Protection des données

Avant-propos

Notre politique de protection des données d'entreprise énonce des exigences strictes pour le traitement des données personnelles relatives aux clients, prospects, partenaires commerciaux et employés. Il répond aux exigences de la directive européenne sur la protection des données (RGPD) et garantit le respect des principes des lois nationales et internationales sur la protection des données.

La politique fixe les normes applicables en matière de protection et de sécurité des données pour notre entreprise et réglemente le partage d'informations entre les sociétés de notre groupe. Nous avons établi sept principes de protection des données – parmi lesquels la transparence, l'économie des données et la sécurité des données – comme ligne directrice.

Nos responsables et employés sont tenus d'adhérer à la politique et d'observer leurs lois locales sur la protection des données.

En tant que responsable de la protection des données de l'entreprise, il est de mon devoir de veiller à ce que les règles et principes de protection des données à Dents sont suivis.

 

Robert Yentob

Président

 

23/5/18

 

Contenu

I. Objectif de la politique de protection des données

II. Portée de la politique de protection des données

III. Application des lois nationales

IV. Principes de traitement des données personnelles

1. Loyauté et licéité

2. Restriction à un but précis

3. Transparence

4. Réduction des données et économie des données

5. Suppression

6. Exactitude factuelle ; données à jour

7. Confidentialité et sécurité des données

V. Fiabilité du traitement des données

1. Données clients et partenaires

1.1 Traitement des données pour une relation contractuelle

1.2 Traitement des données à des fins publicitaires

1.3 Consentement au traitement des données

1.4 Traitement des données conformément à l'autorisation légale

1.5 Traitement des données conformément à l'intérêt légitime

1.6 Traitement de données hautement sensibles

1.7 Décisions individuelles automatisées

1.8 Données utilisateur et internet

2. Données sur les employés

2.1 Traitement des données pour la relation de travail

2.2 Traitement des données conformément à l'autorisation légale

2.3 Consentement au traitement des données

2.4Traitement des données en vertu d'un intérêt légitime

2.5 Traitement de données hautement sensibles

2.6 Décisions automatisées

2.7 Télécommunications et internet

VI. Transmission de données personnelles

VII. Traitement des données contractuelles

VIII. Droits de la personne concernée

IX. Confidentialité du traitement

X. Sécurité du traitement

XI. Contrôle de la protection des données

XII. Incidents liés à la protection des données    

XIII. Responsabilités et sanctions                                     

 

1. JE.                    Objectif de la politique de protection des données

Dans le cadre de sa responsabilité sociale, le groupe Dewhurst Dent (le Groupe) s'engage à respecter les lois sur la protection des données. Cette politique de protection des données s'applique dans le monde entier au Groupe et est basé sur des principes de base mondialement acceptés en matière de protection des données. Assurer la protection des données est le fondement de relations commerciales de confiance et de la réputation d'employeur attractif de toutes les sociétés du Groupe.

La politique de protection des données fournit l'une des conditions-cadres nécessaires pour les échanges transfrontaliers.

transmission de données entre les sociétés du Groupe. Il assure le niveau adéquat de protection des données

prescrites par le RGPD et les lois nationales pour la transmission transfrontalière de données, y compris dans les pays qui ne disposent pas encore de lois adéquates sur la protection des données.

 

1. II.                   Portée de la politique de protection des données

Cette politique de protection des données s'applique à toutes les sociétés et divisions du Groupe, c'est-à-dire Dents, Gaby, Dents Australia Pty, Corgi Hosiery Ltd, D.Charles Astle (priseurs) et  Hersil Fabrics.

 

La politique de protection des données s'étend à tous les traitements de données personnelles

 

1. III.               Application des lois nationales

Cette politique de protection des données comprend les principes de confidentialité des données internationalement acceptés

sans remplacer les lois nationales existantes. Il complète les lois nationales sur la protection des données. Le

la législation nationale applicable prévaudra en cas de conflit avec la présente politique de protection des données.

politique, ou il a des exigences plus strictes que cette politique. Le contenu de cette politique de protection des données

doivent également être respectées en l'absence de législation nationale correspondante. Le signalement

les exigences en matière de traitement des données en vertu des lois nationales doivent être respectées.

