Menu
Sinai Services (société holding du Red Sea Diving College) s’engage à protéger les droits et libertés des personnes concernées et à traiter leurs données de manière sûre et sécurisée, conformément à toutes nos obligations légales.
Nous détenons des données personnelles sur nos employés, nos clients, nos fournisseurs et d’autres personnes à des fins commerciales diverses.
Cette politique définit la manière dont nous cherchons à protéger les données personnelles et à garantir que notre personnel comprend les règles régissant l’utilisation des données personnelles auxquelles il a accès dans le cadre de son travail. En particulier, cette politique exige que le personnel s’assure que le délégué à la protection des données (DPD) soit consulté avant le lancement de toute nouvelle activité importante de traitement des données, afin de garantir que les mesures de conformité pertinentes soient prises.
OBJECTIFS COMMERCIAUX
Les objectifs pour lesquels les données personnelles peuvent être utilisées par nous :
Des fins personnelles, administratives, financières, réglementaires, de paie et de développement commercial.
Les objectifs commerciaux comprennent les éléments suivants :
Le respect de nos obligations légales, réglementaires et de gouvernance d’entreprise et des bonnes pratiques.
Collecte d’informations dans le cadre d’enquêtes menées par des organismes de réglementation ou dans le cadre de procédures ou de demandes juridiques.
garantir le respect des politiques commerciales (telles que les politiques relatives à l’utilisation du courrier électronique et d’Internet)
pour des raisons opérationnelles, telles que l’enregistrement des transactions, la formation et le contrôle de la qualité, la garantie de la confidentialité des informations commercialement sensibles, les contrôles de sécurité, l’évaluation et la vérification du crédit.
Enquêter sur les plaintes
la vérification des références, la garantie de pratiques de travail sûres, le contrôle et la gestion de l’accès du personnel aux systèmes et aux installations, ainsi que des absences, de l’administration et des évaluations du personnel
Contrôle de la conduite du personnel, questions disciplinaires
Commercialisation de nos activités
Amélioration des services
DONNÉES À CARACTÈRE PERSONNEL
Par « données personnelles », on entend toute information relative à une personne physique identifiée ou identifiable (« personne concernée ») ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques de l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.
Les données personnelles que nous recueillons peuvent inclure : le numéro de téléphone, l’adresse électronique, le parcours scolaire, les données financières et salariales, les détails des certificats et diplômes, l’éducation et les compétences, l’état civil, la nationalité, l’intitulé du poste et le CV des personnes.
CATÉGORIES PARTICULIÈRES DE DONNÉES À CARACTÈRE PERSONNEL
Les catégories spéciales de données comprennent les informations relatives à l’origine raciale ou ethnique, aux opinions politiques, aux croyances religieuses ou similaires, à l’appartenance (ou à la non-appartenance) à un syndicat, à la santé ou à l’état physique ou mental, aux infractions pénales ou aux procédures y afférentes, ainsi qu’aux informations génétiques et biométriques d’une personne – toute utilisation des catégories spéciales de données personnelles doit être strictement contrôlée conformément à la présente politique.
CONTRÔLEUR DE DONNÉES
Le « responsable du traitement » est la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par la loi.
SOUS-TRAITANT DE DONNÉES
Le « sous-traitant » est une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
TRAITEMENT
Traitement » : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel ou à des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
AUTORITÉ DE CONTRÔLE
Il s’agit de l’organisme national responsable de la protection des données. L’autorité de contrôle de notre organisation est l’Autorité GDPR.
Cette politique s’applique à l’ensemble du personnel, qui doit la connaître et en respecter les termes.
Cette politique complète nos autres politiques relatives à l’utilisation d’Internet et du courrier électronique. Nous pouvons compléter ou modifier cette politique par des politiques et des directives supplémentaires de temps à autre. Toute politique nouvelle ou modifiée sera diffusée au personnel avant d’être adoptée.
Qui est responsable de cette politique ?
En tant que délégué à la protection des données (DPD), Alain Sobol a la responsabilité générale de la mise en œuvre quotidienne de cette politique. Si nécessaire, vous pouvez contacter le DPD pour obtenir de plus amples informations sur cette politique.
