BeHappy2Day EU/UK GDPR-beleidsverklaring bewustwording en naleving
1.0. Introductie.
1.1. De EU Algemene Verordening Gegevensbescherming ("GDPR") wordt op 25 mei 2018 van kracht in de hele Europese Unie en brengt de belangrijkste wijzigingen in de wetgeving inzake gegevensbescherming in twee decennia met zich mee. De GDPR is gebaseerd op privacy by design en een risicogebaseerde aanpak en is ontworpen om te voldoen aan de vereisten van het digitale tijdperk.
1.2. De 21e eeuw brengt een ruimer gebruik van technologie met zich mee, nieuwe definities van wat persoonsgegevens zijn, en een enorme toename van grensoverschrijdende verwerking. De nieuwe verordening heeft tot doel de wetgeving inzake gegevensbescherming en de verwerking van gegevens in de hele EU te standaardiseren en personen sterkere, meer consistente rechten op toegang tot en controle van hun persoonsgegevens te geven.
2.0. Onze verplichting
Wij zetten ons in voor de beveiliging en bescherming van de persoonlijke informatie die wij verwerken, en voor een conforme en consistente aanpak van gegevensbescherming. Wij zijn van mening dat wij altijd een robuust en doeltreffend programma voor gegevensbescherming hebben gehad, dat voldoet aan de bestaande wetgeving en de beginselen voor gegevensbescherming naleeft. Wij erkennen echter onze verplichtingen om dit programma te actualiseren en uit te breiden om te voldoen aan de eisen van de GDPR en de Britse Data Protection Act.
2.1. BeHappy2Day zet zich in voor de bescherming van de persoonsgegevens die onder onze bevoegdheid vallen en voor de ontwikkeling van een doeltreffend en doelgericht gegevensbeschermingsregime dat blijk geeft van inzicht in en waardering voor de nieuwe verordening. Onze voorbereiding en doelstellingen voor de naleving van de GDPR zijn samengevat in deze verklaring en omvatten de ontwikkeling en implementatie van nieuwe gegevensbeschermingsrollen, beleidslijnen, procedures, controles en maatregelen om een maximale en voortdurende naleving te garanderen.
3.0. Hoe we ons voorbereiden op de GDPR
3.1. We hebben al een consistent niveau van gegevensbescherming en -beveiliging binnen onze organisatie, maar het is ons doel om op 25 mei 2018 volledig in overeenstemming te zijn met de GDPR. Onze voorbereiding omvat:
(a) Informatie Audit - het uitvoeren van een bedrijfsbrede informatie audit om te identificeren en beoordelen welke persoonlijke informatie wij hebben, waar het vandaan komt, hoe en waarom het wordt verwerkt en of en aan wie het wordt vrijgegeven.
(b) Beleid en procedures - herziening/implementatie van nieuw beleid en nieuwe procedures voor gegevensbescherming om te voldoen aan de vereisten en normen van de GDPR en alle relevante wetten inzake gegevensbescherming, waaronder:
(c) Gegevensbescherming - ons belangrijkste beleids- en proceduredocument voor gegevensbescherming is herzien om te voldoen aan de normen en vereisten van de GDPR. Er zijn verantwoordings- en governancemaatregelen genomen om ervoor te zorgen dat we onze verplichtingen en verantwoordelijkheden begrijpen en adequaat verspreiden en aantonen; met speciale aandacht voor privacy by design en de rechten van individuen.
(d) Gegevensbewaring en -verwijdering - we hebben ons bewaringsbeleid en -schema bijgewerkt om ervoor te zorgen dat we voldoen aan de beginselen van 'gegevensminimalisering' en 'opslagbeperking' en dat persoonlijke informatie conform en ethisch verantwoord wordt opgeslagen, gearchiveerd en vernietigd. Wij hebben speciale verwijderingsprocedures om te voldoen aan de nieuwe verplichting inzake het "recht op verwijdering" en weten wanneer dit recht en andere rechten van de betrokkene van toepassing zijn, samen met eventuele uitzonderingen, reactietermijnen en meldingsplichten.
(e) Inbreuken in verband met gegevens - onze procedures in verband met inbreuken in verband met gegevens zorgen ervoor dat wij over waarborgen en maatregelen beschikken om inbreuken in verband met persoonsgegevens zo snel mogelijk vast te stellen, te beoordelen, te onderzoeken en te melden. Onze procedures zijn solide en zijn onder alle werknemers verspreid, zodat zij zich bewust zijn van de meldingslijnen en de te volgen stappen.
