Declaración de Política de Concienciación y Cumplimiento del RGPD de BeHappy2Day UE/RU.
1.0. Introducción.
1.1. El Reglamento General de Protección de Datos de la UE ("GDPR") entró en vigor en toda la Unión Europea el 25 de mayo de 2018 y trajo consigo los cambios más significativos en la ley de protección de datos en dos décadas. Basado en la privacidad por diseño y con un enfoque basado en el riesgo, el RGPD ha sido diseñado para cumplir con los requisitos de la era digital.
1.2. El siglo XXI trae consigo un uso más amplio de la tecnología, nuevas definiciones de lo que constituyen los datos personales y un gran aumento en el procesamiento transfronterizo. El nuevo Reglamento tiene como objetivo estandarizar las leyes y el procesamiento de datos en toda la UE; otorgando a las personas derechos más fuertes y consistentes para acceder y controlar su información personal.
2.0. Nuestro compromiso
Nos comprometemos a garantizar la seguridad y protección de la información personal que procesamos y a proporcionar un enfoque coherente y compatible con la protección de datos. Creemos que siempre hemos tenido un programa de protección de datos sólido y efectivo que cumple con la ley existente y respeta los principios de protección de datos. Sin embargo, reconocemos nuestras obligaciones de actualizar y expandir este programa para cumplir con las exigencias del RGPD y la Ley de Protección de Datos del Reino Unido.
2.1. BeHappy2Day se dedica a salvaguardar la información personal bajo nuestro mandato y a desarrollar un régimen de protección de datos que sea efectivo, adecuado para su propósito y demuestre una comprensión y apreciación del nuevo Reglamento. Nuestra preparación y objetivos para el cumplimiento del RGPD se resumen en esta declaración e incluyen el desarrollo y la implementación de nuevas funciones, políticas, procedimientos, controles y medidas de protección de datos para garantizar el cumplimiento máximo y continuo.
3.0. Cómo nos estamos preparando para el RGPD
3.1. Ya contamos con un nivel constante de protección y seguridad de datos en toda nuestra organización; sin embargo, nuestro objetivo es cumplir plenamente con el RGPD para el 25 de mayo de 2018. Nuestra preparación incluye:
(a) Auditoría de la información: llevar a cabo una auditoría de información de toda la empresa para identificar y evaluar qué información personal tenemos, de dónde proviene, cómo y por qué se procesa y si se divulga y a quién.
(b) Políticas y procedimientos - revisar/implementar nuevas políticas y procedimientos de protección de datos para cumplir con los requisitos y estándares del RGPD y cualquier ley de protección de datos relevante, que incluye:
(c) Protección de datos: nuestro principal documento de política y procedimiento para la protección de datos ha sido revisado para cumplir con los estándares y requisitos del RGPD. Existen medidas de rendición de cuentas y gobernanza para garantizar que comprendamos y difundamos y evidenciemos adecuadamente nuestras obligaciones y responsabilidades; con un enfoque dedicado a la privacidad por diseño y los derechos de las personas.
(d) Retención y borrado de datos: hemos actualizado nuestra política y programa de retención para garantizar que cumplimos con los principios de limitación, 'minimización de datos' y el 'almacenamiento' y que la información personal se almacene, archive y destruya de manera ética y conforme a las normas. Contamos con procedimientos de borrado dedicados para cumplir con la nueva obligación de 'Derecho de borrado' y somos conscientes de cuándo se aplican este y otros derechos de los interesados; junto con las exenciones, los plazos de respuesta y las responsabilidades de notificación.
(e) Violaciones de datos: nuestros procedimientos de violación garantizan que contamos con salvaguardas y medidas para identificar, evaluar, investigar e informar cualquier violación de datos personales en el tiempo más temprano posible. Nuestros procedimientos son sólidos y han sido difundidos a todos los empleados, haciéndoles conscientes de las líneas de informes y los pasos a seguir.
(f) Transferencias internacionales de datos y divulgaciones de terceros: donde BeHappy2Day almacena o transfiere información personal fuera de la UE, contamos con sólidos procedimientos y medidas de protección para proteger, cifrar y mantener la integridad de los datos. Nuestros procedimientos incluyen una revisión continua de los países con suficientes decisiones de adecuación, así como disposiciones para normas corporativas vinculantes; cláusulas estándar de protección de datos o códigos de conducta aprobados para aquellos países que no los tienen. Llevamos a cabo estrictos controles de diligencia debida con todos los destinatarios de datos personales para evaluar y verificar que cuentan con las garantías adecuadas para proteger la información, garantizar los derechos exigibles de los interesados y tener recursos legales efectivos para los interesados cuando corresponda.
(g) Solicitudes de acceso de sujetos (SAR): tiene derecho a saber qué información tenemos sobre usted. Hemos revisado nuestros procedimientos SAR para acomodar el plazo revisado de 30 días para proporcionar la información solicitada y para hacer que esta disposición sea gratuita. Nuestros nuevos procedimientos detallan cómo verificar al interesado, qué pasos tomar para procesar una solicitud de acceso, qué exenciones se aplican y un conjunto de plantillas de respuesta para garantizar que las comunicaciones con los interesados sean compatibles, consistentes y adecuadas.
(h) Base legal para el procesamiento: estamos revisando todas las actividades de procesamiento para identificar la base legal para el procesamiento y garantizar que cada base sea apropiada para la actividad a la que se relaciona. Cuando corresponda, también mantenemos registros de nuestras actividades de procesamiento, asegurándonos de que se cumplan nuestras obligaciones en virtud del Artículo 30 del RGPD y el Anexo 1 de la Ley de Protección de Datos.
