Déclaration de politique de sensibilisation et de conformité BeHappy2Day EU/UK GDPR.
1.0. Présentation.
1.1. Le règlement général de l'UE sur la protection des données («RGPD») est entré en vigueur dans l'ensemble de l'Union européenne le 25 mai 2018 et apporte les modifications les plus importantes jamais apportées à la législation sur la protection des données depuis deux décennies. Basé sur la confidentialité dès la conception et sur une approche fondée sur les risques, le RGPD a été conçu pour répondre aux exigences de l'ère numérique.
1.2. Le 21e siècle apporte avec lui une utilisation plus large de la technologie, de nouvelles définitions de ce qui constitue des données personnelles et une forte augmentation du traitement transfrontalier. Le nouveau règlement vise à normaliser les lois sur la protection des données et leur traitement dans l'ensemble de l'UE ; accorder aux individus des droits plus forts et plus cohérents pour accéder à leurs informations personnelles et les contrôler.
2.0. Notre engagement
Nous nous engageons à assurer la sécurité et la protection des informations personnelles que nous traitons, et à fournir une approche conforme et cohérente de la protection des données. Nous sommes convaincus d'avoir toujours mis en place un programme de protection des données solide et efficace, conforme à la législation en vigueur et aux principes de protection des données. Cependant, nous reconnaissons nos obligations dans la mise à jour et l'extension de ce programme pour répondre aux exigences du RGPD et de la loi britannique sur la protection des données.
2.1. BeHappy2Day s'engage à protéger les informations personnelles relevant de sa compétence et à développer un régime de protection des données efficace, adapté à son objectif et démontrant une compréhension et une appréciation du nouveau règlement. Notre préparation et nos objectifs de conformité au RGPD ont été résumés dans cette déclaration et incluent le développement et la mise en œuvre de nouveaux rôles, politiques, procédures, contrôles et mesures de protection des données pour assurer une conformité maximale et continue.
3.0. Comment nous nous préparons au RGPD
3.1. Nous avons déjà un niveau cohérent de protection et de sécurité des données dans l'ensemble de notre organisation, mais notre objectif est d'être pleinement conformes au RGPD du 25 mai 2018. Notre préparation comprend :
(a) Audit des informations : effectuer un audit des informations à l'échelle de l'entreprise pour identifier et évaluer les informations personnelles que nous détenons, d'où elles proviennent, comment et pourquoi elles sont traitées, et si elles sont divulguées et à qui elles sont divulguées.
(b) Politiques et procédures : révision/mise en œuvre de nouvelles politiques et procédures de protection des données pour répondre aux exigences et aux normes du RGPD et à toute loi pertinente sur la protection des données, y compris :
(c) Protection des données : notre principal document de politique et de procédure de protection des données a été révisé pour répondre aux normes et aux exigences du RGPD. Des mesures de responsabilisation et de gouvernance sont en place pour garantir que nous comprenons, diffusons et attestons de manière adéquate nos obligations et responsabilités ; avec un accent particulier sur la confidentialité dès la conception et les droits des individus.
(d) Rétention et suppression des données : nous avons mis à jour notre politique et notre calendrier de conservation pour nous assurer que nous respectons les principes de "minimisation des données" et de "limitation du stockage" et que les informations personnelles sont stockées, archivées et détruites de manière conforme et éthique. Nous avons mis en place des procédures d'effacement dédiées pour répondre à la nouvelle obligation de «droit à l'effacement» et nous savons quand ce droit et d'autres droits des personnes concernées s'appliquent ; ainsi que toutes les exemptions, les délais de réponse et les responsabilités de notification.
(e) Violations de données : nos procédures de violation garantissent que nous avons mis en place des garanties et des mesures pour identifier, évaluer, enquêter et signaler toute violation de données personnelles dans les meilleurs délais. Nos procédures sont solides et ont été diffusées à tous les employés, les sensibilisant aux lignes hiérarchiques et aux étapes à suivre.