 

Chaque société du Groupe est responsable du respect de la présente Politique de Protection des Données et des obligations légales. Tous les employés doivent lire, comprendre et respecter cette politique et toutes les politiques connexes lors du traitement des données personnelles et toute violation peut entraîner des mesures disciplinaires.

 

1. IV.              Principes de traitement des données personnelles

1. Loyauté et licéité

Lors du traitement des données personnelles, les droits individuels des personnes concernées doivent être protégés.

Les données personnelles doivent être collectées et traitées de manière licite et loyale. La législation sur la protection des données autorise le traitement à des fins spécifiques, qui sont énoncées dans la présente politique. Les personnes concernées seront informées des finalités du traitement de leurs données personnelles, qui peuvent être trouvées dans l'avis de confidentialité des employés de l'entreprise.

 

2. Restriction à une finalité déterminée, explicite et légitime

Les données personnelles ne peuvent être traitées que pour des finalités déterminées, explicites et légitimes et ne seront pas traitées de manière incompatible avec ces finalités. Les modifications ultérieures de la finalité ne sont possibles que dans une mesure limitée et nécessitent une justification.

3. Transparence

La personne concernée doit être informée de la manière dont ses données sont traitées. [Les employés recevront un avis de confidentialité les informant de la manière dont leurs données sont traitées.]  Les informations seront concises, transparentes, facilement accessibles et rédigées dans un langage clair et planifié. 

 

En général, les données personnelles seront collectées directement auprès de la personne concernée. Lors de la collecte des données, la personne concernée doit soit avoir connaissance, soit être informée :

» L'identité du responsable du traitement

» La finalité du traitement des données

» Tiers ou catégories de tiers auxquels les données pourraient être transmises

 

Les données personnelles peuvent également être collectées indirectement (par exemple, auprès d'un tiers ou de sources accessibles au public). La personne concernée sera informée des informations ci-dessus dès que possible après la collecte/réception des données.

 

4. Réduction des données et économie des données

Les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Avant de traiter des données personnelles, vous devez déterminer si et dans quelle mesure le traitement des données personnelles est nécessaire pour atteindre l'objectif pour lequel il est entrepris.

Lorsque la finalité le permet et que la dépense engagée est proportionnée au but poursuivi, des données anonymisées ou statistiques doivent être utilisées. Les données personnelles ne peuvent pas être collectées à l'avance et stockées à des fins futures potentielles, sauf si la législation nationale l'exige ou l'autorise.

 

5. Suppression

Lorsque les données personnelles ne sont plus nécessaires, elles seront supprimées conformément aux directives et politiques de conservation des données de la société. Les personnes concernées seront informées de la période pendant laquelle les données sont stockées et de la manière dont cette période est déterminée dans ses politiques de confidentialité. 

 Les tiers doivent être tenus de supprimer les données qui ne sont plus nécessaires, le cas échéant.

 

6. Exactitude factuelle ; données à jour

Les données personnelles enregistrées doivent être exactes et, si nécessaire, tenues à jour. Des mesures appropriées doivent être prises pour garantir que les données inexactes ou incomplètes sont supprimées, corrigées, complétées ou mises à jour.

 

7. Confidentialité et sécurité des données

Les données personnelles sont soumises à la confidentialité. Elles doivent être traitées de manière confidentielle sur le plan personnel et sécurisées par des mesures organisationnelles et techniques appropriées pour empêcher l'accès non autorisé, le traitement ou la distribution illégaux, ainsi que la perte, l'endommagement, la modification ou la destruction accidentels. Nous avons mis en place des mesures de protection adaptées à notre taille, notre portée, nos ressources et les risques identifiés qui seront régulièrement évalués et testés. Nous avons mis en place des procédures pour traiter toute suspicion de violation de données personnelles et informerons les personnes concernées ou tout organisme de réglementation applicable lorsque nous sommes légalement tenus de le faire. 

