CALM YKSITYISYYSKÄYTÄNTÖ

1. Käytäntö, laajuus ja tavoitteet

1.1 Lausuma

Calmin hallinto, joka sijaitsee Robert Owenstraat 21, 3045 PT te Rotterdamissa Alankomaissa, on sitoutunut noudattamaan kaikkia asiaa koskevia EU:n lakeja henkilötietojen osalta ja suojelemaan niiden henkilöiden “oikeuksia ja vapauksia” , joiden tietoja Calm kerää yleisen tietosuojadirektiivin (GDPR) mukaisesti. Tämän vuoksi Calm on kehittänyt, toteuttanut, ylläpitänyt ja jatkuvasti kehittää dokumentoitua henkilökohtaista tietojärjestelmää (‘PIMS’) Calmille.

1.2 Soveltamisala

PIMS:n laajuus ottaen huomioon organisaatiorakenne, johtamisvastuu, toimivaltuus ja maantiede. PIMS voi sisältää kaikki Calmia käyttävät maat tai tai määritellyn osan Calmia käyttävistä maista.

1.3 PIMS:n tavoitteet

Calmin tavoite PIMS:lle on, että sen avulla Calm pystyy täyttämään omat vaatimuksensa henkilötietojen hallinnoimiseksi; että sen olisi tuettava organisaation tavoitteita ja velvoitteita; että sen olisi valvottava Calmin hyväksyttävän riskin tasoa; että sen on varmistettava, että Calm täyttää sovellettavat lakisääteiset, lainsäädännölliset, sopimukseen perustuvat ja / tai ammatilliset tehtävät; ja että sen pitäisi suojella yksilöiden ja muiden tärkeiden sidosryhmien etuja.

1.4 Sitoumus

Calm on sitoutunut noudattamaan tietosuojalainsäädäntöä ja hyviä käytäntöjä, kuten:


  1. henkilötietojen käsittely vain silloin, kun se on ehdottoman välttämätöntä laillisia organisaatiotarkoituksia varten;
  2. kerätä vain näihin tarkoituksiin tarvittavat henkilökohtaiset vähimmäistiedot eikä käsitellä liiallisia henkilökohtaisia tietoja;
  3. antaa selkeää tietoa yksityishenkilöille siitä, miten heidän henkilökohtaisia tietojaan käytetään ja kenen toimesta;
  4. ainoastaan käsitellä asianmukaisia ja riittäviä henkilötietoja;
  5. henkilötietojen käsittelyä oikeudenmukaisesti ja laillisesti;
  6. säilyttää luettelo Calmin käsittelemistä henkilötietoista;
  7. henkilökohtaisten tietojen pitämiseen täsmällisinä ja tarpeen vaatiessa ajan tasalla;
  8. äilyttää henkilökohtaisia tietoja vain niin kauan kuin on tarpeen oikeudellisista tai sääntelyllisistä syistä tai laillisista organisatorisista syistä;
  9. yksityishenkilöiden oikeuksien kunnioittaminen suhteessa heidän henkilökohtaisiin tietoihinsa, mukaan lukien heidän oikeutensa päästä tutustumaan aineistoon;
  10. pitää kaikki henkilökohtaiset tietosi turvallisina; tietoja saa vain vähän aikaa ja vain pienin tarvittava määrä ihmisiä vain silloin, kun se on ehdottoman tarpeellista;
  11. siirtää henkilökohtaisia tietoja EU: n ulkopuolelle vain olosuhteissa, joissa sitä voidaan suojata riittävästi;
  12. tietosuojalainsäädännössä sallittujen poikkeusten soveltamiseen;

PIMS: n kehittäminen ja toteutus, jotta politiikka voidaan toteuttaa;

  1. tarvittaessa yksilöidä sisäiset ja ulkoiset sidosryhmät ja miten nämä sidosryhmät osallistuvat Calmin PIMS-järjestelmän hallinnointiin; ja
  2. PIMS:n erityisvastuun ja vastuullisuuden omaavien työntekijöiden tunnistaminen.

