POLITIQUE DE CONFIDENTIALITE CALM

1. Politique, portée et objectifs

1.1 Statement

The management of Calm, located at Rotterdam (info@calm.dhamma.org), in The Netherlands, is committed to complying with all relevant laws in respect of personal data, and to protecting the rights and freedoms of individuals whose information Calm collects in accordance with the laws that apply in the different regions.


1.2 Commitment

Calm is committed to complying with data protection legislation and good practice in accordance with the laws that apply including:


  1. processing personal information only where this is strictly necessary for legitimate organizational purposes;
  2. collecting only the minimum personal information required for these purposes and not processing excessive personal information;
  3. providing clear information to individuals whenever possible or required about how their personal information will be used and by whom;
  4. only processing relevant and adequate personal information;
  5. processing personal information fairly and lawfully;
  6. keeping personal information accurate and, where necessary, up to date;
  7. retaining personal information only for as long as is necessary for legal or regulatory reasons or, for legitimate organizational purposes;
  8. respecting individuals’ rights in relation to their personal information in accordance with the laws that apply;
  9. keeping all personal information secure; the data will be accessed only a minimum of times and by a minimum of people only when absolutely necessary;
  10. EU information will be adequately protected by the use of BCR, self-certification or standard contractual clauses.


1.3 Purpose of Collecting and Storing the Data

Calm and it employees (servers please see definitions below) collects and assesses the information for the following purposes; to enable the Assistant Teacher or server on his/her behalf to assess if a student is suitable to be accepted for a course, to enable the center management to plan accommodation, food and sometimes transport for the Student, to enable proper guidance and assistance to be given to the Student prior to, during and after a Vipassana Meditation course, for legal reasons or for the performance of the contract which means to process information that is needed to provide the student or server with the service he/ she requested, the participation in a course or at a center. and in order to provide extra course related services after consent has been given for these services or in such instances where legitimate interest of the organization has been demonstrated. Also for additional course related purposes which may include newsletters, announce lists, rideshare or donations.


Notifications


1.4 Calm has notified the Data Protection Authority, “De Autoriteit Persoonsgegevens”, in The Hague, The Netherlands, that it is a data controller and that it processes certain information about data subjects. Calm has identified all the personal data that it processes and this is contained in the Data Inventory Register. The DPA will review and advise on the use of BCR as a mechanism to provide safeguards for international transfer of student information.


Partners and any third parties working with or for Calm, and who have or may have access to personal information, will be expected to have read, understood and to comply with this policy. No third party may access personal data held by Calm without having first entered into a data confidentiality agreement, which imposes on the third party obligations no less onerous than those to which Calm is committed, and which gives Calm the right to audit compliance with the agreement.

2. Définitions utilisées par l'organisation (issues du RGDP)

Données personnelles – Toute information relative à une personne physique identifiée ou identifiable ('personne concernée'); une personne physique identifiable est quelqu'un qui peut être identifié, directement ou indirectement, en particulier par une référence à un identifiant tel que nom, numéro d'identification, données de localisation, un identifiant en ligne ou par un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

Catégories spéciales de données personnelles – Des données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, ou l'appartenance à un syndicat, et le traitement de données génétiques ou biométriques dans l'unique but d'identifier une personne physique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Le responsable de traitement des données – Personne physique ou morale, autorité publique, agence ou autre entité qui, seule ou conjointement avec d'autres, détermine les objectifs et les moyens du traitement des données personnelles; dans les territoires où les objectifs et moyens d'un tel traitement sont déterminés par les lois de l'Union ou de L’État membre, le responsable des traitements ou le critère spécifique pour sa nomination peut être fourni par la loi de l'Union ou d'un État membre.

Personne concernée – Tout individu vivant auquel se réfèrent des données personnelles détenues par une organisation.

