POLITICA DE PRIVACIDAD DE CALM

1. Política, alcance y objetivos

1.1 Statement

El equipo de gestión de Calm, ubicada en Rotterdam ( info@calm.dhamma.org ), en los Países Bajos, se compromete a cumplir con todas las leyes pertinentes con respecto a los datos personales y a proteger los derechos y las libertades de las personas cuya información Calm recopila de acuerdo con las leyes que se aplican en las diferentes regiones.

1.2 Compromiso

Calm se compromete a cumplir con la legislación de protección de datos y las buenas prácticas de acuerdo con el leyes que se aplican incluyendo:

  1. procesar información personal solo cuando sea estrictamente necesario para propósitos legítimos de la organización;
  2. recopilar solo la información personal mínima requerida para estos fines y no procesar información personal excesiva;
  3. proporcionando información clara a las personas siempre que sea posible o se requiera sobre cómo su información personal ser utilizado y por quién;
  4. solo procesa información personal relevante y adecuado;
  5. procesa información personal de manera justa y legal; < / span>
  6. manteniendo la información personal precisa y, cuando sea necesario, actualizada;
  7. conservando información personal solo por el tiempo que sea necesario para fines legales o regulatorios o para fines legítimos de organización;
  8. respetando a las personas y rsquo; derechos en relación con su información personal de acuerdo con las leyes que se aplican;
  9. manteniendo segura toda la información personal; los datos serán accedidos solo un mínimo de veces y por un mínimo de personas solo cuando sea absolutamente necesario;
  10. la información de la UE estará adecuadamente protegida mediante el uso de BCR, autocertificación o cláusulas contractuales estándar.

    1.3 Propósito de recopilar y almacenar los datos

    Calm y sus empleados (servidores, consulte las definiciones a continuación) recopilan y evalúan la información para los siguientes propósitos; Habilitar profesor, profesor asistente o servidor en su nombre para evaluar si un alumno es apto para ser aceptado en un curso, para permitir que la dirección del centro planifique el alojamiento, los alimentos y, a veces, transporte para el alumno. Para permitir la adecuada orientación y asistencia al estudiante antes, durante y después de un curso de meditación Vipassana, por razones legales o para la ejecución del contrato, lo que significa procesar la información necesaria para proporcionar al estudiante o servidor el servicio que solicitó, la participación en un curso o en un centro, y para proporcionar servicios adicionales relacionados con el curso una vez que se haya otorgado el consentimiento para estos servicios o en casos en que se haya demostrado el interés legítimo de la organización. También para fines relacionados con el información adicional que pueden incluir boletines, anuncios generales, viajes compartidos o donaciones.

    Notificaciones

    1.4 Calm ha notificado a la Autoridad de Protección de Datos, & ldquo; De Autoriteit Persoonsgegevens & rdquo ;, en La Haya, Los Países Bajos, que es un controlador de datos y que procesa cierta información sobre los sujetos de datos. Calm ha identificado todos los datos personales que procesa y esto está contenido en el registro de inventario de datos. El DPA revisará y asesorará sobre el uso del BCR como un mecanismo para proporcionar salvaguardas para la transferencia internacional de información del estudiante.

    Los socios y cualquier tercero que trabaje con o para Calm, y ​​que tenga o pueda tener acceso a información personal, deberán leer, comprender y cumplir con esta política. Ningún tercero puede acceder a los datos personales en poder de Calm sin haber firmado previamente un acuerdo de confidencialidad de datos, que impone a terceros obligaciones no menos onerosas que aquellas a las que se compromete Calm, y ​​que le da a Calm el derecho de auditar el cumplimiento del acuerdo. .

2. Definiciones utilizadas por la organización (extraídas del GDPR)

Datos personales & ndash; cualquier información relacionada con una persona física identificada o identificable ('sujeto de datos'); una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un identificador, como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de los factores físicos, fisiológicos, identidad genética, mental, económica, cultural o social de esa persona física.

Categorías especiales de datos personales & ndash; datos personales que revelan origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, y el procesamiento de datos genéticos, datos biométricos con el fin exclusivo de identificar a una persona física, datos relativos a la salud o datos sobre una persona física vida sexual u orientación sexual.