1.5 Tietojen keräämisen ja tallentamisen tarkoitus

Calm ja sen työntekijät (avustajat) keräävät ja arvioivat tietoja seuraaviin tarkoituksiin;jotta avustava opettaja tai avustaja voi hänen puolestaan arvioida, sopiiko oppilas kurssille, jotta kurssin järjestävä taho voi suunnitella majoitusta, ruokaa ja joskus kuljetusta oppilaalle, jotta oppilaalle voidaan antaa asianmukaista ohjausta ja apua ennen Vipassana-meditaatiokurssin aloittamista, sen aikana ja sen jälkeen oikeudellisista syistä tai sopimuksen täytäntöönpanosta, mikä tarkoittaa, että käsitellään tietoja, jotka ovat tarpeen oppilaan tai avustajan tarvitseman palvelun antamiseksi meditaatiokurssilla, ja tarjota kursseihin liittyviä lisäpalveluja, oppilaan suostumuksella tai organisaation oikeutettujen etujen pohjalta.


Ilmoitus


1.6 Calm on ilmoittanut Haagin Alankomaiden tietosuojaviranomaiselle, “De Autoriteit Persoonsgegevens”, että se on rekisterinpitäjä ja että se käsittelee tiettyjä tietoja rekisteröidyistä. Calm on tunnistanut kaikki henkilökohtaisia tietoja käsittelevät prosessinsa, jotka sisältyvät tietovarastoon.


1.7 Tietosuojavastaava säilyttää DPA-ilmoituksen jäljennöksen ja DPA-ilmoituksen käsikirjaa käytetään arvovaltaisena ilmoituksena.


1.8 DPA-ilmoitus uusitaan vuosittain.


1.9 Tietosuojavaltuutettu vastaa vuosittain ilmoituksen yksityiskohdista Calmin toiminnan muutosten valossa (kuten varaston rekisteriin tehdyistä muutoksista ja johdon uudelleentarkastelusta) sekä mahdollisista lisävaatimuksista, jotka on yksilöity tietosuojavaikutusten arvioinnissa.

Tämä käytäntö koskee kaikkia työntekijöitä / henkilöstöä [ja asianosaisia], kuten ulkoistettuja toimittajia. GDPR: n tai tämän PIMS: n rikkominen käsitellään Calmin kurinpitopolitiikassa, ja se voi myös olla rikos, jolloin asia ilmoitetaan mahdollisimman pian asianomaisille viranomaisille.

Kumppanit ja kaikki kolmannet osapuolet, jotka työskentelevät Calmille tai Calmin kanssa, ja joilla on tai saattavat saada henkilökohtaisia tietoja, odotetaan lukeneen, ymmärtäneen ja noudattavan tätä käytäntöä. Kukaan kolmas osapuoli ei saa käyttää salassa pidettäviä henkilötietoja ilman, että hän on ensin tehnyt luottamuksellisuussopimuksen, joka asettaa kolmannelle osapuolelle velvoitteet, jotka ovat yhtä raskaita kuin Calmin sitoumukset, ja joka antaa Calmille oikeuden tarkastaa sopimuksen noudattaminen.

2. Organisaation käyttämät määritelmät (GDPR:stä)

Henkilötiedot – kaikki tunnistetulle tai tunnistettavissa olevalle luonnolliselle henkilölle ("rekisteröidylle") liittyvä tieto; tunnistettavissa oleva luonnollinen henkilö on sellainen, joka voidaan tunnistaa suoraan tai epäsuorasti erityisesti tunnisteen, kuten nimen, tunnistenumeron, sijaintitietojen, online-tunnisteen tai yhden tai useamman fyysisen, fysiologisen, geneettisen, henkisen, taloudellisen, kulttuurisen tai sosiaalisen identiteetin pohjalta.

Henkilötietojen erityisluokat – henkilötiedot, jotka paljastavat rodun tai etnisen alkuperän, poliittiset mielipiteet, uskonnolliset tai filosofiset vakaumukset tai ammattiyhdistysjäsenyydet ja geneettisten tietojen käsittely, biometriset tiedot luonnollisen henkilöiden yksilöimiseksi, terveydentilaa koskevat tiedot tai tiedot luonnollisen henkilön seksielämästä tai seksuaalisesta suuntautumisesta.