Traitement – Toute opération ou ensemble d'opérations effectuées sur des données personnelles ou des ensembles de données personnelles, que ce soit ou non à l'aide de moyens automatisés, telle que le recueil, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, la dissémination ou autre moyen de rendre disponible, l’alignement ou la combinaison, la restriction, la suppression ou la destruction./span>

Profilage – Signifie n'importe quelle forme de traitement automatique de données personnelles effectué afin d'évaluer certains aspects personnels relatifs à une personne physique, ou d'analyser ou de prédire les performances de cette personne au travail, sa situation économique, son adresse, sa santé, ses préférences personnelles, sa fiabilité ou son comportement. Cette définition est liée au droit de la personne concernée de s'opposer au profilage et au droit à être informée de l'existence de ce profilage, de mesures fondées sur ce profilage et des effets envisagés du profilage sur l'individu.

Violation des données personnelles – Une violation des mesures de sécurité menant de façon accidentelle ou illégale, à la destruction, la perte, l’altération, la divulgation non autorisée, ou à un accès à des données personnelles transmises, conservées ou autrement traitées. Il y a obligation pour le responsable des traitements de déclarer les violations aux données personnelles à l’autorité de surveillance et si cette violation est susceptible d'affecter négativement les données personnelles ou la vie privée de la personne concernée.

Consentement de la personne concernée – Signifie n'importe quelle indication librement consentie, spécifique, informée et non ambiguë des souhaits de la personne concernée par lesquels il ou elle, par une déclaration ou par une action affirmative claire, signifie l'agrément au traitement des données personnelles.

Enfant – Le RGPD définit un enfant comme tout individu âgé de moins de seize ans. Le traitement des données personnelles d'un enfant de moins de treize ans est légal uniquement si un accord parental ou du tuteur a été obtenu.

Tierce partie – Personne physique ou morale, autorité publique, agence ou entité autre que la personne concernée, responsable des traitements, sous-traitant et personnes qui, sous l'autorité directe du responsable des traitements ou du sous-traitant, sont autorisées à traiter les données personnelles.

Système de classement – Tout ensemble structuré de données personnelles qui sont accessibles selon un critère spécifique, qu'il soit centralisé, décentralisé ou dispersé sur une base fonctionnelle ou géographique.


Définitions additionnelles spécifiques


Étudiant – Quiconque s'inscrit ou participe à un cours de Méditation Vipassana conduit par un assistant enseignant de S.N. Goenka.

Assistant enseignant – Quiconque a été nommé par S.N. Goenka ou ses représentants pour conduire des cours de Méditation Vipassana, y compris les Enseignants.

Ancien étudiant – Quiconque a participé à un cours complet de Méditation Vipassana conduit par S.N. Goenka ou l'un de ses Assistants enseignants.

Servant – Un Ancien étudiant qui aide sur un cours ou dans un centre.

3. Résponsabilités

3.1 Calm defines the purposes and means for the use of the software

3.2 Top Management and all those in managerial or supervisory roles throughout Calm are responsible for developing and encouraging good information handling practices within the organization; responsibilities are set out in individual job descriptions.

3.3 The Data Protection Officer and members of the board of the Calm Foundation are accountable to the Supervisory Board of Calm for the management of personal information within Calm and for ensuring that compliance with data protection legislation and good practice can be demonstrated. This accountability includes security and risk management in relation to compliance with the policy.

3.4 The DPO and the Calm Trust / Foundation board are considered to be suitably qualified and experienced and have been appointed to take responsibility for Calm’s compliance with this policy on a day-to-day basis and, in particular, have direct responsibility for ensuring that Calm complies with the GDPR, as do members of the Supervisory Board in respect of data processing that takes place within their area of responsibility.

3.5 Compliance with data protection legislation is the responsibility of all servers who process personal information.

3.6 Calm’s Training Policy sets out specific training and awareness requirements in relation to specific roles and to servers working with of Calm.

3.7 Servers of Calm are responsible for ensuring that any personal data supplied by them, and that is about them, to Calm is accurate and up-to-date.

