POLITICA DE PRIVACIDAD DE CALM

1. Política, alcance y objetivos

1.1 Statement

La gestión de Calm, ubicada en Robert Owenstraat 21, 3045 PT te Rotterdam, en Los Países Bajos se comprometen a cumplir con todas las leyes pertinentes de la UE con respecto a los datos personales y a proteger los & ldquo; derechos y libertades & rdquo; de individuos cuya información Calm recopila de acuerdo con el Reglamento General de Protección de Datos (GDPR). Con ese fin, Calm ha desarrollado, implementado, mantiene y mejora continuamente un sistema documentado de administración de información personal (& lsquo; PIMS & rsquo;) para Calm.

1.2 Alcance

El alcance del PIMS teniendo en cuenta la estructura organizativa, la responsabilidad de la gestión, la jurisdicción y la geografía. El PIMS puede incluir la totalidad de todos los países que usan Calm o una parte definida de los paises que usan Calm.

1.3 Objetivos del PIMS

Los objetivospara el PIMS son que debería permitir que Calm cumpla con sus propios requisitos para la gestión de la información personal; que debe respaldar los objetivos y las obligaciones de la organización; que debe imponer controles en línea con el nivel de riesgo aceptable de Calm; que debe garantizar que Calm cumpla con los deberes legales, regulatorios, contractuales y / o profesionales aplicables; y que debe proteger los intereses de las personas y otras partes interesadas clave.

1.4 Compromiso

Calm se compromete a cumplir con la legislación y buenas prácticas de protección de datos que incluyen:

  1. procesar información personal solo cuando sea estrictamente necesario para fines legítimos de organización; < / span>
  2. recopilando solo la información personal mínima requerida para estos fines y no procesando información personal excesiva;
  3. proporcionando información clara a las personas sobre cómo se usará su información personal y por quién;
  4. solo procesará información personal relevante y adecuada;
  5. procesando información personal justa y legalmente;
  6. manteniendo un inventario de las categorías de información personal procesada por Calm;
  7. manteniendo la información personal precisa y , donde es necesario, actualizado;
  8. conservando información personal solo por el tiempo que sea necesario por razones legales o reglamentarias o para propósitos legítimos de organización;
  9. respetando personas y rsquo; derechos en relación con su información personal, incluido el derecho de acceso de los sujetos;
  10. manteniendo segura toda la información personal; los datos serán accedidos solo un mínimo de veces y por un mínimo de personas solo cuando sea absolutamente necesario;
  11. solo transfieren información personal fuera de la UE en circunstancias en que puede protegerse adecuadamente ;
  12. la aplicación de las diversas excepciones permitidas por la legislación de protección de datos;

    < span> m. desarrollar e implementar un PIMS para permitir la implementación de la política;

    1. cuando corresponda, identificando los interesados ​​internos y externos y el grado de involucrado en el gobierno de Calm & rsquo; s PIMS; y
    2. la identificación de los trabajadores con responsabilidad específica y responsabilidad por el PIMS.

      < strong> 1.5 Propósito de recopilar y almacenar los datos

      Calma y sus empleados (servidores, consulte las definiciones a continuación) recopilan y evalúan información para los siguientes propósitos; t o habilite al Asistente del profesor o servidor en su nombre para evaluar si un alumno es apto para ser aceptado en un curso, para permitir que la dirección del centro planifique el alojamiento, los alimentos y, a veces, el transporte del estudiante. , para permitir la adecuada orientación y asistencia al estudiante antes, durante y después de un curso de meditación Vipassana, por razones legales o para la ejecución del contrato, lo que significa procesar la información necesaria para proporcionar al estudiante o servidor el servicio que solicitó, la participación en un curso o en un centro y para proporcionar servicios adicionales relacionados con el curso una vez que se ha otorgado el consentimiento para estos servicios o se ha demostrado el interés legítimo de la organización.

      Notificaciones
      < p> 1.6 Calm ha notificado a la Autoridad de Protección de Datos, & ldquo; De Autoriteit Persoonsgegevens & rdquo ;, en La Haya, Países Bajos, que es un controlador de datos y que procesa cierta información sobre sujetos de datos . Calm ha identificado todos los datos personales que procesa y está incluido en el Registro de inventario de datos.