Controlador de datos & ndash; la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y los medios del procesamiento de los datos personales; cuando los fines y los medios de dicho tratamiento se determinen por la legislación de la Unión o del Estado miembro, el controlador o los criterios específicos para su designación podrán estar previstos en la legislación de la Unión o del Estado miembro.

Sujeto de datos & ndash; cualquier persona viva que sea el sujeto de datos personales en poder de una organización.

Procesamiento & ndash; cualquier operación o conjunto de operaciones que se realiza con datos personales o conjuntos de datos personales, ya sea por medios automáticos o no, tales como recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o de otro modo poner a disposición, alineación o combinación, restricción, borrado o destrucción.

Profiling & ndash; es cualquier forma de procesamiento automatizado de datos personales datos destinados a evaluar ciertos aspectos personales relacionados con una persona física, o para analizar, o predecir el desempeño de esa persona en el trabajo, situación económica, ubicación, salud, preferencias personales, confiabilidad o comportamiento. Esta definición está vinculada al derecho del sujeto de datos a oponerse a la creación de perfiles y al derecho a ser informado acerca de la existencia de perfiles, de medidas basadas en el perfil y los efectos previstos del perfil sobre el individuo.

Infracción de datos personales: una infracción de seguridad que ocasiona la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o ilegales, accidentales o ilegales. de lo contrario procesado. El controlador tiene la obligación de informar las infracciones de datos personales a la autoridad de supervisión y cuando la infracción pueda afectar negativamente a los datos personales o la privacidad del interesado.

Datos consentimiento del sujeto - significa cualquier indicación libre, específica, informada e inequívoca de los deseos del interesado por el cual, mediante una declaración o una acción afirmativa clara, significa un acuerdo para el procesamiento de datos personales

Definiciones adicionales específicas

Estudiante : cualquier persona que se postule o asista un curso de meditación Vipassana dirigido por un maestro asistente a SN Goenka.

Profesor asistente : cualquiera que haya sido designado por S.N. Goenka, o sus representantes, para realizar cursos de Meditación Vipassana, incluidos los profesores.

Old Student : Cualquier persona que haya completado un curso de Meditación Vipassana con S.N. Goenka o uno de sus profesores asistentes.

Servidor : un alumno de edad avanzada que está ayudando en un curso o en un centro.

3. responsabilidades

3.1 Calm define los propósitos y los medios para el uso del software

3.2 La Alta Dirección y todos aquellos en funciones gerenciales o de supervisión a lo largo de Calm son responsables de desarrollar y fomentar buenas prácticas de manejo de la información dentro de la organización; las responsabilidades se establecen en las descripciones de trabajo individuales.

3.3 El Oficial de Protección de Datos y los miembros del Consejo de la Fundación Calma son responsables ante el Consejo de Supervisión de Calm para la gestión de la información personal dentro de Calm y para garantizar que se pueda demostrar el cumplimiento de la legislación y las buenas prácticas de protección de datos. Esta responsabilidad incluye la seguridad y la gestión de riesgos en relación con el cumplimiento de la política.

3.4 Se considera que el DPO y el consejo de Calm Trust / Foundation son adecuadamente calificados y con experiencia, y han sido designados para asumir la responsabilidad del cumplimiento de esta política en el día a día y, en particular, tienen la responsabilidad directa de garantizar que Calm cumpla con el GDPR, al igual que los miembros de la Supervisión. Junta con respecto al procesamiento de datos que tiene lugar dentro de su área de responsabilidad.

3.5 El cumplimiento de la legislación de protección de datos es responsabilidad de todos los servidores que procesan información personal.

< span> 3.6 Calm & rsquo; s Training Policy establece requisitos específicos de capacitación y conciencia en relación con roles específicos y servidores que trabajan con Calm.

3.7 Servers of Calm es responsable de garantizar que los datos personales que proporcionen, y que se refieran a ellos, a Calm sean precisos y actualizados.

