Informationen zur Verarbeitung personenbezogener Daten gemäß den Artikeln 13 und 14 der Verordnung EU 2016/679 für den durch die Plattform Cyber Guru erbrachten Schulungsdienst.
Sehr geehrter Mitarbeiter,
ergänzend zu den Informationen über die Verarbeitung Ihrer personenbezogenen Daten durch Ihren Arbeitgeber als Verantwortlicher für Zwecke im Zusammenhang mit der Verwaltung des Arbeitsverhältnisses möchten wir Ihnen mit diesem Hinweis im Einklang mit dem Prinzip der Progressivität spezifische und detaillierte Informationen über die Nutzung des Portals „Cyber Guru“ für die kontinuierliche Schulung unserer Mitarbeiter und Mitarbeiterinnen im Bereich der Cybersicherheit geben. Insbesondere wird die Schulung durch ein innovatives E-Learning-System bereitgestellt, das für nicht-spezialisiertes Personal öffentlicher und privater Organisationen entwickelt wurde und auf innovativen Schulungsmethoden basiert, die die effektivsten digitalen Lernmethoden berücksichtigen. Das System involviert die gesamte Organisation in einen lehrreichen und anregenden Lernprozess, der sich durch einen „konstanten und schrittweisen Freigabeansatz“ auszeichnet. Eine weitere Lösung betrifft ein Anti-Phishing-Training, das dank seiner besonderen On-the-Job-Trainingsmethodik und der durch maschinelles Lernen unterstützten Automatisierungsmerkmale effektive Ergebnisse erzielt.
Verantwortlicher für die Datenverarbeitung ist Ihr Arbeitgeber oder Auftraggeber, dessen Kontaktdaten Sie auf der institutionellen Website einsehen können.
Auftragsverarbeiter (Bereiche der Datenkommunikation). Für die Bereitstellung der Schulungsaktivitäten über das angegebene Portal hat Ihr Arbeitgeber oder Auftraggeber einen spezifischen Vertrag mit der Firma CYBER GURU s.r.l. abgeschlossen und sie gemäß Artikel 28 der DSGVO als Auftragsverarbeiter benannt, wobei die Einhaltung der Datenschutzbestimmungen und angemessener Sicherheitsmaßnahmen gefordert wird, darunter insbesondere die Sicherheit der verwendeten IT-Tools und die Autorisierung der mit der Verarbeitung beauftragten Personen. Das verantwortliche Unternehmen wird direkt und/oder über weitere Unterauftragsverarbeiter die hier beschriebenen Schulungsaktivitäten erbringen. Für die Verwaltung der Zugänge und des Authentifizierungssystems zum Portal können personenbezogene Daten von Dritten verarbeitet werden, die Single Sign-On (SSO)-Dienste anbieten. Die Daten werden in diesem Fall durch Anwendung eines „Token“-Codes pseudonymisiert.
Zweck und Rechtsgrundlage der Verarbeitung. Die spezifischen relevanten Zwecke der in Rede stehenden Verarbeitung betreffen eine gezielte Schulung zu Themen der Cybersicherheit und insbesondere das Bewusstsein, das unsere Mitarbeiter haben müssen, um die Arbeitsmittel optimal zu nutzen und das Risiko von Cyberangriffen und/oder anderen Problemen zu verringern. Der Zweck liegt daher in der kontinuierlichen und spezifischen Schulung, die der Arbeitgeber seinen Mitarbeitern sowohl als Bestandteil eines Vertragsverhältnisses als auch als Instrument zum Schutz eines eigenen berechtigten Interesses, das durch die Sicherheit der eigenen Systeme repräsentiert wird (Schulung als organisatorische Maßnahme auch im Sinne der Artikel 29 und 32 der DSGVO), erbringt, sowie im Hinblick auf die Verpflichtung, die in den genannten gesetzlichen Bestimmungen vorgesehen ist, alle Personen, die personenbezogene Daten verarbeiten und unter seiner Autorität handeln, gezielt zu schulen. Aus den genannten Gründen ist es daher nicht erforderlich, Ihre ausdrückliche Zustimmung für die beschriebene Verarbeitung einzuholen.