      1.7 Una copia del la notificación al DPA es retenida por el Oficial de Protección de Datos y el Manual de Notificación de DPA se usa como la guía autorizada para la notificación.

      1.8 La notificación de DPA se renueva anualmente.

      1,9 Data Protection Officer es responsable, cada año, de revisar los detalles de la notificación, a la luz de cualquier cambio a las actividades de calm (según lo determinen los cambios en el Registro de inventario de datos y la revisión de la administración) y a cualquier requisito adicional identificado mediante evaluaciones de impacto de protección de datos.

      La política se aplica a todos los Empleados / Personal [y partes interesadas] de Calm, como proveedores subcontratados. Cualquier incumplimiento del GDPR o de este PIMS se tratará bajo la política disciplinaria de Calm y también puede ser una ofensa criminal, en cuyo caso el asunto se informará tan pronto como sea posible a las autoridades correspondientes.

      Los socios y cualquier tercero que trabaje con o para Calm, y ​​que tenga o pueda tener acceso a información personal, deberán leer, comprender y cumplir con esta política. Ningún tercero puede acceder a los datos personales en poder de Calm sin haber firmado previamente un acuerdo de confidencialidad de datos, que impone a terceros obligaciones no menos onerosas que aquellas a las que se compromete Calma, y ​​que le da a Calm el derecho de auditar el cumplimiento del acuerdo. .

2. Antecedentes del Reglamento general de protección de datos ('GDPR')

El Reglamento general de protección de datos de 2016 sustituye a la Directiva de protección de datos de la UE de 1995 y sustituye a las leyes de los Estados miembros individuales que se desarrollaron de conformidad con la Directiva de protección de datos 95/46 / CE. Su propósito es proteger los & ldquo; derechos y libertades & rdquo; de personas vivas, y para garantizar que los datos personales no se procesen sin su conocimiento y, siempre que sea posible, que se procesen con su consentimiento.

3. Definiciones utilizadas por la organización (extraídas del GDPR)

policy.section_org_definitions

Alcance territorial & ndash; el GDPR se aplicará a todos los controladores establecidos en la UE (países de la Unión Europea y del Área Económica Europea) que procesen los datos personales de los interesados ​​en el contexto de ese lugar de establecimiento. También se aplicará a los controladores fuera de la UE que procesan datos personales con el fin de ofrecer bienes y servicios, o monitorear el comportamiento a los sujetos de datos que residen en la UE.

Establecimiento & ndash; el principal lugar de establecimiento del controlador en la UE será el lugar en el que el controlador tome las decisiones principales en cuanto al propósito de sus actividades de procesamiento de datos. El principal lugar de establecimiento de un procesador en la UE será su centro administrativo. Si un controlador tiene su sede fuera de la UE, tendrá que designar a un representante en la jurisdicción en la que opera el controlador, actuar en nombre del controlador y tratar con las autoridades de supervisión.

< strong> Datos personales & ndash; cualquier información relacionada con una persona física identificada o identificable ('sujeto de datos'); una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un identificador, como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de los factores físicos, fisiológicos, identidad genética, mental, económica, cultural o social de esa persona física.

Categorías especiales de datos personales & ndash; datos personales que revelan origen racial o étnico , opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, y el procesamiento de datos genéticos, datos biométricos con el fin exclusivo de identificar a una persona física, datos sobre salud o datos sobre la vida sexual u orientación sexual de una persona natural. < / span>

Controlador de datos & ndash; la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los propósitos y los medios del procesamiento de datos personales ; cuando los fines y los medios de dicho tratamiento se determinen por la legislación de la Unión o del Estado miembro, el controlador o los criterios específicos para su designación podrán estar previstos en la legislación de la Unión o del Estado miembro.

Sujeto de datos & ndash; cualquier persona viva que sea el sujeto de datos personales en poder de una organización.

Procesamiento & ndash; cualquier operación o conjunto de operaciones que se realiza con datos personales o conjuntos de datos personales, ya sea por medios automatizados o no, como recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o de otro modo poner a disposición, alineación o combinación, restricción, borrado o destrucción.

Perfiles es cualquier forma de procesamiento automatizado de datos personales destinados a evaluar ciertos aspectos personales relacionados con una persona física, o para analizar, o predecir el desempeño de esa persona en el trabajo, situación económica, ubicación, salud, preferencias personales, confiabilidad o comportamiento. Esta definición está vinculada al derecho del sujeto de datos a oponerse a la creación de perfiles y al derecho a ser informado acerca de la existencia de perfiles, de medidas basadas en el perfil y los efectos previstos del perfil sobre el individuo.

