1. Introduction
Cette politique énonce les obligations de Mike Lane Mods Limited (« la Société ») concernant la protection des données et les droits des clients (« personnes concernées ») à l'égard de leurs données personnelles en vertu du règlement de l'UE 2016/679 Règlement général sur la protection des données (« RGPD »).
Le RGPD définit les « données personnelles » comme toute information relative à une personne physique identifiée ou identifiable (une « personne concernée ») ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs facteurs propres à la condition physique, physiologique , génétique, mentale, économique, culturelle ou sociale de cette personne physique.
Cette politique définit les obligations de la Société concernant la collecte, le traitement, le transfert, le stockage et l'élimination des données personnelles. Les procédures et principes énoncés dans les présentes doivent être suivis à tout moment par la Société, ses employés, agents, sous-traitants ou autres parties travaillant pour le compte de la Société.
La Société s’engage non seulement dans les termes de la loi, mais aussi dans son esprit et accorde une grande importance au traitement correct, licite et équitable de toutes les données à caractère personnel, dans le respect des droits, de la vie privée et de la confiance de tous. les individus avec qui il traite.
2. Les principes de protection des données
Cette politique vise à assurer la conformité avec le GDPR. Le GDPR énonce les principes suivants auxquels toute partie manipulant des données à caractère personnel doit se conformer. Toutes les données personnelles doivent être:
2.1 Traités de manière licite, équitable et transparente vis-à-vis de la personne concernée.
2.2 Collectées pour des finalités déterminées, explicites et légitimes et non traitées ultérieurement d'une manière incompatible avec ces finalités. Les traitements ultérieurs à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ne seront pas considérés comme incompatibles avec les finalités initiales.
2.3 Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
2.4 Précis et, si nécessaire, mis à jour. Toutes les mesures raisonnables doivent être prises pour garantir que les données personnelles inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai.
2.5 Conservé sous une forme permettant l'identification des personnes concernées pour une durée n'excédant pas celle nécessaire aux fins pour lesquelles les données à caractère personnel sont traitées. Les données personnelles peuvent être stockées pendant de plus longues périodes dans la mesure où les données personnelles seront traitées uniquement à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sous réserve de la mise en œuvre des mesures techniques et organisationnelles appropriées requises par le RGPD dans afin de sauvegarder les droits et libertés de la personne concernée.
2.6 Traités de manière à garantir une sécurité appropriée des données personnelles, y compris une protection contre les traitements non autorisés ou illégaux et contre la perte, la destruction ou les dommages accidentels, en utilisant des mesures techniques ou organisationnelles appropriées.
3. Les droits des personnes concernées
Le GDPR énonce les droits suivants applicables aux personnes concernées (veuillez vous reporter aux parties de cette politique indiquées pour plus de détails):
3.1 Le droit d'être informé (partie 12).
3.2 Le droit d'accès (partie 13);
3.3 Le droit de rectification (partie 14);
3.4 Le droit à l'effacement (également appelé «droit à l'oubli») (partie 15);
3.5 Le droit de restreindre le traitement (partie 16);
3.6 Le droit à la portabilité des données (partie 17);
3.7 Le droit d'opposition (partie 18); et
3.8 Droits concernant la prise de décision automatisée et le profilage (parties 19 et 20).
4. Traitement des données légal, équitable et transparent
4.1 Le RGPD vise à garantir que les données personnelles sont traitées de manière licite, loyale et transparente, sans nuire aux droits de la personne concernée. Le RGPD stipule que le traitement des données personnelles est licite si au moins l'une des conditions suivantes s'applique:
4.1.1 La personne concernée a donné son consentement au traitement de ses données personnelles à une ou plusieurs fins spécifiques;
4.1.2 Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie, ou afin de prendre des mesures à la demande de la personne concernée avant de conclure un contrat avec elle;
4.1.3 Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
4.1.4 Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique;
4.1.5 Le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt public ou dans l'exercice de l'autorité publique dévolue au responsable du traitement; ou
4.1.6 Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque ces intérêts sont supplantés par les droits et libertés fondamentaux de la personne concernée qui nécessitent la protection des données personnelles, en particulier lorsque la personne concernée est un enfant.
