaustive des obligations liées à ce type de traitement.
- EMPLACEMENT DES CAMERAS: La capture d'images dans les zones destinées au repos des travailleurs doit être évitée, de même que la capture de la voie publique si des caméras extérieures sont utilisées, seule la capture du minimum nécessaire pour préserver la sécurité des personnes, des biens et des installations étant autorisée.
- EMPLACEMENT DES MONITEURS: Les moniteurs sur lesquels sont visionnées les images des caméras doivent être situés dans une zone d'accès restreint, de sorte qu'ils ne soient pas accessibles à des tiers. Seul le personnel autorisé a accès aux images enregistrées.
- CONSERVATION DES IMAGES: Les images sont conservées pendant une période maximale d'un mois, à l'exception des images qui prouvent la commission d'actes menaçant l'intégrité des personnes, des biens et des installations. Dans ce cas, les images doivent être mises à la disposition de l'autorité compétente dans les 72 heures suivant la prise de connaissance de l'existence de l'enregistrement.
- Devoir d'information: L'information sur l'existence des caméras et l'enregistrement des images est fournie au moyen d'un panneau informatif placé dans un endroit suffisamment visible et indiquant, au moins, l'identité de la personne responsable et la possibilité pour les personnes concernées d'exercer leurs droits en matière de protection des données. Le pictogramme lui-même peut également inclure un code de connexion ou une adresse internet où ces informations sont affichées. Des modèles du pictogramme et du texte sont disponibles sur le site web de l'Agence.
- CONTRÔLE DU TRAVAIL : Lorsque les caméras sont utilisées à des fins de contrôle du travail conformément aux dispositions de l'article 20.3 du Statut des travailleurs, le travailleur et ses représentants syndicaux sont informés par tout moyen garantissant la réception d'informations sur les mesures de contrôle établies par l'employeur, avec indication expresse de la finalité de contrôle du travail des images capturées par les caméras.
- DROIT D'ACCÈS AUX IMAGES: Afin de respecter le droit d'accès des intéressés aux enregistrements du système de vidéosurveillance, une photographie récente et le document national d'identité de l'intéressé seront demandés afin de vérifier son identité, ainsi que les détails de la date et de l'heure auxquelles se réfère le droit d'accès. La personne concernée ne bénéficie pas d'un accès direct aux images des caméras montrant des images de tiers. S'il n'est pas possible pour la personne concernée de visionner les images sans montrer des images de tiers, un document confirmant ou infirmant l'existence d'images de la personne concernée doit être fourni.
Pour de plus amples informations, veuillez consulter le guide et les fiches sur la vidéosurveillance ainsi que les rapports juridiques publiés par l'Agence espagnole de protection des données dans la section Vidéosurveillance.