Infracción de datos personales: una infracción de seguridad que ocasiona la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o ilegales, accidentales o ilegales. El controlador tiene la obligación de informar las infracciones de datos personales a la autoridad de supervisión y cuando la infracción pueda afectar negativamente a los datos personales o la privacidad del interesado.

Datos consentimiento del sujeto: significa cualquier indicación libre, específica, informada e inequívoca de los deseos del interesado por la cual, mediante una declaración o una acción afirmativa clara, significa que está de acuerdo con el procesamiento de los datos personales datos.

Child & ndash; el GDPR define a un niño como cualquier persona menor de 16 años. El procesamiento de datos personales de un niño menor de 13 años solo es legal si se ha obtenido el consentimiento de los padres o tutores.

Terceros una persona física o jurídica, autoridad pública, agencia u organismo distinto del sujeto de datos, controlador, procesador y personas que, bajo la autoridad directa del controlador o procesador, están autorizados a procesar datos personales.

Sistema de archivo & ndash; cualquier conjunto estructurado de datos personales a los que se puede acceder de acuerdo con criterios específicos, ya sean centralizados, descentralizados o dispersos en una unidad funcional o de base geográfica.

Definiciones adicionales específicas

Estudiante & ndash; Cualquier persona que solicite o asiste a un curso de meditación Vipassana dirigido por un maestro asistente a SN Goenka.

Profesor asistente & ndash; Cualquiera que haya sido designado por S.N. Goenka, o sus representantes, para realizar cursos de meditación Vipassana, incluidos los docentes.

Old Student & ndash; Cualquier persona que haya completado un curso de meditación Vipassana con S.N. Goenka o uno de sus profesores asistentes.

Servidor & ndash; un alumno antiguo que está ayudando en un curso o en un centro.

4. Responsabilidades bajo la ley de protección de datos

4.1 Calm es un controlador bajo GDPR.

4.2 La Alta Gerencia y todos aquellos en funciones gerenciales o de supervisión a lo largo de Calm son responsables de desarrollar y fomentar buenas prácticas de manejo de información dentro de la organización; las responsabilidades se establecen en las descripciones de trabajo individuales.

4.3 El oficial de protección de datos y los miembros de la junta de la calm y la Fundación es responsable ante el Consejo de Supervisión de la calm por la gestión de la información personal dentro de Calma y por garantizar que se pueda demostrar el cumplimiento de la legislación de protección de datos y las buenas prácticas. Esta responsabilidad incluye:

4.3.1 desarrollo e implementación del PIMS según lo requiere esta política; y

4.3.2 gestión de seguridad y riesgos en relación con el cumplimiento de la política.

4.4 El DPO y el consejo de Calm Foundation se consideran calificados y experimentados y han sido designados para asumir la responsabilidad de Calm & rsquo El cumplimiento de esta política en el día a día y, en particular, tiene la responsabilidad directa de garantizar que Calm cumpla con el GDPR, al igual que los miembros del Consejo de Supervisión con respecto al procesamiento de datos que tiene lugar dentro de su área de responsabilidad.

4.5 El Oficial de Protección de Datos y sus representantes locales tienen responsabilidades específicas con respecto a procedimientos tales como la solicitud de sujeto al acceso de sus datos y son el primer punto de contacto para estudiantes y servidores que buscan aclaración sobre cualquier aspecto del cumplimiento de la protección de datos.

4.6 El cumplimiento de la legislación de protección de datos es responsabilidad de todos los servidores que procesan información personal.

4.7 Calma & rsquo; s Formación La política establece requisitos específicos de capacitación y concientización en relación con roles específicos y servidores que trabajan con Calm.

4.8 Servers of Calm es responsable de garantizar que los datos personales proporcionados por ellos, y de ellos, Calm, sean precisos y estén actualizados.

