Политика за поверителност на 'CALM'

1. Политика, обхват и цели

1.1 Декларация

Фондация ‘Calm’ [Колм], с централен офис в Robert Owenstraat 21, 3045 PT, Ротердам, в Нидерландия, се ангажира да спазва всички закони на ЕС отнасящи се до личните данни и да защитава „правата и свободите“ на лицата, чиято информация Calm събира в съответствие с Общия регламент за защита на данните (GDPR). За тази цел Calm разработи, внедри, поддържа и непрекъснато подобрява ‘СистематА за управление на документи с лична информация’ („PIMS“) за Calm.

1.2 Обхват

Обхватът на PIMS отчита организационната структура, управленската отговорност, юрисдикцията и местоположението.PIMS може да включва всички държави, които използват Calm, или определена част от страните използващи Calm.

1.3 Цели

Поставените от Calm цели за PIMS са: да подпомогне Calm в изпълнението на собствените си изисквания за управление на личните данни; да подпомага изпълнението на организационните цели и задължения; да изгради система за контрол, в съответствие с приемливото ниво на риск за Calm; да се грижи Calm да отговаря на приложимите законови, регулаторни, договорни и / или професионални задължения; и да защитава интересите на отделните лица и други заинтересовани страни.

1.4 Ангажимент

Calm се ангажира да спазва законодателството за защита на данните и добрите практики, включително като:


  1. обработва лична информация само когато това е строго необходимо при законни организационни цели;
  2. събира само минималната лична информация, необходима за тези цели и не обработва прекомерна лична информация;
  3. предоставя ясна информация на лицата за това как ще се използва личната им информация и от кого;
  4. oобработват само подходяща и адекватна лична информация;
  5. обработва личната информация справедливо и законно;
  6. поддържа опис на категориите лична информация, обработвана от Calm;
  7. поддържа точна и, когато е необходимо, актуална лична информация;
  8. запазва лична информация само дотолкова, доколкото е необходимо поради правни или регулаторни причини или при законни организационни цели;
  9. зачита правата на лицата по отношение на тяхната лична информация, включително правото им на достъп;
  10. опазва цялата лична информация; данните ще бъдат достъпни само минимален брой пъти и от минимален брой хора само когато е абсолютно необходимо;
  11. прехвърля лична информация извън ЕС само когато тя може да бъде адекватно защитена;
  12. прилага различни допустими, според законодателството за защита на данните, изключения;

Да разработи и приложи PIMS, с цел горните политика да бъдат изпълнени, като:

  1. когато е уместно, идентифицира вътрешни и външни заинтересовани страни и степента, до която тези заинтересовани страни са включени в управлението на PIMS за Calm; и
  2. идентифицира служителите със специфични отговорности и отчетност за PIMS.

1.5 Цел на събирането и съхранението на данните

Calm и неговите служители / служещи (моля вижте дефинициите по-долу) събират и оценяват информацията със следните цели: да даде възможност на Асистент-учителя или упълномощен от него служещ да прецени дали Ученик е подходящ да бъде приет за курс; да даде възможност на ръководството на центъра/курса да планира настаняването, храната и понякога транспорт за Учениците; да спомага за даване на точните насоки и съдействие предоставяни на Учениците преди, по време на и след курс по медитация на Vipassana; по юридически причини или за изпълнение на договора, което означава да се обработи информация, която е необходима, за да се предостави на Ученика или служещия услугата, която е поискал при участието в курс или в център; както и за предоставяне на допълнителни услуги, свързани с курса, след като е било дадено съгласие за тези услуги или когато законният интерес на организацията е доказан.


Нотификация


1.6 Calm е уведомила органа за защита на данните (ОЗД) „De Autoriteit Persoonsgegevens“, в Хага, Нидерландия, че е администратор на данни и че обработва определена информация относно субектите на данни. Calm е идентифицирал всички лични данни, които обработва и това е отразено в регистъра за инвентаризация на данните.


1.7 Копие от нотификацията до ОЗД се пази от ‘Дъжностното лице за защита на данните’, а Наръчникът за уведомяване на ОЗД се ползва като официално ръководство по уведомяване.


