Introduction
Introduction
1.1 Contexte du règlement général sur la protection des données («RGPD»)
Le règlement général sur la protection des données 2016 remplace la directive européenne sur la protection des données de 1995 et remplace les lois des États membres individuels qui ont été élaborées conformément à la directive sur la protection des données 95/46 / CE. Son objectif est de protéger les «droits et libertés» des personnes physiques (c'est-à-dire les personnes vivantes) et de garantir que les données à caractère personnel ne sont pas traitées à leur insu et, dans la mesure du possible, qu'elles soient traitées avec leur consentement.
1.2 Définitions utilisées par l'organisation (tirées du RGPD)
Champ d'application matériel (article 2) – le RGPD s'applique au traitement des données personnelles en tout ou en partie par des moyens automatisés (c'est-à-dire par ordinateur) et au traitement autrement que par des moyens automatisés de données personnelles (c'est-à-dire des enregistrements papier) qui font partie d'un système de classement ou sont destinés à en faire partie d'un système de classement.
Champ d'application territorial (article 3) – le RGPD s'appliquera à tous les responsables du traitement établis dans l'UE (Union européenne) qui traitent les données personnelles des personnes concernées, dans le cadre de cet établissement. Elle s'appliquera également aux responsables du traitement en dehors de l'UE qui traitent des données à caractère personnel afin d'offrir des biens et des services, ou surveillent le comportement des personnes concernées qui résident dans l'UE. .
1.3 Article 4 définitions
Etablissement – le principal établissement du responsable du traitement dans l'UE sera le lieu où le responsable du traitement prendra les principales décisions concernant la finalité et les moyens de ses activités de traitement des données. Le principal établissement d'un transformateur dans l'UE sera son centre administratif. Si un responsable du traitement est basé en dehors de l'UE, il devra désigner un représentant dans la juridiction dans laquelle le responsable du traitement opère pour agir au nom du responsable du traitement et traiter avec les autorités de contrôle. .
Donnée personnelle – toute information relative à une personne physique identifiée ou identifiable («personne concernée»); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques au physique, physiologique, l'identité génétique, mentale, économique, culturelle ou sociale de cette personne physique.
Catégories spécifiques de données personnelles – les données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, ou l'appartenance à un syndicat, et le traitement de données génétiques, de données biométriques dans le but d'identifier de manière unique une personne physique, des données relatives à la santé ou des données concernant une personne physique vie sexuelle ou orientation sexuelle .
Responsable du traitement - la personne physique ou morale, l'autorité publique, l'organisme ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données personnelles; lorsque les finalités et les moyens d'un tel traitement sont déterminés par le droit de l'Union ou d'un État membre, le responsable du traitement ou les critères spécifiques pour sa nomination peuvent être prévus par le droit de l'Union ou des États membres.
Personne concernée - toute personne vivante faisant l'objet de données personnelles détenues par une organisation.
Traitement - toute opération ou ensemble d'opérations qui est effectué sur des données personnelles ou sur des ensembles de données personnelles, que ce soit par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, adaptation ou modification, récupération, consultation, utilisation, divulgation par transmission, diffusion ou mise à disposition d'une autre manière, alignement ou combinaison, restriction, effacement ou destruction.
Profilage - désigne toute forme de traitement automatisé de données personnelles destiné à évaluer certains aspects personnels relatifs à une personne physique, ou à analyser ou prédire les performances de cette personne au travail , situation économique, emplacement, santé, préférences personnelles, fiabilité ou comportement. Cette définition est liée au droit de la personne concernée de s'opposer au profilage et au droit d'être informée de l'existence du profilage, des mesures fondées sur le profilage et des effets envisagés du profilage sur l'individu.
Violation des données personnelles - une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès aux données personnelles transmises accidentellement ou illégalement , stockés ou autrement traités. Il existe une obligation pour le responsable du traitement de signaler les violations de données personnelles à l'autorité de contrôle et lorsque la violation est susceptible de porter atteinte aux données personnelles ou à la vie privée de la personne concernée.
Consentement de la personne concernée - désigne toute indication librement donnée, spécifique, éclairée et sans ambiguïté des souhaits de la personne concernée par laquelle elle ou elle, par une déclaration ou par un action positive, signifie acceptation du traitement des données personnelles.