5. Fins spécifiées, explicites et légitimes
5.1 La Société collecte et traite les données personnelles définies dans la partie 22 de la présente politique. Ceci comprend:
5.1.1 Données personnelles collectées directement auprès des personnes concernées ; et
5.1.2 Données personnelles obtenues de tiers.
5.2 La Société collecte, traite et détient uniquement des données personnelles aux fins spécifiques énoncées dans la partie 22 de la présente politique (ou à d'autres fins expressément autorisées par le RGPD).
5.3 Les personnes concernées sont tenues informées à tout moment de la ou des finalités pour lesquelles la Société utilise leurs données personnelles. Veuillez vous référer à la partie 12 pour plus d'informations sur la tenue des personnes concernées informées.
6. Traitement des données adéquat, pertinent et limité
La Société ne collectera et ne traitera les données personnelles que pour et dans la mesure nécessaire à la ou aux finalités spécifiques dont les personnes concernées ont été informées (ou seront informées) conformément à la partie 5 ci-dessus et à la partie 21 ci-dessous. .
7. Exactitude des données et mise à jour des données
7.1 La Société veillera à ce que toutes les données personnelles collectées, traitées et détenues par elle soient maintenues exactes et à jour. Cela comprend, mais sans s'y limiter, la rectification des données personnelles à la demande d'une personne concernée, comme indiqué dans la partie 14 ci-dessous.
7.2 L'exactitude des données personnelles sera vérifiée lors de leur collecte et à intervalles réguliers par la suite. Si des données personnelles s'avèrent inexactes ou obsolètes, toutes les mesures raisonnables seront prises sans délai pour modifier ou effacer ces données, le cas échéant.
8. La conservation des données
8.1 La Société ne conservera pas les données personnelles plus longtemps que nécessaire compte tenu de la ou des finalités pour lesquelles ces données personnelles ont été initialement collectées, détenues et traitées.
8.2 Lorsque les données personnelles ne sont plus nécessaires, toutes les mesures raisonnables seront prises pour les effacer ou les éliminer autrement sans délai.
8.3 Pour plus de détails sur l'approche de la Société en matière de conservation des données, y compris les périodes de conservation pour des types de données personnelles spécifiques détenus par la Société, veuillez vous référer à notre Politique de conservation des données.
9. Traitement sécurisé
La Société doit s'assurer que toutes les données personnelles collectées, détenues et traitées sont conservées en sécurité et protégées contre tout traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels. De plus amples détails sur les mesures techniques et organisationnelles qui doivent être prises sont fournis dans les parties 22 à 27 de la présente politique.
10. Responsabilité et tenue de registres
10.1 La Société sera chargée de superviser la mise en œuvre de la présente Politique et de surveiller la conformité à la présente Politique, aux autres politiques de la Société relatives à la protection des données, ainsi qu'au RGPD et aux autres législations applicables en matière de protection des données.
10.2 La Société conservera des enregistrements internes écrits de toutes les collectes, détentions et traitements de données personnelles, qui comprendront les informations suivantes:
10.2.1 Le nom et les coordonnées de la Société et de tout processeur de données tiers applicable ;
10.2.2 Les finalités pour lesquelles la Société collecte, détient et traite des données personnelles;
10.2.3 Détails sur les catégories de données personnelles collectées, détenues et traitées par la Société, et les catégories de données auxquelles se rapportent ces données personnelles;
10.2.4 Détails de tout transfert de données personnelles vers des pays non membres de l'EEE, y compris tous les mécanismes et garanties de sécurité ;
10.2.5 Détails sur la durée de conservation des données personnelles par la société (veuillez vous référer à la politique de conservation des données de la société); et
10.2.6 Descriptions détaillées de toutes les mesures techniques et organisationnelles prises par la Société pour assurer la sécurité des données personnelles.
11. Évaluations d'impact sur la protection des données
11.1 La Société effectuera des évaluations d'impact sur la protection des données pour toute nouvelle utilisation de données personnelles impliquant l'utilisation de nouvelles technologies et le traitement impliqué est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes concernées en vertu du RGPD.