5. Evaluación de riesgos

Objetivo: Asegurar que Calm tenga conocimiento de los riesgos asociados con el procesamiento de tipos particulares de información personal Calm tiene un proceso para evaluar el nivel de riesgo para las personas asociadas con el procesamiento de su información personal. Las evaluaciones también se llevarán a cabo en relación con el procesamiento realizado por otras organizaciones en nombre de Calm. Calm manejarará los riesgos que identifique en la evaluación de riesgos a fin de reducir la probabilidad de una no conformidad con esta política.

Donde un tipo de procesamiento, en particular usando las nuevas tecnologías y teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del procesamiento pueden dar lugar a un alto riesgo para los "derechos y libertades" y "rdquo; de personas físicas, Calm deberá, antes del procesamiento, llevar a cabo una evaluación del impacto de las operaciones de procesamiento previstas en la protección de datos personales.

Una única evaluación puede abordar un conjunto de operaciones de procesamiento similares que presentan riesgos similares.

Donde, como resultado de una evaluación de impacto de protección de datos, está claro que calm está a punto de comenzar el procesamiento de información personal que podría causar daños y / o angustia a los interesados, la decisión de si Calm puede proceder o no debe ser enviada para su revisión al Oficial de Protección de Datos. El Oficial de Protección de Datos deberá, si hay preocupaciones significativas, ya sea sobre el daño o angustia potencial, o la cantidad de datos en cuestión, informar del asunto al consejo de Calm Foundation o al consejo de supervisión de Calm Foundation.

Se seleccionarán y aplicarán controles apropiados para reducir el nivel de riesgo asociado con el procesamiento de datos individuales a un nivel aceptable, por referencia a los criterios de aceptación de riesgo documentados de Calm y los requisitos del GDPR.

6. Principios de protección de datos

Todo el procesamiento de datos personales debe realizarse de acuerdo con los siguientes principios de protección de datos del Reglamento, y las políticas y procedimientos de Calm & rsquo; están diseñados para garantizar su cumplimiento.

6.1 & nbsp; Los datos personales deben procesarse de forma legal, justa y transparente.

El GDPR introduce el requisito de transparencia según el cual el controlador tiene políticas transparentes y de fácil acceso relacionadas con el procesamiento de datos personales y el ejercicio de las personas y rsquo; & ldquo; derechos y libertades & rdquo ;. La información debe ser comunicada al interesado en forma inteligible utilizando un lenguaje claro y claro.

La información específica que se debe proporcionar al interesado debe incluir como mínimo: < / span>

6.1.1 la identidad y los datos de contacto del controlador y, en su caso, del controlador representante;

6.1.2 & nbsp; los datos de contacto del responsable de protección de datos;

6.1.3 & nbsp; los fines del procesamiento para el que están destinados los datos personales, así como los legales la base para el procesamiento;

6.1.4 & nbsp; el período para el cual los datos personales serán almacenado;

6.1.5 & nbsp; la existencia de los derechos de solicitud de acceso, rectificación, borrado o t o & nbsp;

& nbsp; objeto del procesamiento;

6.1.6 & nbsp; las categorías de los datos personales afectados;

6.1.7 & nbsp; los destinatarios o categorías de destinatarios de los datos personales;

6.1. 8 cuando corresponda, que el controlador tiene la intención de transferir datos personales a un destinatario en un tercer país y el nivel de protección otorgado a los datos;

6.1.9 cualquier información adicional necesaria para garantizar un procesamiento justo.

6.2 & nbsp; Los datos personales solo se pueden recopilar con fines específicos, explícitos y legítimos.

Los datos obtenidos para fines específicos no deben utilizarse para un propósito que difiere de aquellos notificados formalmente al DPA (Aut oriteit Persoonsgegevens) como parte del registro de Calm & rsquo; s.

6.3 & nbsp; Los datos personales deben ser adecuados, relevantes y estar limitados a lo que es necesario para el procesamiento.

6.3.1 El Oficial de Protección de Datos es responsable de garantizar esa información, que no es estrictamente necesaria para el propósito para el cual se obtiene, no se recopila.

6.3.2 Todos los formularios de recopilación de datos (electrónicos o en papel), incluidos los requisitos de recopilación de datos en los nuevos sistemas de información, deben ser aprobados por el Oficial de Protección de Datos.

6.3. 3 El Oficial de Protección de Datos se asegurará de que, todos los años, todos los métodos de recopilación de datos sean revisados ​​por auditoría interna para garantizar que los datos recopilados continúen siendo adecuados, relevantes y no excesivos.