Enfant - le RGPD définit un enfant comme toute personne âgée de moins de 16 ans, bien que ce nombre puisse être abaissé à 13 par la législation des États membres. Le traitement des données personnelles d'un enfant n'est licite que si le consentement des parents ou du tuteur a été obtenu. Le responsable du traitement fera des efforts raisonnables pour vérifier dans de tels cas que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale sur l'enfant.
Tiers - une personne physique ou morale, une autorité publique, une agence ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées pour traiter les données personnelles.
Système de dépôt - tout ensemble structuré de données personnelles qui sont accessibles selon des critères spécifiques, qu'ils soient centralisés, décentralisés ou dispersés sur une base fonctionnelle ou géographique.
2. Énoncé de politique
2.1 Le conseil d'administration et la direction de Le Col Ltd, situé au 24-40 Goodwin Road, Londres W12 9JW, Royaume-Uni s'engagent à respecter toutes les lois pertinentes de l'UE et des États membres en matière de données personnelles et de protection des «droits et libertés» des personnes dont le Col Ltd collecte et traite les informations conformément au règlement général sur la protection des données (RGPD).
2.2 La conformité avec le GDPR est décrite par cette politique et d'autres politiques pertinentes telles que la politique de sécurité de l'information (GDPR DOC 5.2), ainsi que par les processus et procédures connectés.
2.3 Le RGPD et cette politique s'appliquent à toutes les fonctions de traitement des données personnelles de Le Col Ltd, y compris celles effectuées sur les données personnelles des clients, clients, employés, fournisseurs et partenaires, et à toutes les autres données personnelles traitées par l'organisation. n'importe quelle source.
2.4 Le Col Ltd a établi des objectifs en matière de protection des données et de confidentialité, qui figurent dans le registre des objectifs PIMS et GDPR (RGPD REC 4.11).
2.5 Le délégué à la protection des données / propriétaire du RGPD est responsable de la révision du registre de traitement chaque année à la lumière de tout changement dans les activités de Le Col Ltd (tel que déterminé par les modifications du registre d'inventaire des données et de la revue de direction) et de toute exigence supplémentaire. identifiés au moyen d'analyses d'impact sur la protection des données. Ce registre doit être disponible à la demande de l'autorité de contrôle.
2.6 Cette politique s'applique à tous les employés et parties associées de Le Col Ltd, telles que les fournisseurs externalisés. Toute violation du RGPD ou de ce PIMS sera traitée dans le cadre de la politique disciplinaire de Le Col Ltd et peut également constituer une infraction pénale, auquel cas l'affaire sera signalée dès que possible aux autorités compétentes.
2.7 Les partenaires et tout tiers travaillant avec ou pour Le Col Ltd, et qui ont ou peuvent avoir accès aux données personnelles, devront avoir lu, compris et se conformer à cette politique. Aucun tiers ne peut accéder aux données personnelles détenues par Le Col Ltd sans avoir au préalable conclu un accord de confidentialité des données ( GDPR DCA 4.12 ), qui impose aux tiers des obligations non moins onéreux que ceux auxquels Le Col Ltd s'est engagé, et qui donne à Le Col Ltd le droit de contrôler le respect de l'accord.
[Système de gestion des informations personnelles (PIMS)
Déclaration de politique
Pour assurer la conformité avec le RGPD, le Conseil d’administration a approuvé et soutenu le développement, la mise en œuvre, la maintenance et l’amélioration continue d’un système documenté de gestion des informations personnelles («PIMS») pour Le Col Ltd.
Tous les employés de Le Col Ltd et certaines parties externes identifiées dans le PIMS sont censés se conformer à cette politique et au PIMS qui met en œuvre cette politique. Tous les employés et certaines parties externes recevront ou seront tenus de fournir une formation appropriée. Les conséquences de la violation de cette politique sont énoncées dans la politique disciplinaire de Le Col Ltd et dans les contrats et accords avec des tiers.
Pour déterminer son périmètre de conformité à la norme BS 10012: 2017 et au RGPD, Le Col Ltd considère:
- tous les problèmes externes et internes pertinents par rapport à l'objectif du Col
Ltd et qui affectent sa capacité à atteindre les résultats escomptés de son PIMS;
- besoins et attentes spécifiques des parties intéressées qui sont pertinents pour la mise en œuvre du PIMS;
- objectifs et obligations de l'organisation;
- le niveau de risque acceptable de l'organisation; et
- toute obligation légale, réglementaire ou contractuelle applicable. La déclaration de portée du PIMS est documentée ici RGPD REC 4.10.
