INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI DEI COLLABORATORI DEL CLIENTE CHE PARTECIPANO A UNA SURVEY SU TRUST PLATFORM

Di seguito si riportano le informazioni relative al trattamento dei dati personali dei collaboratori del Cliente che partecipino a una survey di clima accedendo alla piattaforma Trust Platform da parte di Great Place to Work Institute Italia s.r.l. (di seguito GPTW Italia), ai sensi dell’art. 14 del Regolamento UE n. 2016/679 (d’ora in poi GDPR).

 

  1. Definizioni: 

I termini utilizzati nella presente Informativa, ma non altrimenti definiti qui di seguito, hanno i significati loro assegnati dal GDPR.

Collaboratore: si intende la persona fisica lavoratore dipendente e/o stagista e/o collaboratore esterno (agente, lavoratore in somministrazione) del Titolare del Trattamento invitata a partecipare all’indagine di clima aziendale accendendo a Trust Platform;

Titolare del trattamento: fermo restando la definizione del ruolo data dal GDPR, si intende il cliente che abbia sottoscritto con GPTW Italia un Contratto per l’acquisto dei Servizi GPTW;

Incaricato: si intende far qui riferimento al singolo dipendente e/o collaboratore di GPTW Italia autorizzato a compiere le attività di trattamento di seguito descritte necessarie all’erogazione del servizio.

 

  1. Chi gestisce i dati

Great Place to Work Institute Italia s.r.l., P.I. 13342970152, con sede legale in Milano, Via Andrea Doria, 3.

GPTW Italia assume il ruolo di:

  • Responsabile del Trattamento: tratta i dati personali per conto del Titolare del Trattamento;

 

  1. Schema delle attività di trattamento eseguite da GPTW Italia

GPTW Italia nell’erogazione dei servizi di indagine di clima online tramite Trust Platform tratta dei dati personali secondo lo schema di seguito riportato:

DATI TRATTATI

·           Indirizzo di posta elettronica aziendale del collaboratore del Cliente

·           Indirizzo IP del collaboratore;

·           Nome e cognome del collaboratore (facoltativo)

·           Demografie - ruolo, dipartimento operativo; stabilimento in cui si lavora ecc..- (solo su richiesta e/o iniziativa del Cliente).

·           Risposte alle domande del questionario (solo su iniziativa del collaboratore)

·           Risposte alle domande aperte (solo su iniziativa del collaboratore)

CATEGORIA DI INTERESSATI

·   Company Admin e Company Manager: sono gli utenti Collaboratori del Cliente abilitati alla gestione della survey, tramite credenziali di accesso a Trust Platform inviate da GPTW Italia

·   Collaboratori – anche esterni – del Cliente

BASE GIURIDICA E FINALITA’ DEL TRATTAMENTO 

Art 6 par. 2 lett b) GDPR = esecuzione del Contratto di Servizi GPTW di cui al Modulo d’ordine Servizi richiamato in premessa.

ATTIVITA’ DI TRATTAMENTO E TEMPI DI CONSERVAZIONE

DATI COMPANY ADMIN E MANAGER: L’indirizzo e-mail del Company Admin e Company Manager viene salvato su un tool di autenticazione fornito da Microsoft Azure, in modo da permettere a GPTW Italia l’individuazione dei soggetti deputati dal Cliente alla gestione della survey. Il Company Admin e il Company Manager ricevono così le credenziali di accesso a Trust Platform per poter gestire, anche in piena autonomia, la survey internamente.

L’indirizzo e-mail del Company Admin e del Company Manager vengono disattivati al termine del Contratto di Servizi e cancellati definitivamente trascorsi 3 mesi dal predetto termine.

DATI SURVEY: L’indirizzo e-mail di ciascun Collaboratore viene utilizzato per mandare l’invito ad accedere alla survey di clima su Trust Platform a cui ciascun collaboratore avrà accesso tramite link univoco.

Le risposte di coloro che abbiano deciso di partecipare all’indagine di clima rispondendo alle domande sono utilizzate ai fini dell’elaborazione dei raw data.

I dati del Collaboratore (e-mail riferibile al soggetto rispondente) sono conservati per tutta la durata dell’accordo contrattuale e cancellati al termine dello stesso.