1.8 Нотификацията до ОЗД се подновява ежегодно.


1.9 Длъжностното лице по защита на данните е отговорно всяка година да преразгледа детайлите по нотификацията, с оглед евентуални промени в дейността на Calm (както те са отразени в регистъра за инвентаризация на данните и съгласно преценката на ръководството), както и на всички допълнителни изисквания, идентифицирани чрез оценки на въздействието върху защитата на данните.

Политиката се прилага към всички служители на Calm [и заинтересовани страни]  като външни доставчици. Всяко нарушение на GDPR или PIMS ще бъде разглеждано в рамките на дисциплинарната политика на Calm и ако се окаже престъпление,  въпросът ще бъде докладван възможно най-скоро на съответните органи.

Партньорите и третите лица, работещи със или за Calm, които имат или могат да имат достъп до лична информация, се очаква да са прочели, разбрали и да спазват настоящата политика за поверителност. Никоя трето лице не може да има достъп до личните данни, държани от Calm, без първо да е сключила споразумение за конфиденциалност на данните, което налага на трети лица задължения, не по-малко обременителни от тези, които е поел Calm, и което дава на Calm правото да проверява спазването на споразумението.

2. Контекст на общия регламент за защита на данните („GDPR“)

Регламентът за защита на данните от 2016 г. замества Директивата на ЕС за защита на данните от 1995 г. и замества законите на отделните държави-членки, разработени в съответствие с Директивата за защита на данните 95/46 / ЕО. Неговата цел е да защитава „правата и свободите“ на физическите лица и да гарантира, че личните данни не се обработват без тяхното знание а, когато е възможно, че те се обработват с тяхно съгласие.

3. Дефиниции, използвани от организацията (извлечени от GDPR)

Териториален обхват – GDPR обхваща всички администратори, установени в ЕС (държави от Европейския съюз и Европейското икономическо пространство), които обработват личните данни на субекти на данни в контекста на това предприятие. Той ще се прилага и за администратори извън ЕС, които обработват лични данни, за да предлагат стоки и услуги, или да следят поведението на субектите на данни, които пребивават в ЕС.

Създаване – за седалище на администратор на лични данни в ЕС ще се счита мястото, където администраторът взема основните си решения относно целите на дейностите си по обработка на данни. Седалище на обработващ лични данни в ЕС ще бъде неговия административен адрес. Ако администратор е установен извън ЕС, той ще трябва да назначи представител в юрисдикциите, в които администраторът оперира, за да действа от името на администратора и взаимодейства с надзорните органи.

Лични данни – всяка информация, свързана с идентифицирано или подлежащо на идентифициране физическо лице („субект на данни“); идентифицируемо физическо лице е лице, което може да бъде идентифицирано, пряко или непряко, особено чрез позоваване на идентификатор, като име, идентификационен номер, данни за местоположението, онлайн идентификатор или един, или повече фактори, специфични за физическата, физиологична, генетична, умствена, икономическа, културна или социална идентичност на това физическо лице.

Специални категории лични данни – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработка на генетични данни, биометрични данни с цел уникално идентифициране на физическо лице, данни за здравето или данни относно сексуалния живот или сексуалната ориентация на физическо лице.

Администратор на лични данни – физическо или юридическо лице, публичен орган, агенция или друг орган, който сам или съвместно с други определя целите и средствата за обработване на лични данни; когато целите и средствата за такова обработване се определят от законодателството на Съюза или на държавите-членки, определянето на администратора или специфичните критерии за неговото назначаване могат да бъдат предвидени в правото на Съюза или на държавите-членки.

Субект на данните – всяко физическо лице, което е обект на лични данни, съхранявани от организация.

Обработване – всяка операция или набор от операции, които се извършват върху лични данни или на лични данни, независимо дали чрез автоматизирани средства, като събиране, записване, организация, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, използване, разкриване чрез предаване, разпространение или предоставяне по друг начин, привеждане в съответствие или комбиниране, ограничаване, заличаване или унищожаване.

