PRIVACY POLICY CALM

1. Zasady, zakres i cele

1.1 Oświadczenie

Zarząd fundacji CALM, mającej siedzibę w Rotterdamie,( info@calm.dhamma.org ), w Holandii zobowiązuje się do przestrzegania wszystkich stosownych przepisów dotyczących danych osobowych oraz do ochrony praw i wolności osób, których informacje CALM zbiera zgodnie z przepisami obowiązującymi w różnych regionach.

1.2 Zobowiązanie

Fundacja Calm zobowiązuje się do przestrzegania przepisów dotyczących ochrony danych i dobrych praktyk zgodnie z obowiązującym prawem w:

  1. przetwarzaniu danych osobowych tylko wtedy, gdy jest to bezwzględnie konieczne dla uzasadnionych celów organizacyjnych;
  2. gromadzenia tylko niezbędnych danych osobowych wymaganych do tych celów i nie przetwarzania niepotrzebnych danych danych osobowych;
  3. dostarczania czytelnej informacji, kiedykolwiek będzie to możliwe lub wymagane, w jaki sposób dane osobowe będą być używane i przez kogo;
  4. przetwarzania tylko adekwatnych do celu danych osobowych;
  5. przetwarzania danych osobowych uczciwie i zgodnie z prawem; < / span>
  6. zachowania danych osobowych aktualnych;
  7. przechowywania danych osobowych tylko tak długo, jak to konieczne z powodów prawnych lub organizacyjnych,
  8. szanując osoby&rsquo I ich prawo do swoich danych osobowych zgodnie z obowiązującymi przepisami;
  9. bezpieczeństwa danych osobowych; dane będą dostępne tylko w niezbędnym zakresie, dostępne dla jak najmniejszej liczby osób, i tylkoko wtedy, gdy jest to absolutnie konieczne;
  10. Informacje z UE będą odpowiednio chronione za pomocą BCR, samocertyfikacji lub standardowe klauzule umowne.

    1.3 Cel zbierania i przechowywania danych

    CALM i jego pracownicy (usługujący, patrz definicje poniżej), zbierają i oceniają informacje do następujących celów; t o aby umożliwić nauczycielowi asystentowi lub usługującemu w jego / jej imieniu ocenę, czy uczeń jest odpowiedni do przyjęcia na kurs, aby umożliwić kierownictwu ośrodka zaplanowanie zakwaterowania, wyżywienia i czasami transportu dla ucznia , aby umożliwić właściwe wskazówki i pomoc dla ucznia przed, w trakcie i po kursie medytacji Vipassana, z powodów prawnych lub wykonania umowy, co oznacza przetwarzanie informacji niezbędnych do zapewnienia uczniowi lub usługującemu usługi, o którą sam prosił, uczyli udział w kursie lub pomaganie w ośrodku. Oraz dla celów związanych z kursami, które mogą obejmować biuletyny informacyjne, listy korespondencyjne, listy wspólnych dojazdów, listy dotacji.

    Powiadomienia

    1.4 Calm powiadomił Urząd Ochrony Danych, “De Autoriteit Persoonsgegevens”, w Hadze, w Holandii, że jest administratorem danych i przetwarza określone informacje na temat osób, których dane dotyczą. Fundacja Calm zdefiniowała wszystkie dane osobowe, które przetwarza, jest to zawarte w spisie danych. Urząd Ochrony Danych dokona przeglądu i doradzi w zakresie stosowania BCR jako mechanizmu zapewniającego zabezpieczenie międzynarodowego przekazywania informacji o uczniach.

    Partnerzy i wszelkie strony trzecie współpracujące z CALMem lub dla niego, które mają lub mogą mieć dostęp do danych osobowych, będą musiały przeczytać, zrozumieć i przestrzegać tych zasad. Żadna strona trzecia nie może uzyskać dostępu do danych osobowych przechowywanych w fundacji Calm bez uprzedniego zawarcia umowy o zachowaniu poufności danych, która nakłada na strony trzecie zobowiązania nie mniej uciążliwe niż zobowiązania, które zobowiązują fundację CALM. Umowa taka daje fundacji CALM prawo do kontroli zgodności z umową. .

