1. Introducción

Esta Política establece las obligaciones de Mike Lane Mods Limited ("la Compañía") con respecto a la protección de datos y los derechos de los clientes ("interesados") con respecto a sus datos personales en virtud del Reglamento de la UE 2016/679 Reglamento general de protección de datos ("GDPR ”).

El RGPD define "datos personales" como cualquier información relacionada con una persona física identificada o identificable (un "interesado"); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea, o a uno o más factores específicos de la física, fisiológica identidad genética, mental, económica, cultural o social de esa persona física.

Esta Política establece las obligaciones de la Compañía con respecto a la recopilación, procesamiento, transferencia, almacenamiento y eliminación de datos personales. Los procedimientos y principios establecidos en este documento deben ser seguidos en todo momento por la Compañía, sus empleados, agentes, contratistas u otras partes que trabajen en nombre de la Compañía.

La Compañía está comprometida no solo con la letra de la ley, sino también con el espíritu de la ley y otorga gran importancia al manejo correcto, legal y justo de todos los datos personales, respetando los derechos legales, la privacidad y la confianza de todos. individuos con los que trata.

2. Los principios de protección de datos

Esta Política tiene como objetivo garantizar el cumplimiento de la GDPR. El GDPR establece los siguientes principios que debe cumplir cualquier parte que maneje datos personales. Todos los datos personales deben ser:

2.1 Procesado legalmente, de manera justa y transparente en relación con el interesado.
2.2 Recopilados para fines específicos, explícitos y legítimos y no procesados ​​adicionalmente de una manera que sea incompatible con esos fines. El procesamiento posterior con fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos no se considerará incompatible con los fines iniciales.
2.3 Adecuado, relevante y limitado a lo necesario en relación con los fines para los que se procesa.
2.4 Preciso y, cuando sea necesario, actualizado. Se deben tomar todas las medidas razonables para garantizar que los datos personales que sean inexactos, teniendo en cuenta los fines para los que se procesan, se borran o se rectifican sin demora.
2.5 Conservados en un formato que permita la identificación de los interesados ​​durante un período no superior al necesario para los fines para los que se procesan los datos personales. Los datos personales pueden almacenarse durante períodos más largos en la medida en que los datos personales se procesarán únicamente con fines de archivo en el interés público, fines de investigación científica o histórica o fines estadísticos, sujeto a la implementación de las medidas técnicas y organizativas apropiadas requeridas por el GDPR en para salvaguardar los derechos y libertades del interesado.
2.6 Procesados ​​de una manera que garantice la seguridad adecuada de los datos personales, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida accidental, destrucción o daño, utilizando las medidas técnicas u organizativas adecuadas.

3. Los derechos de los interesados

El GDPR establece los siguientes derechos aplicables a los interesados ​​(consulte las partes de esta política indicadas para obtener más detalles):

3.1 El derecho a ser informado (Parte 12).
3.2 El derecho de acceso (Parte 13);
3.3 El derecho de rectificación (Parte 14);
3.4 El derecho a borrar (también conocido como el "derecho a ser olvidado") (Parte 15);
3.5 El derecho a restringir el procesamiento (Parte 16);
3.6 El derecho a la portabilidad de datos (Parte 17);
3.7 El derecho a oponerse (Parte 18); y
3.8 Derechos con respecto a la toma de decisiones y la elaboración de perfiles automatizados (partes 19 y 20).

4. Procesamiento de datos legal, justo y transparente

4.1 El RGPD busca garantizar que los datos personales se procesen de manera legal, justa y transparente, sin afectar negativamente los derechos del interesado. El RGPD establece que el procesamiento de datos personales será legal si se aplica al menos uno de los siguientes:
4.1.1 El interesado ha dado su consentimiento para el procesamiento de sus datos personales para uno o más propósitos específicos;
4.1.2 El procesamiento es necesario para la ejecución de un contrato del cual el interesado es parte, o para tomar medidas a solicitud del interesado antes de celebrar un contrato con ellos;
4.1.3 El procesamiento es necesario para cumplir con una obligación legal a la que está sujeto el controlador de datos;
4.1.4 El procesamiento es necesario para proteger los intereses vitales del interesado o de otra persona física;
4.1.5 El procesamiento es necesario para el desempeño de una tarea realizada en interés público o en el ejercicio de la autoridad oficial conferida al controlador de datos; o
4.1.6 El procesamiento es necesario para los fines de los intereses legítimos perseguidos por el controlador de datos o por un tercero, excepto cuando dichos intereses sean anulados por los derechos y libertades fundamentales del interesado que requieren protección de datos personales, en particular donde el interesado es un niño.

