ZASADY OCHRONY DANYCH FUNDACJI CALM

1. Zasady, zakres i cele

1.1 Oświadczenie

Zarząd Fundacji Calm, zlokalizowaną przy Robert Owenstraat 21, 3045 PT te Rotterdam, w Holandii zobowiązuje się do przestrzegania wszystkich stosownych przepisów UE w zakresie danych osobowych oraz do ochrony praw i wolności „ osób, których informacje zbiera Calm zgodnie z ogólnym rozporządzeniem o ochronie danych GDPR (RODO). W tym celu fundacja Calm opracowała, wdrożyła, utrzymuje i stale udoskonala udokumentowany system zarządzania danymi osobowymi (" PIMS ’) dla fundacji CALM.

1.2 Zakres

Zakres PIMS uwzględniający strukturę organizacyjną, odpowiedzialność za zarządzanie, jurysdykcję i geografię. PIMS może obejmować całości CALM lub określonej części CALM.

1.3 Cele PIMS

CELEM CALM dla PIMS jest umożliwienie fundacji Calm spełnienia własnych wymagań w zakresie zarządzania danymi osobowymi; że powinien wspierać cele i obowiązki organizacyjne; że powinien narzucać kontrole zgodnie z akceptowalnym poziomem ryzyka w fundacji Calm ’ powinien zapewniać, że CALM spełnia odpowiednie obowiązki ustawowe, wykonawcze, umowne i / lub zawodowe; oraz że powinien chronić interesy osób i innych kluczowych interesariuszy.

1.4 Zobowiązanie

Fundacja Calm zobowiązuje się do przestrzegania przepisów dotyczących ochrony danych i dobrych praktyk, w tym:


  1. przetwarzania danych osobowych tylko wtedy, gdy jest to bezwzględnie konieczne do uzasadnionych celów organizacyjnych;
  2. gromadzenie tylko minimalnych danych osobowych wymaganych do tych celów i nie przetwarzania nadmiernych danych osobowych;
  3. dostarczania osobom fizycznym jasnych informacji na temat w jaki sposób będą wykorzystywane ich dane osobowe i przez kogo;
  4. przetwarzania tylko odpowiednich danych osobowych;
  5. przetwarzania danych osobowych rzetelnie i zgodnie z prawem;
  6. prowadzenia spisu kategorii danych osobowych przetwarzanych przez fundację Calm;
  7. prowadzenia dokładnych danych osobowych i , gdzie koniecznie dokonywania koniecznych aktualizacji;
  8. zachowania danych osobowych tak długo, jak jest to konieczne z powodów prawnych lub regulacyjnych, lub z uzasadnionych celów organizacyjnych;
  9. szanując jednostki ’ w ich prawach w odniesieniu do ich danych osobowych, w tym prawa do dostępu do danych osobowych;
  10. bezpieczeństwa wszystkich danych osobowych; dostępu do danych jak najmniejszej liczby osób, tylko wtedy, gdy jest to absolutnie konieczne;
  11. przesyłania danych osobowych poza UE jedynie w okolicznościach, w których mogą być odpowiednio chroniona ;
  12. stosowania różnych zwolnień dopuszczalnych przez ustawodawstwo dotyczące ochrony danych;

m.developing i wdrażanie PIMS w celu umożliwienia wdrożenia polityki;

  1. w stosownych przypadkach, identyfikacja wewnętrznych i zewnętrznych interesariuszy oraz stopień, w jakim te zainteresowane podmioty są zaangażowany w zarządzanie PIMS fndacji Calm &; i
  2. identyfikacja pracowników z konkretną odpowiedzialnością i odpowiedzialnością za PIMS.

1.5 Cel zbierania i przechowywania danych

CALM i pracownicy (usługujący, patrz definicje poniżej) zbierają i oceniają informacje do następujących celów; t o aby umożliwić nauczycielowi asystentowi lub usługującemu w jego / jej imieniu ocenę, czy uczeń jest odpowiedni do przyjęcia na kurs, aby umożliwić kierownictwu ośrodka zaplanowanie zakwaterowanie, wyżywienie, a czasami transport dla ucznia , aby umożliwić stwrzenie właściwych wskazówek i pomocy dla ucznia przed, w trakcie i po kursie medytacji Vipassana. Jest to związane z zadaniem wykonania umowy, oznacza przetwarzanie informacji niezbędnych do zapewnienia uczniowi lub usługującemu usługi, o którą aplikował- udziału w kursie lub pomagania w ośrodku oraz w celu świadczenia dodatkowych usług związanych z kursem po wyrażeniu zgody na te usługi.