Courriel : alain_sobol@sinai-services.com
Sinai Services (société holding du Red Sea Diving College) se conforme aux principes de protection des données (les principes) énumérés dans le règlement général de l’UE sur la protection des données. Nous ferons tous les efforts possibles dans tout ce que nous faisons pour nous conformer à ces principes. Les principes sont les suivants :
1- Légalité, équité et transparence
La collecte des données doit être loyale, pour un objectif légal et nous devons être ouverts et transparents quant à la manière dont les données seront utilisées.
2- Limitée à sa finalité
Les données ne peuvent être collectées que dans un but précis.
3- Minimisation des données
Toute donnée collectée doit être nécessaire et non excessive par rapport à sa finalité.
4- Exactitude
Les données que nous détenons doivent être exactes et mises à jour.
5- Rétention
Nous ne pouvons pas conserver les données plus longtemps que nécessaire.
6- Intégrité et confidentialité
Les données que nous détenons doivent être conservées de manière sûre et sécurisée.
Responsabilité et transparence
Nous devons assurer la responsabilité et la transparence dans toutes nos utilisations des données personnelles. Nous devons montrer comment nous nous conformons à chaque principe. Il vous incombe de conserver une trace écrite de la manière dont toutes les activités de traitement des données dont vous êtes responsable sont conformes à chacun des principes. Ce document doit être tenu à jour et doit être approuvé par le DPD.
Pour respecter les lois sur la protection des données et le principe de responsabilité et de transparence du GDPR, nous devons démontrer notre conformité. Il vous incombe de comprendre vos responsabilités particulières afin de vous assurer que nous respectons les obligations suivantes en matière de protection des données :
Mettre pleinement en œuvre toutes les mesures techniques et organisationnelles appropriées.
Maintenir une documentation à jour et pertinente sur toutes les activités de traitement.
Réaliser des évaluations d’impact sur la protection des données
Mettre en œuvre des mesures visant à garantir le respect de la vie privée dès la conception et par défaut, notamment :
la minimisation des données
Pseudonymisation
Transparence
Permettre aux individus de contrôler le traitement
Créer et améliorer en permanence les procédures de sécurité et de protection de la vie privée.
Traitement équitable et licite
Nous devons traiter les données à caractère personnel de manière loyale et licite, conformément aux droits des personnes en vertu du premier principe. Cela signifie généralement que nous ne devons pas traiter de données personnelles à moins que la personne dont nous traitons les données n’ait consenti à ce que cela se produise.
Si nous ne pouvons pas appliquer une base légale (expliquée ci-dessous), notre traitement n’est pas conforme au premier principe et sera illégal. Les personnes concernées ont le droit d’obtenir l’effacement de toute donnée traitée de manière illégale
Contrôle et traitement des données
Sinai Services (société holding du Red Sea Diving College) est classé comme [responsable du traitement des données (et/ou) sous-traitant des données]. Nous devons maintenir notre enregistrement approprié auprès de l’Information Commissioners Office afin de continuer à [contrôler (et/ou) traiter] légalement les données.
[En tant que responsable du traitement des données, nous devons nous conformer à nos obligations contractuelles et n’agir que selon les instructions documentées du responsable du traitement des données. Si, à tout moment, nous déterminons la finalité et les moyens du traitement en dehors des instructions du responsable du traitement, nous serons considérés comme un responsable du traitement des données et, par conséquent, nous violerons notre contrat avec le responsable du traitement et aurons la même responsabilité que ce dernier. En tant que sous-traitant de données, nous devons :
Ne pas faire appel à un sous-traitant ultérieur sans l’autorisation écrite du responsable du traitement des données.
coopérer pleinement avec l’ICO ou toute autre autorité de contrôle
assurer la sécurité du traitement
tenir des registres précis des activités de traitement
notifier au responsable du traitement toute violation de données personnelles.
En cas de doute sur la manière dont nous traitons les données, contactez le DPD pour obtenir des éclaircissements.
Base légale du traitement des données
Nous devons établir une base légale pour le traitement des données. Assurez-vous que toutes les données que vous êtes chargé de gérer ont une base légale écrite approuvée par le DPD. Il vous incombe de vérifier la base légale de toutes les données avec lesquelles vous travaillez et de vous assurer que toutes vos actions sont conformes à cette base légale. Au moins une des conditions suivantes doit s’appliquer chaque fois que nous traitons des données personnelles :
Consentement
Nous détenons un consentement récent, clair, explicite et défini pour que les données de la personne soient traitées dans un but spécifique.