11.2 Les analyses d'impact sur la protection des données doivent traiter des éléments suivants :
11.2.1 Le (s) type (s) de données personnelles qui seront collectées, détenues et traitées;
11.2.2 La ou les finalités pour lesquelles les données personnelles doivent être utilisées;
11.2.3 Les objectifs de la Société;
11.2.4 Comment les données personnelles doivent être utilisées;
11.2.5 Les parties (internes et / ou externes) à consulter;
11.2.6 La nécessité et la proportionnalité du traitement des données par rapport aux finalités pour lesquelles elles sont traitées;
11.2.7 Risques posés aux personnes concernées;
11.2.8 Risques posés à la fois au sein et pour la Société; et
11.2.9 Mesures proposées pour minimiser et gérer les risques identifiés.
12. Tenir les personnes concernées informées
12.1 La Société doit fournir les informations énoncées dans la partie 12.2 à chaque personne concernée :
12.1.1 Lorsque des données personnelles sont collectées directement auprès des personnes concernées, ces personnes concernées seront informées de leur finalité au moment de la collecte; et
12.1.2 Lorsque des données personnelles sont obtenues auprès d'un tiers, les personnes concernées seront informées de leur finalité :
a) si les données personnelles sont utilisées pour communiquer avec la personne concernée, lors de la première communication; ou
b) si les données personnelles doivent être transférées à une autre partie, avant que ce transfert ne soit effectué; ou
c) dès que raisonnablement possible et en tout état de cause pas plus d'un mois après l'obtention des données personnelles.
12.2 Les informations suivantes doivent être fournies:
12.2.1 Détails de la Société ;
12.2.2 La ou les finalités pour lesquelles les données personnelles sont collectées et seront traitées (comme détaillé dans la partie 21 de la présente politique) et la base juridique justifiant cette collecte et ce traitement;
12.2.3 Le cas échéant, les intérêts légitimes sur lesquels la Société justifie sa collecte et son traitement des données personnelles;
12.2.4 Lorsque les données personnelles ne sont pas obtenues directement de la personne concernée, les catégories de données personnelles collectées et traitées;
12.2.5 Lorsque les données personnelles doivent être transférées à un ou plusieurs tiers, les coordonnées de ces parties ;
12.2.6 Lorsque les données personnelles doivent être transférées à un tiers situé en dehors de l'Espace économique européen (l'« EEE »), les détails de ce transfert, y compris, mais sans s'y limiter, les garanties en place (voir la partie 28 de cette politique pour plus de détails);
12.2.7 Détails sur la conservation des données;
12.2.8 Détails des droits de la personne concernée en vertu du RGPD;
12.2.9 Détails sur le droit de la personne concernée de retirer son consentement au traitement de ses données personnelles par la Société à tout moment;
12.2.10 Détails sur le droit de la personne concernée de déposer une plainte auprès du bureau du commissaire à l'information (l '«autorité de contrôle» en vertu du RGPD);
12.2.11 Le cas échéant, les détails de toute exigence ou obligation légale ou contractuelle nécessitant la collecte et le traitement des données personnelles et les détails des conséquences de leur omission de les fournir; et
12.2.12 Détails de toute prise de décision ou profilage automatisé qui aura lieu à l'aide des données personnelles, y compris des informations sur la façon dont les décisions seront prises, l'importance de ces décisions et leurs conséquences.
13. Accès des personnes concernées
13.1 Les personnes concernées peuvent à tout moment faire des demandes d'accès aux sujets («SAR») pour en savoir plus sur les données personnelles que la Société détient à leur sujet, ce qu'elle fait avec ces données personnelles et pourquoi.
13.2 Les personnes concernées souhaitant faire une demande d'accès au sujet peuvent le faire par écrit par e-mail à admin@mikelanemods.com.
13.3 Les réponses aux SAR doivent normalement être faites dans un délai d'un mois à compter de la réception, mais cela peut être prolongé jusqu'à deux mois si le SAR est complexe et / ou si de nombreuses demandes sont faites. Si ce délai supplémentaire est nécessaire, la personne concernée est informée.
13.4 La Société ne facture pas de frais pour le traitement des DAS normaux. La Société se réserve le droit de facturer des frais raisonnables pour les copies supplémentaires des informations qui ont déjà été fournies à une personne concernée et pour les demandes manifestement infondées ou excessives, en particulier lorsque ces demandes sont répétitives.
14. Rectification des données personnelles
14.1 Les personnes concernées ont le droit d'exiger de la Société qu'elles rectifient toute donnée personnelle inexacte ou incomplète.