Objectifs de Le Col Ltd en matière de conformité avec le RGPD et un PIMS:
- sont conformes à cette politique
- sont mesurables
- tenir compte des exigences de confidentialité du RGPD et de la norme BS 10012: 2017 et des résultats des évaluations des risques et des traitements des risques
- sont surveillés (conformément au GDPR DOC 9.1)
- sont communiqués (conformément au GDPR DOC 7.4)
- sont mis à jour le cas échéant (conformément au GDPR DOC 10.2)
Le Col Ltd documente ces objectifs dans le registre des objectifs PIMS et GDPR (RGPD REC 4.11).
3. Responsabilités et rôles en vertu du règlement général sur la protection des données
3.1 Le Col Ltd est un contrôleur de données en vertu du RGPD.
3.2 La haute direction et tous ceux qui occupent des postes de direction ou de supervision dans Le Col Ltd sont responsables du développement et de l'encouragement de bonnes pratiques de traitement des informations au sein de Le Col Ltd; les responsabilités sont définies dans les descriptions de poste individuelles.
3.3 Délégué à la protection des données / propriétaire du RGPD (description du poste de délégué à la protection des données (DPO)
RGPD REC 4.3A et responsabilité de la description du poste de protection des données RGPD REC 4.3B), un rôle spécifié dans le RGPD, devrait être membre de l'équipe de direction, est responsable devant le conseil d'administration de Le Col Ltd pour la gestion de données personnelles au sein de Le Col Ltd et pour garantir que le respect de la législation sur la protection des données et des bonnes pratiques peut être démontré. Cette responsabilité comprend:
3.3.1 développement et mise en œuvre du RGPD comme l'exige cette politique; et
3.3.2 sécurité et gestion des risques en relation avec le respect de la politique.
3.4 Le délégué à la protection des données (Henry Nixon), que le conseil d'administration considère comme étant suffisamment qualifié et expérimenté, a été nommé pour assumer la responsabilité du respect par Le Col Ltd de cette politique au jour le jour et, en en particulier, a la responsabilité directe de veiller à ce que Le Col Ltd se conforme au RGPD, tout comme les responsables en ce qui concerne le traitement des données qui a lieu dans leur domaine de responsabilité.
3.5 Le délégué à la protection des données / propriétaire du RGPD (Tom Reid) a des responsabilités spécifiques en ce qui concerne les procédures telles que la procédure de demande d'accès au sujet (GDPR DOC 2.2) et est le premier point d'appel pour les employés qui souhaitent obtenir des éclaircissements sur tout aspect des données. conformité de la protection.
3.6 Le respect de la législation sur la protection des données est de la responsabilité de tous les employés de Le Col Ltd qui traitent des données personnelles.
3.7 La politique de formation de Le Col Ltd (GDPR DOC 1.1) définit des exigences de formation et de sensibilisation spécifiques en relation avec des rôles spécifiques et des employés de Le Col Ltd en général.
3.8 Les employés de Le Col Ltd sont responsables de s'assurer que toutes les données personnelles les concernant et fournies par eux à Le Col Ltd sont exactes et à jour.
4. Principes de protection des données
Tout traitement de données personnelles doit être effectué conformément aux principes de protection des données énoncés à l'article 5 du RGPD. Les politiques et procédures de Le Col Ltd sont conçues pour garantir le respect des principes.
4.1 Les données personnelles doivent être traitées de manière légale, loyale et transparente
Légal - identifiez une base légale avant de pouvoir traiter des données personnelles. Celles-ci sont souvent appelées «conditions de traitement», par exemple le consentement.
De manière équitable - pour que le traitement soit équitable, le responsable du traitement doit mettre certaines informations à la disposition des personnes concernées dans la mesure du possible. Cela s'applique que les données personnelles aient été obtenues directement des personnes concernées ou d'autres sources.
Le RGPD a augmenté les exigences concernant les informations qui doivent être disponibles pour les personnes concernées, ce qui est couvert par l'exigence de «transparence».
Transparence - le RGPD comprend des règles sur la communication d'informations sur la confidentialité aux personnes concernées aux articles 12, 13 et 14. Celles-ci sont détaillées et spécifiques, mettant l'accent sur la compréhension et l'accessibilité des avis de confidentialité. Les informations doivent être communiquées à la personne concernée sous une forme intelligible en utilisant un langage clair et simple.
La procédure de déclaration de confidentialité de Le Col Ltd est définie dans GDPR DOC 2.1 et la déclaration de confidentialité est enregistrée dans GDPR REC 4.1.