Kategorien und Fluss personenbezogener Daten. Zur Erreichung der angegebenen Zwecke wird das Unternehmen oder ein von ihm Beauftragter dem benannten Verantwortlichen die folgenden personenbezogenen Daten mitteilen: Name, Nachname, E-Mail, Unternehmensfunktion. Besondere Kategorien personenbezogener Daten (sensible Daten) sind nicht Gegenstand der Verarbeitung.
Autorisierte Personen. Zugang zu Ihren personenbezogenen Daten haben nur die speziell autorisierten Personen unter Beachtung des Notwendigkeitsprinzips. Insbesondere: Der Auftragsverarbeiter und eventuelle Unterauftragsverarbeiter können auf die persönlichen Informationen (Name, Nachname, E-Mail, Unternehmensfunktion, Testergebnisse) zugreifen, die für die Erstellung des Benutzerprofils zur Erbringung der Schulungsaktivität erforderlich sind. In Anbetracht der Organisation kann ein Teamleiterprofil (intern im Unternehmen, das mit dem Leiter des Büros übereinstimmt) erstellt werden, das Zugang zu Informationen über die Lernniveaus (in aggregierter Form) der Benutzer hat, und ein Supervisorprofil (intern im Unternehmen), das Zugang zu Informationen über den Schulungsweg aller Benutzer hat. Dies dient dem Zweck, Informationen über die erbrachte Schulung zu erhalten. Die Rückmeldungen, die der Verantwortliche über das Ergebnis der Phishing-Angriffe erhalten kann, sind anonymisierte Informationen, die nur zu statistischen Zwecken verwendet werden (Anzahl der erfolgreichen Angriffsversuche im Verhältnis zur Anzahl der betroffenen Personen usw.).
Übertragung außerhalb der EU. Die personenbezogenen Daten im Rahmen der in Rede stehenden Verarbeitung werden nicht in Länder außerhalb der EU oder an internationale Organisationen übertragen, sondern innerhalb des EU-Gebiets (Dublin) direkt oder über Verantwortliche verarbeitet.
Aufbewahrungsfrist. Die Daten werden basierend auf der Zeit, die strikt erforderlich ist, um die in dieser Mitteilung angegebenen Zwecke zu erreichen, aufbewahrt. Die personenbezogenen Daten werden 90 Tage nach Vertragsende gelöscht.
Rechte der betroffenen Person. Wir erinnern Sie daran, dass Sie jederzeit die in den Artikeln 15 – 22 der DSGVO vorgesehenen Rechte ausüben können, indem Sie eine einfache Anfrage an den Verantwortlichen für die Datenverarbeitung senden oder den gegebenenfalls benannten Datenschutzbeauftragten kontaktieren. Wir erinnern Sie auch daran, dass Sie eine Beschwerde bei der Aufsichtsbehörde einreichen können.
Automatisierte Verarbeitungen. Das verantwortliche Unternehmen führt keine Verarbeitungen durch, die auf einem automatisierten Entscheidungsprozess basieren, einschließlich der Profilierung. Das Unternehmen, das die Schulungsplattform besitzt, führt automatisierte Verarbeitungen durch, die darauf abzielen, Phishing-Angriffe basierend auf dem Antwortverhalten der Lernenden zu versenden und diese zu profilieren, um die Fortschrittsstufen der Phishing-Angriffe zu aktivieren.
Hinweis zu automatischen Übersetzungen
Diese Datenschutzerklärung ist in italienischer und englischer Sprache verfasst. Beide Versionen gelten als offiziell und haben den gleichen rechtlichen Wert. Versionen in anderen Sprachen als Italienisch und Englisch, die durch automatische Übersetzungswerkzeuge (einschließlich der in digitalen Plattformen integrierten) bereitgestellt werden, gelten nicht als offizielle Versionen und haben keinen rechtlichen Wert. Diese Übersetzungen werden nur zu Informationszwecken bereitgestellt.