Contrat
Le traitement est nécessaire pour exécuter ou préparer un contrat pour la personne concernée.
Obligation légale
Nous avons une obligation légale de traiter les données (à l’exclusion d’un contrat).
Intérêts vitaux
Le traitement des données est nécessaire pour protéger la vie d’une personne ou dans une situation médicale.
Fonction publique
Traitement nécessaire à l’exécution d’une fonction publique, d’une tâche d’intérêt public ou la fonction a une base juridique claire.
Intérêt légitime
Le traitement est nécessaire pour nos intérêts légitimes. Cette condition ne s’applique pas s’il existe une bonne raison de protéger les données à caractère personnel de la personne concernée qui l’emporte sur l’intérêt légitime.
Décider de la condition à invoquer
Si vous procédez à une évaluation de la base légale, vous devez d’abord établir que le traitement est nécessaire. Cela signifie que le traitement doit être un moyen ciblé et approprié pour atteindre l’objectif fixé. Vous ne pouvez pas vous appuyer sur une base légale si vous pouvez raisonnablement atteindre le même objectif par d’autres moyens.
N’oubliez pas que plusieurs bases peuvent s’appliquer et que vous devez vous baser sur ce qui correspond le mieux à l’objectif, et non sur ce qui est le plus facile.
Considérez les facteurs suivants et documentez vos réponses :
Quelle est la finalité du traitement des données ?
Peut-on raisonnablement le faire d’une manière différente ?
Existe-t-il un choix quant au traitement ou non des données ?
À qui le traitement profite-t-il ?
Après avoir sélectionné la base légale, celle-ci est-elle la même que celle à laquelle la personne concernée s’attendrait ?
Quel est l’impact du traitement sur la personne concernée ?
Êtes-vous en position de pouvoir sur elle ?
S’agit-il d’une personne vulnérable ?
Serait-elle susceptible de s’opposer au traitement ?
Êtes-vous en mesure d’arrêter le traitement à tout moment sur demande, et avez-vous pris en compte la manière de le faire ?
Notre engagement envers le premier principe nous oblige à documenter ce processus et à montrer que nous avons examiné quelle base légale s’applique le mieux à chaque finalité du traitement, et que nous justifions pleinement ces décisions.
Nous devons également veiller à ce que les personnes dont nous traitons les données soient informées de la base légale du traitement de leurs données, ainsi que de la finalité prévue. Cela doit se faire par le biais d’un avis de confidentialité. Cette règle s’applique que nous ayons collecté les données directement auprès de la personne concernée ou auprès d’une autre source.
Si vous êtes responsable de l’évaluation de la base légale et de la mise en œuvre de la note de confidentialité pour l’activité de traitement, vous devez la faire approuver par le DPD.
Catégories particulières de données à caractère personnel
Que sont les catégories spéciales de données à caractère personnel ?
Précédemment connues sous le nom de données personnelles sensibles, ces catégories sont des données concernant une personne qui sont plus sensibles et qui nécessitent donc une plus grande protection. Ce type de données pourrait créer des risques plus importants pour les droits et libertés fondamentaux d’une personne, par exemple en lui faisant courir le risque d’une discrimination illégale. Les catégories spéciales comprennent des informations sur les éléments suivants
la race
l’origine ethnique
Politique
Religion
L’appartenance syndicale
génétique
Biométrie (lorsqu’elle est utilisée à des fins d’identification)
Santé
Orientation sexuelle
Dans la plupart des cas, lorsque nous traitons des catégories particulières de données personnelles, nous demandons le consentement explicite de la personne concernée, à moins que des circonstances exceptionnelles ne s’appliquent ou que la loi ne nous y oblige (par exemple, pour nous conformer aux obligations légales en matière de santé et de sécurité au travail). Tout consentement de ce type devra identifier clairement la nature des données concernées, la raison pour laquelle elles sont traitées et à qui elles seront divulguées.
La condition de traitement des catégories spéciales de données personnelles doit être conforme à la loi. Si nous n’avons pas de base légale pour traiter les catégories spéciales de données, cette activité de traitement doit cesser.