 

Les données personnelles ne seront transférées qu'à des prestataires de services tiers qui acceptent de se conformer à nos politiques et procédures requises et qui acceptent de mettre en place des mesures adéquates pour maintenir la sécurité des données. Les données personnelles ne seront pas transférées vers un autre pays sans que des garanties appropriées soient en place.

 

1. DANS.                Fiabilité du traitement des données

La collecte, le traitement et l'utilisation des données personnelles ne sont autorisés que sur les bases légales suivantes.

L'une de ces bases juridiques est également requise si la finalité de la collecte, du traitement et de l'utilisation des données personnelles doit être modifiée par rapport à la finalité initiale.

 

     1.       Données clients et partenaires

1.1 Traitement des données pour une relation contractuelle

Les données personnelles des prospects, clients et partenaires concernés peuvent être traitées afin d'établir, d'exécuter et de résilier un contrat. Cela inclut également les services de conseil pour le partenaire sous contrat si cela est lié à l'objet contractuel. Avant un contrat - pendant la phase d'initiation du contrat - les données personnelles peuvent être traitées pour préparer des offres ou des bons de commande ou pour répondre à d'autres demandes du prospect liées à la conclusion du contrat. Les prospects peuvent être contactés pendant le processus de préparation du contrat en utilisant les informations qu'ils ont fournies. Toutes les restrictions demandées par les prospects doivent être respectées.

 

1.2 Traitement des données à des fins publicitaires

Si la personne concernée contacte une société du Groupe pour demander des informations (par exemple, demander à recevoir du matériel d'information sur un produit), le traitement des données pour répondre à cette demande est autorisé.

Les mesures de fidélisation de la clientèle ou de publicité sont soumises à d'autres exigences légales. Les données personnelles peuvent être traitées à des fins publicitaires ou d'études de marché et d'opinion, à condition que cela soit cohérent avec l'objectif pour lequel les données ont été initialement collectées. La personne concernée doit être informée de l'utilisation de ses données à des fins publicitaires. Si les données sont collectées uniquement à des fins publicitaires, la divulgation de la part de la personne concernée est volontaire. La personne concernée est informée que la fourniture de données à cette fin est volontaire. Lors de la communication avec la personne concernée, le consentement doit être obtenu de sa part pour traiter les données à des fins publicitaires. Lorsqu'elle donne son consentement, la personne concernée doit avoir le choix entre les formes de contact disponibles telles que le courrier ordinaire, l'e-mail et le téléphone (Consentement, voir V.1.3). Si la personne concernée refuse l'utilisation de ses données à des fins publicitaires, elles ne peuvent plus être utilisées à ces fins et doivent être bloquées pour qu'elles soient utilisées à ces fins. Toutes les autres restrictions de pays spécifiques concernant l'utilisation des données à des fins publicitaires doivent être respectées.

 

1.3 Consentement au traitement des données

Les données peuvent être traitées après consentement de la personne concernée. Avant de donner son consentement, la personne concernée doit être informée conformément au IV.3. de cette politique de protection des données. La déclaration de consentement doit être obtenue par écrit ou par voie électronique à des fins de documentation. Dans certaines circonstances, comme les conversations téléphoniques, le consentement peut être donné verbalement. L'octroi du consentement doit être documenté.

 

1.4 Traitement des données conformément à l'autorisation légale

Le traitement des données personnelles est également autorisé si la législation nationale le demande, l'exige ou le permet. Le type et l'étendue du traitement des données doivent être nécessaires à l'activité de traitement des données légalement autorisée et doivent être conformes aux dispositions légales applicables.