Профилиране – е всяка форма на автоматизирана обработка на лични данни, предназначена за оценка на някои лични аспекти, свързани с физическо лице, или да анализира, или да предскаже поведението на това лице на работното място, икономическата ситуация, местоположение, здраве, лични предпочитания, надеждност или поведение. Тази дефиниция е свързана с правото на субекта на данни да възрази срещу профилирането и с правото да бъде информиран за съществуването на профилиране, за мерките, основаващи се на профилирането, и на предвидените ефекти от профилирането върху индивида.

Нарушаване на лични данни – нарушение на сигурността, водещо до случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, предадени, съхранени или обработени по друг начин. Администраторът има задължение да съобщава за нарушения на личните данни на надзорния орган и когато е вероятно нарушението да повлияе неблагоприятно върху личните данни или личния живот на субекта на данните.

Съгласие на субекта на данните – всяко свободно дадено, конкретно, информирано и недвусмислено посочване на волята на субекта на данни, чрез което той или тя, чрез изявление или с ясни положителни действия, дава съгласие за обработването на лични данни.

Дете – GDPR определя детето като всяко лице под 16-годишна възраст. Обработката на лични данни на дете под 13-годишна възраст е законна само когато е получено съгласие от родител или попечител.

Трето лице – физическо или юридическо лице, обществен орган, агенция или организация , различни от субекта на данни, администратора, обработващия лични данни или лица, които под прякото ръководство на администратора или обработващия лични данни са упълномощени да обработват лични данни.

Система за регистрация – всеки структуриран набор от лични данни, който е достъпен според специфични критерии, независимо дали е централизиран, децентрализиран или разпръснат на функционална или географска основа.


Специфични допълнителни определения


Ученик – всеки, който кандидатства или посещава курс по медитация на Випассана, ръководен от асистент-учител на С. Н. Гоенка.

Асистент-учител – всеки, който е назначен от С. Н. Гоенка или негови представители, включително Учители, за провеждане на курсове по медитация на Випассана,.

Стар Ученик – всеки, завършил курс по медитация на Випассана при С.Н. Гоенка или един от неговите асистент-учители.

Служещ – стар ученик, който помага за организацията на курса или в центъра.

4. Отговорности съгласно Общия регламент за защита на данните

4.1 Calm е администратор на лични данни в рамките на GDPR.

4.2 Управителното тяло и други заемащи управленски или надзорни длъжности в Calm са отговорни за разработването и насърчаването на добри практики за работа с информация в организацията; отговорностите са посочени в индивидуалните длъжностни характеристики.

4.3 Длъжностното лице по защита на данните (ДЗД) и членовете на Управителния съвет на Фондация "Calm" са отговорни пред Надзорния съвет на Calm по въпросите свързани с управлението на личната информация в Calm и за гарантиране на съответствие със законодателството за защита на данни и добрите практики. Тази отчетност включва:

4.3.1 разработване и прилагане на PIMS, както се изисква от тази политика; и

4.3.2 охранителни мерки и управление на риска относно спазване на политиката.

4.4 ДЗД и Управителния съвет на Фондация „Calm“ са подходящо квалифицирани, с необходимия опит, и са назначени да отговорят за спазването на тази политика от Calm ежедневно и по-специално да носят пряка отговорност за спазването на Регламента (GDPR); същото се отнася и за членовете на Надзорния съвет по отношение на обработката на данни, която се извършва в тяхната сфера на отговорност.

4.5 Длъжностното лице за защита на данните и неговите местни представители имат специфични отговорности по отношение на процедурите като ‘Процедурата по заявка за достъп от субект на данни’ и са първата отправна точка за Учениците и служещите, търсещи разяснения по въпроси свързани със спазване на изискванията за защита на данните.

4.6 Спазването на законодателството за защита на данните е отговорност на всички служещи, които обработват лична информация.

4.7 Политиката за обучение на Calm определя специфични изисквания за обучение и осведоменост по отношение на конкретни роли и служещи, работещи с Calm.