Les informations spécifiques qui doivent être fournies à la personne concernée doivent, au minimum, inclure:
4.1.1 l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;
4.1.2 les coordonnées du délégué à la protection des données;
4.1.3 les finalités du traitement auquel les données personnelles sont destinées ainsi que la base juridique du traitement;
4.1.4 la période pendant laquelle les données personnelles seront stockées;
4.1.5 l'existence des droits de demander l'accès, la rectification, l'effacement ou de s'opposer au traitement, et les conditions (ou l'absence de) relatives à l'exercice de ces droits, par exemple si la légalité du traitement antérieur sera affectée ;
4.1.6 les catégories de données personnelles concernées;
4.1.7 les destinataires ou catégories de destinataires des données personnelles, le cas échéant;
4.1.8 le cas échéant, que le responsable du traitement a l'intention de transférer des données personnelles à un destinataire dans un pays tiers et le niveau de protection accordé aux données;
4.1.9 toute autre information nécessaire pour garantir un traitement équitable.
4.2 Les données personnelles ne peuvent être collectées qu'à des fins spécifiques, explicites et légitimes Les données obtenues à des fins déterminées ne doivent pas être utilisées à des fins différentes de celles officiellement notifiées à l'autorité de contrôle dans le cadre du Registre de traitement RGPD de Col Ltd. La procédure de confidentialité GDPR DOC 2.1 définit les procédures pertinentes.
4.3 Les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au traitement
4.3.1 Le Délégué à la protection des données / Propriétaire du RGPD est responsable de s'assurer que Le Col Ltd ne collecte pas d'informations qui ne sont pas strictement nécessaires aux fins pour lesquelles elles sont obtenues (reportez-vous à DPIA Tool GDPR REC 4.4 pour le flux de données / cartographie).
4.3.2 Tous les formulaires de collecte de données (électroniques ou papier), y compris les exigences de collecte de données dans les nouveaux systèmes d'information, doivent inclure une déclaration de traitement équitable ou un lien vers la déclaration de confidentialité et approuvés par le délégué à la protection des données / propriétaire du RGPD.
4.3.3 Le délégué à la protection des données / propriétaire du RGPD veillera à ce que, sur une base trimestrielle, toutes les méthodes de collecte de données soient examinées par des experts externes (Empoweringit Ireland Ltd) afin de garantir que les données collectées restent adéquates, pertinentes et non excessives ( Procédure d'analyse d'impact sur la protection des données GDPR DOC 2.4 et DPIA Tool GDPR REC 4.4).
4.4 Les données personnelles doivent être exactes et tenues à jour avec tous les efforts possibles pour effacer ou rectifier sans délai
4.4.1 Les données stockées par le responsable du traitement doivent être revues et mises à jour si nécessaire. Aucune donnée ne doit être conservée sauf s'il est raisonnable de supposer qu'elle est exacte.
4.4.2 Le délégué à la protection des données est chargé de s'assurer que tout le personnel est formé à l'importance de collecter des données exactes et de les maintenir.
4.4.3 Il est également de la responsabilité de la personne concernée de s'assurer que les données détenues par Le Col Ltd sont exactes et à jour. Le remplissage d'un formulaire d'inscription ou de demande par une personne concernée comprendra une déclaration indiquant que les données qu'il contient sont exactes à la date de soumission.
4.4.4 Les employés [/ clients / autres] devraient être tenus d'informer Le Col Ltd de tout changement de situation afin de permettre la mise à jour des dossiers personnels en conséquence. Les instructions de mise à jour des enregistrements sont contenues [] . Il est de la responsabilité de Le Col Ltd de s'assurer que toute notification concernant un changement de circonstances soit enregistrée et traitée.
4.4.5 Le délégué à la protection des données / propriétaire du RGPD est chargé de veiller à ce que des procédures et politiques appropriées soient en place pour maintenir les données personnelles exactes et à jour, en tenant compte du volume de données collectées, de la vitesse à laquelle elles pourraient changement et tout autre facteur pertinent.
4.4.6 Au moins une fois par an, le délégué à la protection des données / propriétaire du RGPD examinera les dates de conservation de toutes les données personnelles traitées par Le Col Ltd, en se référant à l'inventaire des données, et identifiera toutes les données qui sont n'est plus nécessaire dans le contexte de la fin enregistrée. Ces données seront supprimées / détruites en toute sécurité conformément à la procédure d'élimination sécurisée des supports de stockage (GDPR-C DOC 11.2.7).