14.2 La Société rectifie les données personnelles en question et informe la personne concernée de cette rectification dans un délai d'un mois à compter de la date à laquelle la personne concernée a informé la Société du problème. Le délai peut être prolongé jusqu'à deux mois en cas de demandes complexes. Si ce délai supplémentaire est nécessaire, la personne concernée est informée.
14.3 Dans le cas où des données personnelles affectées auraient été divulguées à des tiers, ces parties seront informées de toute rectification à apporter à ces données personnelles.
15. Effacement des données personnelles
15.1 Les personnes concernées ont le droit de demander à la Société d'effacer les données personnelles qu'elle détient à leur sujet dans les circonstances suivantes:
15.1.1 Il n'est plus nécessaire que la Société détienne ces données personnelles au regard des finalités pour lesquelles elles ont été initialement collectées ou traitées;
15.1.2 La personne concernée souhaite retirer son consentement à ce que la Société détienne et traite ses données personnelles;
15.1.3 La personne concernée s'oppose à ce que la Société détienne et traite ses données personnelles (et il n'y a aucun intérêt légitime impérieux à permettre à la Société de continuer à le faire) (voir la partie 18 de la présente Politique pour plus de détails concernant le droit d'opposition);
15.1.4 Les données personnelles ont été traitées illégalement ;
15.1.5 Les données personnelles doivent être effacées afin que la Société se conforme à une obligation légale particulière.
15.2 Sauf si la Société a des motifs raisonnables de refuser d'effacer les données personnelles, toutes les demandes d'effacement doivent être satisfaites et la personne concernée informée de l'effacement, dans un délai d'un mois à compter de la réception de la demande de la personne concernée. Le délai peut être prolongé jusqu'à deux mois en cas de demandes complexes. Si ce délai supplémentaire est nécessaire, la personne concernée est informée.
15.3 Dans le cas où des données personnelles devant être effacées en réponse à la demande d'une personne concernée ont été divulguées à des tiers, ces parties seront informées de l'effacement (sauf si cela est impossible ou nécessiterait un effort disproportionné pour le faire).
16. Restriction du traitement des données personnelles
16.1 Les personnes concernées peuvent demander que la Société cesse de traiter les données personnelles qu'elle détient à leur sujet. Si une personne concernée fait une telle demande, la Société ne conservera que la quantité de données personnelles la concernant (le cas échéant) qui est nécessaire pour garantir que les données personnelles en question ne soient pas traitées plus avant.
16.2 Dans le cas où des données personnelles affectées ont été divulguées à des tiers, ces parties seront informées des restrictions applicables à leur traitement (sauf si cela est impossible ou nécessiterait un effort disproportionné pour le faire).
17. Objections au traitement des données personnelles
17.1 Les personnes concernées ont le droit de s'opposer au traitement de leurs données personnelles par la Société sur la base d'intérêts légitimes, de marketing direct (y compris le profilage).
17.2 Lorsqu'une personne concernée s'oppose à ce que la Société traite ses données personnelles sur la base de ses intérêts légitimes, la Société doit cesser immédiatement ce traitement, sauf s'il peut être démontré que les motifs légitimes de la Société pour un tel traitement l'emportent sur les intérêts, droits et libertés de la personne concernée. , ou que le traitement est nécessaire à la conduite des actions en justice.
17.3 Lorsqu'une personne concernée s'oppose à ce que la Société traite ses données personnelles à des fins de marketing direct, la Société doit cesser immédiatement ce traitement.