(f) Internationale gegevensoverdracht en overdracht aan derden - wanneer BeHappy2Day persoonlijke informatie buiten de EU opslaat of overdraagt, beschikken wij over strenge procedures en beschermingsmaatregelen om de gegevens te beveiligen, te coderen en de integriteit ervan te handhaven. Onze procedures omvatten een voortdurende evaluatie van de landen met voldoende adequaatheidsbesluiten, alsook bepalingen voor bindende bedrijfsregels; standaardclausules voor gegevensbescherming of goedgekeurde gedragscodes voor de landen zonder. Wij voeren strenge due diligence-controles uit bij alle ontvangers van persoonsgegevens om te beoordelen en te verifiëren of zij over passende waarborgen beschikken om de informatie te beschermen, afdwingbare rechten van betrokkenen te waarborgen en doeltreffende rechtsmiddelen voor betrokkenen te bieden waar dat van toepassing is.
(g) Verzoeken om toegang tot informatie (SAR) - U hebt het recht te weten welke informatie wij over u bewaren. Wij hebben onze SAR-procedures herzien om rekening te houden met de herziene termijn van 30 dagen voor het verstrekken van de gevraagde informatie en voor het kosteloos verstrekken van deze informatie. Onze nieuwe procedures beschrijven hoe de betrokkene moet worden geverifieerd, welke stappen moeten worden genomen om een verzoek om toegang te verwerken, welke uitzonderingen van toepassing zijn en een reeks antwoordsjablonen om ervoor te zorgen dat de communicatie met betrokkenen in overeenstemming, consistent en adequaat is.
(h) Rechtsgrondslag voor verwerking - wij evalueren alle verwerkingsactiviteiten om de rechtsgrondslag voor verwerking vast te stellen en ervoor te zorgen dat elke grondslag geschikt is voor de activiteit waarop zij betrekking heeft. Waar van toepassing houden we ook een register bij van onze verwerkingsactiviteiten en zorgen we ervoor dat onze verplichtingen op grond van artikel 30 van de GDPR en Schedule 1 van de Data Protection Bill worden nagekomen.
(i) Privacy Notice/Policy - we hebben onze Privacy Notice(s) herzien om te voldoen aan de GDPR en ervoor te zorgen dat alle personen van wie we persoonlijke informatie verwerken, zijn geïnformeerd over waarom we die informatie nodig hebben, hoe die wordt gebruikt, wat hun rechten zijn, aan wie de informatie wordt bekendgemaakt en welke beschermingsmaatregelen er zijn om hun informatie te beschermen.
(j) Verkrijgen van toestemming - wij herzien onze toestemmingsmechanismen voor het verkrijgen van persoonsgegevens, waarbij wij ervoor zorgen dat personen begrijpen wat zij verstrekken, waarom en hoe wij die gebruiken, en dat zij op duidelijke, vastomlijnde manieren toestemming geven voor de verwerking van hun informatie door ons. We hebben strenge procedures ontwikkeld voor het registreren van toestemming, zodat we kunnen aantonen dat er sprake is van een bevestigde opt-in, samen met tijd- en datumregistraties; en een gemakkelijk te zien en toegankelijke manier om toestemming op elk gewenst moment in te trekken.
(k) Direct marketing - we herzien de formulering en processen voor direct marketing, waaronder duidelijke opt-in mechanismen voor marketingabonnementen; een duidelijke kennisgeving en methode voor opt-out en het aanbieden van uitschrijfmogelijkheden op al het daaropvolgende marketingmateriaal.
(l) Gegevensbeschermingseffectbeoordelingen (Data Protection Impact Assessments, DPIA) - wanneer we persoonsgegevens verwerken die als zeer riskant worden beschouwd, een grootschalige verwerking inhouden of gegevens van speciale categorieën of strafrechtelijke veroordelingen omvatten, hebben we strikte procedures en beoordelingssjablonen ontwikkeld voor het uitvoeren van effectbeoordelingen die volledig voldoen aan de vereisten van artikel 35 van de GDPR. Wij hebben documentatieprocessen geïmplementeerd die elke beoordeling registreren, ons in staat stellen het risico van de verwerkingsactiviteit te beoordelen en mitigerende maatregelen te implementeren om het risico voor de betrokkene(n) te verminderen.
(m) Verwerkersovereenkomsten - wanneer wij een beroep doen op een derde partij om namens ons persoonsgegevens te verwerken (d.w.z. salarisadministratie, werving, hosting, enz.), hebben wij verwerkersovereenkomsten en due diligence-procedures opgesteld om ervoor te zorgen dat zij (evenals wij) voldoen aan hun/onze GDPR-verplichtingen en deze begrijpen. Deze maatregelen omvatten initiële en doorlopende beoordelingen van de geleverde dienst, de noodzaak van de verwerkingsactiviteit, de ingevoerde technische en organisatorische maatregelen en de naleving van de GDPR.