4.8 Служещите на Calm отговорят за точността и актуалността на всички лични данни предоставени от тях, и отнасящи се до тях, на Calm.

5. Оценка на риска

Цел: Да гарантира, че Calm е наясно с рисковете, свързани с обработката на конкретни видове лична информация. Calm има процедура за оценка на нивото на риск за хората, свързани с обработката на личната им информация. Оценка ще се извършва и във връзка с обработката, извършвана от други организации от името на Calm. Calm ще управлява всички рискове, идентифицирани при оценката на риска, за да се намали вероятността от несъответствие с настоящата политика.

Когато вид обработка (по-специално при използване на нови технологии и с оглед естеството, обхвата, контекста и целите на обработването) може да доведе до висок риск за „правата и свободите“ на физическите лица, преди самата обработка Calm ще извърши оценка на въздействието на предвидените операции върху защитата на личните данни.

Така извършена оценка може да се прилага и за други подобни операции по обработка, на които е присъщ сходен висок риск.

Когато, в резултат на оценка на въздействието върху защита на данните, стане ясно, че Calm ще обработва лична информация, която би могла да причини вреда и/или терзание на субектите на данни, решението, дали Calm може да продължи или не, трябва да бъде поставено на вниманието на длъжностното лице по защита на данните за допълнителна преценка. Длъжностното лице за защита на личните данни поставя въпроса за разглеждане от управителния съвет или надзорния съвет на Фондация „Calm“, в случай че има значителни опасения относно потенциално увреждане или терзание на субект, или относно количеството събрани данни.

За целта ще бъдат селектирани и приложени подходящи мерки, за да се намали нивото на риска, касаещ обработката на индивидуалните данни, до приемливо ниво, съгласно документираните критерии за приемливост на риска и изискванията на GDPR.

6. Принципи за защита на данните

Всяка обработка на лични данни трябва да се извършва в съответствие със следните принципи за защита на данните съгласно Регламент и политиките, и процедурите на Calm са предназначени да осигурят тяхното спазване.

6.1  Личните данни трябва да се обработват законно, справедливо и прозрачно.

GDPR въвежда изискването за прозрачност, при което администраторът следва да има прозрачни и лесно достъпни правила свързани с обработката на лични данни и упражняването на „правата и свободите“ на отделните лица. Информацията трябва да се съобщава на субекта на данните в разбираема форма, като се използва ясен и обикновен език.

Специфичната информация, която трябва да бъде предоставена на субекта на данните, трябва да включва минимум:

6.1.1  самоличността и данните за контакт на администратора и, ако има такъв, на представителя на администратора;

6.1.2  данните за контакт на длъжностното лице по защита на данните;

6.1.3  целите на обработването, за които са предназначени личните данни, както и правното основание за обработката;

6.1.4  периода, за който ще се съхраняват личните данни;

6.1.5  наличието на право да се иска достъп, поправка, заличаване или да се възрази срещу обработването;

6.1.6  категориите на съответните лични данни;

6.1.7  получателите или категориите получатели на личните данни;

6.1.8 В случай че администраторът възнамерява да прехвърли лични данни на получател в трета държава, да се посочи нивото на защита предоставено на данните;

6.1.9 всяка друга информация, необходима за гарантиране справедлива обработка.

6.2   Личните данни могат да се събират само за конкретни, изрични и законни цели.

Данните, получени за конкретни цели, не трябва да се използват с цел, различна от тази, официално обявена на ОЗД (Autoriteit Persoonsgegevens) като част от регистрацията на Calm.

6.3  Личните данни трябва да бъдат адекватни, подходящи и ограничени до това, което е необходимо за обработката.

6.3.1 Длъжностното лице по защита на данните отговаря за това, да не се събира информация, която не е строго необходима за целите, за които е получена.

6.3.2 Всички формуляри за събиране на данни (електронни или хартиени), включително изискванията за събиране на данни в нови информационни системи, трябва да бъдат одобрени от длъжностното лице по защита на данните.

6.3.3 Длъжностното лице за защита на данните отговаря всички методи за събиране на данни да бъдат преглеждани от вътрешния одит на годишна база, за да се гарантира, че събраните данни продължават да бъдат адекватни, уместни и не са прекомерни.