 

1.5 Traitement des données conformément à l'intérêt légitime

Les données personnelles peuvent également être traitées si cela est nécessaire pour un intérêt légitime du Groupe. Les intérêts légitimes sont généralement de nature juridique (par exemple, recouvrement de créances impayées) ou commercial (par exemple, éviter les ruptures de contrat). Les données personnelles ne peuvent pas être traitées aux fins d'un intérêt légitime si, dans des cas individuels, il existe des preuves que les intérêts de la personne concernée méritent d'être protégés, et que cela prévaut. Avant le traitement des données, il est nécessaire de déterminer s'il existe des intérêts qui méritent d'être protégés.

 

1.6 Traitement de données hautement sensibles

Les données personnelles hautement sensibles ne peuvent être traitées que si la loi l'exige ou si la personne concernée a donné son consentement exprès. Ces données peuvent également être traitées si elles sont obligatoires pour faire valoir, exercer ou défendre des droits légaux concernant la personne concernée. S'il est prévu de traiter des données hautement sensibles, le président ou le directeur général de l'entreprise concernée (qui sont les délégués à la protection des données) doit en être informé au préalable.

 

1.7 Décisions individuelles automatisées

Le traitement automatisé des données à caractère personnel utilisé pour évaluer certains aspects (par exemple, la solvabilité) ne peut pas être le seul fondement de décisions ayant des conséquences juridiques négatives ou susceptibles de porter gravement atteinte à la personne concernée. La personne concernée doit être informée des faits et des résultats des décisions individuelles automatisées et de la possibilité de réagir. Pour éviter des décisions erronées, un test et un contrôle de plausibilité doivent être effectués par un employé.

 

1.8 Données utilisateur et internet

Si des données personnelles sont collectées, traitées et utilisées sur des sites Web ou dans des applications, les personnes concernées doivent en être informées dans une déclaration de confidentialité et, le cas échéant, des informations sur les cookies. La déclaration de confidentialité et toute information sur les cookies doivent être intégrées de manière à être facilement identifiables, directement accessibles et constamment disponibles pour les personnes concernées. Si des profils d'utilisation (suivi) sont créés pour évaluer l'utilisation de sites Web et d'applications, les personnes concernées doivent toujours être informées en conséquence dans la déclaration de confidentialité. Le suivi personnel ne peut être effectué que s'il est autorisé par la législation nationale ou avec le consentement de la personne concernée. Si le suivi utilise un pseudonyme, la personne concernée devrait avoir la possibilité de se retirer dans la déclaration de confidentialité. Si des sites Web ou des applications peuvent accéder à des données personnelles dans une zone réservée aux utilisateurs enregistrés, l'identification et l'authentification de la personne concernée doivent offrir une protection suffisante lors de l'accès.

 

2. Données sur les employés

 

2.1 Traitement des données pour la relation de travail

Dans les relations de travail, les données personnelles peuvent être traitées si nécessaire pour exécuter le contrat de travail, y compris pour initier, exécuter et mettre fin à l'emploi. Lors de l'initiation d'une relation de travail, les données personnelles des candidats peuvent être traitées. Si le candidat est rejeté, ses données doivent être supprimées dans un délai de 6 mois à moins que le candidat n'ait accepté qu'elles restent dans le dossier pour un futur processus de sélection.

 

Dans la relation de travail existante, le traitement des données peut être nécessaire aux fins de l'exécution du contrat de travail, mais il peut également exister d'autres bases légales pour le traitement, comme indiqué ci-dessous. S'il s'avère nécessaire, au cours de la procédure de candidature, de recueillir des informations sur un candidat auprès d'un tiers, les exigences des législations nationales correspondantes doivent être respectées. En cas de doute, le consentement doit être obtenu auprès de la personne concernée. Il peut exister d'autres bases juridiques pour traiter les données personnelles liées à la relation de travail. Cela peut inclure les exigences légales, le consentement de l'employé ou l'intérêt légitime de l'entreprise.

 

2.2 Traitement des données conformément à l'obligation légale

Le traitement des données personnelles des employés est également autorisé si la législation nationale le demande, l'exige ou l'autorise. Le type et l'étendue du traitement des données doivent être nécessaires à l'activité de traitement des données légalement autorisée et doivent être conformes aux dispositions légales applicables.

