BeHappy2Day EU/UK GDPR-medvetenhet och efterlevnadspolicy.
1.0. Introduktion.
1.1. EU:s allmänna dataskyddsförordning (“GDPR”) träder i kraft i hela Europeiska unionen den 25 maj 2018 och för med sig de viktigaste ändringarna av dataskyddslagstiftningen på två decennier. GDPR har utformats för att uppfylla kraven i den digitala tidsåldern, baserat på integritet genom design och med ett riskbaserat tillvägagångssätt.
1.2. 2000-talet för med sig en bredare användning av teknik, nya definitioner av vad som utgör personuppgifter och en enorm ökning av gränsöverskridande behandling. Den nya förordningen syftar till att standardisera dataskyddslagar och behandling i hela EU; ger individer starkare, mer konsekventa rättigheter att få tillgång till och kontrollera sin personliga information.
2.0. Vårt åtagande
Vi har åtagit oss att säkerställa säkerheten och skyddet av den personliga information som vi behandlar, och att tillhandahålla en kompatibel och konsekvent metod för dataskydd. Vi tror att vi alltid har haft ett robust och effektivt dataskyddsprogram på plats som överensstämmer med befintlig lag och följer dataskyddsprinciperna. Vi erkänner dock våra skyldigheter när det gäller att uppdatera och utöka detta program för att möta kraven i GDPR och Storbritanniens dataskyddslag.
2.1. BeHappy2Day är dedikerade till att skydda den personliga informationen under vårt uppdrag och att utveckla ett dataskyddssystem som är effektivt, lämpligt för syftet och visar förståelse för och uppskattning för den nya förordningen. Våra förberedelser och mål för efterlevnad av GDPR har sammanfattats i detta uttalande och inkluderar utveckling och implementering av nya dataskyddsroller, policyer, procedurer, kontroller och åtgärder för att säkerställa maximal och kontinuerlig efterlevnad.
3.0. Hur vi förbereder oss för GDPR
3.1. Vi har redan en konsekvent nivå av dataskydd och säkerhet i hela vår organisation, men det är vårt mål att vara helt kompatibla med GDPR senast den 25 maj 2018. Våra förberedelser inkluderar:
(a) Informationsrevision - genomföra en företagsomfattande informationsrevision för att identifiera och bedöma vilken personlig information vi har, var den kommer ifrån, hur och varför den behandlas och om och till vem den lämnas ut.
(b) Policyer och procedurer – revidera/implementera nya dataskyddspolicyer och procedurer för att uppfylla kraven och standarderna i GDPR och eventuella relevanta dataskyddslagar, inklusive:
(c) Dataskydd – vårt huvudsakliga policy- och procedurdokument för dataskydd har setts över för att uppfylla standarderna och kraven i GDPR. Åtgärder för ansvar och styrning är på plats för att säkerställa att vi förstår och på ett adekvat sätt sprider och bevisar våra skyldigheter och ansvar; med ett dedikerat fokus på integritet genom design och individers rättigheter.
(d) Datalagring och radering – vi har uppdaterat vår lagringspolicy och schema för att säkerställa att vi uppfyller principerna för "dataminimering" och "lagringsbegränsning" och att personlig information lagras, arkiveras och förstörs på ett korrekt och etiskt sätt. Vi har dedikerade raderingsprocedurer på plats för att uppfylla den nya skyldigheten "Rätt till radering" och är medvetna om när denna och andra registrerades rättigheter gäller; tillsammans med eventuella undantag, svarstidsramar och anmälningsansvar.
(e) Dataintrång – våra intrångsprocedurer säkerställer att vi har skyddsåtgärder och åtgärder på plats för att identifiera, bedöma, utreda och rapportera eventuella personuppgiftsintrång så snart som möjligt. Våra rutiner är robusta och har spridits till alla anställda, vilket gör dem medvetna om de rapporteringslinjer och steg som ska följas.
(f) Internationella dataöverföringar och avslöjande från tredje part – där BeHappy2Day lagrar eller överför personlig information utanför EU, har vi robusta rutiner och skyddsåtgärder på plats för att säkra, kryptera och upprätthålla integriteten för data. Våra rutiner inkluderar en kontinuerlig granskning av de länder med tillräckliga beslut om adekvathet, samt bestämmelser om bindande företagsregler; standarddataskyddsklausuler eller godkända uppförandekoder för de länder utan. Vi utför strikta due diligence-kontroller med alla mottagare av personuppgifter för att bedöma och verifiera att de har lämpliga skyddsåtgärder på plats för att skydda informationen, säkerställa verkställbara registrerade rättigheter och har effektiva rättsmedel för registrerade där så är tillämpligt.
(g) Subject Access Requests (SAR) – Du har rätt att veta vilken information vi har om dig. Vi har reviderat våra SAR-procedurer för att passa den reviderade 30-dagarsperioden för att tillhandahålla den begärda informationen och för att göra denna bestämmelse gratis. Våra nya rutiner beskriver hur man verifierar den registrerade, vilka åtgärder som ska vidtas för att behandla en åtkomstbegäran, vilka undantag som gäller och en uppsättning svarsmallar för att säkerställa att kommunikationen med registrerade är kompatibel, konsekvent och adekvat.
(h) Rättslig grund för bearbetning – vi granskar alla bearbetningsaktiviteter för att identifiera den rättsliga grunden för bearbetning och för att säkerställa att varje grund är lämplig för den aktivitet den relaterar till. I tillämpliga fall för vi också register över våra bearbetningsaktiviteter, för att säkerställa att våra skyldigheter enligt artikel 30 i GDPR och schema 1 i dataskyddslagstiftningen uppfylls.