6.3.4 Ако дадени или получени данни са прекомерни или не са изискани изрично, съгласно документираните процедури на Calm, длъжностното лице за защита на данните / GDPR отговоря за това, тези данни да бъдат безопасно изтрити или унищожени в съответствие с политиката за изтриване.

6.4  Личните данни трябва да бъдат точни и актуални.

6.4.1 Данните, които се съхраняват дълго време, трябва да бъдат преразгледани и актуализирани когато е необходимо. Не трябва да се съхраняват данни, за които не може разумно да се предположи, че са точни.

6.4.2 Местните организации и Calm отговорят за осигуряването на обучение на всички служещи относно важността на събирането на точни данни и съхранението им.

6.4.3 Отговорност на отделните лица е да гарантират, че данните, съхранявани от Calm, са точни и актуални. Попълването на утвърден формуляр за кандидатстване и други подобни ще се приемат за доказателство, че съдържащи се в тях данни са точни към датата на подаване.

6.4.4 Служещите и Учениците трябва да уведомят Calm за всякакви промени в обстоятелствата, за да могат личните данни да бъдат съответно актуализирани. Инструкциите за актуализиране на записите са посочени на формулярите. Calm носи отговорност за това, всяко уведомление за промяна на обстоятелствата да бъде регистрирано и обработено.

6.4.5 Длъжностното лице за защита на данните отговаря за набелязването на подходящи допълнителни мерки, с цел поддържане на точни и актуални лични данни, с оглед обема на събраните данни, времето за което може да се променят, и всички други относими фактори.

6.4.6 Най-малко веднъж годишно длъжностното лице по защита на данните преглежда поддържаните от Calm лични данните, съгласно Регистъра за инвентаризация на данните, и идентифицира всички данни, които вече не са необходими в контекста на заявената цел, като взема мерки тези данни да бъдат надеждно изтрити / унищожени.

6.4.7 Длъжностното лице по защита на данните отговоря за предприемането на подходящи мерки, когато на трети лица са били предоставени неточни или остарели лични данни, като ги уведоми, че представената информация е неточна и / или остаряла и не трябва да се използва за информиране на съответните лица; както и за препредаване на всяка промяна на личната информация на третите страни, когато това е изискано.

6.5  Личните данни трябва да се съхраняват във такава форма, че субектът на данните да бъде идентифициран само докато е необходимо за обработката.

6.5.1 В случай, че лични данни се съхраняват след датата на обработване, те ще бъдат ограничени до минимум, за да се защити самоличността на субекта на данни при нарушение на сигурността на данните.

6.5.2 Личните данни ще бъдат съхранявани съгласно ‘Процедурата по съхранение на записи’ и след изтичане на срока за съхранение, те следва да бъдат безопасно унищожени, както е посочено в тази Процедура.

6.5.3  Длъжностното лице по защита на данните трябва да изрично да разреши запазването на данни, които надхвърлят срока им на съхранение и трябва да провери дали обосновката за това е ясно идентифицирана и съответства на изискванията на законодателството за защита на данните. Разрешението трябва да е в писмена форма (което включва електронна поща).

6.6  Личните данни трябва да се обработват по начин, който гарантира тяхната сигурност

6.7  Следва да се предприемат подходящи технически и организационни мерки срещу нерегламентирано или неправомерно обработване на лични данни, както и срещу случайна загуба, унищожаване или повреждане на личните данни.

 

Тези мерки следва да са подбрани въз основа на идентифицираните рискове за личните данни и вероятността от вреди и страдания, който могат да възникнат за лицата, чиито данни се обработват.

Спазването на този принцип от Calm е заложено в ‘Системата за управление на информационната сигурност’ (ISMS), разработена в съответствие с ISO / IEC 27001: 2013. Мерките за сигурността ще бъдат предмет на одит и преглед.

6.8   Лични данни няма да се прехвърлят в държава или територия извън Европейския съюз, освен ако тази държава или територия не осигурява адекватно ниво на защита на „правата и свободите“ на субектите на данни, относно обработката на лични данни.