4. Evaluación de riesgos

Objetivo: Asegurar que Calm tenga conocimiento de los riesgos asociados con el procesamiento de tipos particulares de información personal Calm tiene un proceso para evaluar el nivel de riesgo para las personas asociadas con el procesamiento de su información personal. Las evaluaciones también se llevarán a cabo en relación con el procesamiento realizado por otras organizaciones en nombre de Calm. Calm manejarará los riesgos que identifique en la evaluación de riesgos a fin de reducir la probabilidad de una no conformidad con esta política.

Donde un tipo de procesamiento, en particular usando las nuevas tecnologías y teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del procesamiento pueden dar lugar a un alto riesgo para los "derechos y libertades" y "rdquo; de personas físicas, Calm deberá, antes del procesamiento, llevar a cabo una evaluación del impacto de las operaciones de procesamiento previstas en la protección de datos personales.

Una única evaluación puede abordar un conjunto de operaciones de procesamiento similares que presentan riesgos similares.

Donde, como resultado de una evaluación de impacto de protección de datos, está claro que calm está a punto de comenzar el procesamiento de información personal que podría causar daños y / o angustia a los interesados, la decisión de si Calm puede proceder o no debe ser enviada para su revisión al Oficial de Protección de Datos. El Oficial de Protección de Datos deberá, si hay preocupaciones significativas, ya sea sobre el daño o angustia potencial, o la cantidad de datos en cuestión, informar del asunto al consejo de Calm Foundation o al consejo de supervisión de Calm Foundation.

Se seleccionarán y aplicarán controles apropiados para reducir el nivel de riesgo asociado con el procesamiento de datos individuales a un nivel aceptable, por referencia a los criterios de aceptación de riesgo documentados de Calm y los requisitos del GDPR.

5. Principios de protección de datos

div>

Todo el procesamiento de datos personales debe realizarse de acuerdo con los siguientes principios de protección de datos del Reglamento, y las políticas y procedimientos de Calm están diseñados para garantizar el cumplimiento de los mismos. < p> 5.1 Los datos personales deben procesarse de forma legal, justa y transparente.

El controlador, Calma, tendrá políticas transparentes y de fácil acceso relacionado con el procesamiento de datos personales y el ejercicio de los derechos y libertades de los individuos & rdquo; si es aplicable. La información debe ser comunicada al interesado en forma inteligible utilizando un lenguaje claro.

La información específica que se debe proporcionar al interesado como mínimo include:

5.1.1 la identidad y los datos de contacto del controlador y, en su caso, del representante del controlador;

5.1.2 los fines del procesamiento para el que se pretenden los datos personales, así como la base legal para el procesamiento;

5.1.3 el período para el cual se almacenarán los datos personales;

5.1.5 la existencia de cualquier derecho del estudiante

5.1.6 las categorías de datos personales en cuestión;

5.1.7 los destinatarios o categorías de destinatarios de los datos personales;

5.1.8 cuando corresponda, que el controlador tiene la intención de transferir datos personales a un destinatario en un tercer país y el nivel de protección otorgado a los datos; < / p>

5.1.9 cualquier información adicional necesaria para garantizar un procesamiento justo.

< span> 5.2 Los datos personales deben ser precisos y mantenerse actualizados.

< span> 5.2.1 Los datos que se guardan durante mucho tiempo deben revisarse y actualizarse según sea necesario. No se deben guardar datos a menos que sea razonable suponer que son precisos.

5.2.2 Los fideicomisos locales y Calm son responsables de garantizar que todos los servidores estén capacitados en la importancia de recopilar datos precisos y mantenerlos.

5.2 .3 También es responsabilidad de las personas asegurarse de que los datos de Calm sean precisos y estén actualizados. La finalización de un formulario de registro o solicitud apropiado, etc. se tomará como una indicación de que los datos contenidos en ellos son precisos en la fecha de envío.

< span> 5.2.4 Los servidores y los estudiantes deben notificar a Calm sobre cualquier cambio en las circunstancias para permitir que los registros personales se actualicen en consecuencia. Se proporcionan instrucciones para actualizar los registros. Es responsabilidad de Calm garantizar que se notifique y actúe sobre cualquier notificación relacionada con el cambio de circunstancias.