6.3.4 Si se proporcionan datos o Si los procedimientos documentados de Calm indican que los procedimientos documentados de Calm son excesivos o no lo requieren específicamente, el responsable de protección de datos / propietario de GDPR es responsable de garantizar que se elimine o se destruya de forma segura de acuerdo con la política de eliminación.

6.4 & nbsp; Los datos personales deben ser precisos y mantenerse actualizados.

6.4.1 Los datos que se guardan durante mucho tiempo deben revisarse y actualizarse según sea necesario. No debe mantenerse ningún dato a menos que sea razonable suponer que es exacto.

6.4.2 Los fideicomisos locales y Calm son responsables de garantizar que todos los servidores estén capacitados en la importancia de recopilar datos precisos y mantenerlos.

6.4 .3 También es responsabilidad de las personas asegurarse de que los datos de Calm sean precisos y estén actualizados. La finalización de un formulario de registro o solicitud apropiado, etc. se tomará como una indicación de que los datos contenidos en ellos son precisos en la fecha de envío.

< strong> 6.4.4 Los servidores y los estudiantes deben notificar a Calm sobre cualquier cambio en las circunstancias para permitir que se actualicen los registros personales en consecuencia. Las instrucciones para actualizar los registros están contenidas. Es responsabilidad de Calm garantizar que se notifique y actúe sobre cualquier notificación relacionada con el cambio de circunstancias.

< strong> 6.4.5 El responsable de la protección de datos es responsable de garantizar que se tomen las medidas adicionales adecuadas para mantener los datos personales precisos y actualizados, teniendo en cuenta el volumen de datos recopilados, la velocidad con la que podría cambiar y cualquier otro factor relevante.

6.4.6 Al menos una vez al año, el El Oficial de Protección de Datos revisará todos los datos personales mantenidos por Calm, por referencia al Registro de Inventario de Datos, e identificará cualquier información que ya no se requiera en el contexto del propósito registrado y se encargará de que esos datos sean eliminados / destruidos de manera segura.

6.4.7 El Oficial de Protección de Datos es responsable de realizar el arreglos apropiados que, cuando una tercera organizacion pueda haber recibido información personal imprecisa o desactualizada, para informarles de que la información es incorrecta y / o desactualizada y no debe utilizarse para decisiones sobre las personas afectadas ; y pasar cualquier corrección a la información personal a un tercero cuando sea necesario.

6.5 & nbsp; Los datos personales deben mantenerse en una forma tal que el sujeto solo pueda identificarse mientras sea necesario para el procesamiento.

6.5. 1 El tiempo en el cual los datos personales se conservan más allá de la fecha de procesamiento se minimizará para proteger la identidad del sujeto de datos en caso de una violación de datos.

6.5.2 Los datos personales se conservarán de acuerdo con el procedimiento de retención de registros y, una vez que se apruebe su fecha de retención, deben estar seguros de destruido como se establece en este procedimiento.

6.5.3 & nbsp; El oficial de protección de datos debe específicamente aprobar cualquier retención de datos que exceda los períodos de retención y debe garantizar que la justificación sea claramente identificados y en línea con los requisitos de la legislación de protección de datos. Esta aprobación debe estar escrita (lo que incluye el correo electrónico).

6.6 & nbsp; Los datos personales deben procesarse en una forma que garantice su seguridad

6.7 & nbsp; Se tomarán medidas técnicas y organizativas apropiadas contra el procesamiento no autorizado o ilegal de datos personales y contra la pérdida o destrucción accidental de datos personales, o daños a los mismos.

& nbsp;

Estos controles se han seleccionado sobre la base que identificó los riesgos para los datos personales y el potencial de daño o angustia para las personas cuyos datos se procesan.

El cumplimiento de este principio se encuentra en su Sistema de gestión de la seguridad de la información (ISMS), que se ha desarrollado en línea con ISO / IEC 27001: 2013. Los controles de seguridad estarán sujetos a auditoría y revisión.

6.8 & nbsp; Los datos personales no se transferirán a un país o territorio fuera de la Unión Europea a menos que ese país o territorio asegure un nivel adecuado de protección para los & ldquo; derechos y libertades & rsquo; de los sujetos de datos en relación con el procesamiento de datos personales.