2. Definicje używane przez organizację (zaczerpnięte z RODO)

Dane osobowe & ndash; wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ("podmiot danych"); Osoba fizyczna dająca się zidentyfikować to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, w szczególności w odniesieniu do identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny (PESEL), adres, adres email lub jeden lub więcej czynników specyficznych dla fizycznej, fizjologicznej, genetycznej, mentalnej, ekonomicznej, kulturowej lub społecznej tożsamości osoby fizycznej.

Specjalne kategorie danych osobowych & ndash; Dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia lub dane dotyczące życia seksualnego, orientacji seksulanej.

Administrator danych & ndash; osoba fizyczna lub prawna, organ publiczny, agencja lub inny organ, który samodzielnie lub wspólnie z innymi osobami, określa cele i środki przetwarzania danych osobowych; w przypadku gdy cele i sposoby takiego przetwarzania są określone przez prawo Unii Europejskiej lub prawo państwa członkowskiego. Administrator oraz szczególne kryteria dotyczące jego nominacji mogą zostać przewidziane w prawie UE ub w prawie państwa członkowskiego.

Temat danych & ndash; każda żywa osoba, która jest przedmiotem danych osobowych będących w posiadaniu organizacji.

Przetwarzanie & ndash; dowolna operacja lub zestaw operacji wykonywanych na danych osobowych lub w zestawach danych osobowych, zautomatyzowanych lub nie, takich jak gromadzenie, rejestrowanie, organizacja, strukturowanie, przechowywanie, adaptacja lub zmiana, wyszukiwanie, konsultowanie, wykorzystanie, ujawnianie przez przekazywanie, rozpowszechnianie lub udostępnianie w inny sposób, połączenie, ograniczenie, usunięcie lub zniszczenie.

Profilowanie & to każda forma automatycznego przetwarzania danych w celu oceny pewnych aspektów osobistych związanych z osobą fizyczną lub w celu analizy lub przewidywania wyników tej osoby w pracy, sytuacji ekonomicznej, miejsca zamieszkania, zdrowia, osobistych preferencji, niezawodności lub zachowania. Definicja ta wiąże się z prawem podmiotu danych do sprzeciwiania się profilowaniu oraz prawa do informacji na temat istnienia profilowania, działań opartych na profilowaniu i przewidywanych skutkach profilowania dla danej osoby.

Naruszenie danych osobowych & ndash; naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub inaczej przetwarzanych. Obowiązkiem administratora jest zgłaszanie organom nadzorczym naruszeń danych osobowych oraz przypadków, w których naruszenie może niekorzystnie wpłynąć na dane osobowe lub prywatność osoby, której dane dotyczą.

Zgoda podmiotu danych - oznacza dowolnie podane, konkretne, świadome i jednoznaczne wskazanie życzeń osoby, której dane dotyczą, poprzez oświadczenie lub wyraźne działanie potwierdzające, oznacza zgodę na przetwarzanie danych osobowych .

Dodatkowe definicje

Uczeń : każdy, kto zgłasza się lub bierze udział w kursie kurs medytacji Vipassana prowadzony przez nauczyciela aststenta SN Goenki.

Nauczyciel-asystent : osoba wyznaczona przez S.N. Goenkę lub jego przedstawicieli, następców, aby prowadzić kursy medytacji Vipassana, do tej kategorii zalczają się też nauczyciele.

Starszy uczeń : Każdy, kto ukończył kurs medytacji Vipassana prowadzony przez S.N. Goenkę lub jednego z jego nauczycieli asystentów.

Usługujący : starszy uczeń, który pomaga na kursie lub w ośrodku.

3. Odpowiedzialności

3.1 Calm określa cele i sposoby użycia oprogramowania

3.2 Wszystkie osoby pełniące funkcje kierownicze lub nadzorcze w fundacji Calm są odpowiedzialne za opracowywanie i promowanie dobrych praktyk w zakresie obsługi informacji w obrębie organizacji; obowiązki są określone w poszczególnych opisach stanowisk.