4.4.7 Le délégué à la protection des données / propriétaire du RGPD est responsable de répondre aux demandes de rectification des personnes concernées dans un délai d'un mois (procédure de demande d'accès au sujet GDPR DOC 2.2). Cela peut être prolongé à deux mois supplémentaires pour les demandes complexes. Si Le Col Ltd décide de ne pas donner suite à la demande, le Délégué à la protection des données / Propriétaire du RGPD doit répondre à la personne concernée pour expliquer son raisonnement et l'informer de son droit de porter plainte auprès de l'autorité de contrôle et de saisir un recours juridictionnel.
4.4.8 Le délégué à la protection des données / propriétaire du RGPD est responsable de prendre les dispositions appropriées pour que, lorsque des organisations tierces aient reçu des données personnelles inexactes ou obsolètes, pour les informer que les informations sont inexactes et / ou obsolète et ne doit pas être utilisé pour éclairer les décisions concernant les personnes concernées; et pour transmettre toute correction des données personnelles au tiers lorsque cela est nécessaire.
4.5 Les données personnelles doivent être conservées sous une forme telle que la personne concernée puisse être identifiée uniquement le temps nécessaire au traitement.
4.5.1 Lorsque les données personnelles sont conservées au-delà de la date de traitement, elles seront pseudonymisées afin de protéger l'identité de la personne concernée en cas de violation de données. [Ceci est documenté ( GDPR Rec 4.13 )
4.5.2 Les données personnelles seront conservées conformément à la procédure de conservation des enregistrements (GDPR DOC 2.3) et, une fois leur date de conservation dépassée, elles doivent être détruites en toute sécurité comme indiqué dans cette procédure.
4.5.3 Le délégué à la protection des données / propriétaire du RGPD doit spécifiquement approuver tout
conservation des données qui dépasse les périodes de conservation définies dans la procédure de conservation des enregistrements (GDPR DOC 2.3) et doit garantir que la justification est clairement identifiée et conforme aux exigences de la législation sur la protection des données. Cette approbation doit être écrite.
4.6 Les données personnelles doivent être traitées de manière à garantir la sécurité appropriée Le délégué à la protection des données / propriétaire du RGPD effectuera une évaluation des risques en tenant compte de toutes les circonstances des opérations de contrôle ou de traitement de Le Col Ltd.
Pour déterminer le caractère approprié, le délégué à la protection des données / propriétaire du RGPD doit également tenir compte de l'étendue des dommages ou pertes possibles qui pourraient être causés aux personnes (par exemple, le personnel ou les clients) en cas de faille de sécurité, l'effet de toute faille de sécurité sur Le Col Ltd lui-même, et tout dommage probable à la réputation, y compris l'éventuelle perte de confiance du client.
Lors de l'évaluation des mesures techniques appropriées, le délégué à la protection des données / propriétaire du RGPD prendra en compte les éléments suivants:
- Protection par mot de passe (GDPR-C DOC 9.2.3);
- Verrouillage automatique des terminaux inactifs;
- Suppression des droits d'accès pour USB et autres supports de mémoire (GDPR-C DOC 9.1.2 et GDPR DOC 11.2.7);
- Logiciel antivirus et pare-feu (GDPR-C DOC 6.2.1);
- Droits d'accès basés sur les rôles, y compris ceux attribués au personnel temporaire (GDPR-C DOC 9.1.2);
- Chiffrement des appareils qui quittent les locaux de l'organisation tels que les ordinateurs portables (GDPR-C DOC 6.2.1);
- Sécurité des réseaux locaux et étendus (GDPR-C DOC 6.2.1);
- Technologies améliorant la confidentialité telles que la pseudonymisation et l'anonymisation;
- Identification des normes de sécurité internationales appropriées applicables à Le Col Ltd.
Lors de l'évaluation des mesures organisationnelles appropriées, le délégué à la protection des données / propriétaire du RGPD prendra en compte les éléments suivants:
- Les niveaux de formation appropriés dans tout Le Col Ltd;
- Mesures tenant compte de la fiabilité des employés (comme les références, etc.);
- L'inclusion de la protection des données dans les contrats de travail;
- Identification des mesures disciplinaires en cas de violation de données;
- Surveillance du personnel pour vérifier le respect des normes de sécurité pertinentes;
- Contrôle d'accès physique aux enregistrements électroniques et papier;
- Adoption d'une politique de bureau claire;
- Stockage des données papier dans des armoires ignifuges verrouillables;
- Restricting the use of portable electronic devices outside of the workplace;
- Restricting the use of employee’s own personal devices being used in the workplace;
- Adopting clear rules about passwords;
- Making regular backups of personal data and storing the media off-site;
- The imposition of contractual obligations on the importing organisations to take appropriate security measures when transferring data outside the EEA.