Está prohibida la transferencia de datos personales fuera de la UE, a menos que se apliquen una o más de las salvaguardas o excepciones especificadas. < / span>

6.8.1 & nbsp; & nbsp; Safeguards

Una evaluación de la adecuación por el controlador de datos teniendo en cuenta los siguientes factores: < / span>

  • & nbsp; & nbsp; & nbsp; & nbsp; la naturaleza de la información que se transfiere;
  • & nbsp; el país o territorio del origen y el destino final de la información;
  • & nbsp; cómo la información será utilizada y por cuánto tiempo;
  • & nbsp; las leyes y prácticas del país del receptor de la transferencia, incluidos los códigos de prácticas pertinentes y las obligaciones internacionales; y

    6.8.2 & nbsp; & nbsp; Vinculando reglas corporativas

    Calm adoptará un sistema aprobado de Reglas corporativas para la transferencia de datos fuera de la UE u otras medidas como el Escudo de privacidad para transferencia a los Estados Unidos.

    6.8.3 & nbsp; & nbsp; < em> Cláusulas contractuales modelo

    Calm puede adoptar cláusulas contractuales modelo aprobadas para la transferencia de datos fuera de Los Estados unidos. Si Calm adopta las cláusulas contractuales modelo aprobadas por la Autoridad de Protección de Datos, hay un reconocimiento automático de adecuación.

    6.8. 4 & nbsp; & nbsp; Excepciones

    En ausencia de una decisión de adecuación, incluidas las normas corporativas vinculantes, una transferencia de datos personales a un tercer país, o una organización internacional,

    tendrá lugar solo en una de las siguientes condiciones:

    • & nbsp; & nbsp; el interesado ha aceptado explícitamente la transferencia propuesta, después de haber sido informado de los posibles riesgos de tales transferencias para el interesado debido a la ausencia de una decisión de adecuación y salvaguardas apropiadas;
    • & nbsp; la transferencia es necesaria para la ejecución de un contrato entre el interesado y el responsable o la implementación de medidas precontractuales tomadas a petición del interesado;
    • < span> & nbsp; la transferencia es necesaria para la conclusión o ejecución de un contrato celebrado en interés del interesado entre el responsable del tratamiento y otra persona física o jurídica; < li style = 'padding-left: 30px;'> & nbsp; la transferencia es necesaria por razones importantes de interés público;
    • & nbsp; la transferencia es necesaria para el establecimiento, ejercicio o defensa de reclamos legales;
    • & nbsp; & nbsp; la transferencia es necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado sea física o legalmente incapaz de dar su consentimiento;
    • & nbsp; & nbsp; la transferencia se realiza a partir de un registro que, de acuerdo con la legislación de la Unión o del Estado miembro, pretende proporcionar información al público y que puede ser consultada por el público en general o por cualquier persona que pueda demostrar un interés legítimo, pero solo en la medida en que se cumplan las condiciones establecidas en la legislación de la Unión o del Estado miembro para la consulta en el caso particular.

      Se publica una lista de países que cumplen los requisitos de adecuación de la Comisión en el Diario Oficial de la Unión Europea. < / em>

      & nbsp;

      6.9 & nbsp; Rendición de cuentas

      El GDPR introduce el principio de responsabilidad que establece que el controlador no solo es responsable de garantizar el cumplimiento, sino también de demostrar que cada operación de procesamiento cumple con los requisitos del GDPR.

      < span> Específicamente, los controladores deben mantener la documentación necesaria de todas las operaciones de procesamiento, implementar medidas de seguridad apropiadas, realizar DPIA (Evaluación de Impacto de Procesamiento de Datos), cumplir con los requisitos de notificaciones previas o la aprobación de las autoridades de supervisión y designar un Oficial de Protección de Datos. El DPO holandés es nombrado oficial central de protección de datos para la organización Calm.

    7. Derechos de los individuos que proporcionan sus datos

    Los sujetos de datos tienen los siguientes derechos con respecto al procesamiento de datos y los datos que se registran sobre ellos:

    7.1 que pueda tener acceso a saber la naturaleza de la información guardada y a quién ha sido proporcionada.

    7.2 Para evitar el procesamiento que pueda causar daño o preocupación.

    7.3 Para evitar el procesamiento con fines de marketing directo.

    7.4 para estar informado sobre la mecánica del proceso automatizado de toma de decisiones que los afectará significativamente.