(i) Aviso/Política de privacidad: tenemos revisó nuestro(s) Aviso(s) de Privacidad para cumplir con el RGPD, asegurando que todas las personas cuya información personal procesamos hayan sido informadas de por qué la necesitamos, cómo se usa, cuáles son sus derechos, a quién se divulga la información y qué protección existen medidas para proteger su información.
(j) Obtención de consentimiento: estamos revisando nuestros mecanismos de consentimiento para obtener datos personales, asegurándonos de que las personas entiendan lo que están proporcionando, por qué y cómo lo usamos y dando formas claras y definidas de dar su consentimiento para que procesemos su información. Hemos desarrollado procesos estrictos para registrar el consentimiento, asegurándonos de que podamos evidenciar una aceptación afirmativa, junto con registros de fecha y hora; y una forma fácil de ver y acceder para retirar el consentimiento en cualquier momento.
(k) Marketing directo: estamos revisando la redacción y los procesos para el marketing directo, incluidos los mecanismos claros de aceptación para las suscripciones de marketing; un aviso claro y un método para darse de baja y proporcionar características de cancelación de suscripción en todos los materiales de marketing posteriores.
(l) Evaluaciones de impacto de protección de datos (DPIA): cuando procesamos información personal que se considera de alto riesgo, involucra procesamiento o incluye datos de categoría especial/condena penal; Hemos desarrollado procedimientos estrictos y plantillas de evaluación para llevar a cabo evaluaciones de impacto que cumplen completamente con los requisitos del Artículo 35 del RGPD. Hemos implementado procesos de documentación que registran cada evaluación, nos permiten calificar el riesgo que representa la actividad de procesamiento e implementar medidas de mitigación para reducir el riesgo que representa para los interesados.
(m) Acuerdos del procesador – cuando utilizamos un tercero para procesar información personal en nuestro nombre (es decir, nómina, contratación, alojamiento, etc.), hemos redactado acuerdos de procesador compatibles y procedimientos de diligencia debida para garantizar que ellos (así como nosotros) cumplan y entiendan sus /nuestras obligaciones del RGPD. Estas medidas incluyen revisiones iniciales y continuas del servicio prestado, la necesidad de la actividad de procesamiento, las medidas técnicas y organizativas vigentes y el cumplimiento del RGPD.
(n) Datos de categorías especiales: donde obtenemos y procesamos cualquier información de categoría especial, lo hacemos en pleno cumplimiento de los requisitos del Artículo 9 y tenemos encriptaciones y protecciones de alto nivel en todos esos datos. Los datos de categoría especial solo se procesan cuando es necesario y solo se procesan cuando primero hemos identificado la base apropiada del Artículo 9 (2) o la condición del Anexo 1 de la Ley de Protección de Datos. Cuando nos basamos en el consentimiento para el tratamiento, éste es explícito y se verifica mediante una firma, estando claramente señalizado el derecho a modificar o retirar el consentimiento.
4.0. Derechos de los interesados
4.1. Además de las políticas y procedimientos mencionados anteriormente que garantizan que las personas puedan hacer valer sus derechos de protección de datos, proporcionamos información de fácil acceso a través de nuestro sitio web sobre el derecho de una persona a acceder a cualquier información personal que BeHappy2Day procese sobre ella y solicitar información sobre:
- Qué datos personales tenemos sobre ellos
- Los fines del procesamiento
- Las categorías de datos personales en cuestión
- Los destinatarios a a quién se han divulgado/serán divulgados los datos personales
- Durante cuánto tiempo pretendemos almacenar sus datos personales
- Si no recopilamos los datos directamente de ellos, información sobre la fuente
- El derecho a que se corrijan o completen sus datos incompletos o inexactos y el proceso para solicitarlo
- El derecho a solicitar la eliminación de datos personales (cuando corresponda) o a restringir el procesamiento de acuerdo con leyes de protección de datos, así como objetar cualquier marketing directo de nosotros y t o ser informado sobre cualquier toma de decisiones automatizada que utilicemos
- El derecho a presentar una queja o buscar un recurso judicial y a quién contactar en tales casos
5.0. Seguridad de la Información y Medidas Técnicas y Organizativas
5.1. BeHappy2Day se toma muy en serio la privacidad y la seguridad de las personas y su información personal y toma todas las medidas y precauciones razonables para proteger y asegurar los datos personales que procesamos. Contamos con sólidas políticas y procedimientos de seguridad de la información para proteger la información personal del acceso, la alteración, la divulgación o la destrucción no autorizados y contamos con varios niveles de medidas de seguridad, que incluyen; SSL, controles de acceso, política de contraseñas, encriptaciones, seudonimización, prácticas, restricción, informática, autenticación, etc.
6.0. Funciones y empleados del RGPD
6.1. Hemos designado a Marina Bushmareva como nuestra controladora de datos y hemos designado un equipo de privacidad de datos para desarrollar e implementar nuestra hoja de ruta para cumplir con el nuevo Reglamento de protección de datos. El equipo es responsable de promover el conocimiento del RGPD en toda la organización, evaluar nuestra preparación para el RGPD, identificar cualquier área de brecha e implementar las nuevas políticas, procedimientos y medidas.
6.2. BeHappy2Day entiende que la conciencia y la comprensión continuas de los empleados son vitales para el cumplimiento continuo del RGPD y ha involucrado a nuestros empleados en nuestros planes de preparación. Hemos implementado un programa de concientización de los empleados específico sobre lo anterior, que se implementará para todos los empleados antes del 25 de mayo de 2018. Esto forma parte continua de nuestro programa de inducción y capacitación anual.
Si tiene alguna pregunta sobre nuestra preparación para el RGPD, comuníquese con Marina Bushmareva, quien es nuestra controladora de datos en admin@behappy2day.com