Nos responsabilités
analyser et documenter le type de données personnelles que nous détenons
Vérifier les procédures pour s’assurer qu’elles couvrent tous les droits de l’individu
Identifier la base légale du traitement des données
S’assurer que les procédures de consentement sont légales
Mettre en œuvre et réviser les procédures pour détecter, signaler et enquêter sur les violations des données personnelles
Stocker les données de manière sûre et sécurisée
Évaluer le risque qui pourrait être posé aux droits et libertés individuels si les données étaient compromises.
Vos responsabilités
Comprendre pleinement vos obligations en matière de protection des données
Vérifiez que toutes les activités de traitement des données que vous traitez sont conformes à notre politique et justifiées.
N’utilisez pas les données de manière illégale.
Ne stockez pas les données de manière incorrecte, ne faites pas preuve de négligence ou ne nous amenez pas à enfreindre les lois sur la protection des données et nos politiques par vos actions.
Respecter cette politique à tout moment
Faites part de vos préoccupations, notifiez toute violation ou erreur et signalez sans délai tout élément suspect ou contraire à cette politique ou à nos obligations légales.
Responsabilités du délégué à la protection des données
Tenir le conseil d’administration informé des responsabilités, des risques et des problèmes liés à la protection des données.
Réviser régulièrement toutes les procédures et politiques de protection des données.
Organiser des formations et des conseils en matière de protection des données pour tous les membres du personnel et pour les personnes visées par la présente politique.
Répondre aux questions sur la protection des données posées par le personnel, les membres du conseil d’administration et les autres parties prenantes.
Répondre aux personnes, telles que les clients et les employés, qui souhaitent savoir quelles données nous détenons à leur sujet.
Vérifier et approuver avec les tiers qui traitent les données de l’entreprise tout contrat ou accord concernant le traitement des données.
Responsabilités du responsable informatique
S’assurer que tous les systèmes, services, logiciels et équipements répondent à des normes de sécurité acceptables.
Vérifier et scanner régulièrement le matériel et les logiciels de sécurité pour s’assurer de leur bon fonctionnement
Rechercher des services tiers, tels que les services en nuage que l’entreprise envisage d’utiliser pour stocker ou traiter des données.
Responsabilités du responsable marketing
Approuver les déclarations de protection des données jointes aux courriels et autres documents de marketing.
répondre aux demandes de renseignements sur la protection des données émanant des clients, des publics cibles ou des médias
Coordonner avec le DPD pour s’assurer que toutes les initiatives de marketing respectent les lois sur la protection des données et la politique de protection des données de l’entreprise.
Exactitude et pertinence
Nous veillerons à ce que toutes les données personnelles que nous traitons soient exactes, adéquates, pertinentes et non excessives, compte tenu de la finalité pour laquelle elles ont été obtenues. Nous ne traiterons pas les données personnelles obtenues dans un but précis pour un autre but non lié, à moins que la personne concernée n’ait donné son accord ou ne s’y attende raisonnablement.
Les personnes peuvent demander que nous corrigions les données personnelles inexactes les concernant. Si vous pensez que des informations sont inexactes, vous devez enregistrer le fait que l’exactitude des informations est contestée et en informer le DPD.
Vous devez assurer la sécurité des données personnelles contre la perte ou l’utilisation abusive. Lorsque d’autres organisations traitent des données à caractère personnel en tant que service pour notre compte, le DPD déterminera quelles dispositions spécifiques supplémentaires en matière de sécurité des données doivent être mises en œuvre dans les contrats avec ces organisations tierces, le cas échéant.
Stockage sécurisé des données
Lorsque les données sont stockées sur papier, elles doivent être conservées dans un endroit sûr où le personnel non autorisé ne peut pas y accéder.
Les données imprimées doivent être déchiquetées lorsqu’elles ne sont plus nécessaires.
Les données stockées sur un ordinateur doivent être protégées par des mots de passe forts qui sont changés régulièrement. Nous encourageons tous les membres du personnel à utiliser un gestionnaire de mots de passe pour créer et stocker leurs mots de passe.