5. Fines específicos, explícitos y legítimos

5.1 La Compañía recopila y procesa los datos personales establecidos en la Parte 22 de esta Política. Esto incluye:
5.1.1 Datos personales recopilados directamente de los interesados; y
5.1.2 Datos personales obtenidos de terceros.
5.2 La Compañía solo recopila, procesa y mantiene datos personales para los fines específicos establecidos en la Parte 22 de esta Política (o para otros fines expresamente permitidos por el GDPR).
5.3 Los sujetos de los datos se mantienen informados en todo momento del propósito o fines para los cuales la Compañía utiliza sus datos personales. Consulte la Parte 12 para obtener más información sobre cómo mantener informados a los interesados.

6. Procesamiento de datos adecuado, relevante y limitado

La Compañía solo recopilará y procesará datos personales para y en la medida necesaria para el propósito o propósitos específicos de los cuales los interesados ​​han sido informados (o serán informados) como en la Parte 5, arriba, y como se establece en la Parte 21, a continuación. .

7. Precisión de datos y mantenimiento de datos actualizados

7.1 La Compañía se asegurará de que todos los datos personales recopilados, procesados y almacenados por ella se mantengan precisos y actualizados. Esto incluye, pero no se limita a, la rectificación de datos personales a solicitud de un interesado, como se establece en la Parte 14, a continuación.
7.2 Se comprobará la exactitud de los datos personales cuando se recopilen y posteriormente a intervalos regulares. Si se determina que algún dato personal es inexacto o no está actualizado, se tomarán todas las medidas razonables sin demora para modificar o borrar esos datos, según corresponda.

8. Retención de datos

8.1 La Compañía no conservará los datos personales por más tiempo del necesario a la luz del propósito o propósitos para los cuales los datos personales se recopilaron, conservaron y procesaron originalmente.
8.2 Cuando los datos personales ya no sean necesarios, se tomarán todas las medidas razonables para borrarlos o eliminarlos sin demora.
8.3 Para obtener detalles completos del enfoque de la Compañía para la retención de datos, incluidos los períodos de retención para tipos de datos personales específicos en poder de la Compañía, consulte nuestra Política de retención de datos.

9. Procesamiento seguro

La Compañía se asegurará de que todos los datos personales recopilados, retenidos y procesados ​​se mantengan seguros y protegidos contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidental. En las Partes 22 a 27 de esta Política se proporcionan más detalles de las medidas técnicas y organizativas que se tomarán.

10. Rendición de cuentas y mantenimiento de registros

10.1 La Compañía será responsable de supervisar la implementación de esta Política y de monitorear el cumplimiento de esta Política, las demás políticas de la Compañía relacionadas con la protección de datos y con el GDPR y otra legislación de protección de datos aplicable.

10.2 La Compañía mantendrá registros internos escritos de toda la recopilación, tenencia y procesamiento de datos personales, que incorporará la siguiente información:
10.2.1 El nombre y los detalles de la Compañía y los procesadores de datos de terceros correspondientes;
10.2.2 Los fines para los cuales la Compañía recopila, retiene y procesa datos personales;
10.2.3 Detalles de las categorías de datos personales recopilados, retenidos y procesados ​​por la Compañía, y las categorías de sujetos de datos con los que se relacionan esos datos personales;
10.2.4 Detalles de cualquier transferencia de datos personales a países no pertenecientes al EEE, incluidos todos los mecanismos y salvaguardias de seguridad;
10.2.5 Detalles de cuánto tiempo los datos personales serán retenidos por la Compañía (consulte la Política de retención de datos de la Compañía); y
10.2.6 Descripciones detalladas de todas las medidas técnicas y organizativas tomadas por la Compañía para garantizar la seguridad de los datos personales.