4. Analyse des risques

Objectif : Afin de s'assurer que Calm est conscient de tout risque associé au traitement de types particuliers d'informations personnelles, Calm a une méthode pour évaluer le niveau de risque pour les individus associés au traitement de leurs informations personnelles. Des évaluations seront également effectuées pour les traitements pris en charge par d'autres organisations au nom de Calm. Calm s’engage à gérer tout risque identifié par l’évaluation des risques afin de réduire l'éventualité d'une non-conformité à cette politique.

Là où un type de traitement, en particulier utilisant de nouvelles technologies et prenant en compte la nature, l'envergure, le contexte et les objectifs du traitement, est susceptible d'entraîner un risque élevé pour les “droits et libertés” de personnes physique, Calm s’engage, avant le traitement, à effectuer une analyse de l'impact des opérations de traitement envisagées sur la protection des données personnelles.

Une seule analyse peut couvrir un ensemble d'opérations similaires de traitement qui présentent le même type de risques élevés.

Là où, résultant d'une Analyse d’impact de la Protection des Données, il est établi que Calm est sur le point de commencer un traitement d'informations personnelles qui pourrait causer des préjudices et/ou du désarroi pour les personnes concernées, la décision de savoir si Calm peut continuer ou non doit être soumise au Délégué à la Protection des Données. Le Délégué à la Protection des Données devra, s'il y a des préoccupations majeures, soit en termes de préjudices ou de détresse potentiels, ou à propos de la quantité de données concernée, faire remonter l'affaire au Conseil de la Fondation Calm ou à la Commission de Supervision de la Fondation Calm.

Des contrôles appropriés seront sélectionnés et appliqués pour réduire le niveau de risques associé au traitement de données individuelles à un niveau acceptable, en se référant au document de Calm sur le critère d'acceptation des risques et aux exigences du RGPD.

5. Principes de protection des données

Tout traitement de données personnelles doit être fait en accord avec les principes de protection des données du Règlement ci-dessous, et les politiques et procédures de Calm sont conçues pour être en conformité avec ceux-ci.

5.1 Les données personnelles doivent être traitées de manière légale, équitable et transparente.

Le RGPD introduit l’exigence de transparence par laquelle Vipassana a des politiques de traitement des données personnelles et d'exercice des "droits et libertés individuelles", transparentes et facilement accessibles. Ces informations doivent être communiquées à l'étudiant de façon intelligible dans un langage clair et simple.


Les informations spécifiques qui doivent être fournies à l'étudiant doivent à minima inclure :

5.1.1 l'identité et les coordonnées de la Fondation Calm s'il y a lieu, ou Vipassana et, s'il existe, celles du représentant ;

5.1.2 les objectifs du traitement auquel les données personnelles sont destinées ainsi que le fondement légal de ce traitement ;

5.1.3 la période pendant laquelle les données personnelles seront conservées ;

5.1.4 l'existence de droits pour tout étudiant ;

5.1.5 les catégories de données personnelles concernées ;

5.1.6 les destinataires ou catégories de destinataires des données personnelles ;

5.1.7 s’il y a lieu, que l’association Vipassana a l'intention de transférer les données personnelles à un destinataire dans un autre pays et le niveau de protection offert à ces données ;

5.1.8 toute information supplémentaire nécessaire pour garantir un traitement équitable.

5.2 Les données qui sont conservées pendant longtemps doivent être contrôlées et mises à jour si nécessaire. Aucune donnée ne doit être conservée si l’on ne peut raisonnablement assumer qu'elle est exacte.

5.2.2 L’association Vipassana et Calm ont la responsabilité de s'assurer que tous les servants sont formés sur l'importance de recueillir des données exactes et de les maintenir à jour.