****

Le attività di trattamento sono svolte con l’ausilio di strumenti informatici, adottando le misure organizzative e tecniche più adeguate al caso concreto

LUOGO DI CONSERVAZIONE DEI DATI

I dati dei Collaboratori del Cliente, così come del Company Manager e Admin sono conservati all’interno del Territorio dell’Unione Europea. Vi è tuttavia un trasferimento dei dati fuori dalla UE: il solo indirizzo di posta elettronica viene trasferito negli USA (vedi tabella sotto Sub Responsabili del Trattamento). Il trasferimento della sola e-mail avviene su una duplice base legale:

·         Art 45 GDPR = adesione al EU- USA Data Privacy Framework del 10 luglio 2023;

·         Art. 46 par 2 lett. C GDPR = adozione di BCR

·         La e-mail viene conservata nei server USA per 30 giorni

 

  1. Elenco dei Sub Responsabili del Trattamento

Al fine dell’utilizzo di Trust Platform, il Titolare autorizza GPTW Italia a ricorrere altri Responsabili del trattamento – dei Sub Responsabili - per gestire attività di trattamento specifiche per conto del Cliente/Titolare e a effettuare tali attività di trattamento anche al di fuori dall’Unione Europea verso Paesi ritenuti idonei in base a una decisione di adeguatezza, nonché all’adozione di BCR.

SUB RESPONSABILE

ATTIVITA’ ESTERNALIZZATA

LUOGO DI TRATTAMENTO

 Microsoft

(Azure Services)

E’ il complesso di servizi che permette l’utilizzo della piattaforma TrustPlatform. Non conservano dati, ma ne permettono la fruizione da parte degli utenti.

Azure Region principale

“West Europe” (OLANDA)

Azure Region secondaria

“North Europe” (IRLANDA)

Microsoft

(Azure SQL Database)

Contiene i dati e le informazioni conservati in forma tabellare dall’applicativo. Si tratta di informazioni relative alle utenze, ai clienti, alla configurazione delle Survey, alle risposte raccolte, ai benchmark a disposizione del cliente.

Azure Region principale

“West Europe” (OLANDA)

Azure Region secondaria

“North Europe” (IRLANDA)

Microsoft

(Azure Storage)

Contiene tutte le informazioni eventualmente disponibili nell’applicativo in forma di file.

Azure Region principale

“West Europe” (OLANDA)

Azure Region secondaria

“North Europe” (IRLANDA)

SendGrid

Gestisce l’invio delle comunicazioni email inviate dalla piattaforma e notifica eventi significativi del processo (invio, effettiva consegna, mancata consegna, intercetto da parte di sistemi AntiSpam, ecc.) Le e-mail sono conservate da SendGrid per 30 giorni.

USA – trasferimento in base agli art 45 (decisione di adeguatezza) e art. 46 par 2 lett. c) (adozione BCR) del GDPR.

Epicentro s.r.l.

Servizio di assistenza e supporto su Trust Platform

Milano

 

  1. I diritti del Collaboratore, ai sensi del GDPR

Il Collaboratore, in ogni momento, potrà esercitare il diritto di:

  1. a) chiedere la conferma dell’esistenza o meno di propri dati personali;
  2. b)  ottenere le indicazioni circa le finalità del trattamento, le categorie dei dati personali, i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati e, quando possibile, il periodo di conservazione;
  3. c)  chiedere al Titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  4. d) proporre reclamo all'autorità di controllo.

 

GPTW Italia, quale Responsabile del Trattamento, coadiuverà il Cliente Titolare nel dare seguito all’eventuale richiesta pervenuta dall’Utente.

La richiesta verrà evasa entro trenta (30) giorni lavorativi dal ricevimento della medesima.

 

  1. Data Protection Officer e contatti

Per maggiori delucidazioni in merito alle informazioni rilasciate con il presente documento, è possibile contattare il Data Protection Officer nominato da GPTW Italia scrivendo a it_privacy@gptw.com.

 

---------------------------------

PRIVACY NOTICE ON THE PROCESSING OF PERSONAL DATA OF THE CLIENT’S EMPLOYEES PARTICIPATING IN THE SURVEY  ON TRUST PLATFORM

This privacy notice contains information regarding the processing of personal data of the Client's employees who participate in a climate survey by accessing Trust Platform by Great Place to Work Institute Italia s.r.l. (hereinafter GPTW Italia), pursuant to Article 14 of EU Regulation no. 2016/679 (hereinafter GDPR).

 

  1. Definitions: 

The terms as used herein shall have the meaning set forth in the GDPR, unless otherwise defined hereinafter.

Employee shall mean any individual who is an employee and/or intern and/or contract worker (agent, temporary worker) of the Data Controller and who was invited to participate in the company climate survey by accessing Trust Platform.

Data Controller shall mean, subject to the definition thereof in the GDPR, the client that has entered into an Agreement with GPTW Italia for the purchase of GPTW’s Services.

Person in charge of data processing shall mean GPTW Italia’s employee and/or contract worker who is authorized to perform the processing activities described below that are necessary to provide the Service.

 

  1. Who handles the data

Great Place to Work Institute Italia s.r.l., VAT number 13342970152, with registered office in Milan (Italy), Via Andrea Doria, 3.

GPTW Italia shall act as:

  • Data Processor: it shall process personal data on behalf of the Data Controller. 

