Déclaration RGPD

Introduction

Le Règlement Général sur la Protection des Données est entré en vigueur dans l'Union Européenne le 25 mai 2018 et a entraîné les modifications les plus importantes apportées à la législation sur la protection des données depuis deux décennies. Fondé sur la protection de la vie privée dès la conception et sur une approche fondée sur les risques, le GDPR a été conçu pour répondre aux exigences de l'ère numérique.

Le 21e siècle se caractérise par une utilisation plus large de la technologie, de nouvelles définitions de ce qui constitue des données à caractère personnel et une augmentation considérable du nombre de traitements transfrontaliers. Le nouveau règlement vise à standardiser les lois et le traitement des données relatives à la protection des données dans l’UE; accordant aux individus des droits plus solides et plus cohérents d’accéder à leurs informations personnelles et de les contrôler.

 

Notre Engagement

Dance Direct («nous» ou «notre») s’engagent à assurer la sécurité et la protection des informations personnelles que nous traitons et à fournir une approche conforme et cohérente de la protection des données. Nous avons toujours mis en place un programme de protection des données robuste et efficace, conforme à la législation en vigueur et aux principes de protection des données. Cependant, nous avons reconnu nos obligations en vertu du RGPD et du projet de Loi sur la Protection des Données du Royaume-Uni, et avons mis à jour et élargi notre programme pour remplir ces obligations.

Dance Direct se consacre à la protection des informations personnelles sous notre compétence et à la mise en place d'un régime de protection des données efficace, adapté aux objectifs et démontrant une compréhension et une appréciation du nouveau règlement. Notre préparation et nos objectifs de conformité du RGPD ont été résumés dans cette déclaration et comprennent l’élaboration et la mise en œuvre de nouveaux rôles, politiques, procédures, contrôles et mesures de protection des données visant à garantir une conformité maximale et continue.

 

Comment sommes-nous préparés pour le GDPR

Notre préparation inclut:

Audit des Informations - réalisation d'un audit des informations à l'échelle de l'entreprise pour identifier et évaluer les informations personnelles que nous possédons, d'où elles viennent, comment et pourquoi sont-elles traitées et si et à qui sont-elles divulguées.

Politique et Procédure - révision des politiques et procédures de protection des données afin de respecter les exigences et les normes du RGPD et de toute législation pertinente en matière de protection des données

Base Juridique du Traitement - nous avons examiné toutes les activités de traitement afin d'identifier la base juridique pour le traitement et nous nous sommes assurés que chaque base est appropriée pour l'activité à laquelle elle se rapporte. Le cas échéant, nous conservons également des archives de nos activités de traitement, garantissant le respect de nos obligations en vertu de l'article 30 du RGPD et de l'annexe 1 du projet de Loi sur la Protection des Données.

Avis/Politique de Confidentialité - nous avons révisé notre (nos) Avis de Confidentialité pour nous conformer au RGPD, en veillant à ce que toutes les personnes dont nous traitons les informations personnelles ont été informées de la raison pour laquelle nous en avons besoin, de la manière dont elles sont utilisées, de leurs droits, du destinataire à qui elles sont divulguées et des mesures de sauvegarde mises en place pour protéger leurs informations.

Obtention de Consentement - nous avons révisé nos dispositifs de consentement pour l'obtention des données personnelles, en veillant à ce que les personnes comprennent ce qu’ils fournissent, pourquoi et comment nous les utilisons, et en donnant des moyens clairs et définis de nous autoriser à traiter leurs informations. Nous avons mis au point des processus rigoureux d’enregistrement de consentement, garantissant la possibilité de prouver une adhésion affirmative, ainsi que des enregistrements de date et d’heure; de voir et d’accéder facilement à son consentement pour le retirer à tout moment.

Marketing Direct - nous avons révisé la formule et les processus de marketing direct, y compris des dispositifs de participation clairs pour les abonnements marketing; une explication claire et une méthode de désinscription fournissant des fonctionnalités de désabonnement sur tous les supports marketing ultérieurs.

Contrat de Traitement - lorsque nous utilisons des tiers pour traiter des informations personnelles en notre nom (par ex. paie, recrutement, hébergement, etc), nous avons rédigé des Contrats de Traitement conformes et des procédures strictes pour nous assurer qu'ils (ainsi que nous) répondent et respectent leurs/nos obligations du RGPD. Ces mesures comprennent les examens initiaux et en cours du service fourni, la nécessité de l’activité de traitement, les mesures techniques et organisationnelles en place et le respect du RGPD.

Évaluation de l'Impact sur la Protection des Données - lorsque nous traitons des informations personnelles considérées à haut risque, impliquant un traitement à grande échelle ou comprenant des données de catégories/condamnations pénales spéciales, nous avons développé des procédures rigoureuses et des modèles d'évaluation permettant de réaliser des évaluations d'impact conformes aux exigences de l'article 35 du RGPD. Nous avons mis en œuvre des processus de documentation qui enregistrent chaque évaluation, nous permettant d'évaluer le risque suscité par l'activité de traitement et de mettre en œuvre des mesures d'atténuation afin de réduire le risque suscité pour la ou les personnes concernées par les données.

Protection des Données - nous avons revu nos documents de politique et de procédure relatifs à la protection des données pour répondre aux normes et aux exigences du RGPD. Des mesures de responsabilité et de gestion sont mises en place pour nous assurer que nous comprenons et diffusons de manière adéquate nos obligations et nos responsabilités et en apportons la preuve; avec un accent particulier sur la protection de la vie privée dès la conception et les droits des individus.