Powiadomienia


1.6 Fundacja Calm poinformowała Urząd ds. Ochrony Danych, De Autoriteit Persoonsgegevens &rdquo ;, w Hadze, Holandia, że ​​jest administratorem danych i przetwarza określone informacje na temat osób, których dane dotyczą. Fundacja Calm zidentyfikowała wszystkie dane osobowe, które przetwarza i jest zawarta w Rejestrze spisu danych.


1,7 Kopia powiadomienia ochrony danych osobowych jest przechowywana przez inspektora ochrony danych, którego obowiązuje Podręcznik powiadamiania o zabezpieczeniach Organu Ochrony Danych, jako autorytatywne wskazówki do powiadamiania.


1.8 Powiadomienie Organu Ochrony Danych jest odnawiane corocznie.


1,9 Inspektor ochrony danych jest co roku odpowiedzialny za sprawdzanie szczegółów powiadomienia, w świetle wszelkich zmian do działań fundacji Calm &rsquo (określonych na podstawie zmian w Rejestrze spisu danych i przeglądu zarządzania) oraz do wszelkich dodatkowych wymagań określonych za pomocą ocen wpływu na ochronę danych.

dotyczy wszystkich Pracowników / i zainteresowanych stron CALM, takich jak dostawcy zewnętrzni. Każde naruszenie GDPR (RODO) lub niniejszego PIMS będzie przedmiotem postępowania dyscyplinarnego Calm &rsquo, a gdyby okazało się przestępstwem, sprawa zostanie jak najszybciej zgłoszona odpowiednim władzom.

Partnerzy i wszelkie strony trzecie współpracujące z Calm, które mają lub mogą mieć dostęp do danych osobowych, będą musiały przeczytać, zrozumieć i zastosować się do tych zasad. Żadna strona trzecia nie może uzyskać dostępu do danych osobowych przechowywanych w fundacji Calm bez uprzedniego zawarcia umowy o zachowaniu poufności danych, która nakłada na strony trzecie obowiązki podobne do tych, które ma fundacja CALM. Calm ma prawo do kontroli zgodności z umową .

2. Podłoże do Rozporządzenia o Ochronie Danych Osobowych (RODO)

Rozporządzenie o ochronie danych osobowych (RODO)z 2016r zastępuje dyrektywę UE o ochronie danych z 1995 r. i zastępuje prawa poszczególnych państw członkowskich, które opracowano zgodnie z dyrektywą o ochronie danych 95/46 / WE. Jego celem jest ochrona “praw i wolności” żyjących osób i zapewnienie, że dane osobowe nie są przetwarzane bez ich wiedzy oraz, o ile to możliwe, że przetwarzane są za ich zgodą.

3. Definicje używane przez organizację (zaczerpnięte z RODO)

Zakres terytorialny – GDPR (RODO) będzie miał zastosowanie do wszystkich kontrolerów mających siedzibę w UE (kraje Unii Europejskiej i Europejskiego Obszaru Gospodarczego), którzy przetwarzają dane osobowe podmiotów danych w kontekście tego rozporządzenia. Ma ono również zastosowanie do administratorów spoza UE, którzy przetwarzają dane osobowe w celu oferowania towarów i usług lub monitorują zachowanie osób, których dane dotyczą w UE.

Założenie – głównym ustanowieniem administratora w UE będzie miejsce, w którym administrator podejmuje główne decyzje dotyczące celu jego przetwarzania danych. Głównym centrum przetwarzania danych w UE będzie jego centrum administracyjne. Jeżeli administrator ma siedzibę poza UE, będzie musiał wyznaczyć przedstawiciela w jurysdykcji, w której działa, który będzie działać w imieniu administratora i współpracować z organami nadzoru.

Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ("podmiot danych"); dająca się zidentyfikować osoba fizyczna to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, w szczególności przez powołanie się na identyfikator, taki jak imię i nazwisko, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub jeden lub więcej czynników właściwych fizycznemu, fizjologicznemu, tożsamość genetyczna, umysłowa, ekonomiczna, kulturowa lub społeczna osoby fizycznej.

Specjalne kategorie danych osobowych – dane osobowe ujawniające pochodzenie rasowe lub etniczne opinie polityczne, przekonania religijne lub filozoficzne, członkostwo w związkach zawodowych, przetwarzanie danych genetycznych, dane biometryczne w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia, dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej. /span>

Administrator danych – osoba fizyczna lub prawna, organ publiczny, agencja lub inny organ, który samodzielnie lub wspólnie z innymi osobami określa cele i środki przetwarzania danych osobowych ; w przypadku gdy cele i sposoby takiego przetwarzania są określone przez prawo Unii lub prawo państwa członkowskiego, administrator lub szczególne kryteria dotyczące jego nominacji mogą zostać przewidziane w prawie Unii lub w prawie państwa członkowskiego.

Podmiot danych – dowolna żywa osoba, której dotyczą dane osobowe, będące w posiadaniu organizacji.

Przetwarzanie – dowolna operacja lub zestaw operacji wykonywanych na danych osobowych lub w zestawach danych osobowych, w sposób zautomatyzowany, taki jak gromadzenie, rejestrowanie, organizacja, strukturyzacja, przechowywanie, adaptacja lub zmiana, wyszukiwanie, konsultacja, wykorzystanie, ujawnianie przez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, wyrównanie lub połączenie, ograniczenie, usunięcie lub zniszczenie.

Profilowanie to dowolna forma automatycznego przetwarzania danych osobowych, przeznaczonych do oceny pewnych aspektów osobistych związanych z osobą fizyczną lub do analizy lub przewidywania wyników tej osoby w pracy, sytuacji ekonomicznej, lokalizacji, zdrowia, osobistych preferencji, niezawodności lub zachowania. Definicja ta wiąże się z prawem podmiotu danych do sprzeciwiania się profilowaniu oraz prawa do informacji na temat istnienia profilowania, środków opartych na profilowaniu i przewidywanych skutkach profilowania dla danej osoby.

Naruszenie danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub inaczej przetwarzanych. Obowiązkiem administratora jest obowiązek zgłaszania organom nadzorczym naruszeń danych osobowych oraz przypadków, w których naruszenie może niekorzystnie wpłynąć na dane osobowe lub prywatność osoby, której dane dotyczą.

Zgoda podmiotu na przetwarzanie danych osobowych – oznacza dowolnie podane, konkretne, świadome i jednoznaczne wskazanie życzeń osoby, której dane dotyczą, poprzez oświadczenie lub wyraźne działanie afirmatywne, oznaczające zgodę na przetwarzanie danych osobowych.

Dziecko – RODO definiuje dziecko jako osobę w wieku poniżej 16 lat. Przetwarzanie danych osobowych dziecka w wieku poniżej 13 lat jest zgodne z prawem wyłącznie w przypadku uzyskania zgody rodzica lub opiekuna.

Firma zewnętrzna – osoba fizyczna lub prawna, organ publiczny, agencja lub organ inny niż podmiot danych, kontroler, podmiot przetwarzający oraz osoby, które pod bezpośrednim zwierzcheniem administratora lub podmiotu przetwarzającego są upoważnione do przetwarzania danych osobowych.

System składania zgłoszeń – dowolny uporządkowany zestaw danych osobowych, które są dostępne zgodnie z określonymi kryteriami, czy są scentralizowane, zdecentralizowane lub rozproszone na podstawie funkcjonalnej lub geograficznej.


Określone dodatkowe definicje


Uczeń – Każdy, kto aplikuje lub bierze udział w kursie medytacji Vipassana prowadzonym przez asystenta nauczyciela SN Goenki.

Nauczyciel asystent – Każdy, kto został wyznaczony przez S.N. Goenkę lub jego przedstawicieli, aby prowadzić kursy medytacji Vipassana, w tym określeniu są też nauczyciele.