Les données stockées sur des CD ou des clés USB doivent être cryptées ou protégées par un mot de passe et enfermées en toute sécurité lorsqu’elles ne sont pas utilisées.
Le DPD doit approuver tout nuage utilisé pour stocker des données.
Les serveurs contenant des données personnelles doivent être conservés dans un endroit sécurisé, à l’écart des bureaux.
Les données doivent être régulièrement sauvegardées conformément aux procédures de sauvegarde de l’entreprise.
Les données ne doivent jamais être enregistrées directement sur des appareils mobiles tels que des ordinateurs portables, des tablettes ou des smartphones.
Tous les serveurs contenant des données sensibles doivent être approuvés et protégés par des logiciels de sécurité.
Toutes les mesures techniques possibles doivent être mises en place pour assurer la sécurité des données.
Conservation des données
Nous devons conserver les données personnelles pendant une durée n’excédant pas celle qui est nécessaire. Ce qui est nécessaire dépend des circonstances de chaque cas, en tenant compte des raisons pour lesquelles les données personnelles ont été obtenues, mais doit être déterminé d’une manière conforme à nos directives de conservation des données.
Transfert international de données
Il existe des restrictions sur les transferts internationaux de données personnelles. Vous ne devez pas transférer de données à caractère personnel à l’étranger ou ailleurs en dehors des règles et procédures normales sans l’autorisation expresse du DPD.
Les personnes ont des droits sur leurs données que nous devons respecter et auxquels nous devons nous conformer au mieux de nos capacités. Nous devons nous assurer que les personnes peuvent exercer leurs droits de la manière suivante :
Droit d’être informé
En fournissant des avis de confidentialité concis, transparents, intelligibles et facilement accessibles, gratuitement, rédigés dans un langage clair et simple, en particulier s’ils sont destinés aux enfants.
Tenue d’un registre de la manière dont nous utilisons les données personnelles afin de démontrer la conformité avec le besoin de responsabilité et de transparence.
Droit d’accès
Permettre aux personnes d’accéder à leurs données personnelles et à des informations supplémentaires.
Permettre aux personnes de prendre connaissance de la légalité des activités de traitement et de la vérifier.
Droit de rectification
Nous devons rectifier ou modifier les données à caractère personnel de la personne concernée si elle en fait la demande parce qu’elles sont inexactes ou incomplètes.
Cela doit être fait sans délai, et au plus tard dans un délai d’un mois. Ce délai peut être porté à deux mois avec l’autorisation du DPD.
Droit à l’effacement
Nous devons effacer ou supprimer les données d’une personne si elle en fait la demande et s’il n’y a pas de raison impérieuse de continuer à les traiter.
Droit de restreindre le traitement
Nous devons nous conformer à toute demande de restriction, de blocage ou de suppression du traitement des données personnelles.
Nous sommes autorisés à conserver les données personnelles si elles ont été restreintes, mais pas à les traiter davantage. Nous devons conserver suffisamment de données pour garantir le respect du droit de restriction à l’avenir.
Droit à la portabilité des données
Nous devons fournir aux personnes leurs données afin qu’elles puissent les réutiliser à leurs propres fins ou dans différents services.
Nous devons les fournir dans un format couramment utilisé et lisible par machine, et les envoyer directement à un autre responsable du traitement si cela est demandé.
Droit d’opposition
Nous devons respecter le droit d’une personne de s’opposer au traitement des données fondé sur l’intérêt légitime ou l’exécution d’une tâche d’intérêt public.
Nous devons respecter le droit d’une personne de s’opposer au marketing direct, y compris le profilage.
Nous devons respecter le droit d’une personne de s’opposer au traitement de ses données à des fins de recherche scientifique et historique et de statistiques.
Droits relatifs à la prise de décision automatisée et au profilage
Nous devons respecter les droits des personnes en ce qui concerne la prise de décision automatisée et le profilage.
Les personnes conservent leur droit de s’opposer à un tel traitement automatisé, de se faire expliquer les raisons de ce traitement et de demander une intervention humaine.
Quand fournir un avis de confidentialité
Un avis de confidentialité doit être fourni au moment où les données sont obtenues, si elles sont obtenues directement auprès de la personne concernée. Si les données ne sont pas obtenues directement auprès de la personne concernée, l’avis de confidentialité doit être fourni dans un délai raisonnable après l’obtention des données, c’est-à-dire dans un délai d’un mois.