Conservation et Effacement des Données - nous avons mis à jour notre politique et notre calendrier de conservation pour nous assurer de respecter les principes de «minimisation des données» et de «limitation de stockage» et de stocker, archiver et détruire les informations personnelles de manière conforme. Nous avons mis en place des procédures d’effacement afin de respecter la nouvelle obligation de «Droit à l’Effacement» et nous savons quand ce droit et les autres droits de la personne concernée s’appliquent; avec les exemptions, les délais de réponse et les responsabilités en matière de notification.

Violation de Données - nos procédures de violation garantissent que nous disposons de sauvegardes et de mesures pour identifier, évaluer, enquêter et rapporter toute violation de données à caractère personnel dans les meilleurs délais. Nos procédures sont rigoureuses et ont été diffusées à tous les employés, en les informant des lignes hiérarchiques et des étapes à suivre.

Transfert International des Données et Divulgation à des Tiers - là où Dance Direct stocke ou transfère des informations personnelles en dehors de l'UE, nous disposons de procédures et de mesures de sauvegarde rigoureuses pour sécuriser, chiffrer et maintenir l'intégrité des données. Nos procédures incluent un examen continu des pays avec suffisamment de décisions adéquates, ainsi que des dispositions pour des règles d'entreprise contraignantes; clauses standard de protection des données ou codes de conduite approuvés pour les pays n'en ayant pas. Nous effectuons des contrôles de vérification raisonnable auprès de tous les destinataires de données à caractère personnel afin d'évaluer et de vérifier qu'ils disposent des sauvegardes appropriées pour protéger les informations, garantir les droits applicables des personnes concernées et disposer de recours légaux effectifs pour les personnes concernées, le cas échéant.

Demande d'Accès de la Personne - nous avons révisé nos procédures afin de prendre en compte le nouveau délai de 30 jours pour fournir les informations demandées et pour rendre cette disposition gratuite. Nos nouvelles procédures expliquent en détail comment vérifier la personne concernée, les étapes à suivre pour traiter une demande d'accès, les dérogations applicables et une série de modèles de réponse permettant de garantir que les communications avec la personne concernée sont conformes, cohérentes et adéquates.

Catégorie de Données Spéciales - lorsque nous obtenons et traitons toute information de catégorie spéciale, nous le faisons en totale conformité avec les exigences de l'article 9 et disposons d'un cryptage et d'une protection de haut niveau pour toutes ces données. Les données de catégorie spéciale ne sont traitées que lorsque cela est nécessaire et uniquement lorsque nous avons d'abord identifié la base appropriée de l'article 9(2) ou la condition de l'annexe 1 du projet de Loi sur la Protection des Données. Lorsque nous nous fions au consentement pour le traitement, cela est explicite et est vérifié par une signature, le droit de modifier ou de supprimer le consentement étant clairement indiqué.

 

Droits des Données de la Personne

En plus des politiques et procédures mentionnées ci-dessus garantissant que les personnes peuvent faire respecter leurs droits en matière de protection des données, nous fournissons des informations faciles d’accès via un site Internet concernant le droit des personnes à accéder à toutes les informations personnelles fournies par International Dance Supplies et à demander des informations sur:

Quelles données personnelles nous détenons à leur sujet

Les finalités du traitement

Les catégories de données personnelles concernées

Les destinataires à qui les données personnelles ont été/seront divulguées

Combien de temps avons-nous l'intention de stocker vos données personnelles

Informations sur la source si nous n'avons pas collecté les données directement auprès d'eux, le cas échéant

Le droit de corriger ou compléter des données incomplètes ou inexactes à leur sujet et le processus pour effectuer cette demande

Le droit de demander l'effacement de données à caractère personnel (le cas échéant) ou de restreindre le traitement conformément aux lois sur la protection des données, ainsi que de s'opposer à toute commercialisation directe de notre part et d'être informé de toute prise de décision automatisée que nous utilisons

Le droit de porter plainte ou de demander un recours judiciaire et la personne à contacter dans de tels cas

 

Sécurité de l'Information et Mesure Technique et Organisationnelle

Dance Direct prend très au sérieux la confidentialité et la sécurité des personnes et de leurs informations personnelles et prend toutes les mesures et précautions raisonnables pour protéger et sécuriser les données personnelles que nous traitons. Nous avons mis en place des politiques et procédures de sécurité des informations rigoureuses pour protéger les informations personnelles contre tout accès, modification, divulgation ou destruction non autorisés, ainsi que plusieurs niveaux de mesures de sécurité.

 

Rôles et Employés du RGPD

Dance Direct a désigné Jan Chope en tant que notre Responsable de la Protection des Données et a chargé une équipe de protection des données de développer et de mettre en œuvre notre stratégie pour se conformer au nouveau règlement sur la protection des données. L’équipe est chargée de promouvoir la notoriété du RGPD dans l’ensemble de l’organisation, d’évaluer l’état de préparation du RGPD, de recenser les lacunes et de mettre en œuvre les nouvelles politiques, procédures et mesures.

Dance Direct comprend que la sensibilisation et la compréhension continue des employés sont essentielles à la conformité continue du RGPD et a impliqué nos employés dans nos plans de préparation. Nous avons mis en place un programme de formation des employés qui a été fourni à tous les employés avant le 25 mai 2018 et qui fait partie de notre programme de formation initiale et annuelle.

 

Si vous avez des questions sur notre préparation au RGPD, veuillez contacter notre Responsable de la Protection des Données, Jan Chope.

 

Jan Chope -  Responsable de la Protection des Données

Email: jan@ids.co.uk

Téléphone: +44 (0) 1626 882 206