Tietosuojan hallitsija – uonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä muiden kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitus ja keinot määräytyvät unionin tai jäsenvaltion lainsäädännön mukaan, rekisterinpitäjä tai sen nimittämistä koskevat erityiset perusteet voidaan säätää unionin tai jäsenvaltioiden lainsäädännön mukaisesti.

Rekisteröity – kuka tahansa elävä yksilö, josta organisaatiolla on hallussa henkilötietoja.

Käsittely – kaikki henkilötietoihin tai henkilötietojen sarjoihin suoritetut toiminnot tai toimintamuodot riippumatta siitä, ovatko ne automaattisia välineitä, kuten kerääminen, tallennus, organisointi, jäsentäminen, tallennus, muokkaaminen tai muuttaminen, haku, kuuleminen, käyttö, levittäminen, levittäminen tai muuten saataville asettaminen, yhdenmukaistaminen tai yhdistäminen, rajoittaminen, poistaminen tai hävittäminen.

Profilisointi – on henkilötietojen automatisoitu käsittely, jonka tarkoituksena on arvioida tiettyjä luonnollisen henkilön henkilökohtaisia näkökohtia tai analysoida tai ennustaa henkilön suorituskyky työelämässä, taloudellinen tilanne, sijainti, terveys, henkilökohtaiset mieltymykset, luotettavuus tai käyttäytyminen. Tämä määritelmä on sidoksissa rekisteröidyn oikeuteen vastustaa profilointia ja oikeutta saada tietoa profiloinnin olemassaolosta, profiloitumiseen perustuvista toimenpiteistä ja profiloinnin suunnitelluista vaikutuksista yksilöön.

Henkilötietojen vuotaminen –turvallisuuden rikkominen, joka johtaa henkilötietojen luovuttamiseen, tallentamiseen tai muuten käsittelemättömään tai laittomaan hävittämiseen, häviämiseen, muuttamiseen, luvattomaan paljastamiseen tai niihin pääsyyn. Rekisterinpitäjä on velvollinen ilmoittamaan henkilötietojen rikkomuksista valvontaviranomaiselle ja jos rikkominen voi vaikuttaa haitallisesti rekisteröidyn henkilötietoihin tai yksityisyyteen.

Tietosuojan suostumus- tarkoittaa ilmaistua, täsmällistä, tietoista ja yksiselitteistä mainintaa rekisteröityjen toiveista, jolla hän ilmaisee lausuman tai selkeän myönteisen toimen avulla suostumuksen henkilötietojen käsittelyä koskevaan sopimukseen.

Erityiset lisämääritelmät


Oppilas: Henkilö, joka hakee tai osallistuu vipassanameditaatiokurssille, jota ohjaa S. N. Goenkaa avustava opettaja.

Avustava opettaja: S.N. Goenkan tai hänen edustajansa vipassanameditaatiokursseja ohjaamaan nimittämä henkilö. Tähän sisältyvät myös opettajat.

Vanha oppilas: Vipassanameditaatiokurssin suorittanut henkilö S.N. Goenkan tai hänen apulaisopettajansa ohjauksella.

Avustaja: vanha oppilas, joka avustaa vipassanameditaatiokurssien järjestämisessä, kurssipaikalla tai kurssikeskuksessa.

3. Velvollisuudet

3.1 Calm määrittelee keinot ja tarkoitukset ohjelman käyttöön

3.2 Ylimmän johdon ja kaikkien Calm hallinto- tai valvontatehtävissä olevien vastuulla on hyvien tietojenkäsittely käytäntöjen kehittäminen ja kannustaminen organisaation sisällä. Vastuut on jaettu yksilöllisissä tehtäväkuvauksissa.

3.3 Tietosuojavaltuutettu ja Calm -säätiön hallituksen jäsenet ovat vastuussa Calm-hallintoneuvostolle henkilökohtaisten tietojen hallinnoimisesta Calmissa ja vastuussa siitä, että tietosuojalainsäädännön ja hyvien käytäntöjen noudattaminen voidaan osoittaa. Tähän vastuuseen sisältyy turvallisuus ja riskiarviointi yksitysyyskäytäntöön liittyen.

