Introduction

Le règlement général sur la protection des données (RGPD) entrera en vigueur dans toute l’Union européenne le 25 mai 2018 et apportera les changements les plus importants à la législation sur la protection des données depuis deux décennies. Basé sur la protection de la vie privée dès la conception et adoptant une approche basée sur les risques, le RGPD a été conçu pour répondre aux exigences de l’ère numérique.

Le 21e siècle s'accompagne d'une utilisation plus large des technologies, de nouvelles définitions de ce qui constitue des données personnelles et d'une augmentation considérable du traitement transfrontalier. Le nouveau règlement vise à uniformiser les lois sur la protection des données et le traitement des données dans toute l'UE, en accordant aux individus des droits plus forts et plus cohérents pour accéder à leurs informations personnelles et les contrôler.

Notre engagement

The Cool Dude Shop s'engage à assurer la sécurité et la protection des informations personnelles que nous traitons et à proposer une approche conforme et cohérente en matière de protection des données. Nous avons toujours mis en place un programme de protection des données solide et efficace, conforme à la législation en vigueur et aux principes de protection des données. Cependant, nous reconnaissons nos obligations en matière de mise à jour et d'extension de ce programme pour répondre aux exigences du RGPD.

The Cool Dude Shop s'engage à protéger les informations personnelles qui relèvent de sa compétence et à développer un régime de protection des données efficace, adapté à l'objectif et démontrant une compréhension et une appréciation du nouveau règlement. Notre préparation et nos objectifs en matière de conformité au RGPD ont été résumés dans cette déclaration et incluent le développement et la mise en œuvre de nouveaux rôles, politiques, procédures, contrôles et mesures de protection des données pour assurer une conformité maximale et continue.

Comment nous nous préparons au RGPD

The Cool Dude Shop dispose déjà d'un niveau cohérent de protection et de sécurité des données dans toute notre organisation, mais notre objectif est d'être entièrement conforme au RGPD d'ici le 25 mai 2018. Notre préparation comprend :

