Éléments clés
Le numéro d’immatriculation du commissaire à la protection des données de staffcircle est disponible à la demande. En tant que contrôleur et traiteur de données, staffcircle aspire à être conforme à la rgpd, en ce qui concerne ses politiques et procédures de gestion des données clients. Un responsable attitré (« le responsable attitré ») au sein de la société est désigné avec pour responsabilité de superviser la protection des données et d’assurer la conformité avec l’acte. Un individu peut faire une demande d’accès à tout moment pour voir les données que la société détient à leur sujet. Staffcircle garantie que tous ses employés, prestataires, agents, consultants, partenaires et autres parties travaillant au nom de la société se conforment à cette politique lorsqu’ils traitent et / ou transmettent des données personnelles.
Objectif de cette politique
Ce document établie les obligations de staffcircle ltd. (« la société ») au sujet de la protection des données et des droits des personnes avec lesquelles elle travaille, en lien avec leurs données personnelles sous le règlement général sur la protection des données (ue) 2016/679 (« rgpd »). Cette politique établie les procédures à suivre pour la gestion de données personnelles. Les procédures établies ci-dessous doivent être suivies par la société, ses employés, prestataires, agents, consultants, partenaires et autres parties travaillant au nom de la société. La société voit la gestion convenable et légale des données personnelles comme un facteur clé de son succès et de sa relation avec des tierces parties. La société garantie traiter toute donnée personnelle convenablement et légalement.
Règles sur la protection des données
Le rgpd présente six règles sur la protection des données auxquelles nous devons nous conformer lorsque nous traitons des données personnelles. Ces règles se rapportent à :
- Légalité, honnêteté et transparence – nous devons traiter les données personnelles légalement, honnêtement et de façon transparente par rapport à l’individu concerné.
- Principe de limitation de la finalité – nous ne devons collecter des données personnelles que dans un but spécifique, explicite et valable. Nous devons énoncer clairement de quel but il s’agit et ne collecter des données que pour la durée nécessaires pour l’atteindre.
- Minimisation des données – nous devons garantir que les données personnelles traitées sont adéquates, pertinentes et limitées à ce qui est nécessaires par rapport à votre objectif de traitement.
- Précision – nous devons prendre toute mesure appropriée pour mettre à jour ou supprimer les données fausses ou incomplètes. Chaque individu a le droit de demander à ce que vous effaciez ou modifiez des données fausses à leur propos, et vous disposez d’un mois pour le faire.
- Limitation de stockage – nous devons supprimer les données personnelles quand nous n’en avons plus besoin. Dans le plupart des cas, les échéances ne sont pas définies et dépendent de la situation de la société et des raisons pour lesquelles nous avons ces données.
- Intégrité et confidentialité – nous devons garder toute donnée personnelle en sécurité et protégée contre tout traitement non autorisé ou illégal et contre toute perte accidentelle, destruction ou dégâts, en utilisant les techniques appropriées ou mesures organisationnelles.
Droits des individus concernés
Sous le rgpd, les individus concernés ont les droits suivants :
- Le droit d’être informé que leurs données personnelles sont traitées
- Le droit d’accéder à toute donnée personnelle détenue par la société sous 30 jours.
- Le droit d’empêcher le traitement de leurs données personnelles sous certaines conditions.
- Le droit de corriger, bloquer, supprimer ou détruire tout donnée personnelle fausse.
Données personnelles
- Toutes données personnelles collectées par la société (y compris celles détaillées dans le section 5 de cette politique) sont collectées afin que la société puisse faciliter des échanges efficaces avec les tierces parties, notamment (mais non exclusivement) ses clients, partenaires, associés et filiales; et gérer efficacement ses employés, prestataires, agents et consultants. Les données personnelles peuvent aussi être utilisées par la société afin de respecter toute obligation imposée par la loi.
- Les données personnelles doivent êtres gardées au sein de la société. Elles peuvent transmissent d’un département à l’autre en accord avec les règles sur la protection des données personnelles et cette politique. Les données personnelles ne seront en aucun cas transmises à un département ou individu au sein de la politique de protection des données de la société qui ne requiert pas accès à ces données personnelles en respect du but pour lequel elles avaient été collectées et traitées.
- La société doit garantir que :
- Toutes les données personnelles collectées et traitées pour et au nom de la société par toute partie soient collectées et traitées honnêtement et légalement
- Les individus concernés sont informés des raisons de la collecte de leurs données personnelles et des détails du but dans lequel ces données seront utilisées
- Les données personnelles ne sont collectées que si cela est nécessaire pour atteindre le(s) but(s) mentionnés
- Toutes les données personnelles sont exactes au moment de leur collecte et sont gardées exactes et mises à jour pendant qu’elles sont détenues et traitées
- Aucune donnée personnelle ne peut être détenue plus longtemps que nécessaire en vue du/des objectif(s) mentionné(s)
- Toutes les données personnelles sont gardées en sécurité, en prenant toutes les mesures techniques et organisationnelles appropriées pour les protéger, du moment qu’elles peuvent être appliquées aux systèmes de staffcircle
- Toutes les données personnelles sont transférées en utilisant des moyens sécurisés, qu’ils soient électroniques ou autre
- Aucune donnée personnelle n’est transférée en dehors du royaume-uni ou de l’eee (comme il convient) sans garantir en premier lieu que les mesures de sécurité appropriées sont en place dans le pays ou territoire de destination
- Tous les individus concernés peuvent exercer leurs droits mentionnés ci-dessous dans la section 4 et plus en détails dans l’acte.