3.4 DPO:ta ja Calm säätiön hallitusta pidetään asianmukaisesti pätevinä ja kokeneina, ja heidät on nimetty ottamaan vastuun siitä, että Calm noudattaa tätä käytäntöä käytännössä ja erityisesti heillä on välitön vastuu sen varmistamisesta, että Calm noudattaa GDPR:ää ja että hallintoneuvoston jäsenet noudattavat GDPR:ää oman tietojenkäsittely alueensa suhteen.

3.5 Tietosuojalainsäädännön noudattaminen on kaikkien niiden avustajien vastuulla, jotka käsittelevät henkilötietoja.span>

3.6 Calmin koulutus käytäntö asettaa erityisiä koulutus- ja tiedostusvaatimuksia tiettyjen tehtävien suhteen ja yleisesti Calmin kanssa työskenteleville avustajille.

3.7 Calm-avustajat ovat vastuussa siitä, että heidän henkilökohtaiset tiedot, jotka liittyvät heihin ja jotka he ovat antaneet Calmille, ovat paikkansapitäviä ja ajantasaisia

4. Riskien arviointi

Tarkoitus: Varmistaakseen, että Calm on tietoinen tietyntyyppisten henkilötietojen käsittelyyn liittyvistä riskeistä, Calmilla on prosessi, jolla arvioidaan riskit yksilöille heidän henkilötietojensa käsittelyyn liittyen. Arvioinnit toteutetaan myös muiden organisaatioiden Calmin puolesta tekemän käsittelyn yhteydessä. Calm käsittelee riskinarvioinnissa havaitut riskit, jotta voidaan vähentää tämän käytännön noudattamatta jättämisen todennäköisyyttä.

Kun tietyntyyppinen käsittelytapa, erityisesti uuden teknologian avulla ja huomioon ottaen käsittelyn luonne, laajuus, konteksti ja tarkoitukset, johtaa todennäköisesti suuriin riskeihin luonnollisten henkilöiden “oikeuksille ja vapauksille” , Calm vaatii ennen käsittelyä suorittamaan arvion suunnitellun käsittelyn vaikutuksista henkilötietojen suojaan.

Yksittäisessä arvioinnissa voidaan käsitellä samankaltaisia käsittelytapoja, jotka aiheuttavat samanlaisia suuria riskejä.

Jos tietosuojaa koskevan vaikutusten arvioinnin tuloksena on selvää, että Calm aikoo aloittaa henkilötietojen käsittelyn, joka voi aiheuttaa kohteelleen vahinkoa ja/tai ahdistusta, päätös siitä, voiko Calm jatkaa kyseistä käsittelyä, tulee tarkastaa tietosuojavastaavan kanssa. Jos on olemassa merkittäviä huolenaiheita mahdollisen vahingon tai ahdistuneisuuden tai kyseessä olevien tietojen määrästä, tietosuojavaltuutetun (DPO) tulee laajentaa asia Calm-säätiölle tai Calm-säätiön hallintoneuvostolle.

A sianmukaiset toimenpiteet valitaan ja toteutetaan yksittäisten tietojen käsittelyyn liittyvän riskin vähentämiseksi hyväksyttävälle tasolle Calmin dokumentoitujen riskinottokriteerien ja GDPR:n vaatimusten mukaisesti. span>

5. Tietosuojaperiaatteet

Kaikki henkilötietojen käsittely on suoritettava asetusta seuraavien tietosuojaperiaatteiden mukaisesti. Calmin käytännöt ja menettelyt on suunniteltu varmistamaan niiden noudattaminen.

6.1  Henkilötietoja on käsiteltävä laillisesti, oikeudenmukaisesti ja avoimesti.

GDPR:ssä otetaan käyttöön avoimuusvaatimus, jonka mukaan rekisterinpitäjällä on avoimet ja helposti saatavilla olevat henkilötietojen käsittelyyn ja yksilön’ “oikeuksien ja vapauksien” toteuttamiseen liittyvät käytännöt. Tiedot on ilmoitettava rekisteröidylle järkevällä tavalla käyttäen yksinkertaista ja selkeää kieltä.

