Protection des données

Objet et champ d'application
Ferrovia Vigezzina-Centovalli, et désormais définie comme "Organisation", s'engage à se conformer aux lois et règlements applicables en matière de protection des données personnelles dans les pays où elle opère, en l'occurrence la nLPD Suisse

La présente politique définit les principes fondamentaux selon lesquels l'organisation traite les données personnelles de ses clients, fournisseurs, partenaires commerciaux, employés et autres personnes, et indique les responsabilités de ses services et de ses employés dans le traitement des données personnelles.

La présente politique s'applique à l'organisation et à ses filiales (directement ou indirectement) qui exercent leurs activités en Suisse, dans l'Espace économique européen ou qui traitent des données personnelles de personnes concernées dans cet espace.

Les destinataires de la présente procédure sont tous les agents, temporaires ou permanents.

Les principes de la NLPD
Les principes de protection des données définissent les responsabilités fondamentales des organisations qui traitent des données à caractère personnel. "Le responsable du traitement est responsable du respect de ces principes et doit être en mesure de démontrer que ses traitements respectent ces principes."

Licéité, équité et transparence
Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente à l'égard de la personne concernée.

Limitation de la finalité
Les données à caractère personnel doivent être collectées à des fins spécifiques, explicites et légitimes et ne doivent pas être traitées ultérieurement d'une manière incompatible avec ces finalités.

Minimisation des données
Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Dans la mesure du possible, afin de réduire les risques pour les personnes concernées, l'organisation doit appliquer l'anonymisation ou la pseudonymisation des données à caractère personnel.

Précision
Les données à caractère personnel doivent être exactes et, le cas échéant, mises à jour; des mesures raisonnables doivent être prises pour faire en sorte que les données à caractère personnel inexactes au regard des finalités pour lesquelles elles sont traitées soient effacées ou rectifiées en temps utile.

Limitation de la durée de conservation
Les données à caractère personnel doivent être conservées pendant une période n'excédant pas celle nécessaire aux fins pour lesquelles elles sont traitées.

Intégrité et confidentialité
En tenant compte de l'état de la technologie et des autres mesures de sécurité disponibles, des coûts de mise en œuvre et de la probabilité et de la gravité des risques liés aux données à caractère personnel, l'organisation utilise des mesures techniques ou organisationnelles appropriées pour traiter les données à caractère personnel de manière à garantir une sécurité adéquate des données à caractère personnel, y compris la protection, par des mesures techniques et organisationnelles appropriées, contre tout traitement non autorisé ou illicite et contre la perte, la destruction ou l'endommagement accidentels.

Responsabilité
Le responsable du traitement est responsable du respect de ces principes et doit être en mesure de démontrer que ses traitements respectent ces principes.

Collecte
L'organisation doit s'efforcer de collecter le moins possible de données à caractère personnel. Si les données à caractère personnel sont collectées par un tiers, le propriétaire doit s'assurer que les données à caractère personnel sont collectées conformément aux dispositions légales.

Utilisation, conservation et élimination
L'organisation doit préserver l'exactitude, l'intégrité, la confidentialité et la pertinence des données à caractère personnel en fonction de la finalité du traitement. Vous devez utiliser des mécanismes de sécurité appropriés pour protéger vos données personnelles afin de prévenir le vol ou l'utilisation inappropriée et prévenir la violation des données personnelles. Le Propriétaire est responsable du respect des exigences énumérées dans cette section.

Divulgation à des tiers
Lorsque l'organisation fait appel à un fournisseur tiers ou à un partenaire commercial pour traiter les données à caractère personnel en son nom, le Responsable doit veiller à ce que celui-ci fournisse des mesures de sécurité adéquates pour protéger les données à caractère personnel par rapport aux risques associés. À cet effet, il convient d'utiliser un questionnaire de conformité.

Le fournisseur ou le partenaire commercial doit traiter les données à caractère personnel uniquement pour remplir ses obligations contractuelles envers l'organisation ou sur instruction de l'organisation, et non à d'autres fins. Lorsque l'organisation traite des données personnelles conjointement avec un tiers indépendant, elle doit explicitement spécifier les responsabilités respectives dans le contrat respectif ou dans tout autre document juridiquement contraignant, tel que le contrat de traitement des données du fournisseur.

Transfert transfrontalier de données à caractère personnel
Avant de transférer des données à caractère personnel à partir de la Confédération suisse et de l'Espace économique européen (EEE), des mesures de sauvegarde appropriées doivent être prises, y compris la signature d'un accord de transfert de données, comme l'exige l'Union européenne et, le cas échéant, l'autorisation de l'autorité chargée de la protection des données doit être obtenue. L'entité qui reçoit les données à caractère personnel respecte les principes de traitement des données à caractère personnel énoncés dans la procédure de transfert transfrontière de données.

Droits d'accès des personnes concernées
Lorsqu'elle agit en tant que responsable du traitement des données, l'organisation doit fournir aux personnes concernées un mécanisme d'accès raisonnable leur permettant d'accéder à leurs données personnelles et doit leur permettre de mettre à jour, de corriger, d'effacer ou de transmettre leurs données personnelles, le cas échéant ou lorsque la loi l'exige. Le mécanisme d'accès sera décrit plus en détail dans la procédure de demande d'accès aux données de la personne concernée.

Portabilité des données
Les personnes concernées ont le droit de recevoir, sur demande, une copie des données qu'elles ont fournies, dans un format structuré, et de transmettre gratuitement ces données à un autre titulaire. Le titulaire est responsable de veiller à ce que ces demandes soient traitées dans un délai d'un mois, qu'elles ne soient pas excessives et qu'elles ne portent pas atteinte aux droits d'autrui en matière de données à caractère personnel.

Droit à l'oubli
Sur demande, la personne concernée a le droit d'obtenir de l'organisation l'effacement de ses données personnelles. Lorsque l'organisation agit en tant que responsable du traitement, le responsable du traitement doit prendre les mesures nécessaires (y compris les mesures techniques) pour informer les tiers qui utilisent ou traitent ces données de se conformer à la demande.

Organisation et responsabilité
La responsabilité du traitement approprié des données à caractère personnel incombe à toute personne travaillant au sein de l'organisation ou pour son compte et ayant accès aux données à caractère personnel traitées par celle-ci.

Le conseil d'administration prend des décisions et approuve les stratégies générales de l'organisation en matière de protection des données à caractère personnel.

Le conseiller à la protection des données (désigné en interne ou en externe) ou tout autre employé désigné comme point de contact pour le système de gestion de la vie privée PIMS est responsable de la gestion du programme de protection des données à caractère personnel et du développement et de la promotion des procédures de protection des données à caractère personnel de bout en bout.

Le responsable du présent document est le responsable du traitement, qui est chargé de le contrôler et, le cas échéant, de le mettre à jour au moins une fois par an.