CALM YKSITYISYYSKÄYTÄNTÖ

1. Käytäntö, laajuus ja tavoitteet

1.1 Lausuma

Calmin hallinto, joka sijaitsee Robert Owenstraat 21, 3045 PT te Rotterdamissa Alankomaissa, on sitoutunut noudattamaan kaikkia asiaa koskevia EU:n lakeja henkilötietojen osalta ja suojelemaan niiden henkilöiden “oikeuksia ja vapauksia” , joiden tietoja Calm kerää yleisen tietosuojadirektiivin (GDPR) mukaisesti. Tämän vuoksi Calm on kehittänyt, toteuttanut, ylläpitänyt ja jatkuvasti kehittää dokumentoitua henkilökohtaista tietojärjestelmää (‘PIMS’) Calmille.

1.2 Soveltamisala

PIMS:n laajuus ottaen huomioon organisaatiorakenne, johtamisvastuu, toimivaltuus ja maantiede. PIMS voi sisältää kaikki Calmia käyttävät maat tai tai määritellyn osan Calmia käyttävistä maista.

1.3 PIMS:n tavoitteet

Calmin tavoite PIMS:lle on, että sen avulla Calm pystyy täyttämään omat vaatimuksensa henkilötietojen hallinnoimiseksi; että sen olisi tuettava organisaation tavoitteita ja velvoitteita; että sen olisi valvottava Calmin hyväksyttävän riskin tasoa; että sen on varmistettava, että Calm täyttää sovellettavat lakisääteiset, lainsäädännölliset, sopimukseen perustuvat ja / tai ammatilliset tehtävät; ja että sen pitäisi suojella yksilöiden ja muiden tärkeiden sidosryhmien etuja.

1.4 Sitoumus

Calm on sitoutunut noudattamaan tietosuojalainsäädäntöä ja hyviä käytäntöjä, kuten:


  1. henkilötietojen käsittely vain silloin, kun se on ehdottoman välttämätöntä laillisia organisaatiotarkoituksia varten;
  2. kerätä vain näihin tarkoituksiin tarvittavat henkilökohtaiset vähimmäistiedot eikä käsitellä liiallisia henkilökohtaisia tietoja;
  3. antaa selkeää tietoa yksityishenkilöille siitä, miten heidän henkilökohtaisia tietojaan käytetään ja kenen toimesta;
  4. ainoastaan käsitellä asianmukaisia ja riittäviä henkilötietoja;
  5. henkilötietojen käsittelyä oikeudenmukaisesti ja laillisesti;
  6. säilyttää luettelo Calmin käsittelemistä henkilötietoista;
  7. henkilökohtaisten tietojen pitämiseen täsmällisinä ja tarpeen vaatiessa ajan tasalla;
  8. äilyttää henkilökohtaisia tietoja vain niin kauan kuin on tarpeen oikeudellisista tai sääntelyllisistä syistä tai laillisista organisatorisista syistä;
  9. yksityishenkilöiden oikeuksien kunnioittaminen suhteessa heidän henkilökohtaisiin tietoihinsa, mukaan lukien heidän oikeutensa päästä tutustumaan aineistoon;
  10. pitää kaikki henkilökohtaiset tietosi turvallisina; tietoja saa vain vähän aikaa ja vain pienin tarvittava määrä ihmisiä vain silloin, kun se on ehdottoman tarpeellista;
  11. siirtää henkilökohtaisia tietoja EU: n ulkopuolelle vain olosuhteissa, joissa sitä voidaan suojata riittävästi;
  12. tietosuojalainsäädännössä sallittujen poikkeusten soveltamiseen;

PIMS: n kehittäminen ja toteutus, jotta politiikka voidaan toteuttaa;

  1. tarvittaessa yksilöidä sisäiset ja ulkoiset sidosryhmät ja miten nämä sidosryhmät osallistuvat Calmin PIMS-järjestelmän hallinnointiin; ja
  2. PIMS:n erityisvastuun ja vastuullisuuden omaavien työntekijöiden tunnistaminen.

1.5 Tietojen keräämisen ja tallentamisen tarkoitus

Calm ja sen työntekijät (avustajat) keräävät ja arvioivat tietoja seuraaviin tarkoituksiin;jotta avustava opettaja tai avustaja voi hänen puolestaan arvioida, sopiiko oppilas kurssille, jotta kurssin järjestävä taho voi suunnitella majoitusta, ruokaa ja joskus kuljetusta oppilaalle, jotta oppilaalle voidaan antaa asianmukaista ohjausta ja apua ennen Vipassana-meditaatiokurssin aloittamista, sen aikana ja sen jälkeen oikeudellisista syistä tai sopimuksen täytäntöönpanosta, mikä tarkoittaa, että käsitellään tietoja, jotka ovat tarpeen oppilaan tai avustajan tarvitseman palvelun antamiseksi meditaatiokurssilla, ja tarjota kursseihin liittyviä lisäpalveluja, oppilaan suostumuksella tai organisaation oikeutettujen etujen pohjalta.


Ilmoitus


1.6 Calm on ilmoittanut Haagin Alankomaiden tietosuojaviranomaiselle, “De Autoriteit Persoonsgegevens”, että se on rekisterinpitäjä ja että se käsittelee tiettyjä tietoja rekisteröidyistä. Calm on tunnistanut kaikki henkilökohtaisia tietoja käsittelevät prosessinsa, jotka sisältyvät tietovarastoon.