11. Evaluaciones de impacto de la protección de datos

11.1 La Compañía llevará a cabo evaluaciones de impacto de protección de datos para cualquier nuevo uso de datos personales que implique el uso de nuevas tecnologías y el procesamiento involucrado probablemente resulte en un alto riesgo para los derechos y libertades de los interesados ​​bajo el GDPR.
11.2 Las evaluaciones de impacto de la protección de datos deberán abordar lo siguiente:
11.2.1 Los tipos de datos personales que se recopilarán, conservarán y procesarán;
11.2.2 El (los) propósito (s) para los cuales se usarán los datos personales;
11.2.3 Los objetivos de la Compañía;
11.2.4 Cómo se utilizarán los datos personales;
11.2.5 Las partes (internas y / o externas) a las que se va a consultar;
11.2.6 La necesidad y la proporcionalidad del procesamiento de datos con respecto a los fines para los que se procesa;
11.2.7 Riesgos para los interesados;
11.2.8 Riesgos planteados tanto dentro como para la Compañía; y
11.2.9 Medidas propuestas para minimizar y manejar los riesgos identificados.

12. Mantener informados a los interesados

12.1 La Compañía proporcionará la información establecida en la Parte 12.2 a cada sujeto de datos:
12.1.1 Cuando los datos personales se recopilan directamente de los interesados, dichos interesados serán informados de su propósito en el momento de la recopilación; y
12.1.2 Cuando los datos personales se obtengan de un tercero, los interesados ​​pertinentes serán informados de su propósito:
a) si los datos personales se utilizan para comunicarse con el interesado, cuando se realiza la primera comunicación; o
b) si los datos personales se transferirán a otra parte, antes de que se realice dicha transferencia; o
c) tan pronto como sea razonablemente posible y, en cualquier caso, no más de un mes después de la obtención de los datos personales.
12.2 Se proporcionará la siguiente información:
12.2.1 Detalles de la Compañía;
12.2.2 El (los) propósito (s) para los cuales se recopilan y procesan los datos personales (como se detalla en la Parte 21 de esta Política) y la base legal que justifica esa recopilación y procesamiento;
12.2.3 Cuando corresponda, los intereses legítimos sobre los cuales la Compañía justifica su recopilación y procesamiento de datos personales;
12.2.4 Cuando los datos personales no se obtienen directamente del interesado, las categorías de datos personales recopilados y procesados;
12.2.5 Cuando los datos personales se vayan a transferir a uno o más terceros, detalles de esos terceros;
12.2.6 Cuando los datos personales se vayan a transferir a un tercero que se encuentre fuera del Espacio Económico Europeo (el "EEE"), los detalles de esa transferencia, incluidas, entre otras, las salvaguardias vigentes (consulte la Parte 28 de esta Política para obtener más detalles);
12.2.7 Detalles de retención de datos;
12.2.8 Detalles de los derechos del interesado bajo el RGPD;
12.2.9 Detalles del derecho del interesado a retirar su consentimiento para el procesamiento de sus datos personales por parte de la Compañía en cualquier momento;
12.2.10 Detalles del derecho del interesado a presentar una queja ante la Oficina del Comisionado de Información (la "autoridad de supervisión" bajo el RGPD);
12.2.11 Cuando corresponda, detalles de cualquier requisito u obligación legal o contractual que requiera la recopilación y el procesamiento de los datos personales y detalles de cualquier consecuencia de no proporcionarlos; y
12.2.12 Detalles de cualquier toma de decisiones automatizada o elaboración de perfiles que se llevará a cabo utilizando los datos personales, incluida la información sobre cómo se tomarán las decisiones, la importancia de esas decisiones y las consecuencias.

13. Acceso del interesado

13.1 Los interesados ​​pueden hacer solicitudes de acceso a los sujetos ("SAR") en cualquier momento para obtener más información sobre los datos personales que la Compañía tiene sobre ellos, qué está haciendo con esos datos personales y por qué.
13.2 Los interesados ​​que deseen realizar una Solicitud de acceso del sujeto pueden hacerlo por escrito por correo electrónico a admin@mikelanemods.com.
13.3 Las respuestas a los SAR se harán normalmente en el plazo de un mes a partir de su recepción, sin embargo, esto puede extenderse hasta dos meses si el SAR es complejo y / o se realizan numerosas solicitudes. Si se requiere dicho tiempo adicional, se informará al interesado.
13.4 La Compañía no cobra una tarifa por el manejo de SAR normales. La Compañía se reserva el derecho de cobrar tarifas razonables por copias adicionales de información que ya se ha suministrado a un interesado, y por solicitudes que son manifiestamente infundadas o excesivas, particularmente cuando tales solicitudes son repetitivas.