These controls have been selected on the basis of identified risks to personal data, and the potential for damage or distress to individuals whose data is being processed.
Le Col Ltd’s compliance with this principle is contained in its Information Security Management System (ISMS), which has been developed in line with ISO/IEC 27001:2013 and the information security policy set out in – GDPR DOC 5.2.
4.7 The controller must be able to demonstrate compliance with the GDPR’s other principles (accountability)
The GDPR includes provisions that promote accountability and governance. These complement the GDPR’s transparency requirements. The accountability principle in Article 5(2) requires you to demonstrate that you comply with the principles and states explicitly that this is your responsibility.
The Le Col Ltd will demonstrate compliance with the data protection principles by implementing data protection policies, adhering to codes of conduct, implementing technical and organisational measures, as well as adopting techniques such as data protection by design, DPIAs, breach notification procedures and incident response plans.
- Data subjects’ rights
- Data subjects have the following rights regarding data processing, and the data that is recorded about them:
- To make subject access requests regarding the nature of information held and to whom it has been disclosed.
- To prevent processing likely to cause damage or distress.
- To prevent processing for purposes of direct marketing.
- To be informed about the mechanics of automated decision-taking process that will significantly affect them.
- To not have significant decisions that will affect them taken solely by automated process.
- To sue for compensation if they suffer damage by any contravention of the GDPR.
- To take action to rectify, block, erased, including the right to be forgotten, or destroy inaccurate data.
- To request the supervisory authority to assess whether any provision of the GDPR has been contravened.
- To have personal data provided to them in a structured, commonly used and machine-readable format, and the right to have that data transmitted to another controller.
- To object to any automated profiling that is occurring without consent.
- Le Col Ltd ensures that data subjects may exercise these rights:
- Data subjects may make data access requests as described in Subject Access Request Procedure (GDPR DOC 2); this procedure also describes how Le Col Ltd will ensure that its response to the data access request complies with the requirements of the GDPR.
- Data subjects have the right to complain to Le Col Ltd related to the
processing of their personal data, the handling of a request from a data subject and appeals from a data subject on how complaints have been handled in line with the Complaints Procedure (GDPR DOC 2.9).
6. Consent
6.1 Le Col Ltd understands ‘consent’ to mean that it has been explicitly and freely given, and a specific, informed and unambiguous indication of the data subject’s wishes that, by statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her. The data subject can withdraw their consent at any time.
6.2 Le Col Ltd understands ‘consent’ to mean that the data subject has been fully informed of the intended processing and has signified their agreement, while in a fit state of mind to do so and without pressure being exerted upon them. Consent obtained under duress or on the basis of misleading information will not be a valid basis for processing.
6.3There must be some active communication between the parties to demonstrate active consent. Consent cannot be inferred from non-response to a communication. The Controller must be able to demonstrate that consent was obtained for the processing operation.
6.4 For sensitive data, explicit written consent (Consent Procedure GDPR DOC 2.7) of data subjects must be obtained unless an alternative legitimate basis for processing exists.
6.5 In most instances, consent to process personal and sensitive data is obtained routinely by Le Col Ltd using standard consent documents e.g. when a new client signs a contract, via standard web forms, or during induction for participants on programmes.
6.6Where Le Col Ltd provides online services to children, parental or custodial authorisation must be obtained. This requirement applies to children under the age of 16 (unless the Member State has made provision for a lower age limit, which may be no lower than 13).
7. Security of data
7.1 All Employees are responsible for ensuring that any personal data that Le Col Ltd holds and for which they are responsible, is kept securely and is not under any conditions disclosed to any third party unless that third party has been specifically authorised by Le Col Ltd to receive that information and has entered into a confidentiality agreement (GDPR Rec 4.14)
7.2 All personal data should be accessible only to those who need to use it, and access may only be granted in line with the Access Control Policy (GDPR-C DOC 9.1.1). All personal data should be treated with the highest security and must be kept:
- in a lockable room with controlled access; and/or
- in a locked drawer or filing cabinet; and/or
- if computerised, password protected in line with corporate requirements in the Access Control Policy (GDPR-C DOC 9.1.1); and/or
- stored on (removable) computer media which are encrypted in line with Secure Disposal of Storage Media (GDPR-C DOC 11.2.7).