1.7 Tietosuojavastaava säilyttää DPA-ilmoituksen jäljennöksen ja DPA-ilmoituksen käsikirjaa käytetään arvovaltaisena ilmoituksena.


1.8 DPA-ilmoitus uusitaan vuosittain.


1.9 Tietosuojavaltuutettu vastaa vuosittain ilmoituksen yksityiskohdista Calmin toiminnan muutosten valossa (kuten varaston rekisteriin tehdyistä muutoksista ja johdon uudelleentarkastelusta) sekä mahdollisista lisävaatimuksista, jotka on yksilöity tietosuojavaikutusten arvioinnissa.

Tämä käytäntö koskee kaikkia työntekijöitä / henkilöstöä [ja asianosaisia], kuten ulkoistettuja toimittajia. GDPR: n tai tämän PIMS: n rikkominen käsitellään Calmin kurinpitopolitiikassa, ja se voi myös olla rikos, jolloin asia ilmoitetaan mahdollisimman pian asianomaisille viranomaisille.

Kumppanit ja kaikki kolmannet osapuolet, jotka työskentelevät Calmille tai Calmin kanssa, ja joilla on tai saattavat saada henkilökohtaisia tietoja, odotetaan lukeneen, ymmärtäneen ja noudattavan tätä käytäntöä. Kukaan kolmas osapuoli ei saa käyttää salassa pidettäviä henkilötietoja ilman, että hän on ensin tehnyt luottamuksellisuussopimuksen, joka asettaa kolmannelle osapuolelle velvoitteet, jotka ovat yhtä raskaita kuin Calmin sitoumukset, ja joka antaa Calmille oikeuden tarkastaa sopimuksen noudattaminen.

2. Yleisen tietosuojadirektiivin (GDPR) tausta

Yleinen tietosuojadirektiivi 2016 korvaa vuoden 1995 EU: n tietosuojadirektiivin ja kumoaa tietosuojadirektiivin 95/46 / EY mukaisesti kehitetyt yksittäiset jäsenvaltiot. Sen tarkoituksena on suojella "elävien yksilöiden oikeuksia ja vapauksia" ja varmistaa, että henkilötietoja ei käsitellä ilman heidän tietämystään ja aina kun mahdollista, että niitä käsitellään heidän suostumuksellaan.

3. Organisaation käyttämät määritelmät (GDPR:stä)

Alueellinen soveltamisala– GDPR:ä sovelletaan kaikkiin EU:hun (Euroopan unioni ja Euroopan talousalueen maihin) sijoittautuneisiin rekisterinpitäjiin, jotka käsittelevät rekisteröityjen henkilötietoja kyseisessä laitoksessa. Sitä sovelletaan myös EU:n ulkopuolisiin rekisterinpitäjiin, jotka käsittelevät henkilötietoja tavaroiden ja palveluiden tarjoamiseksi tai käyttäytymisen seuraamiseksi EU:ssa asuville rekisteröidyille henkilöille.

Päätoimipaikka – rekisterinpitäjän päätoimipaikka EU: ssa on paikka, jossa rekisterinpitäjä tekee tärkeimmät päätökset tietojen käsittelyn tarkoituksesta. Prosessorin päätoimipaikka EU:ssa on sen hallinnollinen keskus. Jos rekisterinpitäjä toimii EU:n ulkopuolella, sen on nimettävä edustaja lainkäyttövaltaan, jossa rekisterinpitäjä toimii, toimimaan rekisterinpitäjän puolesta ja asioimaan valvontaviranomaisten kanssa.

Henkilötiedot – kaikki tunnistetulle tai tunnistettavissa olevalle luonnolliselle henkilölle ("rekisteröidylle") liittyvä tieto; tunnistettavissa oleva luonnollinen henkilö on sellainen, joka voidaan tunnistaa suoraan tai epäsuorasti erityisesti tunnisteen, kuten nimen, tunnistenumeron, sijaintitietojen, online-tunnisteen tai yhden tai useamman fyysisen, fysiologisen, geneettisen, henkisen, taloudellisen, kulttuurisen tai sosiaalisen identiteetin pohjalta.

Henkilötietojen erityisluokat – henkilötiedot, jotka paljastavat rodun tai etnisen alkuperän, poliittiset mielipiteet, uskonnolliset tai filosofiset vakaumukset tai ammattiyhdistysjäsenyydet ja geneettisten tietojen käsittely, biometriset tiedot luonnollisen henkilöiden yksilöimiseksi, terveydentilaa koskevat tiedot tai tiedot luonnollisen henkilön seksielämästä tai seksuaalisesta suuntautumisesta.

Tietosuojan hallitsija – luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä muiden kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitus ja keinot määräytyvät unionin tai jäsenvaltion lainsäädännön mukaan, rekisterinpitäjä tai sen nimittämistä koskevat erityiset perusteet voidaan säätää unionin tai jäsenvaltioiden lainsäädännön mukaisesti.

Rekisteröity – kuka tahansa elossa oleva yksilö, josta organisaatiolla on hallussa henkilötietoja.

Käsittely – kaikki henkilötietoihin tai henkilötietojen sarjoihin suoritetut toiminnot tai toimintamuodot riippumatta siitä, ovatko ne automaattisia välineitä, kuten kerääminen, tallennus, organisointi, jäsentäminen, tallennus, muokkaaminen tai muuttaminen, haku, kuuleminen, käyttö, levittäminen, levittäminen tai muuten saataville asettaminen, yhdenmukaistaminen tai yhdistäminen, rajoittaminen, poistaminen tai hävittäminen.