 

2.3 Consentement au traitement des données

Les données des employés peuvent être traitées avec le consentement de la personne concernée. Les déclarations de consentement doivent être soumises volontairement. Le consentement involontaire est nul. La déclaration de consentement doit être obtenue par écrit ou par voie électronique à des fins de documentation. Dans certaines circonstances, le consentement peut être donné verbalement, auquel cas il doit être dûment documenté.

 

Un employé consent au traitement de ses données personnelles s'il indique clairement son accord, soit par une déclaration, soit par une action positive au traitement. Si le consentement est donné dans un document qui traite d'autres questions, le consentement doit être séparé de ces autres questions. Les employés doivent pouvoir retirer facilement leur consentement à tout moment. 

 

Sauf s'il existe une autre base légale pour le traitement, un consentement explicite est requis pour le traitement de catégories particulières de données (voir paragraphe 2.5 ci-dessous). Habituellement, la Société s'appuiera sur une autre base juridique et n'exigera pas de consentement explicite pour traiter des données de catégorie spéciale.

 

2.4 Traitement des données en vertu d'un intérêt légitime

Les données personnelles peuvent également être traitées si cela est nécessaire aux fins d'un intérêt légitime du Groupe ou d'un tiers. Les intérêts légitimes sont généralement de nature juridique (par exemple, dépôt, exécution ou défense contre des actions en justice), financière (par exemple, évaluation d'entreprises) ou autre (par exemple, Il est nécessaire de protéger les intérêts vitaux de l'individu ou d'une autre personne ou Il est nécessaire à l'exécution d'une mission effectuée dans l'intérêt public)

 

Les données personnelles ne peuvent pas être traitées sur la base d'un intérêt légitime si, dans des cas individuels, ces intérêts sont supplantés par les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent la protection des données personnelles. Les intérêts légitimes invoqués seront définis dans les avis de confidentialité applicables. En outre, toute exigence supplémentaire prévue par la législation nationale (par exemple, les droits de cogestion pour les représentants des travailleurs et les droits d'information des personnes concernées) doit être prise en compte.

 

2.5 Traitement de données hautement sensibles

Les données personnelles hautement sensibles ne peuvent être traitées que sous certaines conditions. Les données hautement sensibles sont des données sur l'origine raciale et ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques, les données de santé et les données sur la vie sexuelle et l'orientation de la personne concernée. En vertu de la législation nationale, d'autres catégories de données peuvent être considérées comme très sensibles ou le contenu des catégories de données peut être rempli différemment. En outre, les données relatives aux condamnations pénales et aux infractions ne peuvent souvent être traitées qu'en vertu d'exigences particulières en vertu du droit national. Le traitement doit être expressément autorisé ou prescrit par le droit national. En outre, le traitement peut être autorisé s'il est nécessaire pour que l'autorité responsable remplisse ses droits et obligations dans le domaine du droit du travail. L'employé peut également consentir expressément au traitement. S'il est prévu de traiter des données hautement sensibles, le responsable de la protection des données doit en être informé au préalable.

 

Les données hautement sensibles peuvent être traitées dans les circonstances suivantes :

• Avec le consentement explicite de la personne concernée
• Lorsque le traitement est nécessaire à l'exécution ou à l'exercice d'obligations ou de droits imposés par la loi au responsable du traitement ou à la personne concernée en matière d'emploi, de sécurité sociale ou de protection sociale et que l'employeur dispose d'un document de politique approprié et de garanties supplémentaires en place
• Lorsque le traitement est nécessaire pour protéger les intérêts vitaux de la personne ou d'une autre personne et que la personne est incapable de donner son consentement
• Lorsque le traitement porte sur des données à caractère personnel que la personne a rendues publiques
• Lorsque le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice
• Lorsque le traitement est nécessaire pour des raisons d'intérêt public substantiel, à condition que l'employeur dispose d'un document de politique approprié et de garanties supplémentaires en place. Cela peut inclure le traitement de données à des fins de promotion de l'égalité de traitement
• Lorsque le traitement est nécessaire à l'évaluation de la capacité de travail de la personne ou à la suite d'un contact avec un professionnel de la santé, et sous réserve de garanties de confidentialité