18. Données personnelles collectées, conservées et traitées
Les données personnelles suivantes sont collectées, conservées et traitées par la société (pour plus de détails sur la conservation des données, veuillez vous reporter à la politique de conservation des données de la société):
Type de données : Coordonnées du client via le formulaire de demande du site Web - Nom, adresse e-mail et message
Objectif des données : sert de méthode de contact pour les clients ainsi que de méthode de collecte des demandes de renseignements sur les ventes via le site Web de la société
Type de données : Détails du client via la boutique du site Web - Nom, nom de l'entreprise (facultatif), adresse de livraison, adresse de facturation, numéro de téléphone (facultatif), adresse e-mail
Finalité des données : essentielles pour le traitement, l'expédition, la gestion et la prise en charge des commandes existantes et futures, la communication avec les clients, les finances et la facturation
Type de données : Détails du client via un message direct - Nom, adresse, adresse e-mail
Finalité des données : essentielles pour le traitement, l'expédition, la gestion et la prise en charge des commandes existantes et futures, la communication avec les clients, les finances et la facturation
19. Sécurité des données - Transfert de données personnelles et de communications
La Société veille à ce que les mesures suivantes soient prises pour toutes les communications et autres transferts impliquant des données à caractère personnel:
19.1 Tous les e-mails contenant des données personnelles doivent être cryptés;
19.2 Tous les e-mails contenant des données personnelles doivent porter la mention « confidentiel » ;
19.3 Les données personnelles ne peuvent être transmises que sur des réseaux sécurisés ; la transmission sur des réseaux non sécurisés n'est en aucun cas autorisée ;
19.4 Les données personnelles ne peuvent pas être transmises sur un réseau sans fil s'il existe une alternative filaire raisonnablement possible;
19.5 Les données personnelles contenues dans le corps d'un e-mail, qu'elles soient envoyées ou reçues, doivent être copiées à partir du corps de cet e-mail et stockées en toute sécurité. L'e-mail lui-même doit être supprimé. Tous les fichiers temporaires qui y sont associés doivent également être supprimés ;
20. Sécurité des données - Stockage
La société veille à ce que les mesures suivantes soient prises en ce qui concerne le stockage de données à caractère personnel:
20.1 Toutes les copies électroniques de données personnelles doivent être stockées en toute sécurité à l'aide de mots de passe et d'un cryptage AES (Advanced Encryption Standard) 256 bits ;
20.2 Toutes les copies papier des données personnelles, ainsi que toutes les copies électroniques stockées sur des supports physiques amovibles doivent être stockées en toute sécurité dans une boîte, un tiroir, une armoire verrouillée ou similaire;
20.3 Toutes les données personnelles stockées électroniquement doivent être sauvegardées à intervalles réguliers avec des sauvegardes stockées sur site et hors site. Toutes les sauvegardes doivent être cryptées à l'aide du cryptage Advanced Encryption Standard (AES) 256 bits. La récupération des données doit être possible à distance en cas de catastrophe locale ou d'autre perturbation des procédures d'accès normales ;
20.4 Aucune donnée personnelle ne doit être stockée sur un appareil mobile (y compris, mais sans s'y limiter, les ordinateurs portables, les tablettes et les smartphones), que cet appareil appartienne à la Société ou non ; et
20.5 Aucune donnée personnelle ne doit être transférée sur un appareil appartenant personnellement à un employé et les données personnelles ne peuvent être transférées que sur des appareils appartenant à des agents, sous-traitants ou autres parties travaillant pour le compte de la Société lorsque la partie en question a accepté de se conformer pleinement aux la lettre et l'esprit de la présente Politique et du RGPD (ce qui peut inclure la démonstration à la Société que toutes les mesures techniques et organisationnelles appropriées ont été prises).
20.6 Lors de la mise au rebut d'anciens ordinateurs ou d'autres équipements contenant des données personnelles, des mesures approfondies doivent être prises pour supprimer complètement les données. Cela devrait inclure la suppression de toutes les données de l'appareil, l'exécution d'une réinitialisation d'usine, ainsi que la destruction physique et l'élimination sécurisée des disques durs, le cas échéant.
21. Sécurité des données - Élimination
Lorsque des données personnelles doivent être effacées ou éliminées pour quelque raison que ce soit (y compris lorsque des copies ont été faites et ne sont plus nécessaires), elles doivent être supprimées et éliminées en toute sécurité. Les données personnelles stockées sous forme papier doivent être déchiquetées et recyclées ou éliminées. Pour plus d'informations sur la suppression et l'élimination des données personnelles, veuillez vous référer à la politique de conservation des données de la société.