Tietojen, jotka annetaan rekisteröidylle, tulee sisältää vähintään seuraavat asiat:

6.1.1 rekisterinpitäjän ja mahdollisen rekisterinpitäjän edustajan henkilöllisyys ja yhteystiedot;

6.1.2   tietosuojavaltuutetun yhteystiedot;

6.1.3   käsittelyn, jota varten henkilötiedot on tarkoitettu, prosessoinnin tarkoitus sekä käsittelyn oikeusperusta;

6.1.4   ajanjakso, jona henkilötietoja säilytetään;

6.1.5   käsiteltävien tietojen saatavuuden, korjauksen, tuhoamisen tai  

  käsittely prosessin vastustuksen oikeudesta kertominen;

6.1.6  kyseisten henkilötietojen luokat;

6.1.7  henkilötietojen vastaanottajat tai vastaanottaja kategoriat;

6.1.8 tarvittaessa, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmannen maan vastaanottajalle. Lisäksi todetaan kyseisille tiedoille annettu tietosuoja taso;

6.1.9 kaikki muut tiedot, jotka ovat tarpeen oikeudenmukaisen käsittelyn takaamiseksi.

6.2   Henkilötietoja voidaan kerätä vain määrättyihin, selkeisiin ja laillisiin tarkoituksiin.

Tiettyyn tarkoitukseen saatuja tietoja ei saa käyttää sellaiseen tarkoitukseen, joka poikkeaa tietosuojaviranomaiselle (Autoriteit Persoonsgegevens) virallisesti ilmoitetuista tarkoituksista osana Calmrekisteröintiä.

6.3  Henkilötietojen on oltava käsittelyä vastaavia, sille olennaisia ja rajoitettu siihen, mikä on käsittelyn kannalta tarpeellista.

6.3.1 Tietosuojavaltuutettu vastaa siitä, että tietoja, jotka eivät ole todella tarkoituksenmukaisia sille tarkoitukselle, johon niitä kerätään, ei kerätä.

6.3.2 Tietosuojavaltuutetun on hyväksyttävä kaikki tietojenkeruulomakkeet (sähköiset ja paperipohjaiset) mukaan lukien tietojenkeruuvaatimukset uusissa tietojärjestelmissä.

6.3.3 Tietosuojavaltuutettu huolehtii siitä, että sisäinen tarkastus suoritetaan vuosittain kaikkia tiedonkeruumenetelmiä koskien sen varmistamiseksi, että kerätyt tiedot ovat edelleen riittävät, asianmukaiset, mutta eivät liialliset.

6.3.4 Jos tietoja on annettu tai hankittu liikaa tai niitä ei vaadita Calmin kirjattuihin toimenpiteisiin, tietosuojavastaava / GDPR-omistaja on vastuussa sen varmistamisesta, että tiedot poistetaan tai tuhotaan turvallisesti poistokäytännön mukaisesti.

6.4  Henkilötietojen on oltava tarkkoja ja ajan tasalla.

6.4.1 Pitkään säilytettäviä tietoja on tarkistettava ja päivitettävä tarvittaessa. Tietoja ei tule säilyttää, ellei ole kohtuullista olettaa, että ne ovat paikkansa pitäviä.

6.4.2 Paikalliset säätiöt/hallitukset ja CALM ovat vastuussa sen varmistamisesta, että kaikki avustajat on koulutettu tärkeän tiedon keräämiseen ja sen ylläpitoon.

6.4.3 Yksilöiden vastuulla on myös varmistaa, että Calmin hallussa olevat tiedot ovat tarkkoja ja ajantasaisia. Asianmukaisen rekisteröinti- tai hakemuslomakkeen täyttäminen on merkkinä siitä, että siinä olevat tiedot ovat oikeita lähetyspäivänä.

6.4.4 Avustajien ja opiskelijoiden on ilmoitettava Calmille mahdollisista olosuhteiden muutoksista, jotta henkilökohtaiset tietueet voidaan päivittää vastaavasti. Tietojen päivittämistä koskevat ohjeet sisällytetään järjestelmään. Calmin vastuulla on varmistaa, että olosuhteiden muutoksen ilmoittaminen huomioidaan ja että sen perusteella toimitaan.