Profilointi – on henkilötietojen automatisoitu käsittely, jonka tarkoituksena on arvioida tiettyjä luonnollisen henkilön henkilökohtaisia näkökohtia tai analysoida tai ennustaa henkilön suorituskyky työelämässä, taloudellinen tilanne, sijainti, terveys, henkilökohtaiset mieltymykset, luotettavuus tai käyttäytyminen. Tämä määritelmä on sidoksissa rekisteröidyn oikeuteen vastustaa profilointia ja oikeutta saada tietoa profiloinnin olemassaolosta, profiloitumiseen perustuvista toimenpiteistä ja profiloinnin suunnitelluista vaikutuksista yksilöön.

Henkilötietojen rikkominen – turvallisuuden rikkominen, joka johtaa henkilötietojen luovuttamiseen, tallentamiseen tai muuten käsittelemättömään tai laittomaan hävittämiseen, häviämiseen, muuttamiseen, luvattomaan paljastamiseen tai niihin pääsyyn. Rekisterinpitäjä on velvollinen ilmoittamaan henkilötietojen rikkomuksista valvontaviranomaiselle ja jos rikkominen voi vaikuttaa haitallisesti rekisteröidyn henkilötietoihin tai yksityisyyteen.

Tietosuojan suostumus – tarkoittaa ilmaistua, täsmällistä, tietoista ja yksiselitteistä mainintaa rekisteröityjen toiveista, jolla hän ilmaisee lausuman tai selkeän myönteisen toimen avulla suostumuksen henkilötietojen käsittelyä koskevaan sopimukseen.

Lapsi – GDPR:n määritelmän mukaan lapsia ovat kaikki alle 16-vuotiaat. Alle 13-vuotiaan lapsen henkilötietojen käsittely on laillista vain, jos vanhempien tai säilytysyhteisön suostumus on saatu.

Kolmas osapuoli– luonnollinen henkilö tai oikeushenkilö, julkinen viranomainen, virasto tai elin, joka ei ole rekisteröity, rekisterinpitäjä, rekisterinpitäjä ja henkilöt, joilla on rekisterinpitäjän tai käsittelijän välityksellä välitön oikeus käsitellä henkilötietoja.

Arkistointijärjestelmä – kaikki jäsennellyt henkilötietojoukot, jotka ovat saatavilla erityisten perusteiden mukaan, olivatpa ne sitten keskitettyjä, hajautettuja tai hajautettuja toiminnon tai maantieteellisen sijainnin perusteella.


Erityiset lisämääritelmät


Oppilas – Henkilö, joka hakee tai osallistuu vipassanameditaatiokurssille, jota ohjaa S. N. Goenkaa avustava opettaja.

Avustava opettaja – Henkilö, joka hakee tai osallistuu vipassanameditaatiokurssille, jota ohjaa S. N. Goenkaa avustava opettaja.

Vanha oppilas– Vipassanameditaatiokurssin suorittanut henkilö S.N. Goenkan tai hänen apulaisopettajansa ohjauksella.

Avustaja – vanha oppilas, joka avustaa vipassanameditaatiokurssien järjestämisessä, kurssipaikalla tai kurssikeskuksessa.

4. Yleisen Tietosuojadirektiivin mukaiset velvollisuudet

4.1 Calm toimii GDPR:n mukaisesti tarkastajana.

4.2 Ylimmän johdon ja kaikkien Calm hallinto- tai valvontatehtävissä olevien vastuulla on hyvien tietojenkäsittely käytäntöjen kehittäminen ja kannustaminen organisaation sisällä. Vastuut on jaettu yksilöllisissä tehtäväkuvauksissa.

4.3 Tietosuojavaltuutettu ja Calm -säätiön hallituksen jäsenet ovat vastuussa Calm-hallintoneuvostolle henkilökohtaisten tietojen hallinnoimisesta Calmissa ja vastuussa siitä, että tietosuojalainsäädännön ja hyvien käytäntöjen noudattaminen voidaan osoittaa. Tähän vastuuseen sisältyy:

4.3.1 PIMS:n kehittäminen ja toteuttaminen tämän käytännön edellyttämällä tavalla; ja

4.3.2 turvallisuus ja riskienhallinta käytännön noudattamisen suhteen.

4.4 DPO:ta ja Calm säätiön hallitusta pidetään asianmukaisesti pätevinä ja kokeneina, ja heidät on nimetty ottamaan vastuun siitä, että Calm noudattaa tätä käytäntöä käytännössä ja erityisesti heillä on välitön vastuu sen varmistamisesta, että Calm noudattaa GDPR:ää ja että hallintoneuvoston jäsenet noudattavat GDPR:ää oman tietojenkäsittely alueensa suhteen.

4.5 Tietosuojavastaavalla ja hänen paikallisilla edustajillaan on erityisiä velvollisuuksia sellaisten menettelytapojen osalta, jotka koskevat SUBJECT ACCESS REQUEST menettelyä, ja ovat oppilaiden ja avustajien ensimmäinen yhteyshenkilö, jolta he voivat hakea selvennystä tietosuojan noudattamisesta, mistä tahansa näkökulmasta.

4.6 Tietosuojalainsäädännön noudattaminen on kaikkien niiden avustajien vastuulla, jotka käsittelevät henkilötietoja.

4.7 Calmin koulutus käytäntö asettaa erityisiä koulutus- ja tiedostusvaatimuksia tiettyjen tehtävien suhteen ja yleisesti Calmin kanssa työskenteleville avustajille.