14. Rectificación de datos personales

14.1 Los interesados ​​tienen derecho a exigir a la Compañía que rectifique cualquiera de sus datos personales que sea inexacto o incompleto.
14.2 La Compañía rectificará los datos personales en cuestión e informará al interesado de dicha rectificación, dentro de un mes a partir de que el interesado informe a la Compañía del problema. El período puede extenderse hasta dos meses en el caso de solicitudes complejas. Si se requiere dicho tiempo adicional, se informará al interesado.
14.3 En el caso de que los datos personales afectados hayan sido revelados a terceros, se informará a dichas partes de cualquier rectificación que deba hacerse a dichos datos personales.

15. Eliminación de datos personales

15.1 Los interesados ​​tienen derecho a solicitar que la Compañía borre los datos personales que tiene sobre ellos en las siguientes circunstancias:
15.1.1 Ya no es necesario que la Compañía mantenga esos datos personales con respecto a los fines para los cuales se recopilaron o procesaron originalmente;
15.1.2 El interesado desea retirar su consentimiento para que la Compañía posea y procese sus datos personales;
15.1.3 El interesado se opone a que la Compañía posea y procese sus datos personales (y no existe un interés legítimo absoluto para permitir que la Compañía continúe haciéndolo) (consulte la Parte 18 de esta Política para obtener más detalles sobre el derecho a oponerse);
15.1.4 Los datos personales han sido procesados ​​ilegalmente;
15.1.5 Los datos personales deben borrarse para que la Compañía cumpla con una obligación legal particular.
15.2 A menos que la Compañía tenga motivos razonables para negarse a borrar los datos personales, todas las solicitudes de borrado deberán cumplirse, y el interesado deberá ser informado del borrado, dentro de un mes a partir de la recepción de la solicitud del interesado. El período puede extenderse hasta dos meses en el caso de solicitudes complejas. Si se requiere dicho tiempo adicional, se informará al interesado.
15.3 En el caso de que cualquier dato personal que deba borrarse en respuesta a la solicitud de un interesado haya sido revelado a terceros, se informará a esas partes sobre el borrado (a menos que sea imposible o requiera un esfuerzo desproporcionado para hacerlo).

16. Restricción del procesamiento de datos personales

16.1 Los interesados ​​pueden solicitar que la Compañía deje de procesar los datos personales que tiene sobre ellos. Si un sujeto de datos realiza una solicitud de este tipo, la Compañía retendrá solo la cantidad de datos personales relacionados con ese sujeto de datos (si corresponde) que sea necesaria para garantizar que los datos personales en cuestión no se procesen más.
16.2 En el caso de que cualquier dato personal afectado haya sido revelado a terceros, se informará a las partes de las restricciones aplicables al procesamiento (a menos que sea imposible o requiera un esfuerzo desproporcionado para hacerlo).

17. Objeciones al procesamiento de datos personales

17.1 Los interesados ​​tienen derecho a oponerse a que la Compañía procese sus datos personales en función de intereses legítimos, marketing directo (incluida la elaboración de perfiles).
17.2 Cuando un sujeto de datos se opone a que la Compañía procese sus datos personales en función de sus intereses legítimos, la Compañía suspenderá dicho procesamiento de inmediato, a menos que se pueda demostrar que los motivos legítimos de la Compañía para dicho procesamiento anulan los intereses, derechos y libertades del sujeto de datos , o que el procesamiento es necesario para la realización de reclamos legales.
17.3 Cuando un interesado se oponga a que la Compañía procese sus datos personales con fines de marketing directo, la Compañía cesará dicho procesamiento de inmediato.

18. Datos personales recopilados, conservados y procesados

La Compañía recopila, retiene y procesa los siguientes datos personales (para obtener información sobre la retención de datos, consulte la Política de retención de datos de la Compañía):

Tipo de datos: Detalles de contacto del cliente a través del formulario de consulta del sitio web: nombre, dirección de correo electrónico y mensaje
Propósito de los datos: Sirve como método de contacto para los clientes, así como también como método para recopilar consultas de ventas a través del sitio web de la Compañía.