22. Sécurité des données - Utilisation des données personnelles
La société veille à ce que les mesures suivantes soient prises en ce qui concerne l'utilisation de données à caractère personnel:
22.1 Aucune donnée personnelle ne peut être partagée de manière informelle et si un employé, un agent, un sous-traitant ou une autre partie travaillant pour le compte de la Société a besoin d'accéder à des données personnelles auxquelles il n'a pas encore accès, cet accès doit être formellement demandé à l'entreprise;
22.2 Aucune donnée personnelle ne peut être transférée à des employés, agents, sous-traitants ou autres parties, que ces parties travaillent ou non pour le compte de la Société, sans l'autorisation de la Société ;
22.3 Les données personnelles doivent être traitées avec soin à tout moment et ne doivent pas être laissées sans surveillance ou à la vue d'employés, d'agents, de sous-traitants ou d'autres parties non autorisés à tout moment ;
22.4 Si des données personnelles sont visualisées sur un écran d'ordinateur et que l'ordinateur en question doit être laissé sans surveillance pendant un certain temps, l'utilisateur doit verrouiller l'ordinateur et l'écran avant de le quitter ; et
22.5 Lorsque des données personnelles détenues par la Société sont utilisées à des fins de marketing, il incombe à la Société de s'assurer que le consentement approprié est obtenu et qu'aucune personne concernée ne s'est désabonnée, que ce soit directement ou via un service tiers tel que le TPS.
23. Sécurité des données - Sécurité informatique
La Société veille à ce que les mesures suivantes soient prises en matière de sécurité informatique et de l'information :
23.1 Tous les mots de passe utilisés pour protéger les données personnelles doivent être modifiés régulièrement et ne doivent pas utiliser de mots ou de phrases qui peuvent être facilement devinés ou autrement compromis. Tous les mots de passe doivent contenir une combinaison de lettres majuscules et minuscules, de chiffres et de symboles;
23.2 En aucun cas, les mots de passe ne doivent être écrits ou partagés entre des employés, agents, sous-traitants ou autres parties travaillant pour le compte de la Société, indépendamment de l'ancienneté ou du service. Si un mot de passe est oublié, il doit être réinitialisé en utilisant la méthode applicable. Le personnel informatique n'a pas accès aux mots de passe ;
23.3 Tous les logiciels (y compris, mais sans s'y limiter, les applications et les systèmes d'exploitation) doivent être tenus à jour. Le personnel informatique de la Société sera responsable de l'installation de toutes les mises à jour liées à la sécurité dès que cela est raisonnablement et pratiquement possible, à moins qu'il n'y ait des raisons techniques valables de ne pas le faire ;
24. Mesures organisationnelles
La Société veille à ce que les mesures suivantes soient prises en ce qui concerne la collecte, la conservation et le traitement des données à caractère personnel:
24.1 Tous les employés, agents, sous-traitants ou autres parties travaillant pour le compte de la Société doivent être pleinement informés à la fois de leurs responsabilités individuelles et des responsabilités de la Société en vertu du RGPD et de la présente Politique, et doivent recevoir une copie de cette Politique ;
24.2 Seuls les employés, agents, sous-traitants ou autres parties travaillant pour le compte de la Société qui ont besoin d'accéder aux données personnelles et de les utiliser afin de s'acquitter correctement des tâches qui leur sont confiées auront accès aux données personnelles détenues par la Société ;
24.3 Tous les employés, agents, sous-traitants ou autres parties travaillant pour le compte de la Société et traitant des données personnelles seront formés de manière appropriée pour le faire ;
24.4 Tous les employés, agents, sous-traitants ou autres parties travaillant pour le compte de la Société et traitant des données personnelles seront supervisés de manière appropriée ;
24.5 Tous les employés, agents, sous-traitants ou autres parties travaillant pour le compte de la Société qui traitent des données personnelles seront tenus et encouragés à faire preuve de prudence, de prudence et de discrétion lors de la discussion de questions liées au travail liées aux données personnelles, que ce soit sur le lieu de travail ou autrement;
24.6 Les méthodes de collecte, de conservation et de traitement des données personnelles doivent être régulièrement évaluées et revues ;
24.7 Toutes les données personnelles détenues par la Société seront examinées périodiquement, comme indiqué dans la Politique de conservation des données de la Société;
24.8 La performance de ces employés, agents, sous-traitants ou autres parties travaillant pour le compte de la Société traitant des données personnelles doit être régulièrement évaluée et revue ;
24.9 Tous les employés, agents, sous-traitants ou autres parties travaillant pour le compte de la Société et traitant des données personnelles seront tenus de le faire conformément aux principes du RGPD et de la présente Politique par contrat ;
24.10 Tous les agents, sous-traitants ou autres parties travaillant pour le compte de la Société qui traitent des données personnelles doivent s'assurer que tous leurs employés impliqués dans le traitement des données personnelles sont soumis aux mêmes conditions que les employés concernés de la Société résultant en dehors de cette politique et du RGPD ; et
24.11 Lorsqu'un agent, un entrepreneur ou une autre partie travaillant pour le compte de la Société et traitant des données personnelles manque à ses obligations en vertu de la présente Politique, cette partie indemnisera et dégagera la Société de tous frais, responsabilité, dommages, pertes, réclamations ou procédures pouvant survenir. de cet échec.