4.8 Calm-avustajat ovat vastuussa siitä, että heidän henkilökohtaiset tiedot, jotka liittyvät heihin ja jotka he ovat antaneet Calmille, ovat paikkansapitäviä ja ajantasaisia

5. Riskien arviointi

Tarkoitus: Varmistaakseen, että Calm on tietoinen tietyntyyppisten henkilötietojen käsittelyyn liittyvistä riskeistä, Calmilla on prosessi, jolla arvioidaan riskit yksilöille heidän henkilötietojensa käsittelyyn liittyen. Arvioinnit toteutetaan myös muiden organisaatioiden Calmin puolesta tekemän käsittelyn yhteydessä. Calm käsittelee riskinarvioinnissa havaitut riskit, jotta voidaan vähentää tämän käytännön noudattamatta jättämisen todennäköisyyttä.

Kun tietyntyyppinen käsittelytapa, erityisesti uuden teknologian avulla ja huomioon ottaen käsittelyn luonne, laajuus, konteksti ja tarkoitukset, johtaa todennäköisesti suuriin riskeihin luonnollisten henkilöiden “oikeuksille ja vapauksille” , Calm vaatii ennen käsittelyä suorittamaan arvion suunnitellun käsittelyn vaikutuksista henkilötietojen suojaan.

Yksittäisessä arvioinnissa voidaan käsitellä samankaltaisia käsittelytapoja, jotka aiheuttavat samanlaisia suuria riskejä.

Jos tietosuojaa koskevan vaikutusten arvioinnin tuloksena on selvää, että Calm aikoo aloittaa henkilötietojen käsittelyn, joka voi aiheuttaa kohteelleen vahinkoa ja/tai ahdistusta, päätös siitä, voiko Calm jatkaa kyseistä käsittelyä, tulee tarkastaa tietosuojavastaavan kanssa. Jos on olemassa merkittäviä huolenaiheita mahdollisen vahingon tai ahdistuneisuuden tai kyseessä olevien tietojen määrästä, tietosuojavaltuutetun (DPO) tulee laajentaa asia Calm-säätiölle tai Calm-säätiön hallintoneuvostolle.

A sianmukaiset toimenpiteet valitaan ja toteutetaan yksittäisten tietojen käsittelyyn liittyvän riskin vähentämiseksi hyväksyttävälle tasolle Calmin dokumentoitujen riskinottokriteerien ja GDPR:n vaatimusten mukaisesti. span>

6. Tietosuojaperiaatteet

Kaikki henkilötietojen käsittely on suoritettava asetusta seuraavien tietosuojaperiaatteiden mukaisesti. Calmin käytännöt ja menettelyt on suunniteltu varmistamaan niiden noudattaminen.

6.1  Henkilötietoja on käsiteltävä laillisesti, oikeudenmukaisesti ja avoimesti.

GDPR:ssä otetaan käyttöön avoimuusvaatimus, jonka mukaan rekisterinpitäjällä on avoimet ja helposti saatavilla olevat henkilötietojen käsittelyyn ja yksilön’ “oikeuksien ja vapauksien” toteuttamiseen liittyvät käytännöt. Tiedot on ilmoitettava rekisteröidylle järkevällä tavalla käyttäen yksinkertaista ja selkeää kieltä.

Tietojen, jotka annetaan rekisteröidylle, tulee sisältää vähintään seuraavat asiat:

6.1.1 rekisterinpitäjän ja mahdollisen rekisterinpitäjän edustajan henkilöllisyys ja yhteystiedot;

6.1.2   tietosuojavaltuutetun yhteystiedot;

6.1.3   käsittelyn, jota varten henkilötiedot on tarkoitettu, prosessoinnin tarkoitus sekä käsittelyn oikeusperusta;

6.1.4   ajanjakso, jona henkilötietoja säilytetään;

6.1.5   käsiteltävien tietojen saatavuuden, korjauksen, tuhoamisen tai  

  käsittely prosessin vastustuksen oikeudesta kertominen;

6.1.6  kyseisten henkilötietojen luokat;

6.1.7  henkilötietojen vastaanottajat tai vastaanottaja kategoriat;

6.1.8 tarvittaessa, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmannen maan vastaanottajalle. Lisäksi todetaan kyseisille tiedoille annettu tietosuoja taso;

6.1.9 kaikki muut tiedot, jotka ovat tarpeen oikeudenmukaisen käsittelyn takaamiseksi.

6.2   Henkilötietoja voidaan kerätä vain määrättyihin, selkeisiin ja laillisiin tarkoituksiin.

Tiettyyn tarkoitukseen saatuja tietoja ei saa käyttää sellaiseen tarkoitukseen, joka poikkeaa tietosuojaviranomaiselle (Autoriteit Persoonsgegevens) virallisesti ilmoitetuista tarkoituksista osana Calmrekisteröintiä.

6.3  Henkilötietojen on oltava käsittelyä vastaavia, sille olennaisia ja rajoitettu siihen, mikä on käsittelyn kannalta tarpeellista.

6.3.1 Tietosuojavaltuutettu vastaa siitä, että tietoja, jotka eivät ole todella tarkoituksenmukaisia sille tarkoitukselle, johon niitä kerätään, ei kerätä.