  • Audit des informations - réalisation d'un audit des informations à l'échelle de l'entreprise pour identifier et évaluer les informations personnelles que nous détenons, d'où elles proviennent, comment et pourquoi elles sont traitées et si et à qui elles sont divulguées.
  • Politiques et procédures - mise en œuvre de nouvelles politiques et procédures de protection des données pour répondre aux exigences et aux normes du RGPD et de toutes les lois pertinentes sur la protection des données, notamment : -
    • Protection des données – notre principal document de politique et de procédure en matière de protection des données a été révisé pour répondre aux normes et aux exigences du RGPD. Des mesures de responsabilisation et de gouvernance sont en place pour garantir que nous comprenons et diffusons de manière adéquate nos obligations et responsabilités, en mettant l’accent sur la protection de la vie privée dès la conception et les droits des individus.
    • Conservation et effacement des données – nous avons mis à jour notre politique et notre calendrier de conservation afin de garantir que nous respectons les principes de « minimisation des données » et de « limitation du stockage » et que les informations personnelles sont stockées, archivées et détruites de manière conforme et éthique. Nous avons mis en place des procédures d'effacement dédiées pour répondre à la nouvelle obligation du « droit à l'effacement » et sommes conscients des cas où ce droit et d'autres droits des personnes concernées s'appliquent, ainsi que des éventuelles exemptions, des délais de réponse et des responsabilités en matière de notification.
    • Violations de données – nos procédures de violation garantissent que nous avons mis en place des mesures de protection pour identifier, évaluer, enquêter et signaler toute violation de données personnelles le plus tôt possible. Nos procédures sont solides et ont été diffusées à tous les employés, les sensibilisant aux lignes de signalement et aux étapes à suivre.
    • Transferts internationaux de données et divulgations à des tiers – lorsque [insérer le nom de l’organisation] stocke ou transfère des informations personnelles en dehors de l’UE, nous avons mis en place des procédures et des mesures de protection solides pour sécuriser, crypter et maintenir l’intégrité des données. Nos procédures comprennent un examen continu des pays ayant pris des décisions d’adéquation suffisantes, ainsi que des dispositions relatives à des règles d’entreprise contraignantes, des clauses standard de protection des données ou des codes de conduite approuvés pour les pays qui n’en ont pas. Nous effectuons des contrôles de diligence raisonnable stricts auprès de tous les destinataires de données personnelles afin d’évaluer et de vérifier qu’ils ont mis en place des mesures de protection appropriées pour protéger les informations, garantir l’applicabilité des droits des personnes concernées et disposer de recours juridiques efficaces pour les personnes concernées, le cas échéant.
    • Demande d'accès aux données (SAR) – nous avons révisé nos procédures SAR pour tenir compte du nouveau délai de 30 jours pour fournir les informations demandées et pour rendre cette fourniture gratuite. Nos nouvelles procédures détaillent comment vérifier la personne concernée, les étapes à suivre pour traiter une demande d'accès, les exemptions applicables et une série de modèles de réponse pour garantir que les communications avec les personnes concernées sont conformes, cohérentes et adéquates.
  • Base juridique du traitement – ​​nous examinons toutes les activités de traitement afin d'identifier la base juridique du traitement et de nous assurer que chaque base est appropriée à l'activité à laquelle elle se rapporte. Le cas échéant, nous conservons également des enregistrements de nos activités de traitement, garantissant ainsi le respect de nos obligations en vertu de l'article 30 du RGPD et de l'annexe 1 du projet de loi sur la protection des données.
  • Avis/Politique de confidentialité – nous sommes en train de le réviser nos avis de confidentialité pour se conformer au RGPD, en veillant à ce que toutes les personnes dont nous traitons les informations personnelles aient été informées des raisons pour lesquelles nous en avons besoin, de la manière dont elles sont utilisées, de leurs droits, à qui les informations sont divulguées et des mesures de sauvegarde mises en place pour protéger leurs informations.
  • Obtention du consentement – ​​nous sommes en train de réviser nos mécanismes de consentement pour obtenir des données personnelles, en veillant à ce que les personnes comprennent ce qu'elles fournissent, pourquoi et comment nous les utilisons et en leur fournissant des moyens clairs et définis pour consentir au traitement de leurs informations. Nous avons développé des processus rigoureux pour enregistrer le consentement, en veillant à pouvoir prouver une acceptation positive, ainsi que des enregistrements de l'heure et de la date ; et un moyen facile à voir et à accéder pour retirer son consentement à tout moment.
  • Marketing direct - nous révisons la formulation et les processus du marketing direct, y compris des mécanismes d'inscription clairs pour les abonnements marketing ; un avis et une méthode clairs pour se désinscrire et fournir des fonctionnalités de désabonnement sur tous les supports marketing ultérieurs.
  • Analyses d'impact relatives à la protection des données (AIPD) – lorsque nous traitons des informations personnelles considérées comme à haut risque, impliquant un traitement à grande échelle ou comprenant des données de catégories spéciales/condamnations pénales ; nous avons développé des procédures et des modèles d'évaluation rigoureux pour réaliser des analyses d'impact qui sont entièrement conformes aux exigences de l'article 35 du RGPD. Nous avons mis en place des processus de documentation qui enregistrent chaque évaluation, nous permettent d'évaluer le risque posé par l'activité de traitement et de mettre en œuvre des mesures d'atténuation pour réduire le risque posé aux personnes concernées.
  • Accords de traitement – ​​lorsque nous faisons appel à un tiers pour traiter des informations personnelles en notre nom ( par exemple, paie, recrutement, hébergement, etc. ), nous avons rédigé des accords de traitement conformes et des procédures de diligence raisonnable pour garantir qu'ils ( ainsi que nous ) respectent et comprennent leurs/nos obligations en vertu du RGPD. Ces mesures comprennent des examens initiaux et continus du service fourni, de la nécessité de l'activité de traitement, des mesures techniques et organisationnelles en place et de la conformité au RGPD.
  • Données de catégories spéciales - lorsque nous obtenons et traitons des informations de catégories spéciales, nous le faisons en totale conformité avec les exigences de l'article 9 et disposons de cryptages et de protections de haut niveau sur toutes ces données. Les données de catégories spéciales ne sont traitées que lorsque cela est nécessaire et uniquement lorsque nous avons d'abord identifié la base appropriée de l'article 9(2) ou la condition de l'annexe 1 du projet de loi sur la protection des données. Lorsque nous nous appuyons sur le consentement pour le traitement, celui-ci est explicite et vérifié par une signature, le droit de modifier ou de retirer le consentement étant clairement indiqué.

Droits des personnes concernées

En plus des politiques et procédures mentionnées ci-dessus qui garantissent que les individus peuvent faire valoir leurs droits en matière de protection des données, nous fournissons des informations facilement accessibles via www.thecooldudeshop.com/privacy-policy sur le droit d'un individu à accéder à toute information personnelle que The Cool Dude Shop traite à son sujet et à demander des informations sur : -

  • Quelles données personnelles nous détenons à leur sujet
  • Finalités du traitement
  • Les catégories de données personnelles concernées
  • Les destinataires auxquels les données personnelles ont/seront divulguées
  • Pendant combien de temps prévoyons-nous de conserver vos données personnelles ?
  • Si nous n'avons pas collecté les données directement auprès d'eux, des informations sur la source
  • Le droit de faire rectifier ou compléter les données incomplètes ou inexactes les concernant et la procédure à suivre pour demander cette rectification
  • Le droit de demander l'effacement des données personnelles ( le cas échéant ) ou de restreindre le traitement conformément aux lois sur la protection des données, ainsi que de s'opposer à tout marketing direct de notre part et d'être informé de toute prise de décision automatisée que nous utilisons
  • Le droit de déposer une plainte ou de recourir à une juridiction et à qui s'adresser dans de tels cas

Sécurité de l'information et mesures techniques et organisationnelles

The Cool Dude Shop prend très au sérieux la confidentialité et la sécurité des personnes et de leurs informations personnelles et prend toutes les mesures et précautions raisonnables pour protéger et sécuriser les données personnelles que nous traitons. Nous avons mis en place des politiques et des procédures de sécurité des informations rigoureuses pour protéger les informations personnelles contre tout accès, modification, divulgation ou destruction non autorisés et disposons de plusieurs niveaux de mesures de sécurité.