Прехвърлянето на лични данни извън ЕС е забранено, освен ако не попада под една или повече от посочените предпазни мерки или изключения.

6.8.1   Предпазни мерки

Оценка на адекватността се извършва от страна на администратора на данни, като се вземат предвид следните фактори:

  • естеството на предаваната информация;
  • страната или територията на произхода и крайното местоназначение на информацията;
  • как ще се използва информацията и за колко време;
  • законите и практиките в страната на приобретателя, включително съответните професионални кодекси и поети международни задължения.

6.8.2   Обвързващи корпоративни правила

Calm ще приеме утвърдени ‘Обвързващи корпоративни правила’ за прехвърлянето на данни извън ЕС и други мерки като ‘Защитен механизъм при прехвърляне в Съединените щати’.

6.8.3   Модел на договорни клаузи

Calm може да приеме одобрени типови договорни клаузи при прехвърляне на данни извън ЕС. Ако Calm приеме примерни договорни клаузи, одобрени от Органа за защита на данните, автоматично ще се счита, че те отговарят на изискванията.

6.8.4   Изключения

При липса на решение за съответствие на правилата, включително на задължителните корпоративни правила, прехвърляне на лични данни към трета държава или международна организация ще се извършва само при следните условия:

  • субектът на данните е дал изрично съгласие за предложеното прехвърляне, след като е бил информиран за възможните рискове от такива прехвърляния за субекта на данните, с оглед липсата на решение за адекватност и подходящи предпазни мерки;
  • прехвърлянето е необходимо за изпълнението на договор между субекта на данните и администратора или изпълнението на преддоговорни действия, извършени по искане на субекта на данните;
  • прехвърлянето е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данни, между администратора и друго физическо или юридическо лице;
  • прехвърлянето е необходимо поради важни причини от обществен интерес;
  • прехвърлянето е необходимо за установяване, упражняване или защита на правни искове;
  • прехвърлянето е необходимо, за да се защитят жизнените интереси на субекта на данните или на други лица, когато субектът на данни е физически или юридически неспособен да даде съгласие;
  • прехвърлянето се извършва от регистър, който съгласно законодателството на Съюза или на държава-членка има за цел да предоставя информация за широката общественост и който е отворен за справки за обществеността като цяло или за всяко лице, което може да докаже законен интерес, но само до при условие, че условията, предвидени в правото на Съюза или на държавите-членки за подобни справки, са изпълнени в конкретния случай.

Списък на държавите, които отговарят на изискванията за адекватност на Комисията, се публикува в Официалния вестник на Европейския съюз.

 

6.9  Отчетност

GDPR въвежда принципа на отчетност, който гласи, че администраторът не само е отговорен за осигуряване на съответствие, но и за да докаже, че всяка операция по обработка отговаря на изискванията на GDPR.

По-специално, от контрольорите се изисква да поддържат необходимата документация за всички операции по обработка, да прилагат подходящи мерки за сигурност, да извършват ОВОД (оценка на въздействието при обработка на данни), да спазват изискванията за предварителни уведомления или да получават одобрение от надзорните органи и да назначават служител по защита на данните. ДЗД на холандската фондация е назначен за Главно длъжностно лице по защита на данните за организацията Calm.

7. Права на субектите на данните

Субектите на данни имат следните права по отношение на обработката на данни и данните, които се записват за тях:

7.1 Да отправя искания за достъп относно естеството на съхраняваната информация и на кого е била разкрита.

7.2 Да предотврати обработка, която може да причини вреда или страдания.

7.3 Да предотврати обработката за целите на директния маркетинг.

7.4 Да бъде информиран за механизмите на автоматизирания процес за вземане на решения, когато той значително ги засяга.

7.5 Да не се вземат единствено чрез автоматизиран процес важни решения, които ги засягат.

7.6 Да предявяват иск за обезщетение, ако претърпят вреди, вследствие на каквото и да е нарушение на Регламента за защита на личните данни (GDPR).