    7.5 No se deben tomar decisiones importantes que los afectará únicamente por un proceso automatizado.

    7.6 Solicitar una indemnización si sufren daños por cualquier contravención del GDPR.

    7.7 Para tomar medidas para rectificar, bloquear, borrar, incluido el derecho a ser olvidado, o destruir datos no verdaderos.

    7.8 Para solicitar el DPA (Autoriteit Persoonsgegevens) para evaluar si se ha incumplido alguna disposición del GDPR. < / p>

    7.9 El derecho de que se les proporcionen datos personales en un formato estructurado, comúnmente utilizado y legible por máquina, y el derecho a que esos datos se transmitan a otro controlador

    7.10 El derecho a oponerse a cualquier perfil automatizado sin consentimiento.

    Data subjects pueden hacer solicitudes de acceso a datos. El procedimiento también describe cómo Calm se asegurará de que su respuesta a la solicitud de acceso a datos cumpla con los requisitos del Reglamento.

    Quejas

    Los sujetos de datos que deseen quejarse de Calm sobre cómo se procesó su información personal pueden presentar su reclamación directamente con el Oficial de Protección de Datos.

    Los sujetos de datos también pueden presentar una queja directamente al DPA (de Autoriteit Persoonsgegevens).

    Cuando los interesados ​​desean quejarse sobre cómo se ha manejado su queja, o apelar contra cualquier decisión tomada a raíz de una queja, pueden presentar otra queja ante el Oficial de Protección de Datos. El derecho a hacer esto debe incluirse en el procedimiento de quejas y comunicarse con los estudiantes y los servidores.

    8. Consentimiento

    Calm comprende & lsquo; consentimiento & rsquo; significa que ha sido una indicación explícita y voluntaria, específica, informada e inequívoca de los deseos del sujeto de los datos por medio de la cual, mediante una declaración, o mediante una clara acción afirmativa, significa un acuerdo con el procesamiento de datos personales relacionados con él o ella. El consentimiento del sujeto de datos se puede retirar en cualquier momento.

    Calma comprende & lsquo; consentimiento & rsquo; para significar que el sujeto de los datos ha sido completamente informado del procesamiento previsto y ha manifestado su acuerdo, en un estado mental apto para hacerlo y sin que se ejerza presión sobre ellos. El consentimiento obtenido bajo coacción o sobre la base de información engañosa no será una base válida para el procesamiento. Debe haber alguna comunicación activa entre las partes que demuestren el consentimiento activo. El consentimiento no se puede deducir de la falta de respuesta a una comunicación. Para los datos confidenciales, se debe obtener el consentimiento explícito por escrito de los sujetos de datos a menos que exista una base legítima alternativa para el procesamiento.

    En la mayoría de los casos, el consentimiento para procesar datos personales y confidenciales Calm utilizando documentos de consentimiento estándar, por ejemplo cuando un estudiante solicita un curso, hay una aplicación de servidor para atender. Donde Calm proporciona servicios en línea a los niños, se debe obtener la autorización parental o de custodia. Este requisito se aplica a los niños menores de 16 años (a menos que el Estado miembro haya previsto un límite de edad inferior, que no puede ser inferior a 13).

    9. Seguridad de los datos

    Todos los servidores son responsables de garantizar que los datos personales que Calm detenta y de los que son responsables se guarden de forma segura y no se divulguen bajo ninguna condición a terceros a menos que ese tercero haya sido específicamente autorizado por Calm para recibir esa información y ha firmado un acuerdo de confidencialidad.

    Todos los datos personales deben ser accesibles solo para aquellos que necesitan usarlos, y el acceso solo puede otorgarse en línea con la Política de control de acceso. Los datos personales deben mantenerse:

    • en una sala bloqueable con acceso controlado; y / o
    • en un cajón cerrado o archivador; y / o
    • si está informatizado, protegido con contraseña de acuerdo con los requisitos corporativos de la Política de control de acceso; y / o
    • almacenados en medios informáticos (extraíbles) que están cifrados.
    • y deben ser anonimizados o pseudomizados siempre que sea posible

      Se debe tener cuidado para asegurar que las pantallas y terminales de PC no sean visibles, excepto para los servidores autorizados. Todos los servidores están obligados a firmar un Acuerdo de uso aceptable antes de que se les dé acceso a información organizativa de cualquier tipo.