Si les données sont utilisées pour communiquer avec la personne concernée, l’avis de confidentialité doit être fourni au plus tard lors de la première communication.
Si la divulgation à un autre destinataire est envisagée, l’avis de confidentialité doit être fourni avant la divulgation des données.
Ce qu’il faut inclure dans un avis de confidentialité
Les avis de confidentialité doivent être concis, transparents, intelligibles et facilement accessibles. Ils sont fournis gratuitement et doivent être rédigés dans un langage clair et simple, en particulier s’ils sont destinés aux enfants.
Les informations suivantes doivent être incluses dans un avis de confidentialité destiné à toutes les personnes concernées :
L’identification et les coordonnées du responsable du traitement des données et du délégué à la protection des données.
la finalité du traitement des données et la base légale pour le faire
Les intérêts légitimes du responsable du traitement ou du tiers, le cas échéant.
Le droit de retirer le consentement à tout moment, le cas échéant.
la catégorie des données à caractère personnel (uniquement pour les données qui ne sont pas obtenues directement auprès de la personne concernée)
tout destinataire ou toute catégorie de destinataires des données à caractère personnel
des informations détaillées sur les transferts éventuels vers des pays tiers et les garanties mises en place
la durée de conservation des données ou les critères utilisés pour déterminer la durée de conservation, y compris les détails concernant l’élimination des données après la durée de conservation.
le droit de déposer une plainte auprès de l’ICO et les procédures de plainte internes
la source des données personnelles, et si elles proviennent de sources accessibles au public (uniquement pour les données qui ne sont pas obtenues directement auprès de la personne concernée)
l’existence éventuelle d’une prise de décision automatisée, y compris le profilage, et des informations sur la manière dont ces décisions sont prises, leur importance et leurs conséquences pour la personne concernée
si la fourniture de données à caractère personnel fait partie d’une exigence ou d’une obligation légale ou contractuelle et les conséquences éventuelles d’un défaut de fourniture des données (uniquement pour les données obtenues directement auprès de la personne concernée).
Qu’est-ce qu’une demande d’accès aux données ?
Une personne a le droit de recevoir la confirmation que ses données sont traitées, d’accéder à ses données personnelles et de recevoir des informations supplémentaires, c’est-à-dire les informations qui devraient être fournies dans un avis de confidentialité.
Comment nous traitons les demandes d’accès aux données
Nous devons fournir gratuitement à une personne une copie des informations qu’elle demande. Cela doit se faire sans délai, et dans le mois qui suit la réception de la demande. Nous nous efforçons de permettre aux personnes concernées d’accéder à leurs informations dans des formats électroniques courants et, si possible, de leur fournir un accès direct aux informations par le biais d’un système sécurisé accessible à distance.
Si le respect de la demande est complexe ou nombreux, le délai peut être prolongé de deux mois, mais la personne doit être informée dans un délai d’un mois. Vous devez obtenir l’approbation du DPD avant de prolonger le délai.
Nous pouvons refuser de répondre à certaines demandes et, dans le cas où la demande est manifestement infondée ou excessive, nous pouvons facturer des frais. Si la demande porte sur une grande quantité de données, nous pouvons demander à la personne de préciser les informations qu’elle souhaite obtenir. Cela ne peut se faire qu’avec l’autorisation expresse du DPD.
Une fois qu’une demande d’accès à un sujet a été faite, vous ne devez pas changer ou modifier les données qui ont été demandées. Cela constituerait une infraction pénale.
Demandes de portabilité des données
Nous devons fournir les données demandées dans un format structuré, couramment utilisé et lisible par machine. Il s’agit normalement d’un fichier CSV, mais d’autres formats sont acceptables. Nous devons fournir ces données soit à la personne qui les a demandées, soit au responsable du traitement des données auquel elle a demandé qu’elles soient envoyées. Cela doit être fait gratuitement et sans délai, et au plus tard dans un mois. Ce délai peut être porté à deux mois en cas de demandes complexes ou nombreuses, mais la personne doit être informée de cette prolongation dans un délai d’un mois et vous devez recevoir au préalable l’autorisation expresse du DPD.