25. Transfert de données personnelles vers un pays en dehors de l'EEE
25.1 La Société peut de temps à autre transférer («transfert» comprend la mise à disposition à distance) des données personnelles vers des pays en dehors de l'EEE.
25.2 Le transfert de données personnelles vers un pays en dehors de l'EEE n'a lieu que si un ou plusieurs des éléments suivants s'appliquent:
25.2.1 Le transfert s'effectue vers un pays, un territoire ou un ou plusieurs secteurs spécifiques de ce pays (ou une organisation internationale) qui, selon la Commission européenne, garantit un niveau adéquat de protection des données personnelles;
25.2.2 Le transfert s'effectue vers un pays (ou une organisation internationale) qui offre des garanties appropriées sous la forme d'un accord juridiquement contraignant entre autorités ou organismes publics; règles d'entreprise contraignantes; clauses types de protection des données adoptées par la Commission européenne; le respect d'un code de conduite approuvé approuvé par une autorité de contrôle (par exemple le bureau du commissaire à l'information); certification dans le cadre d'un mécanisme de certification approuvé (tel que prévu dans le RGPD); clauses contractuelles convenues et autorisées par l'autorité de contrôle compétente; ou des dispositions insérées dans les arrangements administratifs entre autorités publiques ou organismes autorisés par l'autorité de contrôle compétente;
25.2.3 Le transfert est effectué avec le consentement éclairé de la ou des personnes concernées;
25.2.4 Le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et la Société (ou pour les démarches précontractuelles prises à la demande de la personne concernée);
25.2.5 Le transfert est nécessaire pour d'importantes raisons d'intérêt public;
25.2.6 Le transfert est nécessaire à la conduite des actions en justice;
25.2.7 Le transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'autres personnes lorsque la personne concernée est physiquement ou juridiquement incapable de donner son consentement; ou
25.2.8 Le transfert est effectué à partir d'un registre qui, en vertu du droit britannique ou de l'UE, est destiné à fournir des informations au public et qui est ouvert à l'accès du public en général ou autrement à ceux qui sont en mesure de démontrer un intérêt légitime pour accéder au registre.
26. Notification de violation de données
26.1 Si une violation de données personnelles se produit et que cette violation est susceptible d'entraîner un risque pour les droits et libertés des personnes concernées (par exemple, perte financière, violation de la confidentialité, discrimination, atteinte à la réputation ou autre dommage social ou économique important), la Société doit veiller à ce que le Commissariat à l'information soit informé de la violation sans délai, et en tout état de cause, dans les 72 heures après en avoir pris connaissance.
26.2 Dans le cas où une violation de données personnelles est susceptible d'entraîner un risque élevé (c'est-à-dire un risque plus élevé que celui décrit dans la partie 29.2) pour les droits et libertés des personnes concernées, la Société doit s'assurer que toutes les personnes concernées sont informés de la violation directement et sans retard injustifié.
26.3 Les notifications de violation de données doivent inclure les informations suivantes:
26.3.1 Les catégories et le nombre approximatif de personnes concernées concernées;
26.3.2 Les catégories et le nombre approximatif d'enregistrements de données personnelles concernés;
26.3.3 Le nom et les coordonnées d'un point de contact de la Société où plus d'informations peuvent être obtenues ;
26.3.4 Les conséquences probables de la violation;
26.3.5 Détails des mesures prises ou proposées par la Société pour remédier à la violation, y compris, le cas échéant, des mesures pour atténuer ses éventuels effets négatifs.
27. Mise en œuvre de la politique
Cette politique sera réputée effective à compter du 1er mai 2018. Aucune partie de cette politique n'aura d'effet rétroactif et ne s'appliquera donc qu'aux affaires survenant à cette date ou après cette date.