      Los registros manuales no pueden dejarse donde puedan ser accedidos por personal no autorizado y no pueden ser retirados del lugar de trabajo sin autorización explícita Tan pronto como ya no se necesiten registros manuales para el soporte diario del cliente, se deben eliminar del archivo seguro.

      Los datos personales solo pueden eliminarse en línea con el Procedimiento de retención de datos. Los registros manuales que han llegado a su fecha de retención deben triturarse y eliminarse como & lsquo; residuos confidenciales & rsquo ;. Los discos duros de las PC redundantes deben eliminarse e inmediatamente destruirse según sea necesario antes de su eliminación.

      Procesamiento de datos personales & lsquo; off-site & rsquo; presenta un riesgo potencialmente mayor de pérdida, robo o daño a los datos personales. Los servidores deben estar específicamente autorizados para procesar datos fuera del sitio, estar al tanto del procedimiento de violación de datos y aplicarlo cuando sea necesario.

    10. Derecho de acceso a tus datos personales

    Los interesados tienen derecho a acceder a cualquier dato personal (es decir, datos sobre ellos) que se guardan en calma en formato electrónico y registros manuales que forman parte de un sistema de archivo relevante. Esto incluye el derecho a inspeccionar referencias personales confidenciales recibidas por Calm, y la información obtenida de organizaciones de terceros sobre esa persona.

    11. Divulgación de datos

    Calm debe garantizar que los datos personales no se divulguen a terceros no autorizados, lo que incluye miembros de la familia, amigos, organismos gubernamentales y, en determinadas circunstancias, a la Policía. Todos los servidores deben tener precaución cuando se les solicite que divulguen datos personales de otra persona a un tercero y se les exigirá que asistan a una capacitación específica que les permita lidiar eficazmente con dicho riesgo. Es importante tener en cuenta si la divulgación de la información es relevante o no y necesaria para la realización de los cursos.

    El GDPR permite ciertas divulgaciones sin consentimiento, por lo tanto siempre que la información se solicite para uno o más de los siguientes propósitos:

    • para salvaguardar la seguridad nacional;
    • prevención o detección de delitos, incluida la aprehensión o enjuiciamiento de los delincuentes;
    • evaluación o recaudación de impuestos;
    • descarga de funciones reguladoras (incluye salud, seguridad y bienestar de las personas en el trabajo);
    • para evitar daños graves a un tercero;
    • para proteger los intereses vitales del individuo, esto se refiere a las situaciones de vida o muerte.

      Todas las solicitudes para proporcionar datos por una de estas razones debe ser respaldada por la documentación apropiada y todas las divulgaciones deben ser específicamente autorizadas por el Oficial de Protección de Datos.

    12. Retención y eliminación de datos

    Los datos personales no deben retenerse por más tiempo de lo que se requiere. Una vez que un servidor ya no está activo o un estudiante ha dejado de solicitar cursos, puede que no sea necesario conservar toda la información que contienen. Algunos datos se conservarán por períodos más largos que otros. Los procedimientos de retención de datos y eliminación de datos de calm se aplicarán en todos los casos.

    Eliminación de registros

    Los datos personales deben ser eliminados de una manera que proteja al individuo; derechos y libertades de los sujetos de datos (por ejemplo, trituración, eliminación como residuo confidencial, eliminación electrónica segura) y en línea con el procedimiento de eliminación segura.

    13. Procedimiento de violación de datos

    Calm ha integrado un procedimiento de violación de datos. Cualquier incumplimiento se debe informar al DPO de conformidad con la política aprobada.

    14. Fecha efectiva

    Esta política de privacidad entra en vigor a partir del 26 de mayo de 2018. Calm se reserva el derecho de ajustar y / o volver a redactar la política. Todos los usuarios de Calm están sujetos a la política. Esto incluye a Calm Board, el consejo de supervisión, Calm Trust, DPO, trusts y servidores que utilizan Calm y terceros países y partes, siempre que sus obligaciones se mencionen en esta política.

    15. Comunicación

    La política también se comunicará con los estudiantes y servidores que solicitan cursos de una manera comprensible y completa. Una copia de esta política está disponible para todos los usuarios de Calm a petición y también se puede encontrar en la página web.