(i) Integritetsmeddelande/policy – vi har reviderat våra integritetsmeddelanden för att följa GDPR, vilket säkerställer att alla individer vars personuppgifter vi behandlar har informerats om varför vi behöver dem, hur de används, vad deras rättigheter är, vem informationen lämnas ut till och vilka skyddsåtgärder som finns för att skydda deras information.
(j) Inhämtning av samtycke – vi reviderar våra samtyckesmekanismer för att erhålla personuppgifter, för att säkerställa att individer förstår vad de tillhandahåller, varför och hur vi använder dem och ger tydliga, definierade sätt att samtycka till att vi behandlar deras information. Vi har utvecklat stränga processer för att registrera samtycke, och ser till att vi kan bevisa en jakande opt-in, tillsammans med tid- och datumregistrering; och ett lätt att se och komma åt sätt att återkalla samtycke när som helst.
(k) Direktmarknadsföring – vi reviderar ordalydelsen och processerna för direktmarknadsföring, inklusive tydliga opt-in-mekanismer för marknadsföringsprenumerationer; ett tydligt meddelande och en metod för att välja bort och tillhandahålla funktioner för att avsluta prenumerationen på allt efterföljande marknadsföringsmaterial.
(l) Data Protection Impact Assessments (DPIA) – där vi behandlar personlig information som anses vara hög risk, involverar storskalig bearbetning eller inkluderar data av särskild kategori/brottsdomsdom; vi har utvecklat strikta rutiner och bedömningsmallar för att genomföra konsekvensanalyser som helt överensstämmer med GDPR:s artikel 35-krav. Vi har implementerat dokumentationsprocesser som registrerar varje bedömning, gör det möjligt för oss att bedöma risken som bearbetningsaktiviteten utgör och implementera mildrande åtgärder för att minska risken för den/de registrerade.
(m) Processoravtal – där vi använder tredje part för att behandla personlig information för vår räkning (d.v.s. löner, rekrytering, hosting etc.), har vi utarbetat överensstämmande processoravtal och due diligence-procedurer för att säkerställa att de (även som vi), uppfyller och förstår deras/våra GDPR-skyldigheter. Dessa åtgärder inkluderar initiala och pågående granskningar av den tillhandahållna tjänsten, nödvändigheten av bearbetningsaktiviteten, de tekniska och organisatoriska åtgärderna på plats och efterlevnad av GDPR.
(n) Data för speciella kategorier – där vi erhåller och bearbetar någon speciell kategoriinformation, gör vi det i fullständig överensstämmelse med kraven i artikel 9 och har krypteringar och skydd på hög nivå på all sådan data. Data av särskild kategori behandlas endast när det är nödvändigt och behandlas endast när vi först har identifierat den lämpliga artikel 9(2)-grunden eller villkoret för dataskyddsräkningen Schedule 1. Där vi förlitar oss på samtycke för behandling är detta uttryckligt och verifieras med en signatur, med rätten att ändra eller ta bort samtycke tydligt skyltat.
4.0. Rättigheter för den registrerade
4.1. Utöver policyerna och procedurerna som nämns ovan som säkerställer att individer kan upprätthålla sina dataskyddsrättigheter, tillhandahåller vi lättåtkomlig information via vår webbplats om en individs rätt att få tillgång till all personlig information som BeHappy2Day behandlar om dem och att begära information om:
- Vilka personuppgifter vi har om dem
- Syften med behandlingen
- De berörda kategorierna av personuppgifter
- De mottagare som personuppgifterna har/kommer att lämnas ut till
- Hur länge har vi för avsikt att lagra dina personuppgifter
- Om vi inte samlade in data direkt från dem, information om källan
- Rätten att få ofullständiga eller felaktiga uppgifter om dem korrigerade eller kompletta och processen för att begära detta
- Rätten att begära radering av personuppgifter (i tillämpliga fall) eller att begränsa behandlingen i enlighet med dataskyddslagar, samt att invända mot all direktmarknadsföring från oss och att bli informerad om eventuellt automatiserat beslutsfattande som vi använder
- Rätten att lämna in ett klagomål eller söka rättsmedel och vem man ska kontakta i sådana fall
5.0. Informationssäkerhet och tekniska och organisatoriska åtgärder
5.1. BeHappy2Day tar individers integritet och säkerhet och deras personliga information på största allvar och vidtar alla rimliga åtgärder och försiktighetsåtgärder för att skydda och säkra de personuppgifter som vi behandlar. Vi har robusta policyer och procedurer för informationssäkerhet på plats för att skydda personlig information från obehörig åtkomst, ändring, avslöjande eller förstörelse och har flera lager av säkerhetsåtgärder, inklusive; SSL, åtkomstkontroller, lösenordspolicy, krypteringar, pseudonymisering, praxis, begränsningar, IT, autentisering etc.
6.0. GDPR-roller och anställda
6.1. Vi har utsett Marina Bushmareva som vår datakontrollant och har utsett ett dataskyddsteam för att utveckla och implementera vår färdplan för att följa den nya dataskyddsförordningen. Teamet ansvarar för att främja medvetenheten om GDPR i hela organisationen, utvärdera vår GDPR-beredskap, identifiera eventuella luckor och implementera de nya policyerna, procedurerna och åtgärderna.
6.2. BeHappy2Day förstår att kontinuerlig medvetenhet och förståelse för anställda är avgörande för fortsatt efterlevnad av GDPR och har involverat våra anställda i våra förberedelseplaner. Vi har implementerat ett program för medarbetarmedvetenhet specifikt för ovanstående, som kommer att rullas ut till alla anställda före den 25 maj 2018. Detta utgör en pågående del av vårt introduktionsprogram och vårt årliga utbildningsprogram.
Om du har några frågor om vår förberedelse för GDPR, vänligen kontakta Marina Bushmareva som är vår datakontrollant på admin@behappy2day.com