(f) Transferts internationaux de données et divulgations à des tiers - lorsque BeHappy2Day stocke ou transfère des informations personnelles en dehors de l'UE, nous mettons en place des procédures et des mesures de protection solides pour sécuriser, crypter et maintenir l'intégrité des données. Nos procédures incluent un examen continu des pays avec des décisions d'adéquation suffisantes, ainsi que des dispositions pour des règles d'entreprise contraignantes ; des clauses standard de protection des données ou des codes de conduite approuvés pour les pays qui n'en ont pas. Nous effectuons des contrôles de diligence raisonnable stricts avec tous les destinataires de données personnelles pour évaluer et vérifier qu'ils ont mis en place des garanties appropriées pour protéger les informations, garantir les droits exécutoires des personnes concernées et disposer de recours juridiques efficaces pour les personnes concernées, le cas échéant.
(g) Demandes d'accès au sujet (SAR) - Vous avez le droit de savoir quelles informations nous détenons sur vous. Nous avons révisé nos procédures SAR pour tenir compte du délai révisé de 30 jours pour fournir les informations demandées et faire cela gratuitement. Nos nouvelles procédures détaillent comment vérifier la personne concernée, les étapes à suivre pour traiter une demande d'accès, les exemptions applicables et une suite de modèles de réponse pour garantir que les communications avec les personnes concernées sont conformes, cohérentes et adéquates.
(h) Base juridique du traitement - nous examinons toutes les activités de traitement afin d'identifier la base juridique du traitement et de nous assurer que chaque base est appropriée pour l'activité à laquelle elle se rapporte. Le cas échéant, nous conservons également des enregistrements de nos activités de traitement, garantissant que nos obligations en vertu de l'article 30 du RGPD et de l'annexe 1 du projet de loi sur la protection des données sont respectées.
(i) Avis/Politique de confidentialité : nous avons révisé notre ou nos avis de confidentialité pour nous conformer au RGPD, en veillant à ce que toutes les personnes dont nous traitons les informations personnelles aient été informées de la raison pour laquelle nous en avons besoin, de la manière dont elles sont utilisées, de ce quels sont leurs droits, à qui les informations sont divulguées et quelles mesures de sauvegarde sont en place pour protéger leurs informations.
(j) Obtenir le consentement : nous révisons nos mécanismes de consentement pour obtenir des données personnelles, en veillant à ce que les individus comprennent ce qu'ils fournissent, pourquoi et comment nous les utilisons et en donnant des moyens clairs et définis de consentir à ce que nous traitions leurs informations. Nous avons développé des processus rigoureux pour enregistrer le consentement, en nous assurant que nous pouvons prouver un opt-in affirmatif, ainsi que des enregistrements d'heure et de date ; et un moyen facile à voir et à accéder pour retirer son consentement à tout moment.
(k) Marketing direct : nous révisons la formulation et les processus de marketing direct, y compris des mécanismes d'acceptation clairs pour les abonnements marketing ; un avis clair et une méthode de désabonnement et de fourniture de fonctionnalités de désabonnement sur tous les supports marketing ultérieurs.
(l) Évaluations de l'impact sur la protection des données (DPIA) : lorsque nous traitons des informations personnelles considérées comme à haut risque, impliquant un traitement à grande échelle ou incluant des données de catégorie spéciale/condamnation pénale ; nous développons des procédures et des modèles d'évaluation rigoureux pour la réalisation d'analyses d'impact qui sont pleinement conformes aux exigences de l'article 35 du RGPD. Nous avons mis en place des processus de documentation qui enregistrent chaque évaluation, nous permettant d'évaluer le risque posé par l'activité de traitement et de mettre en œuvre des mesures d'atténuation pour réduire le risque posé à la ou aux personnes concernées.