 

2.6 Décisions automatisées

Si des données à caractère personnel sont traitées automatiquement dans le cadre de la relation de travail et que des données personnelles spécifiques sont évaluées (par exemple dans le cadre de la sélection du personnel ou de l'évaluation des profils de compétences), ce traitement automatisé ne peut pas être le seul fondement de décisions qui auraient des conséquences négatives ou un impact significatif sur l'employé concerné. Pour éviter des décisions erronées, le processus automatisé doit assurer qu'une personne physique évalue le contenu de la situation, et que cette évaluation est à la base de la décision. La personne concernée doit également être informée des faits et des résultats du traitement automatisé et de la possibilité d'y répondre. L'entreprise n'envisage pas d'utiliser la prise de décision automatisée, mais informera le personnel par écrit si le poste change.

 

2.7 Télécommunications et internet

Les équipements téléphoniques, les adresses e-mail, l'intranet et l'internet ainsi que les réseaux sociaux internes sont fournis par l'entreprise principalement pour des missions liées au travail. Ils sont un outil et une ressource de l'entreprise. Ils peuvent être utilisés dans le cadre des réglementations légales applicables et des politiques internes de l'entreprise. En cas d'utilisation autorisée à des fins privées, les lois sur le secret des télécommunications et les lois nationales pertinentes sur les télécommunications doivent être respectées, le cas échéant. Il n'y aura pas de contrôle général des communications téléphoniques et e-mail ou de l'utilisation de l'intranet/internet. Pour se défendre contre les attaques sur l'infrastructure informatique ou les utilisateurs individuels, des mesures de protection peuvent être mises en œuvre pour les connexions aux réseaux des sociétés du Groupe qui bloquent les contenus techniquement nuisibles ou qui analysent les schémas d'attaque. Pour des raisons de sécurité, l'utilisation des équipements téléphoniques, des adresses e-mail, de l'intranet/internet et des réseaux sociaux internes peut être enregistrée temporairement. Les évaluations de ces données auprès d'une personne spécifique ne peuvent être effectuées qu'en cas de suspicion de violation des lois ou des politiques du Groupe. Les législations nationales applicables doivent être respectées au même titre que les réglementations du Groupe.

 

1. NOUS.              Transmission de données personnelles

La transmission de données personnelles à des destinataires extérieurs ou internes au Groupe est soumise aux exigences d'autorisation pour le traitement des données personnelles en vertu de la section V.   Les données personnelles ne seront pas partagées avec des tiers, sauf si certaines garanties et dispositions contractuelles ont été mises en place. Le destinataire des données doit être tenu de n'utiliser les données qu'aux fins définies et conformément à nos instructions.

Dans le cas où des données seraient transmises à un destinataire extérieur au Groupe vers un pays tiers, y compris un pays hors UE, nous veillerons à ce qu'il existe dans ce pays un niveau de protection adéquat pour protéger les données personnelles équivalentes aux niveaux de protection énoncées dans la présente politique de protection des données. Si des données sont transmises par un tiers à une société du Groupe, il convient de s'assurer que les données seront utilisées aux fins prévues.

 

1. VII.            Traitement des données contractuelles

Le traitement des données pour le compte signifie qu'un fournisseur est engagé pour traiter les données personnelles, sans

se voir confier la responsabilité du processus opérationnel connexe. Dans ces cas, un accord

sur le traitement des données pour le compte doit être conclu avec des prestataires externes et entre entreprises

au sein du Groupe. Le client conserve l'entière responsabilité de la bonne exécution du traitement des données. Le fournisseur ne peut traiter les données personnelles que conformément aux instructions du client. Lors de la passation de la commande, les exigences suivantes doivent être respectées ; le service qui passe la commande doit s'assurer de leur respect.