Procédures de protection des données
La société doit garantir que tous ses employés, prestataires, agents, consultants, partenaires et autres parties travaillant au nom de la société se conforment aux procédures ci-dessous pour le traitement et / ou la transmission de données personnelles :
- Tous les e-mails contenant des données personnelles doivent être cryptés
- Les données personnelles doivent être transmissent uniquement sur des réseaux sécurisés – la transmission sur des réseaux non-sécurisé n’es en aucun cas autorisée
- Les données personnelles ne doivent pas être transmises sur un réseau sans fil s’il y a une alternative en réseau câblé qui est raisonnable et pratique
- Les données personnelles contenues dans le corps d’un e-mail, qu’il soit envoyé ou reçu, doivent être copiées du corps du mail et stockées en sécurité. Le mail lui-même doit être supprimé. Tous fichiers temporaires associés doivent aussi être supprimés
- Lorsque des données personnelles sont envoyées par fax, le destinataire doit en être informé en avance et doit attendre à côté du fax pour recevoir les données
- Lorsque des données personnelles sont transférées en papier, elles doivent être données directement au destinataire. Utiliser un intermédiaire n’est pas autorisé
- Toutes les copies papier de données personnelles doivent être stockées en sécurité dans une boîte, un tiroir, un cabinet (ou autre) fermé
- Toute copie électronique de données personnelles doit être stockée en sécurité grâce à des mots de passe et au cryptage des données nécessaire, si possible sur un drive ou un serveur qui n’est pas accessible via internet
- Tous les mots de passe utilisés pour protéger les données personnelles doivent être changés régulièrement et ne doivent pas utiliser des mots ou phrases faciles à deviner ou compromis de quel qu’autre façon
Mesures organisationnelles
La société doit garantir que les mesures suivantes sont prises quant à la collecte, l’exploitation et le traitement des données personnelles :
- Un responsable attitré (« le responsable attitré ») au sein de la société est désigné avec pour responsabilité de superviser la protection des données et d’assurer la conformité avec l’acte.
- Tous les employés, prestataires, agents, consultants, partenaires et autres parties travaillant au nom de la société sont au courant de leur responsabilité individuelle et de la responsabilité de la société sous l’acte et doivent recevoir une copie de cette politique.
- Employés, prestataires, agents, consultants, partenaires et autres parties travaillant au nom de la société qui traitent des données personnelles seront adéquatement formés à le faire.
- Employés, prestataires, agents, consultants, partenaires et autres parties travaillant au nom de la société qui traitent des données personnelles seront supervisés adéquatement.
- Les méthodes de collecte, exploitation et traitement des données personnelles doivent régulièrement être évaluées et examinées.
- La performance de ces employés, prestataires, agents, consultants, partenaires et autres parties travaillant au nom de la société doit être régulièrement évaluée et examinée.
- Tous les employés, prestataires, agents, consultants, partenaires et autres parties travaillant au nom de la société qui traitent des données personnelles seront contractuellement tenus de le faire en accord avec les principes du rgpd et cette politique.
- Le manquement par tout employé à se conformer à ces règles ou cette politique représente une faute disciplinaire. Le manquement par tout prestataire, agent, consultant, partenaire out autre partie à se conformer à ces règles ou cette politique représente infraction au contrat. Dans tous les cas, sous le rgpd, le manquement de se conformer aux règles ou à cette politique peut aussi constituer une infraction criminelle.
- Tous les prestataires, agents, consultants, partenaires et autres parties travaillant au nom de la société qui traitent des données personnelles doivent garantir que leurs employés qui sont impliqués dans le traitement des données personnelles doivent respecter les mêmes conditions que celles adéquates pour les employés de la société découlant de cette politique et du rgpd.
- Si un prestataire, agent, consultant, partenaire ou toute autre partie travaillant au nom de la société qui traite des données personnelles manque à ses obligations sous cette politique, cette partie devra indemniser et dédommager la société pour tous les coûts, pertes ou poursuites qui découleraient de ce manquement.
Accès aux données par les individus concernés
Tout individu concerné faire une demande d’accès à ses données personnelles à tout moment pour voir des données que la société détient à leur propos.
- La demande doit être écrite à la main, accompagnée du montant nécessaire
- A réception de la demande, la société a un maximum de 30 jours pour répondre. Les détails suivants seront fournis à l’individu concerné.
- Si la société détient, oui non, quelconque donnée personnelle sur l’individu concerné.
- Une description de toute donnée personnelle détenue sur l’individu concerné.
- Les détails sur la raison pour laquelle ces données personnelles sont utilisées
- Les détails sur quelque tierce partie à laquelle les données personnelles sont transmises
- Les détails sur chaque terme technique ou codes.
Notification au commissariat à l’information
- En tant que contrôleur de données, la société se doit de notifier le commissariat à l’information qu’elle traite des données personnelles. La société est enregistrée dans le registre des contrôleurs de données.
- Les contrôleurs de données doivent renouveler leurs notifications avec le commissariat à l’information tous les ans. Le manquement à cette notification constitue une infraction criminelle.
- Tout changement au registre doit être notifié au commissariat à l’information sous 28 jours.
- Le responsable attitré est en charge de notifier et tenir au courant le commissariat à l’information.
Mise en place de la politique
- Cette politique est effective à compter du 1er novembre 2013. Aucune partie de cette politique n’a d’effet rétroactif et s’applique donc seulement aux cas après cette date.
- Cette politique s’applique aux données collectées par staffcircle comme une partie intégrante de ses opérations commerciales habituelles. Staffcircle ne peut être tenu responsable de la sécurité des données détenue en dehors de ses propres systèmes.