3.3 Inspektor ochrony danych i członkowie zarządu Fundacji Calm odpowiadają przed Radą Nadzorczą Spokoju w zakresie zarządzania danymi osobowymi w programie CALM oraz za zapewnienie zgodności z przepisami dotyczącymi ochrony danych i dobrymi praktykami. Ta odpowiedzialność obejmuje bezpieczeństwo i zarządzanie ryzykiem w odniesieniu do zgodności z zasadami.

3.4 Inspektor Ochrony Danych Osobowych i Zarząd Fundacji CALM posiadają odpowiednie kwalifikacje i doświadczenie. Są oni odpowiedzialni za przestrzeganie niniejszych zasad przez Calm’s , a w szczególności odpowiedzialni za zapewnienie zgodności CALMa z RODO. Członkowie Rady Nadzorczej podobnie jak Zarząd mają przetwarzanie danych w zakresie swojej odpowiedzialności.

3.5 Zgodność z przepisami dotyczącymi ochrony danych należy do obowiązków wszystkich usługujących, przetwarzających dane osobowe.

< span> 3.6 Polityka szkoleniowa Fundacji Calm’s określa szczegółowe wymagania dotyczące szkolenia i podnoszenia świadomości w odniesieniu do określonych ról usługujących korzystających z oprogramowania CALM.

3.7 Usługujący współpracujący z CALMem są odpowiedzialni za dostarczenie dokładnych i aktualnych własnych danych osobowych.

4. Ocena ryzyka

Objective: To ensure that Calm is aware of any risks associated with the processing of particular types of personal information Calm has a process for assessing the level of risk to individuals associated with the processing of their personal information. Assessments will also be carried out in relation to processing undertaken by other organisations on behalf of Calm. Calm shall manage any risks which are identified by the risk assessment in order to reduce the likelihood of a non-conformance with this policy.

Where a type of processing, in particular using new technologies and taking into account the nature, scope, context and purposes of the processing is likely to result in a high risk to the “rights and freedoms” of natural persons, Calm shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data.

A single assessment may address a set of similar processing operations that present similar high risks.

Where, as a result of a Data Protection Impact Assessment, it is clear that Calm is about to commence processing of personal information that could cause damage and/or distress to the data subjects, the decision as to whether or not Calm may proceed must be escalated for review to the Data Protection Officer. The Data Protection Officer shall, if there are significant concerns, either as to the potential damage or distress, or the quantity of data concerned, escalate the matter to the board of the Calm Foundation or the supervisory board of the Calm Foundation..

Appropriate controls will be selected and applied to reduce the level of risk associated with processing individual data to an acceptable level, by reference to Calm’s documented risk acceptance criteria and the requirements of the GDPR.

5. Zasady ochrony danych

Wszelkie przetwarzanie danych osobowych musi odbywać się zgodnie z następującymi zasadami ochrony danych według Rozporządzenia. Zasady i procedury Fundacji Calm mają na celu zapewnienie zgodności z nimi.

5.1 Dane osobowe muszą być przetwarzane zgodnie z prawem, uczciwie i przejrzyście.

Administrator danych, Fundacja CALM ma przejrzyste i łatwo dostępne zasady dotyczące przetwarzania danych osobowych i korzystania z przez osoby prywatne z “praw i wolności” . Informacje muszą być przekazywane podmiotowi danych (osobie, której dotyczą) w zrozumiałej formie za pomocą jasnego i prostego języka.

Informacje, które należy przekazać podmiotowi danych, muszą obejmować:

5.1.1 Nazwę administratora danych i dane do kontaktu oraz, jeżeli taki istnieje, przedstawiciela administratora danych; span>

5.1.2 cele przetwarzania danych osobowych oraz podstawy prawne przetwarzania;

5.1.3 okres przechowywania danych osobowych;

5.1.5 kategorie danych osobowych, które są zbierane;

5.1.6 odbiorców lub kategorie odbiorców danych osobowych;

5.1.8 wszelkie dodatkowe informacje niezbędne do zagwarantowania rzetelnego przetwarzania.

< span>5.2 Dane osobowe muszą być dokładne i aktualne.

< >> 5.2.1 Dane, które są przechowywane przez długi czas, muszą zostać przeglądane i zaktualizowane w razie potrzeby. Nie należy przechowywać żadnych danych, co do których prawidłowości nie ma pewności.