(m) Accords de traitement : lorsque nous utilisons un tiers pour traiter des informations personnelles en notre nom (c'est-à-dire la paie, le recrutement, l'hébergement, etc.), nous rédigeons des accords de traitement conformes et des procédures de diligence raisonnable pour nous assurer qu'ils (ainsi que comme nous), respectent et comprennent leurs/nos obligations RGPD. Ces mesures comprennent des examens initiaux et continus du service fourni, de la nécessité de l'activité de traitement, des mesures techniques et organisationnelles en place et de la conformité au RGPD.
(n) Données de catégories spéciales : lorsque nous obtenons et traitons des informations de catégories spéciales, nous le faisons en totale conformité avec les exigences de l'article 9 et disposons de cryptages et de protections de haut niveau sur toutes ces données. Les données de catégorie spéciale ne sont traitées que si nécessaire et lorsque nous avons d'abord identifié la base appropriée de l'article 9, paragraphe 2, ou la condition de l'annexe 1 du projet de loi sur la protection des données. Lorsque nous nous appuyons sur le consentement pour le traitement, celui-ci est explicite et vérifié par une signature, le droit de modifier ou de supprimer le consentement étant clairement indiqué.
4.0. Droits des personnes concernées
4.1. En plus des politiques et procédures mentionnées ci-dessus qui garantissent que les individus peuvent faire valoir leurs droits en matière de protection des données, nous fournissons des informations faciles d'accès via notre site Web sur le droit d'un individu d'accéder à toute information personnelle que BeHappy2Day traite à son sujet et de demander des informations sur :
- Quelles sont les données personnelles que nous détenons à leur sujet
- Les finalités du traitement
- Les catégories de données personnelles concernées
- Les destinataires auxquels les données personnelles sont/seront divulguées
- Combien de temps avons-nous l'intention de conserver vos données personnelles
- Si nous n'avons pas collecté les données directement auprès d'eux, des informations sur la source
- Le droit de faire rectifier ou compléter les données incomplètes ou inexactes les concernant et la procédure pour en faire la demande
- Le droit de demander l'effacement des données personnelles (le cas échéant) ou de restreindre le traitement conformément aux lois sur la protection des données, ainsi que de s'opposer à tout marketing direct de notre part et d'être informé de toute prise de décision automatisée que nous utilisons
- Le droit de déposer une plainte ou d'exercer un recours judiciaire et qui contacter dans de tels cas
5.0. Sécurité de l'information et mesures techniques et organisationnelles
5.1. BeHappy2Day prend très au sérieux la confidentialité et la sécurité des individus et de leurs informations personnelles et prend toutes les mesures et précautions raisonnables pour protéger et sécuriser les données personnelles que nous traitons. Nous avons mis en place de solides politiques et procédures de sécurité des informations pour protéger les informations personnelles contre tout accès, modification, divulgation ou destruction non autorisés et avons plusieurs couches de mesures de sécurité, notamment ; SSL, contrôles d'accès, politique de mots de passe, cryptages, pseudonymisation, pratiques, restriction, informatique, authentification, etc.
6.0. Rôles et employés du RGPD
6.1. Nous avons désigné Marina Bushmareva comme contrôleur des données et avons nommé une équipe de confidentialité des données pour développer et mettre en œuvre notre feuille de route pour se conformer au nouveau règlement sur la protection des données. L'équipe est chargée de promouvoir la sensibilisation au RGPD dans l'ensemble de l'organisation, d'évaluer notre état de préparation au RGPD, d'identifier les lacunes et de mettre en œuvre les nouvelles politiques, procédures et mesures.
6.2. BeHappy2Day comprend que la sensibilisation et la compréhension continues des employés sont essentielles à la conformité continue du GDPR et ont impliqué nos employés dans nos plans de préparation. Nous avons mis en place un programme de sensibilisation des employés spécifique à ce qui précède, qui sera déployé pour tous les employés avant le 25 mai 2018. Cela fait partie intégrante de notre programme d'intégration et de formation annuel.
Si vous avez des questions sur notre préparation au RGPD, veuillez contacter Marina Bushmareva qui est notre responsable du traitement des données à admin@behappy2day.com