7.7 Да се предприемат действия за коригиране, блокиране, изтриване, включително правото да бъдат забравени, или да се унищожат неточни данни.

7.8 Да изискат от ОЗД (Autoriteit Persoonsgegevens) да прецени дали е нарушена някоя разпоредба от GDPR.

7.9 Правото да им се предоставят лични данни в структуриран, обичайно използван и машинно-четим формат, както и правото тези данни да се трансферират на друг контролер.

7.10 Правото на възражение срещу автоматизирано профилиране без съгласие.

Субектите на данни могат да подават заявки за достъп до данни. Тази процедура също така описва как Calm ще гарантира, че отговорът на заявката за достъп до данните отговаря на изискванията на Регламента.

Жалби

Субектите на данни, които желаят да подадат жалба до Calm за това как са обработени техните лични данни, могат да подадат жалбата си директно до длъжностното лице по защита на данните (ДЗД).

Субектите на данни могат също да подават жалби директно до ОЗД (de Autoriteit Persoonsgegevens).

Когато субектите на данни желаят да се оплакват от начина, по който са разгледани техните жалби, или да обжалват решения, взети вследствие на жалба, те могат да подадат нова жалба до ДЗД. Това право трябва да бъде описано в процедурата за подаване на жалби и да бъде съобщено на учениците и служещите.

8. Съгласие

Calm разбира "даване на съгласие" като изрично и свободно дадено, конкретно, информирано и недвусмислено посочване на желанията на субекта на данни, чрез което той или тя, чрез изявление, или чрез ясни положителни действия, обективира желанието си за обработка на лични данни свързани с него или нея. Съгласието на субекта на данни може да бъде оттеглено по всяко време.

За Calm „съгласие“ означава, че субектът на данните е бил напълно информиран за планираното обработване и е дал съгласието си, в подходяща кондиция на ума и без да се упражнява натиск върху него. Съгласието, получено по принуда или въз основа на подвеждаща информация, няма да се счита валидно основание за обработка. Трябва да е налице активна комуникация между страните, която демонстрира активно съгласие. Съгласие не може да се изведе от липса на отговор на съобщение. За чувствителни данни, трябва да се получи изрично писмено съгласие на субектите на данни, освен ако не съществува алтернативно законно основание за обработка.

В повечето случаи съгласието за обработка на лични и чувствителни данни се получава рутинно от Calm, като се използват стандартни документи за съгласие, например когато Ученик кандидатства за курс, или Служещ който кандидатства да служи. Когато Calm предоставя онлайн услуги на деца, трябва да се получи разрешение от родител или настойник на детето. Това изискване се прилага за деца под 16-годишна възраст (освен ако държавата-членка е предвидила по-ниска възрастова граница, която не може да бъде по-ниска от 13 г.).

9. Сигурност на данните

Всички служещи носят отговорност личните данни, които Calm съхранява, и за които те отговарят, да се съхраняват сигурно и при никакви условия да не се разкриват на трето лице, освен ако третата страна не е била специално упълномощена от Calm да получи тази информация и е сключила споразумение за поверителност.

Всички лични данни трябва да бъдат достъпни само за тези, които имат нужда да ги ползват, като достъпът може да бъде предоставен само в съответствие с ‘Политиката за контрол на достъпа’. Личните данни трябва да се съхраняват:

  • в заключваща се стая с контролиран достъп; и / или
  • в заключено чекмедже или картотека; и / или
  • в компютъризирана система, защитена с парола в съответствие с корпоративните изисквания в Политиката за контрол на достъпа; и / или
  • съхранявани на преносими компютърни носители, които са криптирани.
  • Данните трябва да бъдат анонимизирани или псевдомизирани, когато е възможно.

Трябва да се вземат мерки да не се виждат компютърните екрани и терминали, освен от упълномощените за това служещи. Всички служещи са задължени да сключат Споразумение за приемливо ползване преди да им бъде предоставен достъп до организационна информация от всякакъв вид.