6.3.2 Tietosuojavaltuutetun on hyväksyttävä kaikki tietojenkeruulomakkeet (sähköiset ja paperipohjaiset) mukaan lukien tietojenkeruuvaatimukset uusissa tietojärjestelmissä.

6.3.3 Tietosuojavaltuutettu huolehtii siitä, että sisäinen tarkastus suoritetaan vuosittain kaikkia tiedonkeruumenetelmiä koskien sen varmistamiseksi, että kerätyt tiedot ovat edelleen riittävät, asianmukaiset, mutta eivät liialliset.

6.3.4 Jos tietoja on annettu tai hankittu liikaa tai niitä ei vaadita Calmin kirjattuihin toimenpiteisiin, tietosuojavastaava / GDPR-omistaja on vastuussa sen varmistamisesta, että tiedot poistetaan tai tuhotaan turvallisesti poistokäytännön mukaisesti.

6.4  Henkilötietojen on oltava tarkkoja ja ajan tasalla.

6.4.1 Pitkään säilytettäviä tietoja on tarkistettava ja päivitettävä tarvittaessa. Tietoja ei tule säilyttää, ellei ole kohtuullista olettaa, että ne ovat paikkansa pitäviä.

6.4.2 Paikalliset säätiöt/hallitukset ja CALM ovat vastuussa sen varmistamisesta, että kaikki avustajat on koulutettu tärkeän tiedon keräämiseen ja sen ylläpitoon.

6.4.3 Yksilöiden vastuulla on myös varmistaa, että Calmin hallussa olevat tiedot ovat tarkkoja ja ajantasaisia. Asianmukaisen rekisteröinti- tai hakemuslomakkeen täyttäminen on merkkinä siitä, että siinä olevat tiedot ovat oikeita lähetyspäivänä.

6.4.4 Avustajien ja opiskelijoiden on ilmoitettava Calmille mahdollisista olosuhteiden muutoksista, jotta henkilökohtaiset tietueet voidaan päivittää vastaavasti. Tietojen päivittämistä koskevat ohjeet sisällytetään järjestelmään. Calmin vastuulla on varmistaa, että olosuhteiden muutoksen ilmoittaminen huomioidaan ja että sen perusteella toimitaan.

6.4.5 Tietosuojavaltuutettu on vastuussa siitä, että henkilötietojen pitämiseen ja ajantasaistamiseen on ryhdytty asianmukaisin lisätoimenpiteiden avulla ottaen huomioon kerättyjen tietojen määrä, nopeus, jolla se voi muuttua ja muut asiaankuuluvat tekijät.

6.4.6 Tietosuojavaltuutettu tarkastelee vähintään kerran vuodessa kaikkia Calmin ylläpitämiä henkilötietoja tietovarasto-rekisterin (Data Inventory Register, DIR) perusteella ja tunnistaa kaikki tiedot, joita ei enää tarvita rekisteröidyn tarkoituksen yhteydessä, ja järjestää näiden tietojen turvallisen poistamisen / tuhoamisen.span>

6.4.7 Tietosuojavaltuutettu on vastuussa asianmukaisista järjestelyistä, kun kolmannen osapuolen organisaatioille on saatettu antaa virheellisiä tai vanhentuneita henkilötietoja. Kolmatta osapuolta tulee tiedottaa siitä, että tiedot ovat epätarkkoja ja / tai vanhentuneita ja että niitä ei tule käyttää tietolähteenä kyseisiä henkilöitä koskevassa päätöksessä. Lisäksi tulee toimittaa mahdolliset korjaukset henkilökohtaisiin tietoihin kolmannelle osapuolelle, jos se on tarpeen.

6.5  Henkilötiedot on pidettävä sellaisessa muodossa, että rekisteröity voidaan tunnistaa vain niin kauan kuin käsittely on tarpeen.

6.5.1 Jos henkilötietoja säilytetään käsittelypäivämäärän jälkeen, se minimoidaan, jotta mahdollisen tietosuojamurron sattuessa, kohteen identiteetti on suojeltuna.

6.5.2 Henkilötiedot säilytetään tietojensäilytyskäytännön mukaisesti ja säilyttämispäivän jälkeen ne on hävitettävä turvallisesti tämän menettelyn mukaisesti.

6.5.3   Tietosuojavaltuutetun on erityisesti hyväksyttävä sellaisten tietojen säilyttäminen, jotka ylittävät säilytysaikoja, ja hänen on varmistettava, että perustelut on selkeästi yksilöity ja että ne vastaavat tietosuojalainsäädännön vaatimuksia. Tämän hyväksynnän on oltava kirjoitetussa muodossa (jollaisena sähköpostiviesti nähdään). span>

6.6  Henkilötietoja on käsiteltävä tavalla, joka takaa niiden turvallisuuden.

6.7  Asianmukaiset tekniset ja organisatoriset toimenpiteet on toteutettava henkilötietojen luvattoman tai laittoman käsittelyn sekä henkilökohtaisten tietojen vahingossa tapahtuvan menettämisen, tuhoutumisen tai vahingoittumisen varalta.

 

Nämä valvontatoimet on valittu henkilötietojen tunnistettujen riskien ja mahdollisten vahinkojen tai ahdingon varalta henkilöille, joiden tietoja käsitellään.

Calmin tämän periaatteen noudattaminen sisältyy sen tietoturvallisuuden hallintajärjestelmään (ISMS), joka on kehitetty ISO / IEC 27001: 2013 -standardin mukaisesti. Turvatarkastukset tehdään tarkastetaan ja arvioidaan.