Qu’est-ce que le droit à l’effacement ?
Les personnes ont le droit d’obtenir l’effacement de leurs données et la cessation du traitement dans les circonstances suivantes :
Lorsque les données à caractère personnel ne sont plus nécessaires au regard de la finalité pour laquelle elles ont été initialement collectées et / ou traitées.
lorsque le consentement est retiré
Lorsque la personne s’oppose au traitement et qu’il n’y a pas d’intérêt légitime prépondérant à poursuivre le traitement.
Les données à caractère personnel ont été traitées illégalement ou ont enfreint les lois sur la protection des données.
Pour se conformer à une obligation légale
Le traitement concerne un enfant
Comment nous traitons le droit à l’effacement
Nous ne pouvons refuser de nous conformer à un droit à l’effacement que dans les circonstances suivantes :
Pour exercer le droit à la liberté d’expression et d’information.
Pour se conformer à une obligation légale pour l’exécution d’une tâche d’intérêt public ou l’exercice de l’autorité publique.
à des fins de santé publique dans l’intérêt public
A des fins d’archivage dans l’intérêt public, de recherche scientifique, de recherche historique ou à des fins statistiques
L’exercice ou la défense de droits en justice
Si les données personnelles qui doivent être effacées ont été transmises à d’autres parties ou destinataires, ceux-ci doivent être contactés et informés de leur obligation d’effacer les données. Si la personne le demande, nous devons l’informer de ces destinataires.
Droit d’opposition
Les personnes ont le droit de s’opposer à l’utilisation de leurs données pour des raisons liées à leur situation particulière. Nous devons cesser le traitement, sauf si
Nous avons des motifs légitimes de traitement qui prévalent sur les intérêts, les droits et les libertés de la personne.
Le traitement est lié à la constatation, l’exercice ou la défense de droits en justice.
Nous devons toujours informer la personne de son droit d’opposition au premier point de communication, c’est-à-dire dans l’avis de confidentialité. Nous devons offrir aux personnes un moyen de s’opposer en ligne.
Le droit de restreindre le profilage ou la prise de décision automatisés
Nous ne pouvons procéder à un profilage ou à une prise de décision automatisés qui ont un effet légal ou un effet significatif similaire sur une personne que dans les circonstances suivantes :
Il est nécessaire pour la conclusion ou l’exécution d’un contrat.
Sur la base du consentement explicite de la personne concernée.
Autrement autorisé par la loi.
Dans ces circonstances, nous devons :
Donner aux individus des informations détaillées sur le traitement automatisé.
Leur offrir des moyens simples de demander une intervention humaine ou de contester toute décision les concernant.
Effectuer des vérifications régulières et des tests utilisateurs pour s’assurer que nos systèmes fonctionnent comme prévu.
Utilisation de responsables du traitement et de sous-traitants tiers
En tant que [responsable du traitement des données (et/ou) sous-traitant des données], nous devons mettre en place des contrats écrits avec tous les [responsables du traitement des données (et/ou) sous-traitants des données] tiers que nous utilisons. Le contrat doit contenir des clauses spécifiques qui définissent nos responsabilités, obligations et responsabilités et celles de ces tiers.
[Pour les responsables du traitement] En tant que responsable du traitement des données, nous devons uniquement nommer des sous-traitants qui peuvent fournir des garanties suffisantes en vertu du GDPR et que les droits des personnes concernées seront respectés et protégés.
[Pour les sous-traitants] En tant que sous-traitant de données, nous ne devons agir que sur les instructions documentées d’un responsable du traitement. Nous reconnaissons nos responsabilités en tant que processeur de données en vertu du GDPR et nous protégerons et respecterons les droits des personnes concernées.
Contrats
Nos contrats doivent être conformes aux normes établies par l’ICO et, dans la mesure du possible, suivre les clauses contractuelles types qui sont disponibles. Nos contrats avec [les responsables du traitement (et/ou) les sous-traitants des données] doivent préciser l’objet et la durée du traitement, la nature et la finalité déclarée des activités de traitement, les types de données à caractère personnel et les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement.
Au minimum, nos contrats doivent inclure des termes qui précisent :
Agir uniquement sur instructions écrites.