Tipo de datos: Detalles del cliente a través de la tienda del sitio web: nombre, nombre de la empresa (opcional), dirección de envío, dirección de facturación, número de teléfono (opcional), dirección de correo electrónico
Propósito de los datos: Esencial para procesar, enviar, administrar y respaldar pedidos existentes y futuros, comunicación con el cliente, finanzas y facturación.

Tipo de datos: Detalles del cliente a través de mensaje directo: nombre, dirección, dirección de correo electrónico
Propósito de los datos: Esencial para procesar, enviar, administrar y respaldar pedidos existentes y futuros, comunicación con el cliente, finanzas y facturación.

19. Seguridad de los datos: transferencia de datos personales y comunicaciones

La Compañía se asegurará de que se tomen las siguientes medidas con respecto a todas las comunicaciones y otras transferencias que involucren datos personales:
19.1 Todos los correos electrónicos que contengan datos personales deben estar encriptados;
19.2 Todos los correos electrónicos que contengan datos personales deben estar marcados como "confidenciales";
19.3 Los datos personales solo se pueden transmitir a través de redes seguras; la transmisión a través de redes no seguras no está permitida en ninguna circunstancia;
19.4 Los datos personales no pueden transmitirse a través de una red inalámbrica si existe una alternativa cableada que sea razonablemente posible;
19.5 Los datos personales contenidos en el cuerpo de un correo electrónico, ya sea enviado o recibido, deben copiarse del cuerpo de ese correo electrónico y almacenarse de forma segura. El correo electrónico en sí debe eliminarse. Todos los archivos temporales asociados con el mismo también deben eliminarse;

20. Seguridad de los datos: almacenamiento

La Compañía se asegurará de que se tomen las siguientes medidas con respecto al almacenamiento de datos personales:
20.1 Todas las copias electrónicas de los datos personales deben almacenarse de forma segura utilizando contraseñas y cifrado de 256 bits del Estándar de cifrado avanzado (AES);
20.2 Todas las copias impresas de datos personales, junto con las copias electrónicas almacenadas en medios físicos extraíbles, deben almacenarse de forma segura en una caja cerrada, cajón, gabinete o similar;
20.3 Todos los datos personales almacenados electrónicamente deben tener una copia de seguridad a intervalos regulares con copias de seguridad almacenadas en el sitio y fuera del sitio. Todas las copias de seguridad deben cifrarse mediante cifrado estándar de cifrado avanzado (AES) de 256 bits. La recuperación de datos debería ser posible de forma remota en caso de un desastre en el área local u otra interrupción de los procedimientos de acceso normales;
20.4 No se deben almacenar datos personales en ningún dispositivo móvil (incluidos, entre otros, computadoras portátiles, tabletas y teléfonos inteligentes), ya sea que dicho dispositivo pertenezca a la Compañía o no; y
20.5 No se deben transferir datos personales a ningún dispositivo que pertenezca personalmente a un empleado y los datos personales solo se pueden transferir a dispositivos que pertenezcan a agentes, contratistas u otras partes que trabajen en nombre de la Compañía cuando la parte en cuestión haya acordado cumplir plenamente con la letra y el espíritu de esta Política y del RGPD (que puede incluir demostrar a la Compañía que se han tomado todas las medidas técnicas y organizativas adecuadas).
20.6 Al deshacerse de computadoras viejas u otro equipo que contenga datos personales, se deben tomar medidas minuciosas para eliminar por completo los datos. Esto debe incluir la eliminación de todos los datos del dispositivo, realizar un restablecimiento de fábrica y la destrucción física y eliminación segura de los discos duros, cuando corresponda.

21. Seguridad de los datos: eliminación

Cuando cualquier dato personal deba borrarse o eliminarse por cualquier motivo (incluso cuando se hayan realizado copias y ya no sean necesarias), debe eliminarse y desecharse de forma segura. Los datos personales almacenados en forma impresa se triturarán y reciclarán o eliminarán. Para obtener más información sobre la eliminación y eliminación de datos personales, consulte la Política de retención de datos de la Compañía.