6.4.5 Tietosuojavaltuutettu on vastuussa siitä, että henkilötietojen pitämiseen ja ajantasaistamiseen on ryhdytty asianmukaisin lisätoimenpiteiden avulla ottaen huomioon kerättyjen tietojen määrä, nopeus, jolla se voi muuttua ja muut asiaankuuluvat tekijät.

6.4.6 Tietosuojavaltuutettu tarkastelee vähintään kerran vuodessa kaikkia Calmin ylläpitämiä henkilötietoja tietovarasto-rekisterin (Data Inventory Register, DIR) perusteella ja tunnistaa kaikki tiedot, joita ei enää tarvita rekisteröidyn tarkoituksen yhteydessä, ja järjestää näiden tietojen turvallisen poistamisen / tuhoamisen.span>

6.4.7 Tietosuojavaltuutettu on vastuussa asianmukaisista järjestelyistä, kun kolmannen osapuolen organisaatioille on saatettu antaa virheellisiä tai vanhentuneita henkilötietoja. Kolmatta osapuolta tulee tiedottaa siitä, että tiedot ovat epätarkkoja ja / tai vanhentuneita ja että niitä ei tule käyttää tietolähteenä kyseisiä henkilöitä koskevassa päätöksessä. Lisäksi tulee toimittaa mahdolliset korjaukset henkilökohtaisiin tietoihin kolmannelle osapuolelle, jos se on tarpeen.

6.5  Henkilötiedot on pidettävä sellaisessa muodossa, että rekisteröity voidaan tunnistaa vain niin kauan kuin käsittely on tarpeen.

6.5.1 Jos henkilötietoja säilytetään käsittelypäivämäärän jälkeen, se minimoidaan, jotta mahdollisen tietosuojamurron sattuessa, kohteen identiteetti on suojeltuna.

6.5.2 Henkilötiedot säilytetään tietojensäilytyskäytännön mukaisesti ja säilyttämispäivän jälkeen ne on hävitettävä turvallisesti tämän menettelyn mukaisesti.

6.5.3   Tietosuojavaltuutetun on erityisesti hyväksyttävä sellaisten tietojen säilyttäminen, jotka ylittävät säilytysaikoja, ja hänen on varmistettava, että perustelut on selkeästi yksilöity ja että ne vastaavat tietosuojalainsäädännön vaatimuksia. Tämän hyväksynnän on oltava kirjoitetussa muodossa (jollaisena sähköpostiviesti nähdään). span>

6.6  Henkilötietoja on käsiteltävä tavalla, joka takaa niiden turvallisuuden.

6.7  Asianmukaiset tekniset ja organisatoriset toimenpiteet on toteutettava henkilötietojen luvattoman tai laittoman käsittelyn sekä henkilökohtaisten tietojen vahingossa tapahtuvan menettämisen, tuhoutumisen tai vahingoittumisen varalta.

 

Nämä valvontatoimet on valittu henkilötietojen tunnistettujen riskien ja mahdollisten vahinkojen tai ahdingon varalta henkilöille, joiden tietoja käsitellään.

Calmin tämän periaatteen noudattaminen sisältyy sen tietoturvallisuuden hallintajärjestelmään (ISMS), joka on kehitetty ISO / IEC 27001: 2013 -standardin mukaisesti. Turvatarkastukset tehdään tarkastetaan ja arvioidaan.

6.8  Henkilötietoja ei saa siirtää Euroopan unionin ulkopuoliseen maahan tai alueelle, ellei kyseinen maa tai alue takaa riittävää suojana rekisteröityjen henkilöiden ‘oikeuksille ja vapauksille’ henkilötietojen käsittelyssä.

Henkilötietojen siirto EU:n ulkopuolelle on kiellettyä, jollei yksi tai useampi määritelty suojatoimenpide tai poikkeus sovellu tilanteeseen.