6.8  Henkilötietoja ei saa siirtää Euroopan unionin ulkopuoliseen maahan tai alueelle, ellei kyseinen maa tai alue takaa riittävää suojana rekisteröityjen henkilöiden ‘oikeuksille ja vapauksille’ henkilötietojen käsittelyssä.

Henkilötietojen siirto EU:n ulkopuolelle on kiellettyä, jollei yksi tai useampi määritelty suojatoimenpide tai poikkeus sovellu tilanteeseen.

6.8.1   Suojatoimenpiteet

Rekisterinpitäjän arvio riittävyydestä huomioon ottaen seuraavat tekijät:

  •        siirrettävien tietojen luonne;
  •   tietojen alkuperämaa tai -alue ja lopullisen määränpään tiedot;
  •   miten tietoja käytetään ja kuinka kauan;
  •   kohteen, jonka tietoja siirretään, maan lait ja käytännöt, mukaan lukien asiaa koskevat käytännesäännöt ja kansainväliset velvoitteet; ja

6.8.2   Yhteen sitovat yrityssäännöt

Calm ottaa käyttöön Yhteen sitovat yrityssäännöt (BCR) tietojen siirtämiseen EU:n ulkopuolelle ja muille toimenpiteille, kuten Privacy Shield-tietosuojajärjestely, kun tietoja siirretään Yhdysvaltoihin.

6.8.3   Mallisopimuslausekkeet

Calm voi ottaa käyttöön hyväksyttyjä mallisopimuslausekkeita tietojen siirtämiseksi EU:n ulkopuolelle. Jos Calm hyväksyy tietosuojaviranomaisen hyväksymät mallisopimuslausekkeet, riittävyyden tunnistaminen tapahtuu automaattisesti.span>

6.8.4   Poikkeukset

Tietosuojan riittävyyspäätöksen puuttuessa, mukaan lukien sitovat yrityssäännöt, henkilötietojen siirtäminen kolmanteen maahan tai kansainväliseen organisaatioon

tapahtuu vain jollakin seuraavista ehdoista:span>

  •   rekisteröity on nimenomaisesti suostunut ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu mahdollisista tällaisten siirtojen mahdollisista riskeistä riittävyyspäätöksen ja asianmukaisten suojatoimien puutteiden vuoksi;
  •   Siirto on välttämätöntä rekisteröidyn ja rekisterinpitäjän välisen sopimuksen toteuttamiseksi tai rekisteröidyn pyynnöstä toteutettujen sopimusta edeltävien toimenpiteiden vuoksi;span>
  •   siirto on välttämätöntä rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välisen, rekisteröidyn edun vuoksi tehdyn sopimuksen tekemiseksi tai toteuttamiseksi;
  •   siirto on välttämätön tärkeiden yleistä etua koskevien syiden vuoksi;
  •   siirto on välttämätöntä oikeudellisten vaatimusten laatimiseksi, toteuttamiseksi tai puolustamiseksi;
  •     siirto on välttämätöntä rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojelemiseksi, jos rekisteröity ei ole fyysisesti tai laillisesti kykenevä antamaan suostumusta;
  •    siirto tehdään rekisteristä, joka unionin tai jäsenvaltion lainsäädännön mukaan on tarkoitettu yleisölle tiedottamiseen ja joka on avoin konsultaatiolle joko yleisön keskuudessa tai sellaisen henkilön kanssa, joka voi osoittaa oikeutetun kiinnostuksen, mutta ainoastaan siinä määrin, että unionin tai jäsenvaltioiden lainsäädännössä säädetyt edellytykset konsultaatiolle ovat täyttyneet kyseisessä tapauksessa.span>

Luettelo maista, jotka täyttävät komission riittävyysvaatimukset,julkaistaanEuroopan Unionin virallisessa lehdessä.

 

6.9  Vastuullisuus

GDPR:ssä otetaan käyttöön vastuuvelvollisuuden periaate, jonka mukaan rekisterinpitäjä ei vastaa ainoastaan vaatimustenmukaisuuden varmistamisesta vaan myös osoittaa, että kukin käsittelytoimi täyttää GDPR:n vaatimukset.

Erityisesti rekisterinpitäjien on ylläpidettävä tarvittavaa dokumentaatiota kaikista käsittelytoimista, toteutettava asianmukaiset turvatoimet, suoritettava tietojenkäsittelyn vaikutusten arviointeja (Data Processing Impact Assessment), noudatettava ennakkoilmoituksiin liittyviä vaatimuksia tai valvontaviranomaisten hyväksyntää, ja nimettävä tietosuojavaltuutettu. Alankomaiden tietosuojavastaava nimitetään keskeiseksi tietosuojavaltuutetuksi Calm organisaatioon.

7. Rekisteröidyn oikeudet

Rekisteröidyillä on seuraavat oikeudet tietojenkäsittelyyn ja heistä kirjattuun tietoon liittyen:

7.1 Tehdä rekisteröidyn tietoihinpääsypyyntö liittyen säilytetyn tiedon luonteeseen ja siihen, kenelle se on paljastettu.