- Care must be taken to ensure that PC screens and terminals are not visible except to authorised Employees of Le Col Ltd. All Employees are required to enter into an Acceptable Use Agreement (GDPR-C DOC 9.2.1A) before they are given access to organisational information of any sort, which details rules on screen time-outs.
- Manual records may not be left where they can be accessed by unauthorised personnel and may not be removed from business premises without explicit [written] As soon as manual records are no longer required for day-to-day client support, they must be removed from secure archiving in line with [procedure reference].
- Personal data may only be deleted or disposed of in line with the Retention of Records Procedure (GDPR DOC 2.3). Manual records that have reached their retention date are to be shredded and disposed of as ‘confidential waste’. Hard drives of redundant PCs are to be removed and immediately destroyed as required by GDPR-C DOC 11.2.7 before disposal.
- Processing of personal data ‘off-site’ presents a potentially greater risk of loss, theft or damage to personal data. Staff must be specifically authorised to process data offsite.
8. Disclosure of data
8.1 Le Col Ltd must ensure that personal data is not disclosed to unauthorised third parties which includes family members, friends, government bodies, and in certain circumstances, the Police. All Employees should exercise caution when asked to disclose personal data held on another individual to a third party It is important to bear in mind whether or not disclosure of the information is relevant to, and necessary for, the conduct of Le Col Ltd’s business.
8.2 All requests to provide data for one of these reasons must be supported by appropriate paperwork and all such disclosures must be specifically authorised by the Data Protection Officer / GDPR Owner.
9. Retention and disposal of data
9.1 Le Col Ltd shall not keep personal data in a form that permits identification of data subjects for longer a period than is necessary, in relation to the purpose(s) for which the data was originally collected.
9.2 Le Col Ltd may store data for longer periods if the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, subject to the implementation of appropriate technical and organisational measures to safeguard the rights and freedoms of the data subject.
9.3 The retention period for each category of personal data will be set out in the Retention of Records Procedure (GDPR DOC 2.3) along with the criteria used to determine this period including any statutory obligations Le Col Ltd has to retain the data.
9.4 Le Col Ltd’s data retention and data disposal procedures (Storage Removal Procedure GDPR-C DOC 11.2.7) will apply in all cases.
9.5 Personal data must be disposed of securely in accordance with the sixth principle of the GDPR – processed in an appropriate manner to maintain security, thereby protecting the “rights and freedoms” of data subjects. Any disposal of data will be done in accordance with the secure disposal procedure (GDPR-C DOC 11.2.7).
10. Data transfers
10.1 All exports of data from within the European Economic Area (EEA) to non-European Economic Area countries (referred to in the GDPR as ‘third countries’) are unlawful unless there is an appropriate “level of protection for the fundamental rights of the data subjects”.
The transfer of personal data outside of the EEA is prohibited unless one or more of the specified safeguards, or exceptions, apply:
10.1.1 An adequacy decision
The European Commission can and does assess third countries, a territory and/or specific sectors within third countries to assess whether there is an appropriate level of protection for the rights and freedoms of natural persons. In these instances no authorisation is required.
Countries that are members of the European Economic Area (EEA) but not of the EU are accepted as having met the conditions for an adequacy decision.
A list of countries that currently satisfy the adequacy requirements of the Commission are published in the Official Journal of the European Union. http://ec.europa.eu/justice/data-protection/internationaltransfers/adequacy/index_en.htm
10.1.2 Privacy Shield
If Le Col Ltd wishes to transfer personal data from the EU to an organisation in the United States it should check that the organisation is signed up with the Privacy Shield framework at the U.S. Department of Commerce. The obligation applying to companies under the Privacy Shield are contained in the “Privacy Principles”. The US DOC is responsible for managing and administering the Privacy Shield and ensuring that companies live up to their commitments. In order to be able to certify, companies must have a privacy policy in line with the Privacy Principles
e.g. use, store and further transfer the personal data according to a strong set of data protection rules and safeguards. The protection given to the personal data applies regardless of whether the personal data is related to an EU resident or not. Organisations must renew their “membership” to the Privacy Shield on an annual basis. If they do not, they can no longer receive and use personal data from the EU under that framework.