5.3 Los datos personales deben mantenerse en un formato tal que el sujeto de datos solo pueda identificarse durante el tiempo que sea necesario para el procesamiento.

5.3.1 donde los datos personales se conservan más allá de la fecha de procesamiento, se minimizará para proteger la identidad del sujeto de datos en caso de una violación de datos.

5.3.2 Los datos personales se conservarán de acuerdo con el procedimiento de retención de registros y, una vez que su fecha de retención se pasa, se debe destruir de forma segura como se establece en este procedimiento.

5.4 Los datos personales deben procesarse de manera que garanticen su seguridad

5.5 Deben tomarse medidas técnicas y organizativas adecuadas Intento de procesamiento no autorizado o ilegal de datos personales y contra la pérdida o destrucción accidental de, o daños a, los datos personales.

Estos controles han sido seleccionados sobre la base de identificación riesgos para los datos personales, y la posibilidad de daños o angustia para las personas cuyos datos se están procesando.

5.6 Datos personales y transferencia internacional

La transferencia de datos personales está prohibida a menos que se apliquen una o más de las salvaguardas o excepciones especificadas.

5.6.1 Salvaguardas

Una evaluación de la adecuación por el controlador de datos teniendo en cuenta los siguientes factores:

  • la naturaleza de la información que se transfiere;
  • el país o territorio del origen, y destino final de la información;
  • cómo se usará la información y durante cuánto tiempo;
  • las leyes y prácticas del país del receptor de la transferencia, incluidos los códigos de prácticas pertinentes y las obligaciones internacionales; y

    5.6.2 Normas corporativas vinculantes

    Calma adoptará las reglas corporativas vinculantes aprobadas para el transferencia de datos El BCR compartido de Calm Trust tendrá que estar firmado e implementado antes de que haya una transferencia de datos internacionales.

    5.6.3 Cláusulas contractuales modelo

    Calm puede adoptar cláusulas contractuales modelo aprobadas para la transferencia de datos fuera de la UE. Si Calm adopta las cláusulas contractuales modelo aprobadas por la Autoridad de Protección de Datos, existe un reconocimiento automático de adecuación.

    5.6. 4 Excepciones

    En ausencia de una decisión de adecuación, incluidas normas corporativas vinculantes, una transferencia de datos personales a un tercer país, o una organización internacional,

    se realizará solo en una de las siguientes condiciones:

    • el sujeto de datos ha dado su consentimiento explícito a la transferencia propuesta, después de haber sido informado de los posibles riesgos de tales transferencias para el interesado debido a la ausencia de una decisión de adecuación y salvaguardias apropiadas;
    • la transferencia es necesaria para la ejecución de un contrato entre el sujeto de datos y el controlador o el impl. aplicación de medidas precontractuales tomadas a solicitud del interesado;
    • la transferencia es necesaria para la conclusión o ejecución de un contrato celebrado en interés del sujeto de datos entre el controlador y otra persona física o jurídica;
    • la transferencia es necesaria por razones importantes de interés público;
    • la transferencia es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales;
    • la transferencia es necesaria con el fin de proteger los intereses vitales del interesado o de otras personas, cuando el interesado sea física o legalmente incapaz de dar su consentimiento;
    • la transferencia se realiza desde un registro que, de conformidad con la legislación de la Unión o del Estado miembro, tiene por objeto proporcionar información al público y que puede ser consultada por el público en general o por cualquier persona que pueda demostrar una legitimidad más importante, pero solo en la medida en que se cumplan las condiciones establecidas en la legislación de la Unión o del Estado miembro para la consulta en el caso particular.

      Se publica una lista de países que cumplen los requisitos de adecuación de la Comisión

      en el < / span> Diario Oficial de la Unión Europea.