7.2 Estää todennäköisesti vahinkoa tai ahdinkoa aiheuttava käsittely.

7.3 Estää suoramarkkinointia varten tehty käsittely.

7.4 Saada tietoa sellaisesta automaattisen päätöksentekoprosessin mekaniikasta, joka vaikuttaa heihin merkittävästi.

7.5 Merkittäviä päätöksiä, jotka vaikuttavat heihin, ei voi tehdä automaattisella prosessilla yksin.

7.6 Haastaa oikeuteen korvauksen saamiseksi, jos he kärsivät vahinkoa mistä tahansa GDPR rikkomuksesta.

7.7 Oikeus ryhtyä toimenpiteisiin korjata, estää, poistaa, mukaan lukien oikeus tulla unohdetuksi, tai tuhota epätarkkoja tietoja.

7.8 Pyytää tietosuojaviranomaista (Autoriteit Persoonsgegevens) arvioimaan, onko GDPR:n määräyksiä rikottu.

7.9 Oikeus saada henkiökohtainen tieto jäsennelty, yleisesti käytetyssä ja koneellisesti luettavissa olevassa muodossa ja oikeus siirtää kyseiset tiedot toiselle tarkastajalle.

7.10 Oikeus vastustaa kaikkea ilman suostumusta tehtyä automaattista profilointia.

Rekisteröidyt voivat tehdä tietoihin pääsypyynnön. Menettelyssä kuvataan myös, kuinka Calm varmistaa, että sen vastaus tietojen saantipyyntöön täyttää asetuksen vaatimukset.

Valitukset

Rekisteröidyt, jotka haluavat valittaa Calm:lle siitä, miten heidän henkilökohtaisia tietojaan on käsitelty, voivat tehdä valituksensa suoraan tietosuojavaltuutetulle.

Rekisteröidyt voivat myös valittaa suoraan tietosuojaviranomaiselle (de Autoriteit Persoonsgegevens).

Jos rekisteröidyt haluavat valittaa siitä, miten heidän valituksensa on hoidettu, tai valittaa valituksen johdosta tehdyistä päätöksistä, he voivat jättää tietosuojavaltuutetulle uuden valituksen. Oikeus tehdä tämä tulee sisällyttää valitusmenettelyyn ja on ilmoitettava oppilaille ja avustajille.

8. Suostumus

Calm ymmärtää ‘"suostumuksen"’  niin, että se on nimenomaisesti ja vapaasti annettu, täsmällinen, tietoinen ja yksiselitteinen rekisteröidyn toiveista tehty maininta, jolla hän ilmoittaa, tai ilmaisee selkeällä myöntyvällä toimenpiteellä, suostumuksensa hänen henkilötietojen käsittelyyn. Rekisteröidyn suostumus voidaan milloin tahansa peruuttaa.

Calm ymmärtää ‘"suostumuksen"’  tarkoittavan sitä, että rekisteröidylle on ilmoitettu suunnitellusta käsittelystä kokonaisuudessaan ja että rekisteröity on ilmaissut suostumuksensa sopivassa mielentilanteessa ja ilman painostusta. Pakotettu tai harhaanjohtavien tietojen perusteella saatu suostumus ei ole kelvollinen perusta käsittelylle. Osapuolten välillä on oltava aktiivinen yhteys, joka osoittaa aktiivisen suostumuksen. Suostumusta ei voida päätellä siitä, että viestintään ei ole vastattu. Arkaluonteisten tietojen osalta rekisteröidyn on annettava asiaakoskeva kirjallinen suostumus, jollei ole olemassa vaihtoehtoista oikeutettua käsittelyperustetta.

Useimmissa tapauksissa suostumus käsitellä henkilökohtaisia ja arkaluonteisia tietoja hankitaan rutiininomaisesti Calm:lla käyttäen tavanomaisia suostumusasiakirjoja, esim. kun opiskelija hakee kursslle tai avustaja hakee avustamaan. Kun Calm tarjoaa verkkopalveluja lapsille, vanhempien tai huoltajan suostumus on saatava. Tämä vaatimus koskee alle 16-vuotiaita lapsia (jollei jäsenvaltio ole säätänyt alhaisemmasta ikärajasta - joka ei voi olla alle 13).

9. Tietojen turvallisuus

Kaikki avustajien vastuulla on varmistaa, että kaikki Calmin ylläpitämät ja heidän (kyseisten avustajien) vastuulla olevat henkilötiedot säilytetään turvallisesti eikä niitä missään tilanteessa luovuteta kolmannelle osapuolelle, ellei kyseinen kolmas osapuoli ole nimenomaisesti saanut Calmilta lupaa vastaanottaa kyseisiä tietoja ja astunut salassapitosopimuksen.

Henkilötietojen tulee olla saatavilla vain niille, jotka tarvitsevat niitä, ja käyttöoikeudet voidaan myöntää vain Access Control Policy -sääntöjen mukaisesti. Henkilötietoja on säilytettävä:

  • lukittavassa huoneessa, jonne pääsy on säädeltyä; ja/tai
  • lukitussa laatikossa tai arkistokaapissa; ja/tai
  • jos se on tietokoneistettu, salasanalla suojattuna Access Control Policy yritysvaatimusten mukaisesti; ja/tai
  • tallennettuna (siirrettävässä) tietovälineessä salatusti
  • Ja aina kun mahdollista, nimettömästi tai salanimellä.

Tietokoneen näytöt ja päätelaitteet eivät saa olla muiden kuin valtuutettujen avustajien nähtävillä. Kaikkien avustajien tulee astua Acceptable Use Agreementiin ennen kuin heille annetaan pääsy minkäänlaisiin organisatorisiin tietoihin.