Ръкописни записки не трябва да бъдат оставяни на места, където могат да бъдат достъпни за неупълномощен персонал и не могат да бъдат премествани от работното място без изрично разрешение. Те трябва да бъдат премахнати от защитения архив веднага след като те вече не са необходими за съответната оперативна дейност.

Личните данни могат да бъдат изтривани или премахвани само в съответствие с ‘Процедурата за съхранение на данни’. Ръкописни документи, които са достигнали крайната си дата на съхранение, трябва да бъдат раздробени и унищожени като „поверителни отпадъци“. Твърдите дискове на излишни компютри трябва да бъдат премахнати и незабавно унищожени, както се изисква, преди изхвърляне.

Обработката на лични данни „извън обекта“ представлява потенциално по-голям риск от загуба, кражба или повреда на лични данни. Служещите трябва да бъдат изрично упълномощени да обработват данни извън обекта, да са наясно с процедурата при нарушаване на данните и да я прилагат, когато е необходимо.

10. Права за достъп до данни

Субектите на данни имат право на достъп до личните си данни (т.е. данни за тях), които се съхраняват от Calm в електронен формат или ръкописни записи, като част от съответната система за архивиране. Това включва правото да се проверява поверителна лична информация, получена от Calm, както и информация, получена от трети лица за това лице.

11. Оповестяване на данни

Calm трябва да създаде нужната организация за това лични данни не се разкриват на неупълномощени трети лица, включително членове на семейството, приятели, държавни органи и при определени обстоятелства, полицията. Всички служещи трябва да проявят предпазливост, когато бъдат помолени да разкрият лични данни на даден субект на трето лице и трябва да преминат специално обучение, което им позволява да се справят ефективно с всеки подобен риск. В такива случаи е важно да се анализира доколко дадено разкриване на информация е относимо и необходимо за провеждането на курсовете.

GDPR разрешава някои оповестявания без съгласие, доколкото информацията се изисква във връзка с една или повече от следните цели:

  • за защита на националната сигурност;
  • за предотвратяване или разкриване на престъпления, включително задържане или наказателно преследване на нарушители;
  • за оценка или събиране на данъчни задължения;
  • при изпълнение на административно-контролни функции (включително здраве, безопасност и условия на труд за работещите);
  • за предотвратяване на съществени вреди на трето лице;
  • за защита на жизнените интереси на индивид, когато това се отнася до животозастрашаващи ситуации.

Всички искания за предоставяне на данни по една от тези причини трябва да бъдат подкрепени с подходяща документация и всички такива оповестявания трябва да бъдат специално разрешени от Длъжностното лице по защита на данните.

12. Запазване и разпореждане с лични данни

Личните данни може да не се съхраняват по-дълго, отколкото се изисква. След като служещият вече не е участва активно или ученикът е спрял да кандидатства за курсове, няма необходимост да се съхранява цялата информация, която се съдържа в тях. Някои данни ще се съхраняват за по-дълги периоди от други. Процедурите за съхранение и заличаване на данни на Calm ще се прилагат във всички случаи.

Заличаване на записи

Личните данни трябва да се унищожават по начин, който защитава „правата и свободите“ на субектите на данни (напр. раздробяване, третиране като поверителни отпадъци, сигурно електронно изтриване) и в съответствие с процедурата за безопасно заличаване.

13. Процедура при нарушения по данните

Calm е изготвила процедура при нарушения по данните. Всяко нарушение трябва да бъде докладвано на ДЗД в съответствие с одобрената политика.

14. Дата на влизане в сила

Тази Политика за поверителност е в сила от 26 май 2018 г. Calm си запазва правото да коригира и/или допълва правилата. Всички потребители на Calm са обвързани от тези правила. Това включва Съвета при Calm, Надзорния съвет, фондация Calm, ДЗД, други фондации и служещи, които използват Calm в трети страни, както и трети лица, всичките в рамките на техните задължения споменати в рамките на тази политика.

15. Уведомления

Тези правила също така ще бъдат съобщени на ученици и служещи, кандидатстващи за курсове по разбираем и изчерпателен начин. Копие от тази политика е достъпно за всички потребители на Calm по заявка и може да бъде намерено и на уеб страницата й.