5.2.2 Zarząd Polskiej Fundacji Medytacji Vipassana i Fundacja Calm są odpowiedzialne za zapewnienie, że wszyscy usługujący są przeszkoleni w zakresie zbierania dokładnych danych i ich przechowywaniaa.

5.2 .3 Obowiązkiem uczniów jest zapewnienie, że dane przechowywane przez firmę Calm są dokładne i aktualne. Wypełnienie odpowiedniego formularza rejestracyjnego i kursowego itp. Będzie traktowane jako pewnik, że dane tam zawarte są dokładne w dniu przedłożenia.

< > 5.2.4 Usługujący i uczniowie powinni powiadomić Fundację CALM o wszelkich zmianachi, aby umożliwić odpowiednią aktualizację danych osobowych. Dostarczono instrukcje aktualizowania zapisów. Obowiązkiem Fundacji Calm jest zagwarantowanie, że wszelkie powiadomienia dotyczące zmian danych zostaną odnotowane i zastosowane.

5.3 Dane osobowe muszą być przechowywane w takiej formie, aby osoba, której dane dotyczą, mogła zostać zidentyfikowana tylko tak długo, jak to jest konieczne do przetworzenia.

5.3.2 Dane osobowe zostaną zachowane zgodnie z procedurą przechowywania zapisów i po jej upływie czasu przetwarzania muszą zostać bezpiecznie zniszczone, zgodnie z tą procedurą.

5.4 Dane osobowe muszą być przetwarzane w sposób zapewniający bezpieczeństwo

5.5 Należy podjąć odpowiednie środki techniczne i organizacyjne zapobiegające nieuprawnionemu lub niezgodnemu z prawem przetwarzaniu danych osobowych jak też utracie lub zniszczeniu czy uszzkodzeniu danych osobowych.

Różne formy kontroli zostały wybrane na podstawie oceny zidentyfikowanego ryzyka w stosunku do danych osobowych oraz potencjalnego ryzyka szkody osób, których dane są przetwarzane.

5.6 Dane osobowe a przekazanie za granicę

Przekazywanie danych osobowych jest zabronione, o ile nie ma zastosowania jedna lub więcej z określonych zabezpieczeń lub wyjątków.

5.6.1 Zabezpieczenia

Ocena adekwatności przez administratora danych z uwzględnieniem następujących czynników:

  • charakter przekazywanych informacji;
  • kraj lub terytorium pochodzenia danych; docelowe przeznaczenie informacji ;
  • w jaki sposób informacja będzie użyta i przez jaki czas;
  • prawo i praktyki w kraju przekazania, w tym odpowiednie kodeksy postępowania i zobowiązania międzynarodowe;

5.6.2 Wiążące reguły korporacyjne

5.6.3 Klauzule umów modelowych

Calm może przyjąć zatwierdzone wzorcowe klauzule umowne dotyczące przesyłania danych poza UE. Jeśli Fundacja Calm przyjmuje klauzule kontraktu modelowego zatwierdzone przez organ ochrony danych, automatycznie rozpoznaje zasadność przekazania.

5.6. 4 Wyjątki

W przypadku braku decyzji o odpowiedniej ochronie, w tym wiążących reguł korporacyjnych, przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej,

  • osoba, której dane dotyczą, wyraźnie zgodziła się na proponowane przeniesienie, po tym jak została poinformowana o możliwym ryzyku takiego przekazania dla osoby, której dane dotyczą, z powodu braku decyzji w sprawie odpowiedniej ochrony danych i odpowiednich gwarancji;
  • przeniesienie jest konieczne do wykonania umowy między osobą, której dane dotyczą, a administratorem danych lub wprowadzenie środków poprzedzających zawarcie umowy na wniosek osoby, której dane dotyczą;
  • przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem danych a inną osobą fizyczną lub prawną;
  • przeniesienie jest konieczne z ważnych względów interesu publicznego;
  • przekazanie jest niezbędne do ustalenia, wykonania lub obrony roszczeń prawnych;
  • konieczne jest przeniesienie w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innych osób, gdy osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
  • przeniesienie następuje z rejestru który zgodnie z prawem Unii Europejskiej lub państwa członkowskiego ma na celu dostarczenie informacji społeczeństwu i który jest otwarty do konsultacji przez ogół społeczeństwa lub przez każdą osobę, ale tylko w zakresie określonym w prawie Unii lub w prawie państwa członkowskiego. .

    są publikowane w < / span> Dziennik Urzędowy Unii Europejskiej.