Fyysisiä tietoja ei saa jättää paikkoihin, joissa niihin pääsee valtuuttamattomia henkilöitä ja niitä ei saa poistaa työpaikalta ilman nimenomaista lupaa. Heti, kun manuaalisia tietueita ei enää tarvita päivittäiseen asiakastukeen, ne on poistettava turvallisesta arkistoinnista.

Henkilötietoja voidaan poistaa tai hävittää vain tietojen säilyttämismenettelyn mukaisesti. Fyysiset asiakirjat, joiden säilytysaika loppuu, on silputtava ja hävitettävä luottamukselliseksi luokitellun jätteen hävitystavan mukaisesti. Tyhjien tietokoneiden kovalevyt on poistettava ja tuhottava välittömästi ennen hävittämistä.

Henkilötietojen käsitteleminen ‘off-site’ aiheuttaa mahdollisesti suuremman riskin henkilötietojen menetyksestä, varastamisesta tai vahingoittumisesta. Avustajilla on oltava erityinen valtuutus käsitellä tietoja ”off site”, olla tietoinen toimintakäytännöstä henkilötietorikoksen sattuessa ja soveltaa sitä tarvittaessa.

10. Oikeudet tietoihin pääsyyn

Rekisteröidyt ovat oikeutettuja saamaan kaikki henkilökohtaiset tiedot (eli tiedot heistä), jotka pidetään Calmissa sähköisessä muodossa ja manuaaliset tietueet, jotka ovat osa asiaankuuluvaa arkistointijärjestelmää. Tämä sisältää oikeuden tarkastaa luottamukselliset henkilökohtaiset viitteet, jotka Calm vastaanottaa, ja kolmannelta osapuolelta saadut tiedot kyseisestä henkilöstä.

11. Tietojen luovuttaminen

Calmin tulee varmistaa, että henkilötietoja ei luovuteta valtuuttamattomille kolmansille osapuolille, joihin lasketaan perheenjäsenet, ystävät, hallituksen elimet ja tietyissä olosuhteissa poliisi. Kaikkien avustajien tulee olla varovaisia, kun heitä pyydetään luovuttamaan toiselle henkilölle kuuluvia henkilökohtaisia tietoja kolmannelle osapuolelle, ja heidän on osallistuttava erityiseen koulutukseen, jonka avulla he voivat käsitellä tehokkaasti tällaisia riskejä. On tärkeää pitää mielessä, onko tietojen luovuttaminen merkityksellistä ja tarpeellista meditaatiokurssien suorittamisen kannalta.

GDPR sallii tiettyjen tietojen luovutuksen ilman suostumusta niin kauan kuin tietoja pyydetään yhteen tai useampaan seuraavista tarkoituksista:

  • kansallisen turvallisuuden turvaaminen;
  • rikosten ehkäiseminen tai havaitseminen, mukaan lukien rikoksentekijöiden uhkaaminen tai syytteeseen asettaminen;
  • verotuksen arviointi tai keruu;
  • sääntelytehtävien hoitaminen (sisältää työntekijöiden terveyteen, turvallisuuteen ja hyvinvointiin liittyvät tekijät);
  • estää vakava haitta kolmannelle osapuolelle;
  • suojella yksilön elintärkeitä etuja, tämä viittaa elämän ja kuoleman tilanteisiin.

Kaikki pyynnöt tietojen toimittamisesta jollakin näistä syistä on tuettava asianmukaisella paperityöllä ja tietosuojavaltuutetun on nimenomaisesti annettava kaikki tällaiset tiedot.

12. Tietojen säilyttäminen ja hävittäminen

Henkilötietoja ei saa säilyttää pidempään kuin on tarpeellista. Kun avustaja ei ole enää aktiivinen tai opiskelija on lakannut hakemaan kursseille, ei välttämättä tarvitse säilyttää kaikkia heitä koskevia tietoja. Joitakin tietoja pidetään pidempään kuin toisia. Calmin tietojen säilyttämis- ja tiedonhankintamenettelytapoja sovelletaan kaikissa tapauksissa, joissa Calmia käytetään.

Tietojen hävittäminen

Henkilötiedot on hävitettävä siten, että niillä suojellaan rekisteröityjen henkilöiden “oikeuksia ja vapauksia” (esim. silppuaminen, luottamuksellisen jätteen hävittäminen, turvallinen elektroninen poisto) ja ne tulee hävittää turvallisen hävittämismenettelyn mukaisesti.

13. Tietovuoto toimenpiteet

Calm on integroinut tietosuojarikkomusmenettelyn. Kaikki rikkomukset on raportoitava yksityisyysyhteyshenkilölle tai tietosuojavaltuutetulle hyväksytyn käytännön mukaisesti.

14. Päivämäärä

Tämä yksityisyydensuojakäytäntö on voimassa 26.5.2018 alkaen. Suomen Vipassana ry pidättää itsellään oikeuden muuttaa ja / tai laatia käytännön uudelleen. Kaikki yhdistyksen avustajat noudattavat käytäntöä. Tähän kuuluvat hallituksen jäsenet, yhdistyksen jäsenet, lyhytaikaiset avustajat, pitkäaikaiset avustajat, avustavat opettajat ja vierailevat avustavat opettajat.

15. Kommunikointi

Tämä käytäntö välitetään myös oppilaille ja avustajille, jotka hakevat kursseille, ymmärrettävässä muodossa. Kopio tästä käytännöstä on saatavilla kaikille Calm-käyttäjille pyynnöstä ja sen löytää myös nettisivuilta.