1. Le prestataire doit être choisi en fonction de sa capacité à couvrir les mesures de protection techniques et organisationnelles requises.
2. La commande doit être passée par écrit. Les instructions sur le traitement des données et les responsabilités du client et du fournisseur doivent être documentées.
3. Les normes contractuelles de protection des données fournies par le responsable de la protection des données doivent être prises en compte.
4. Avant le début du traitement des données, le client doit être sûr que le fournisseur se conformera aux obligations. Un fournisseur peut documenter sa conformité aux exigences de sécurité des données dans

notamment en présentant une certification appropriée. En fonction du risque de traitement des données, les revues doivent être répétées régulièrement pendant la durée du contrat.

1. N'utilisez que du personnel et d'autres personnes qui ont un devoir de confidentialité à l'égard des données.
2. Respecter des obligations de sécurité équivalentes à celles imposées à l'employeur dans le cadre du RGPD.
3.  Informer l'employeur de toute violation en relation avec les données personnelles partagées par l'employeur.
4.  Engagez un sous-traitant ultérieur uniquement avec l'autorisation préalable de l'employeur.
   1.  En cas de traitement transfrontalier de données contractuelles, les exigences nationales applicables en matière de divulgation de données à caractère personnel à l'étranger doivent être respectées. En particulier, les données personnelles de l'Espace économique européen ne peuvent être traitées dans un pays tiers que si le fournisseur peut prouver qu'il dispose d'une norme de protection des données équivalente à la présente politique de protection des données. Les outils appropriés peuvent être :
      1. Accord sur les clauses contractuelles types de l'UE pour le traitement des données contractuelles dans les pays tiers avec le fournisseur et les éventuels sous-traitants.
      2. Participation du fournisseur à un système de certification accrédité par l'UE pour la fourniture d'un niveau de protection des données suffisant.
      3. Reconnaissance des règles d'entreprise contraignantes du fournisseur pour créer un niveau approprié de protection des données par les autorités de contrôle responsables de la protection des données.

 

1. VIII.         Droits de la personne concernée

Chaque personne concernée a les droits suivants ;

1. La personne concernée peut demander des informations sur les données personnelles la concernant qui ont été stockées, comment les données ont été collectées et dans quel but. S'il existe d'autres droits à

consulter les documents de l’employeur (par exemple, le dossier du personnel) pour la relation de travail sous

les lois sur l'emploi applicables, celles-ci resteront inchangées.

1. Si des données personnelles sont transmises à des tiers, des informations doivent être fournies sur l'identité

du destinataire ou des catégories de destinataires.

1. Si les données personnelles sont incorrectes ou incomplètes, la personne concernée peut demander qu'elles soient corrigées

ou complété.

1. La personne concernée peut s'opposer au traitement de ses données à des fins publicitaires ou d'études de marché/d'opinion. Les données doivent être bloquées de ces types d'utilisation.
2. La personne concernée peut demander la suppression de ses données si le traitement de ces données n'a pas de base légale ou si la base légale a cessé de s'appliquer. Il en va de même si la finalité du traitement des données est caduque ou a cessé d'être applicable pour d'autres raisons. Les délais de conservation existants et les conflits d'intérêts méritant d'être protégés doivent être respectés.
3. La personne concernée a généralement le droit de s'opposer au traitement de ses données lorsque nous nous appuyons sur un intérêt légitime (ou celui d'un tiers) pour le traitement et qu'il y a quelque chose dans la situation particulière de la personne concernée qui lui donne envie de s'opposer au traitement pour ce motif. Ceci doit être pris en compte si la protection de ses intérêts prime sur l'intérêt du responsable du traitement en raison d'une situation personnelle particulière. Cela ne s'applique pas si une disposition légale exige le traitement des données ou si le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice.
4. La personne concernée peut demander la limitation du traitement de ses données personnelles. Cela permet à la personne concernée de demander la suspension du traitement des informations personnelles, par exemple si elle souhaite que l'employeur établisse son exactitude ou la raison du traitement.
5. La personne concernée peut demander le transfert de ses informations personnelles à une autre partie dans certaines circonstances.