 

  1. Overview of processing activities performed by GPTW Italia

While providing online climate survey services through Trust Platform, GPTW Italia shall process personal data as follows:

PERSONAL DATA

·         Company e-mail address of the Client's employee

·         IP address of the employee

·         Employee's name and surname (optional)

·         Demographics, role, department; establishment where the employee works etc… (only at the Client's request and/or initiative)

·         Responses to the survey questions (only at the initiative of the employee)

·         Responses to open-ended questions (only at the initiative of the employee).

CATEGORIES OF DATA SUBJECTS

·         Company Admin and Company manager: users from the Client’s organization who access Trust Platform via credentials sent by GPTW Italia in order to manage the survey

·         The Client’s employees including any contract workers.

LEGAL BASIS AND PURPOSES OF THE PROCESSING

Art. 6.2 b) GDPR = performance of the GPTW Services Agreement.

PROCESSING ACTIVIES AND RETENTION PERIOD

COMPANY ADMIN’S AND COMPANY MANAGER’S DATA: The Company Admin’s and Company Manager’s e-mail addresses are saved on an authentication tool provided by Microsoft Azure, in order to allow GPTW Italia to identify the users from the Client’s organization who shall manage the survey. The Company Admin and Company Manager receive the credentials to access Trust Platform in order to (independently) manage the survey internally.  

The Company Admin’s and Company Manager’s e-mail addresses shall  be deactivated at the end of the Services Agreement and permanently deleted 3 months thereafter.

 

SURVEY DATA: The e-mail address of each employee is used to send the invitation to access the climate survey on Trust Platform. Each employee shall have access to such survey via a unique link.

The responses of those who have decided to participate in the climate survey are used for the purpose of processing raw data.

The employee's data (i.e. e-mail address of the employee participating in the survey) are stored for the term of the agreement and deleted at the end thereof.

Processing activities are carried out by means of IT tools and suitable organisational and technical measures are implemented

WHERE DATA ARE STORED

The Client's employee's, Company Admin’s and Company Manager’s data are stored in the European Union. However, there is a data transfer outside the EU: only the e-mail address is transferred to the USA (see table below: Sub-processors). Such transfer takes place according to a dual legal basis:

- Art. 45 GDPR = implementation of the EU-US Data Privacy Framework of 10 July 2023;

- Art 46.2 c) GDPR = implementation of Binding Corporate Rules

The email addresses are stored on US servers for 30 days.

 

  1. List of Sub-Processors

For the purpose of using Trust Platform, the Data Controller hereby authorizes GPTW Italia to use other Data Processors – Sub-Processors – to perform specific processing activities on behalf of the Client/Data Controller. The Data Controller authorizes GPTW Italia to perform such processing activities outside the European Union, namely in specific countries based on an adequacy decision and the implementation of Binding Corporate Rules

 

SUB-PROCESSOR

OUTSOURCED ACTIVITY

WHERE DATA ARE PROCESSED

Microsoft

(Azure Services)

This is the set of services that enables the use of Trust Platform. They do not store any data, but allow them to be used by users.

Azure Primary Region

“West Europe” (THE NETHERLANDS)

Azure Secondary Region

“North Europe” (IRELAND)

Microsoft

(Azure SQL Database)

It contains the data and information stored in tabular form by the application. This includes information on users, clients, survey configuration, responses collected, and benchmarks available to the Client.

Azure Primary Region

“West Europe” (THE NETHERLANDS)

Azure Secondary Region

“North Europe” (IRELAND)

Microsoft

(Azure Storage)

It contains any information that may be available in the application in file form.

Azure Primary Region

“West Europe” (THE NETHERLANDS)

Azure Secondary Region

“North Europe” (IRELAND)

SendGrid

It handles the sending of e-mails from the platform and notifies any significant events (sent, delivered, not-delivered, intercepted by AntiSpam systems, etc.) E-mails are retained by SendGrid for 30 days.

USA – transfer according to Art. 45 (adequacy decision) and Art. 46.2 c) (implementation of Binding Corporate Rules) GDPR.

Epicentro s.r.l.

Assistance and support service for Trust Platform

Milan, Italy

 

  1. Employees’ rights under GDPR

Employees have the right at any time to:

  1. a) obtain confirmation as to whether or not their personal data are being processed;
  2. b) obtain information about the purposes of the processing, the categories of personal data concerned, the recipients or categories of recipient to whom the personal data have been or shall be disclosed and, where possible, the period for which the data shall be retained;
  3. c) request from the Data Controller access to the personal data and the rectification or erasure of personal data or restriction of processing concerning them or to object to such processing, as well as the right to data portability;
  4. d) lodge a complaint with a supervisory authority.

 

GPTW Italia, as Data Processor, shall assist the Client/Data Controller in following up any request received from any User.

Any request shall be processed within thirty (30) working days from its receipt.

 

  1. Data Protection Officer and contact details

For any further information about the content of this document, please contact the Data Protection Officer appointed by GPTW Italia at it_privacy@gptw.com