6.8.1   Suojatoimenpiteet

Rekisterinpitäjän arvio riittävyydestä huomioon ottaen seuraavat tekijät:

  •        siirrettävien tietojen luonne;
  •   tietojen alkuperämaa tai -alue ja lopullisen määränpään tiedot;
  •   miten tietoja käytetään ja kuinka kauan;
  •   kohteen, jonka tietoja siirretään, maan lait ja käytännöt, mukaan lukien asiaa koskevat käytännesäännöt ja kansainväliset velvoitteet; ja

6.8.2   Yhteen sitovat yrityssäännöt

Calm ottaa käyttöön Yhteen sitovat yrityssäännöt (BCR) tietojen siirtämiseen EU:n ulkopuolelle ja muille toimenpiteille, kuten Privacy Shield-tietosuojajärjestely, kun tietoja siirretään Yhdysvaltoihin.

6.8.3   Mallisopimuslausekkeet

Calm voi ottaa käyttöön hyväksyttyjä mallisopimuslausekkeita tietojen siirtämiseksi EU:n ulkopuolelle. Jos Calm hyväksyy tietosuojaviranomaisen hyväksymät mallisopimuslausekkeet, riittävyyden tunnistaminen tapahtuu automaattisesti.span>

6.8.4   Poikkeukset

Tietosuojan riittävyyspäätöksen puuttuessa, mukaan lukien sitovat yrityssäännöt, henkilötietojen siirtäminen kolmanteen maahan tai kansainväliseen organisaatioon

tapahtuu vain jollakin seuraavista ehdoista:span>

  •   rekisteröity on nimenomaisesti suostunut ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu mahdollisista tällaisten siirtojen mahdollisista riskeistä riittävyyspäätöksen ja asianmukaisten suojatoimien puutteiden vuoksi;
  •   Siirto on välttämätöntä rekisteröidyn ja rekisterinpitäjän välisen sopimuksen toteuttamiseksi tai rekisteröidyn pyynnöstä toteutettujen sopimusta edeltävien toimenpiteiden vuoksi;span>
  •   siirto on välttämätöntä rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välisen, rekisteröidyn edun vuoksi tehdyn sopimuksen tekemiseksi tai toteuttamiseksi;
  •   siirto on välttämätön tärkeiden yleistä etua koskevien syiden vuoksi;
  •   siirto on välttämätöntä oikeudellisten vaatimusten laatimiseksi, toteuttamiseksi tai puolustamiseksi;
  •     siirto on välttämätöntä rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojelemiseksi, jos rekisteröity ei ole fyysisesti tai laillisesti kykenevä antamaan suostumusta;
  •    siirto tehdään rekisteristä, joka unionin tai jäsenvaltion lainsäädännön mukaan on tarkoitettu yleisölle tiedottamiseen ja joka on avoin konsultaatiolle joko yleisön keskuudessa tai sellaisen henkilön kanssa, joka voi osoittaa oikeutetun kiinnostuksen, mutta ainoastaan siinä määrin, että unionin tai jäsenvaltioiden lainsäädännössä säädetyt edellytykset konsultaatiolle ovat täyttyneet kyseisessä tapauksessa.span>

Luettelo maista, jotka täyttävät komission riittävyysvaatimukset,julkaistaanEuroopan Unionin virallisessa lehdessä.

<

6. Rekisteröidyn oikeudet

Rekisteröidyille ilmoitetaan heidän soveltuvista oikeuksistaan BCR:n ja soveltuvan lainsäädännön mukaisesti. Jos tiedot koskevat oppilasta EU:sta, on hänellä lisäoikeuksia, joihin liittyen hän voi ottaa yhteyttä PCP:hen ja DPO:hon BCR:n mukaisesti. Rekisteröidyt, jotka haluavat valittaa Calm:lle siitä, kuinka heidän henkilökohtaisia tietojaan on käsitelty, voivat asettaa valituksensa suoraan Yksityisyysyhteyshenkilön ja Tietosuojavaltuutetun kanssa.

7. Tietojen turvallisuus

Kaikki avustajien vastuulla on varmistaa, että kaikki Calmin ylläpitämät ja heidän (kyseisten avustajien) vastuulla olevat henkilötiedot säilytetään turvallisesti eikä niitä missään tilanteessa luovuteta kolmannelle osapuolelle, ellei kyseinen kolmas osapuoli ole nimenomaisesti saanut Calmilta lupaa vastaanottaa kyseisiä tietoja ja astunut salassapitosopimuksen.