(n) Gegevens van speciale categorieën - wanneer wij gegevens van speciale categorieën verkrijgen en verwerken, doen wij dit in volledige overeenstemming met de vereisten van artikel 9 en beschikken wij over hoogwaardige versleutelingen en beveiligingen op al dergelijke gegevens. Gegevens van speciale categorieën worden alleen verwerkt waar dat noodzakelijk is en worden alleen verwerkt wanneer wij eerst de passende grondslag van artikel 9, lid 2, of de voorwaarde van Schedule 1 van de Data Protection Bill hebben vastgesteld. Wanneer wij ons baseren op toestemming voor verwerking, is deze toestemming uitdrukkelijk en wordt zij geverifieerd door middel van een handtekening, waarbij het recht om toestemming te wijzigen of in te trekken duidelijk wordt aangegeven.
4.0. Rechten van de betrokkene
4.1. Naast de hierboven vermelde beleidslijnen en procedures die ervoor zorgen dat personen hun rechten inzake gegevensbescherming kunnen afdwingen, verstrekken we via onze website gemakkelijk toegankelijke informatie over het recht van een persoon om toegang te krijgen tot alle persoonlijke informatie die BeHappy2Day over hem verwerkt en om informatie hierover op te vragen:
- Welke persoonlijke gegevens wij over hen bewaren
- De doeleinden van de verwerking
- De betrokken categorieën persoonsgegevens
- De ontvangers aan wie de persoonsgegevens zijn/zullen worden verstrekt
- Hoe lang wij van plan zijn uw persoonsgegevens te bewaren
- Als wij de gegevens niet rechtstreeks bij hen hebben verzameld, is informatie over de bron
- Het recht om onvolledige of onnauwkeurige gegevens over hen te laten corrigeren of aan te vullen en de procedure om dit te verzoeken
- Het recht om te verzoeken om het wissen van persoonsgegevens (indien van toepassing) of om de verwerking te beperken in overeenstemming met de wetgeving inzake gegevensbescherming, alsmede om bezwaar te maken tegen direct marketing van ons en om te worden geïnformeerd over geautomatiseerde besluitvorming die wij gebruiken
- het recht om een klacht in te dienen of beroep in te stellen bij de rechter en met wie men in dat geval contact moet opnemen
5.0. Informatiebeveiliging en technische en organisatorische maatregelen
5.1. BeHappy2Day neemt de privacy en veiligheid van personen en hun persoonlijke informatie zeer serieus en neemt alle redelijke maatregelen en voorzorgsmaatregelen om de persoonlijke gegevens die wij verwerken te beschermen en te beveiligen. We hebben een robuust informatiebeveiligingsbeleid en -procedures om persoonlijke informatie te beschermen tegen ongeoorloofde toegang, wijziging, openbaarmaking of vernietiging en hebben verschillende lagen van beveiligingsmaatregelen, waaronder; SSL, toegangscontroles, wachtwoordbeleid, versleutelingen, pseudonimisering, praktijken, beperking, IT, authenticatie enz.
6.0. GDPR Rollen en Werknemers
6.1. We hebben Marina Bushmareva aangewezen als onze Controller of Data en hebben een data privacy team aangesteld om ons stappenplan voor het voldoen aan de nieuwe verordening gegevensbescherming te ontwikkelen en te implementeren. Het team is verantwoordelijk voor het bevorderen van het bewustzijn van de GDPR in de hele organisatie, het beoordelen van onze GDPR-gereedheid, het identificeren van eventuele hiaatgebieden en het implementeren van het nieuwe beleid, procedures en maatregelen.
6.2. BeHappy2Day begrijpt dat een voortdurend bewustzijn en begrip van de werknemers van vitaal belang is voor de voortdurende naleving van de GDPR en heeft onze werknemers betrokken bij onze voorbereidingsplannen. We hebben een bewustmakingsprogramma voor werknemers geïmplementeerd dat specifiek betrekking heeft op het bovenstaande en dat vóór 25 mei 2018 aan alle werknemers zal worden uitgerold. Dit vormt een doorlopend onderdeel van ons introductie- en jaarlijkse trainingsprogramma.
Als u vragen hebt over onze voorbereiding op de GDPR, kunt u contact opnemen met Marina Bushmareva, die onze Controller of Data is op admin@behappy2day.com