Assessment of adequacy by the data controller
In making an assessment of adequacy, the UK based exporting controller should take account of the following factors:
- the nature of the information being transferred;
- the country or territory of the origin, and final destination, of the information;
- how the information will be used and for how long;
- the laws and practices of the country of the transferee, including relevant codes of practice and international obligations; and
- the security measures that are to be taken as regards the data in the overseas location.
10.1.3 Binding corporate rules
Le Col Ltd may adopt approved binding corporate rules for the transfer of data outside the EU. This requires submission to the relevant supervisory authority for approval of the rules that Le Col Ltd is seeking to rely upon.
10.1.4 Model contract clauses
Le Col Ltd may adopt approved model contract clauses for the transfer of data outside of the EEA. If Le Col Ltd adopts these there is an automatic recognition of adequacy.
10.1.5 Exceptions
In the absence of an adequacy decision, Privacy Shield membership, binding corporate rules and/or model contract clauses, a transfer of personal data to a third country or international organisation shall only take place on one of the following conditions:
- the data subject has explicitly consented to the proposed transfer, after having been informed of the possible risks of such transfers for the data subject due to the absence of an adequacy decision and appropriate safeguards;
- the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken at the data subject's request;
- the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and another natural or legal person;
- the transfer is necessary for important reasons of public interest;
- the transfer is necessary for the establishment, exercise or defence of legal claims; and/or
- the transfer is necessary in order to protect the vital interests of the data subject or of other persons, where the data subject is physically or legally incapable of giving consent.
11. Information asset register/data inventory
11.1 Le Col Ltd has established a data inventory and data flow process as part of its approach to address risks and opportunities throughout its GDPR compliance project. Le Col Ltd’s data inventory and data flow determines (GDPR DOC 2.4, and GDPR REC 4.4):
- business processes that use personal data;
- source of personal data;
- volume of data subjects;
- description of each item of personal data;
- processing activity;
- maintains the inventory of data categories of personal data processed;
- documents the purpose(s) for which each category of personal data is used;
- recipients, and potential recipients, of the personal data;
- the role of the Le Col Ltd throughout the data flow;
- key systems and repositories;
- any data transfers; and
- all retention and disposal requirements.
11.2 Le Col Ltd is aware of any risks associated with the processing of particular types of personal data.
- Le Col Ltd assesses the level of risk to individuals associated with the processing of their personal data. Data protection impact assessments (DPIAs) (DPIA Procedure GDPR DOC 2.4 and GDPR REC 4.4) are carried out in relation to the processing of personal data by Le Col Ltd, and in relation to processing undertaken by other organisations on behalf of Le Col Ltd.
- Le Col Ltd shall manage any risks identified by the risk assessment in order to reduce the likelihood of a non-conformance with this policy.
- Where a type of processing, in particular using new technologies and taking into account the nature, scope, context and purposes of the processing is likely to result in a high risk to the rights and freedoms of natural persons, Le Col Ltd shall, prior to the processing, carry out a DPIA of the impact of the envisaged processing operations on the protection of personal data. A single DPIA may address a set of similar processing operations that present similar high risks.
- Where, as a result of a DPIA it is clear that Le Col Ltd is about to commence processing of personal data that could cause damage and/or distress to the data subjects, the decision as to whether or not Le Col Ltd may proceed must be escalated for review to the Data Protection Officer/GDPR Owner.
- The Data Protection Officer / GDPR Owner shall, if there are significant concerns, either as to the potential damage or distress, or the quantity of data concerned, escalate the matter to the supervisory authority.
- Appropriate controls will be selected from the principles of Annex A of ISO 27001, ISO 27017, ISO 27018, and applied to reduce the level of risk associated with processing individual data to an acceptable level, by reference to Le Col Ltd’s documented risk acceptance criteria and the requirements of the GDPR.
Document Owner and Approval
The Data Protection Officer / GDPR Owner is the owner of this document and is responsible for ensuring that this policy document is reviewed in line with the review requirements stated above.
A current version of this document is available to all members of staff on the Le Col Ltd’s Cloud storage platform Box.com and is published on their Website.
This policy was approved by the Board of Directors on 19th April 2018 and is issued on a version-controlled basis under the signature of the Chief Executive Officer (CEO).
Signature: Yanto Barker Date: 19 April 2018
Change History Record
Issue |
Description of Change |
Approval |
Date of Issue |
1 |
Initial issue |
CTO |
03/04/2018 |
2 |
Web approved |
CTO/CEO |
19/04/2018 |
|
|
|
|