6. Prawa osób, których dane dotyczą

Podmioty, których dane dotyczą, zostaną poinformowane o przysługujących im prawach zgodnie z podpisanym BCR i obowiązującym ustawodawstwem. Jeżeli informacje dotyczą studentów z UE, mają oni dodatkowe prawa, zapewniające im kontakt z osobą do kontaktu ds ochrony danych (PCP) i inspektorem ochrony danych osobowych (DPO) zgodnie z BCR. Podmioty, które chcą złożyć zażalenie do Fundacji CALM dotyczące przetwarzania ich danych osobowych, mogą złożyć skargę bezpośrednio do osoby kontaktowej ds. ochrony danych i inspektora ochrony danych.

7. Bezpieczeństwo danych

All servers are responsible for ensuring that any personal data which Calm holds and for which they are responsible, is kept securely and is not under any conditions disclosed to any third party unless that third party has been specifically authorised by Calm to receive that information and has entered into a confidentiality agreement.

All personal data should be accessible only to those who need to use it, and access may only be granted in line with the Access Control Policy. Personal data must be kept:

  • in a lockable room with controlled access; and/or
  • in a locked drawer or filing cabinet; and/or
  • if computerised, password protected in line with corporate requirements in the Access Control Policy; and/or
  • stored on (removable) computer media which are encrypted.
  • And should be anonymized or pseudomized wherever possible.

Care must be taken to ensure that PC screens and terminals are not visible except to authorised servers. All servers are required to enter into an Acceptable Use Agreement. before they are given access to organisational information of any sort.

Manual records may not be left where they can be accessed by unauthorised personnel and may not be removed from the working place without explicit authorisation. As soon as manual records are no longer required for day-to-day client support, they must be removed from secure archiving.

Personal data may only be deleted or disposed of in line with the Data Retention Procedure. Manual records that have reached their retention date are to be shredded and disposed of as ‘confidential waste’. Hard drives of redundant PCs are to be removed and immediately destroyed as required before disposal.

Processing of personal data ‘off-site’ presents a potentially greater risk of loss, theft or damage to personal data. Servers must be specifically authorised to process data off-site, be aware of the data breach procedure and apply it when needed.

8. Ujawnienie danych

CALM musi zapewniać, że dane osobowe nie są ujawniane nieuprawnionym stronom trzecim, w tym członkom rodziny, znajomym, organom rządowym, a także w pewnych okolicznościach policji. Wszyscy usługujący powinni zachować ostrożność, gdyby byli proszeni o ujawnienie przechowywanych danych osobowych innych osób, jak też powinni uczestniczyć w odpowiednich szkoleniach, które nauczą ich jak radzić sobie z takim ryzykiem. Ważne jest, aby mieć na uwadze, czy ujawnienie informacji jest istotne i konieczne do prowadzenia kursów lub do wypełnienia polskich zobowiązań prawnych. Wszystkie wnioski o dostarczenie danych z jednego z tych powodów muszą być poparte odpowiednimi dokumentami, a wszystkie takie ujawnienia muszą być wyraźnie autoryzowane przez osobę odpowiedzialną za prywatność i inspektora ochrony danych.

9. Procedura w przypadku naruszenia ochrony danych

Calm has integrated a data breach procedure. Any breach must be reported to the DPO consistent with the approved policy.

10. Data wejścia w życie

This Privacy Policy is effective as of 26 May 2018. Calm reserves the right to adjust and / or redraw the policy. All Calm users are bound by the policy. This includes the Calm board, supervisory board, Calm trust, DPO, trusts and servers using Calm and third countries and parties all as far as their obligations are mentioned within this policy.

11. Komunikacja

The policy will also be communicated with students and servers applying for courses in a understandable and comprehensive manner. A copy of this policy is available to all Calm users at request and can also be found on the web page.