5.2.3 Il est également de la responsabilité des individus de s'assurer que les données détenues par Calm et l’association Vipassana sont exactes et à jour. Un remplissage correct d'une pré-inscription ou d'un formulaire d'inscription etc. sera considéré comme une indication que les informations qui y sont contenues sont exactes à la date de soumission./span>

5.2.4 Les servants et les étudiants doivent notifier à Calm et à l’association Vipassana tout changement de situation afin de permettre la mise à jour des dossiers personnels. Des instructions pour la mise à jour des dossiers sont incluses. Il est de la responsabilité de l’association Vipassana en coopération avec Calm de s'assurer que toute notification concernant des changements de situation est notée et prise en compte.


5.3 Personal data must be kept in a form such that the data subject can be identified only as long as is necessary for processing.


5.3.1 Where personal data is retained beyond the processing date, it will be minimized in order to protect the identity of the data subject in the event of a data breach.

5.3.2 Personal data will be retained in line with the retention of records procedure and, once its retention date is passed, it must be securely destroyed as set out in this procedure.


5.4 Les données personnelles doivent être traitées d'une manière qui garantisse leur sécurité.

5.5 Appropriate technical and organisational measures shall be taken against unauthorised or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data.


Ces contrôles ont été sélectionnés sur la base de risques encourus identifiés par les données personnelles, et en fonction du potentiel de préjudice et de cause de désarroi pour les individus dont les données sont traitées.


5.6 Données personnelles et transfert international


Le transfert de données personnelles en dehors de l'UE est interdit sauf si une ou plusieurs mesures de protection ou exceptions s'appliquent.

5.6.1

Une évaluation de la pertinence par l’association Vipassana prenant en compte les facteurs suivants :

  • la nature de l'information transférée ;
  • le pays ou territoire d'origine et la destination finale de l'information ;
  • comment l'information sera utilisée et pendant combien de temps ;
  • les lois et pratiques du pays du transfert, y compris les codes de pratique et obligations internationales pertinents ; et

5.6.2 Règles internes contraignantes

Calm adoptera des Règles Internes Contraignantes pour le transfert de données. The shared BCR by the Calm Trust will have to be signed and implemented before there is a transfer of international data.

5.6.3 Clauses contractuelles types

Calm peut adopter des clauses contractuelles types approuvées pour le transfert de données hors de l'UE. Si Calm adopte les clauses contractuelles types approuvées par l'Autorité de Protection des Données, il y a une reconnaissance automatique de leur adéquation. L’association Vipassana appliquera les clauses contractuelles, si elles sont applicables, pour le transfert vers des pays n'appartenant pas à l'UE.

5.6.4 Exceptions

En l'absence de décision adéquate, y compris des Règles Interne Contraignantes, un transfert de données personnelles vers un pays tiers ou une organisation internationale ne pourra avoir lieu que dans une des conditions suivantes :

  • la personne concernée a explicitement consenti au transfert proposé, après avoir été informé des risques potentiels liés à ce type de transfert pour la personne concernée, due à l'absence d'une décision d'adéquation et de mesures de protections appropriées ;
  • le transfert est nécessaire pour la réalisation d'un contrat entre la personne concernée et le responsable du traitement des données ou pour la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ;
  • le transfert est nécessaire pour la conclusion ou la réalisation d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement des données et une autre personne physique ou morale ;
  • le transfert est nécessaire pour d'importantes raisons d'intérêt général ;
  • le transfert est nécessaire pour l'établissement, l'exercice ou la défense d'actions en justice ;
  • le transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée est physiquement ou légalement incapable de donner son consentement ;
  • le transfert est fait depuis un registre qui, selon la loi de l'Union ou d'un État-membre, sert à fournir de l'information au public et qui est ouvert à la consultation, soit du public en général, soit de toute personne qui peut prouver un intérêt légitime, mais seulement dans la mesure où les conditions posées par la loi de l'Union ou de L’État-membre pour la consultation sont satisfaites dans ce cas particulier.

Une liste des pays qui satisfont aux exigences d'adéquation de la Commission est publiée au Journal Officiel de l'Union Européenne.