22. Seguridad de datos: uso de datos personales

La Compañía se asegurará de que se tomen las siguientes medidas con respecto al uso de datos personales:
22.1 No se pueden compartir datos personales de manera informal y si un empleado, agente, subcontratista u otra parte que trabaje en nombre de la Compañía requiere acceso a cualquier dato personal al que aún no tenga acceso, dicho acceso debe solicitarse formalmente a la empresa;
22.2 No se pueden transferir datos personales a ningún empleado, agente, contratista u otras partes, ya sea que dichas partes trabajen en nombre de la Compañía o no, sin la autorización de la Compañía;
22.3 Los datos personales deben manejarse con cuidado en todo momento y no deben dejarse desatendidos o a la vista de empleados, agentes, subcontratistas u otras partes no autorizados en ningún momento;
22.4 Si los datos personales se visualizan en la pantalla de una computadora y la computadora en cuestión debe dejarse desatendida durante un período de tiempo, el usuario debe bloquear la computadora y la pantalla antes de dejarla; y
22.5 Cuando los datos personales en poder de la Compañía se utilicen con fines de marketing, será responsabilidad de la Compañía asegurarse de que se obtenga el consentimiento apropiado y que ningún interesado haya optado por excluirse, ya sea directamente o a través de un servicio de terceros, como el TPS.

23. Seguridad de datos: seguridad de TI

La Compañía se asegurará de que se tomen las siguientes medidas con respecto a la seguridad informática y de la información:
23.1 Todas las contraseñas utilizadas para proteger los datos personales deben cambiarse regularmente y no deben usar palabras o frases que puedan adivinarse o comprometerse fácilmente. Todas las contraseñas deben contener una combinación de letras mayúsculas y minúsculas, números y símbolos;
23.2 Bajo ninguna circunstancia se deben escribir o compartir contraseñas entre empleados, agentes, contratistas u otras partes que trabajen en nombre de la Compañía, independientemente de su antigüedad o departamento. Si olvida una contraseña, debe restablecerla mediante el método correspondiente. El personal de TI no tiene acceso a contraseñas;
23.3 Todo el software (incluidas, entre otras, las aplicaciones y los sistemas operativos) se mantendrá actualizado. El personal de TI de la Compañía será responsable de instalar todas y cada una de las actualizaciones relacionadas con la seguridad tan pronto como sea razonable y prácticamente posible, a menos que existan razones técnicas válidas para no hacerlo;

24. Medidas organizativas

La Compañía se asegurará de que se tomen las siguientes medidas con respecto a la recopilación, retención y procesamiento de datos personales:
24.1 Todos los empleados, agentes, contratistas u otras partes que trabajen en nombre de la Compañía deberán ser plenamente conscientes tanto de sus responsabilidades individuales como de las responsabilidades de la Compañía según el RGPD y esta Política, y se les proporcionará una copia de esta Política;
24.2 Solo los empleados, agentes, subcontratistas u otras partes que trabajen en nombre de la Compañía que necesiten acceso y uso de datos personales para llevar a cabo correctamente sus funciones asignadas tendrán acceso a los datos personales en poder de la Compañía;
24.3 Todos los empleados, agentes, contratistas u otras partes que trabajen en nombre de la Compañía que manejen datos personales recibirán la capacitación adecuada para hacerlo;
24.4 Todos los empleados, agentes, contratistas u otras partes que trabajen en nombre de la Compañía que manejen datos personales serán supervisados ​​adecuadamente;
24.5 Se debe exigir y alentar a todos los empleados, agentes, contratistas u otras partes que trabajen en nombre de la Compañía que manejan datos personales a tener cuidado, precaución y discreción al discutir asuntos relacionados con el trabajo que se relacionan con datos personales, ya sea en el lugar de trabajo o de lo contrario;
24.6 Los métodos de recopilación, conservación y procesamiento de datos personales se evaluarán y revisarán periódicamente;
24.7 Todos los datos personales en poder de la Compañía se revisarán periódicamente, tal como se establece en la Política de retención de datos de la Compañía;
24.8 El desempeño de aquellos empleados, agentes, contratistas u otras partes que trabajen en nombre de la Compañía que manejan datos personales se evaluará y revisará periódicamente;
24.9 Todos los empleados, agentes, contratistas u otras partes que trabajen en nombre de la Compañía que manejen datos personales estarán obligados a hacerlo de acuerdo con los principios del GDPR y esta Política por contrato;
24.10 Todos los agentes, contratistas u otras partes que trabajen en nombre de la Compañía que manejen datos personales deben asegurarse de que todos y cada uno de sus empleados que estén involucrados en el procesamiento de datos personales estén sujetos a las mismas condiciones que los empleados relevantes de la Compañía que surjan. fuera de esta Política y el GDPR; y
24.11 Cuando cualquier agente, contratista u otra parte que trabaje en nombre de la Compañía que maneja datos personales no cumpla con sus obligaciones en virtud de esta Política, esa parte indemnizará y eximirá a la Compañía de cualquier costo, responsabilidad, daños, pérdidas, reclamaciones o procedimientos que puedan surgir. fuera de ese fracaso.