 

1. IX.              Confidentialité du traitement

 

Les données personnelles sont soumises à la confidentialité. Toute collecte, traitement ou utilisation non autorisée de ces données par les employés est interdite. Tout traitement de données entrepris par un collaborateur qu'il n'a pas été autorisé à effectuer dans le cadre de ses fonctions légitimes est non autorisé. Le principe du « besoin de savoir » s'applique. Les employés peuvent avoir accès aux informations personnelles uniquement dans la mesure où cela est approprié pour le type et l'étendue de la tâche en question. Cela nécessite une ventilation et une séparation minutieuses, ainsi qu'une mise en œuvre, des rôles et des responsabilités. Il est interdit aux employés d'utiliser les données personnelles à des fins privées ou commerciales, de les divulguer à des personnes non autorisées ou de les rendre disponibles de toute autre manière. Les superviseurs doivent informer leurs employés au début de la relation de travail de l'obligation de protéger le secret des données. Cette obligation reste en vigueur même après la fin de l'emploi.

 

1. X.                Sécurité du traitement

Les données personnelles doivent être protégées contre tout accès non autorisé et tout traitement ou divulgation illicite, ainsi que contre toute perte, modification ou destruction accidentelle. Ceci s'applique indépendamment du fait que les données soient traitées électroniquement ou sous forme papier. Avant l'introduction de nouvelles méthodes de traitement des données, notamment de nouveaux systèmes informatiques, des mesures techniques et organisationnelles de protection des données personnelles doivent être définies et mises en œuvre. Ces mesures doivent être basées sur l'état de l'art, les risques de traitement et la nécessité de protéger les données (déterminée par le processus de classification des informations). En particulier, le service responsable peut consulter son responsable de la protection des données.

 

1. XI.              Contrôle de la protection des données

Respect de la politique de protection des données et de la protection des données applicable les lois sont vérifiées régulièrement. Les résultats des contrôles de protection des données doivent être communiqués au responsable de la protection des données.

 

1. XII.           Incidents liés à la protection des données

Tous les employés doivent informer immédiatement leur superviseur ou responsable de la protection des données des cas de violation de la présente politique de protection des données ou d'autres réglementations sur la protection des données personnelles (incidents de protection des données). Le responsable de la fonction ou de l'unité est tenu d'informer immédiatement le responsable de la protection des données des incidents de protection des données.

En cas de

» transmission abusive de données personnelles à des tiers,

» un accès abusif par des tiers à des données personnelles, ou

» perte de données personnelles

les rapports d'entreprise requis (Gestion des incidents de sécurité de l'information) doivent être faits

immédiatement afin que toute obligation de déclaration prévue par la législation nationale puisse être respectée.

 

1. XIII.         Responsabilités et sanctions

Les organes exécutifs des sociétés du Groupe sont responsables du traitement des données dans leur domaine de responsabilité. Par conséquent, ils sont tenus de s'assurer que les exigences légales, et celles contenues dans la politique de protection des données, pour la protection des données sont respectées (par exemple, les devoirs nationaux de déclaration). Le personnel de direction est responsable de s'assurer que des mesures organisationnelles, RH et techniques sont en place afin que tout traitement de données soit effectué conformément à la protection des données. Le respect de ces exigences relève de la responsabilité des employés concernés. Si des agences officielles effectuent des contrôles de protection des données, le responsable de la protection des données doit en être immédiatement informé. Le traitement abusif des données personnelles ou d'autres violations des lois sur la protection des données peuvent faire l'objet de poursuites pénales dans de nombreux pays et donner lieu à des demandes d'indemnisation des dommages. Les infractions dont les employés sont responsables peuvent entraîner des sanctions en vertu du droit du travail.