    6. Derechos de los individuos que proporcionan sus datos

    Se informará a los interesados sobre sus derechos aplicables de acuerdo con el BCR firmado y la legislación que aplique. Si la información se relaciona con estudiantes de la UE, tienen derechos adicionales para contactar con el PCP y el DPO de acuerdo con el BCR. Los Sujetos de Datos que desean quejarse de como Calm ha procesado su información personal pueden presentar su reclamación directamente a la Persona de Contacto de Privacidad y el Oficial de Protección de Datos.

    7. Seguridad de los datos

    Todos los servidores son responsables de garantizar que los datos personales que Calm detenta y de los que son responsables se guarden de forma segura y no se divulguen bajo ninguna condición a terceros a menos que ese tercero haya sido específicamente autorizado por Calm para recibir esa información y ha firmado un acuerdo de confidencialidad.

    Todos los datos personales deben ser accesibles solo para aquellos que necesitan usarlos, y el acceso solo puede otorgarse en línea con la Política de control de acceso. Los datos personales deben mantenerse:

    • en una sala bloqueable con acceso controlado; y / o
    • en un cajón cerrado o archivador; y / o
    • si está informatizado, protegido con contraseña de acuerdo con los requisitos corporativos de la Política de control de acceso; y / o
    • almacenados en medios informáticos (extraíbles) que están cifrados.
    • y deben ser anonimizados o pseudomizados siempre que sea posible

      Se debe tener cuidado para asegurar que las pantallas y terminales de PC no sean visibles, excepto para los servidores autorizados. Todos los servidores están obligados a firmar un Acuerdo de uso aceptable antes de que se les dé acceso a información organizativa de cualquier tipo.

      Los registros manuales no pueden dejarse donde puedan ser accedidos por personal no autorizado y no pueden ser retirados del lugar de trabajo sin autorización explícita Tan pronto como ya no se necesiten registros manuales para el soporte diario del cliente, se deben eliminar del archivo seguro.

      Los datos personales solo pueden eliminarse en línea con el Procedimiento de retención de datos. Los registros manuales que han llegado a su fecha de retención deben triturarse y eliminarse como & lsquo; residuos confidenciales & rsquo ;. Los discos duros de las PC redundantes deben eliminarse e inmediatamente destruirse según sea necesario antes de su eliminación.

      Procesamiento de datos personales & lsquo; off-site & rsquo; presenta un riesgo potencialmente mayor de pérdida, robo o daño a los datos personales. Los servidores deben estar específicamente autorizados para procesar datos fuera del sitio, estar al tanto del procedimiento de violación de datos y aplicarlo cuando sea necesario.

    8. Divulgación de datos

    Calm debe garantizar que los datos personales no se divulguen a terceros no autorizados, lo que incluye miembros de la familia, amigos, organismos gubernamentales y, en determinadas circunstancias, la Policía. Todos los servidores deben tener precaución cuando se les solicite que divulguen datos personales de otra persona a un tercero y se les exigirá que asistan a una capacitación específica que les permita lidiar eficazmente con dicho riesgo. Es importante tener en cuenta si la divulgación de la información es relevante o no y necesaria para la realización de los cursos o para cumplir con las obligaciones legales (nacionales). Todas las solicitudes para proporcionar datos por una de estas razones deben ser respaldadas por la documentación correspondiente y todas las divulgaciones deben ser autorizadas específicamente por la persona de contacto de privacidad y DPO.

    9. Procedimiento de violación de datos

    Calm ha integrado un procedimiento de violación de datos. Cualquier incumplimiento se debe informar al DPO de conformidad con la política aprobada.

    10. Fecha efectiva

    Esta política de privacidad entra en vigor a partir del 26 de mayo de 2018. Calm se reserva el derecho de ajustar y / o volver a redactar la política. Todos los usuarios de Calm están sujetos a la política. Esto incluye a Calm Board, el consejo de supervisión, Calm Trust, DPO, trusts y servidores que utilizan Calm y terceros países y partes, siempre que sus obligaciones se mencionen en esta política.

    11. Comunicación

    La política también se comunicará con los estudiantes y servidores que solicitan cursos de una manera comprensible y completa. Una copia de esta política está disponible para todos los usuarios de Calm a petición y también se puede encontrar en la página web.