Henkilötietojen tulee olla saatavilla vain niille, jotka tarvitsevat niitä, ja käyttöoikeudet voidaan myöntää vain Access Control Policy -sääntöjen mukaisesti. Henkilötietoja on säilytettävä:

  • lukittavassa huoneessa, jonne pääsy on säädeltyä; ja/tai
  • lukitussa laatikossa tai arkistokaapissa; ja/tai
  • jos se on tietokoneistettu, salasanalla suojattuna Access Control Policy yritysvaatimusten mukaisesti; ja/tai
  • tallennettuna (siirrettävässä) tietovälineessä salatusti
  • Ja aina kun mahdollista, nimettömästi tai salanimellä.

Tietokoneen näytöt ja päätelaitteet eivät saa olla muiden kuin valtuutettujen avustajien nähtävillä. Kaikkien avustajien tulee astua Acceptable Use Agreementiin ennen kuin heille annetaan pääsy minkäänlaisiin organisatorisiin tietoihin.

Fyysisiä tietoja ei saa jättää paikkoihin, joissa niihin pääsee valtuuttamattomia henkilöitä ja niitä ei saa poistaa työpaikalta ilman nimenomaista lupaa. Heti, kun manuaalisia tietueita ei enää tarvita päivittäiseen asiakastukeen, ne on poistettava turvallisesta arkistoinnista.

Henkilötietoja voidaan poistaa tai hävittää vain tietojen säilyttämismenettelyn mukaisesti. Fyysiset asiakirjat, joiden säilytysaika loppuu, on silputtava ja hävitettävä luottamukselliseksi luokitellun jätteen hävitystavan mukaisesti. Tyhjien tietokoneiden kovalevyt on poistettava ja tuhottava välittömästi ennen hävittämistä.

Henkilötietojen käsitteleminen ‘off-site’ aiheuttaa mahdollisesti suuremman riskin henkilötietojen menetyksestä, varastamisesta tai vahingoittumisesta. Avustajilla on oltava erityinen valtuutus käsitellä tietoja ”off site”, olla tietoinen toimintakäytännöstä henkilötietorikoksen sattuessa ja soveltaa sitä tarvittaessa.

8. Tietojen luovuttaminen

Calmin tulee varmistaa, että henkilötietoja ei luovuteta valtuuttamattomille kolmansille osapuolille, joihin lasketaan perheenjäsenet, ystävät, hallituksen elimet ja tietyissä olosuhteissa poliisi. Kaikkien avustajien tulee olla varovaisia, kun heitä pyydetään luovuttamaan toiselle henkilölle kuuluvia henkilökohtaisia tietoja kolmannelle osapuolelle, ja heidän on osallistuttava erityiseen koulutukseen, jonka avulla he voivat käsitellä tehokkaasti tällaisia riskejä. On tärkeää pitää mielessä, onko tietojen luovuttaminen merkityksellistä ja tarpeellista meditaatiokurssien suorittamisen kannalta.Kaikki pyynnöt tietojen toimittamisesta jollakin näistä syistä on tuettava asianmukaisella paperityöllä ja tietosuojavaltuutetun on nimenomaisesti annettava kaikki tällaiset tiedot.

9. Tietovuoto toimenpiteet

Calm on integroinut tietosuojarikkomusmenettelyn. Kaikki rikkomukset on raportoitava yksityisyysyhteyshenkilölle tai tietosuojavaltuutetulle hyväksytyn käytännön mukaisesti.

10. Päivämäärä

Tämä yksityisyydensuojakäytäntö on voimassa 26.5.2018 alkaen. Suomen Vipassana ry pidättää itsellään oikeuden muuttaa ja / tai laatia käytännön uudelleen. Kaikki yhdistyksen avustajat noudattavat käytäntöä. Tähän kuuluvat hallituksen jäsenet, yhdistyksen jäsenet, lyhytaikaiset avustajat, pitkäaikaiset avustajat, avustavat opettajat ja vierailevat avustavat opettajat.

11. Kommunikointi

Tämä käytäntö välitetään myös oppilaille ja avustajille, jotka hakevat kursseille, ymmärrettävässä muodossa. Kopio tästä käytännöstä on saatavilla kaikille Calm-käyttäjille pyynnöstä ja sen löytää myös nettisivuilta.