25. Transferencia de datos personales a un país fuera del EEE

25.1 La Compañía puede ocasionalmente transferir ('transferir' incluye poner a disposición de forma remota) datos personales a países fuera del EEE.
25.2 La transferencia de datos personales a un país fuera del EEE se llevará a cabo solo si se aplica uno o más de los siguientes:
25.2.1 La transferencia es a un país, territorio o uno o más sectores específicos en ese país (o una organización internacional), que la Comisión Europea ha determinado que garantiza un nivel adecuado de protección para los datos personales;
25.2.2 La transferencia se realiza a un país (u organización internacional) que proporciona las garantías adecuadas en forma de un acuerdo legalmente vinculante entre las autoridades u organismos públicos; reglas corporativas vinculantes; cláusulas estándar de protección de datos adoptadas por la Comisión Europea; cumplimiento de un código de conducta aprobado aprobado por una autoridad supervisora ​​(por ejemplo, la Oficina del Comisionado de Información); certificación bajo un mecanismo de certificación aprobado (según lo dispuesto en el GDPR); cláusulas contractuales acordadas y autorizadas por la autoridad supervisora ​​competente; o disposiciones insertadas en acuerdos administrativos entre autoridades públicas u organismos autorizados por la autoridad supervisora ​​competente;
25.2.3 La transferencia se realiza con el consentimiento informado de los interesados ​​relevantes;
25.2.4 La transferencia es necesaria para la ejecución de un contrato entre el interesado y la Compañía (o para los pasos precontractuales tomados a solicitud del interesado);
25.2.5 La transferencia es necesaria por razones importantes de interés público;
25.2.6 La transferencia es necesaria para la realización de reclamos legales;
25.2.7 La transferencia es necesaria para proteger los intereses vitales del sujeto de datos u otras personas donde el sujeto de datos es física o legalmente incapaz de dar su consentimiento; o
25.2.8 La transferencia se realiza desde un registro que, según las leyes del Reino Unido o de la UE, tiene la intención de proporcionar información al público y que está abierto para el acceso del público en general o de otra manera a aquellos que pueden mostrar un interés legítimo en accediendo al registro.

26. Notificación de violación de datos

26.1 Si se produce una violación de datos personales y es probable que dicha violación provoque un riesgo para los derechos y libertades de los interesados ​​(por ejemplo, pérdida financiera, violación de la confidencialidad, discriminación, daño a la reputación u otro daño social o económico significativo), la Compañía deberá asegurarse de que la Oficina del Comisionado de Información sea informada del incumplimiento sin demora y, en todo caso, dentro de las 72 horas posteriores a su conocimiento.
26.2 En el caso de que una violación de datos personales pueda resultar en un alto riesgo (es decir, un riesgo mayor que el descrito en la Parte 29.2) para los derechos y libertades de los interesados, la Compañía debe asegurarse de que todos los interesados ​​afectados sean informado del incumplimiento directamente y sin demoras indebidas.
26.3 Las notificaciones de violación de datos deben incluir la siguiente información:
26.3.1 Las categorías y el número aproximado de interesados ​​interesados;
26.3.2 Las categorías y el número aproximado de registros de datos personales en cuestión;
26.3.3 El nombre y los datos de contacto de un punto de contacto de la Compañía donde se puede obtener más información;
26.3.4 Las probables consecuencias de la violación;
26.3.5 Detalles de las medidas tomadas, o propuestas a tomar, por la Compañía para abordar el incumplimiento, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos.

27. Implementación de la política

Esta Política se considerará efectiva a partir del 1 de mayo de 2018. Ninguna parte de esta Política tendrá efecto retroactivo y, por lo tanto, se aplicará solo a los asuntos que ocurran en o después de esta fecha.