Les personnes impliquées dans le traitement des données sont soumises à un devoir de confidentialité
Des mesures appropriées seront prises pour assurer la sécurité du traitement
Les sous-traitants ne seront engagés qu’avec l’accord préalable du responsable du traitement et dans le cadre d’un contrat écrit.
Le responsable du traitement aidera le sous-traitant à traiter les demandes d’accès des personnes concernées et à leur permettre d’exercer leurs droits en vertu du GDPR.
Le sous-traitant aidera le responsable du traitement à remplir ses obligations au titre du GDPR en ce qui concerne la sécurité du traitement, la notification des violations de données et la mise en œuvre des évaluations d’impact sur la protection des données.
Supprimer ou retourner toutes les données personnelles à la fin du contrat.
Se soumettre à des audits et inspections réguliers, et fournir toute information nécessaire au responsable du traitement et au sous-traitant pour remplir leurs obligations légales.
Le responsable du traitement et le sous-traitant ne feront rien pour enfreindre le GDPR.
Vérification du casier judiciaire
Toute vérification du casier judiciaire est justifiée par la loi. Les vérifications du casier judiciaire ne peuvent être effectuées sur la seule base du consentement de la personne concernée. Nous ne pouvons pas tenir un registre complet des données relatives aux infractions pénales. Toutes les données relatives aux infractions pénales sont considérées comme une catégorie spéciale de données à caractère personnel et doivent être traitées comme telles. Vous devez obtenir l’approbation du DPD avant de procéder à une vérification du casier judiciaire.
Audits, suivi et formation
Audits de données
Des audits de données réguliers visant à gérer et à atténuer les risques alimenteront le registre des données. Celui-ci contient des informations sur les données détenues, l’endroit où elles sont stockées, la manière dont elles sont utilisées, les personnes responsables et toute autre réglementation ou calendrier de conservation qui pourrait être pertinent. Vous devez effectuer un audit régulier des données tel que défini par le DPD et les procédures normales.
Suivi de
Chacun doit respecter cette politique. Le DPD a la responsabilité générale de cette politique. Sinai Services (société holding du Red Sea Diving College) gardera cette politique sous contrôle et la modifiera ou la changera si nécessaire. Vous devez informer le DPD de toute violation de cette politique. Vous devez vous conformer entièrement et à tout moment à cette politique.
Formation
Vous recevrez une formation adéquate sur les dispositions de la loi sur la protection des données spécifiques à votre rôle. Vous devez suivre toutes les formations demandées. Si vous changez de rôle ou de responsabilités, il vous incombe de demander une nouvelle formation sur la protection des données correspondant à votre nouveau rôle ou à vos nouvelles responsabilités.
Si vous avez besoin d’une formation supplémentaire en matière de protection des données, contactez le DPD.
Toute violation de cette politique ou des lois sur la protection des données doit être signalée dès que possible. Cela signifie dès que vous avez pris connaissance d’une violation. Sinai Services (société holding du Red Sea Diving College) a l’obligation légale de signaler toute violation de données à l’autorité GDPR dans les [72 heures].
Tous les membres du personnel ont l’obligation de signaler les manquements réels ou potentiels à la conformité en matière de protection des données. Cela nous permet de :
Enquêter sur le manquement et prendre des mesures correctives si nécessaire.
Tenir un registre des manquements à la conformité
de notifier à l’autorité GDPR tout manquement à la conformité qui est important, soit en soi, soit dans le cadre d’un ensemble de manquements.
Tout membre du personnel qui ne notifie pas un manquement, ou dont il s’avère qu’il savait ou soupçonnait qu’un manquement avait eu lieu mais n’a pas suivi les procédures de signalement correctes, sera passible de mesures disciplinaires.
Veuillez vous référer à notre fournisseur de services Internet, à notre client de listes de diffusion et à WP Plugins pour connaître notre procédure de signalement.
Défaut de conformité
Nous prenons très au sérieux le respect de cette politique. Si vous ne vous y conformez pas, vous et l’organisation courrez un risque.
L’importance de cette politique signifie que le non-respect de toute exigence peut entraîner une action disciplinaire dans le cadre de nos procédures, pouvant aboutir au licenciement.
Si vous avez des questions ou des préoccupations concernant un élément de cette politique, n’hésitez pas à contacter le DPD.