6. Droits des personnes concernées

Data subjects shall be informed about their applicable rights in accordance with the signed BCR and the legislation that applies. If information relates to EU students they have additional rights for which they can contact the PCP and DPO in accordance with the BCR. Data Subjects who wish to complain to Calm about how their personal information has been processed may lodge their complaint directly with the Privacy Contact Person and the Data Protection Officer.

7. Sécurité des données

Tous les servants ont la responsabilité de s'assurer que toutes les données personnelles, Calm et non Calm, dont ils sont responsables, sont conservées de manière sécurisée et ne sont, sous aucune condition, divulguées à un tiers, sauf si ce tiers a été spécifiquement autorisée par Calm à recevoir cette information et a signé un accord de confidentialité.

All personal data should be accessible only to those who need to use it, and access may only be granted in line with the Access Control Policy. Les données personnelles doivent être gardées :

  • dans une pièce pouvant être verrouillée avec un accès contrôlé ; et/ou
  • dans un meuble de classement ou un tiroir fermé à clé ; et/ou
  • si informatisées, protégées par un mot de passe conforme aux exigences internes prévues dans la Politique de Contrôle d'Accès ; et/ou
  • conservées sur un disque dur (externe),
  • et seront cryptées et anonymisées ou pseudonymiséees autant que possible.

Il convient de veiller à ce que les écrans et les terminaux de PC ne soient pas visibles, sinon par les servants autorisés.

Les dossiers physiques ne doivent pas être laissés dans un lieu où ils peuvent être consultés par du personnel non autorisé, et ne peuvent être retirés du lieu de travail sans une autorisation explicite. Aussitôt que les dossiers papier ne sont plus nécessaires au traitement quotidien du client, ils doivent être supprimés du lieu d'archivage sécurisé.

Les données personnelles ne peuvent être effacées ou supprimées que conformément à la Procédure de Conservation des Données. Les dossiers physiques qui ont atteint leur délai de conservation doivent être déchiquetés et éliminés comme ‘déchets confidentiels’. Les disques durs de PC redondants doivent être retirés et immédiatement détruits tel qu’exigé avant élimination.

Le traitement de données personnelles ‘hors-centre’ présente un plus grand risque potentiel de perte, vol ou dommage pour ces données personnelles. Les servants doivent être spécifiquement autorisés à traiter des données hors-centre, être au courant de la procédure en cas de violation des données et l'appliquer si nécessaire.

8. Divulgation de données

Calm et l’association Vipassana doivent garantir que les données personnelles ne sont pas divulguées à des tiers non-autorisés, y inclus les membres de la famille, les amis, les instances du gouvernement et, dans certains cas, la police. Tous les servants doivent faire preuve de prudence quand il leur est demandé de divulguer des données personnelles détenues sur un autre individu à un tiers et il leur sera demandé de participer à une formation spécifique qui leur permettra de gérer efficacement de tels risques. Il est important de garder à l'esprit si la divulgation de l'information est pertinente ou non, et nécessaire, à la conduite des cours, ou pour être en adéquation avec les obligations légales (nationales). Toutes les requêtes pour fournir des données pour l'une de ces raisons doivent être appuyées par les documents administratifs appropriés, et toutes les divulgations de cette nature doivent être expressément autorisées par le Délégué à la Protection des Données.

9. Procédure en cas de violation des données

Calm et l’association Vipassana a introduit une procédure en cas de violation des données. Toute violation doit être signalée au RDP/DPD en accord avec la politique en vigueur.

10. Date d'effet

This Privacy Policy is effective as of 26 May 2018. Calm reserves the right to adjust and / or redraw the policy. All Calm users are bound by the policy. This includes the Calm board, supervisory board, Calm trust, DPO, trusts and servers using Calm and third countries and parties all as far as their obligations are mentioned within this policy.

11. Communication

La politique sera également communiquée aux étudiants et aux servants s'inscrivant à un cours de manière compréhensive et exhaustive. Une copie de cette politique est disponible sur demande pour tous les utilisateurs de Calm et peut également être consultée sur la page web.