Starszy uczeń – Każdy, kto ukończył kurs medytacji Vipassana z S.N. Goenką lub jedym z jego nauczycieli asystentów.

Usługujący-pomocnik – Starszy uczeń, który pomaga na kursie lub w ośrodku.

4. Obowiązki wynikające z ogólnego rozporządzenia o ochronie danych (RODO)

4.1 Calm jest administratorem danych osobowych wg GDPR (RODO).

4.2 Zarząd oraz wszystkie osoby pełniące funkcje kierownicze lub nadzorcze w Fundacji Calm są odpowiedzialne za opracowywanie i promowanie dobrych praktyk w zakresie obsługi informacji w organizacji; obowiązki są określone w indywidualnych opisach stanowisk.

4,3 Inspektor ochrony danych odpowiada przed Radą Nadzorczą fundacji Calm za zarządzanie danymi osobowymi w fundacji Calm oraz za zapewnienie zgodności z przepisami dotyczącymi ochrony danych i dobrymi praktykami. Ta odpowiedzialność obejmuje:

4.3.1 opracowanie i wdrożenie PIMS zgodnie z wymogami niniejszej polityki; i

4.3.2 bezpieczeństwo i zarządzanie ryzykiem w odniesieniu do zgodności z zasadami.

4,4 Zarząd, Inspektor Ochrony Danych (DPO)i Fundacja Calm są uznawane za odpowiednio wykwalifikowanych i doświadczonych i zostały wyznaczone do wzięcia odpowiedzialności za & rsquo na codzienną zgodność z tą polityką, a w szczególności bezpośrednią odpowiedzialność za zapewnienie, że CALM działa zgodnie z RODO, podobnie jak członkowie Rady Nadorczej w zakresie przetwarzania danych, która ma miejsce na obszarze, z który odpowiadają.

4.5 Inspektor ochrony danych i jego lokalni przedstawiciele mają określone obowiązki w zakresie procedur takich jak wniosek podmiotu o dostęp do swoich danych. Stanowią pierwszą stację, do której zwracają się uczniowie i usługujący, którzy chcą wyjaśnić jakikolwiek aspekt przestrzegania ochrony danych.

4,6 > Zgodność z przepisami dotyczącymi ochrony danych jest obowiązkiem wszystkich usługujących przetwarzających dane osobowe.

4,7 Trening Calm & rsquo; Zasady określają szczególne wymagania dotyczące szkolenia i świadomości w odniesieniu do określonych ról i usługujących pracujących z fundacją CALM.

4,8 Usługujący pracujący dla Fundacji CALM są odpowiedzialni za zapewnienie, że wszelkie dane osobowe dostarczone przez nich, a także o nich, dla CALM są dokładne i aktualne.

5. Ocena ryzyka

Cel: Zapewnienie, że fundacja Calm jest świadoma wszelkich zagrożeń związanych z przetwarzaniem określonych typów danych osobowych. CALM ma proces oceny poziomu ryzyka dla osób związanych z przetwarzaniem ich danych osobowych . Oceny będą również przeprowadzane w odniesieniu do przetwarzania podejmowanego przez inne organizacje w imieniu fundacji Calm. CALM powinien zarządzać wszelkimi ryzykami zidentyfikowanymi przez ocenę ryzyka w celu zmniejszenia prawdopodobieństwa niezgodności z tą polityką.

Tam, gdzie może istnieć zwiększone ryzyko podczas przetwarzania, w szczególności przy użyciu nowych technologii, fundacja CALM, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania prawdopodieństwo spowodowania wysokiego ryzyka dla praw i wolności & bdquo; osób fizycznych, dokonuje oceny wpływu planowanych operacji przetwarzania na ochronę danych osobowych.

Jedna ocena może dotyczyć zestawu podobnych operacji przetwarzania, które wykazują podobne wysokie ryzyko.

Jeśli w wyniku oceny wpływu na ochronę danych okaże się, że rozpoczęcie prztwarzania danych przez fundację CALM mogłoby nieść ryzyko szkody i / lub cierpienie osób, których dane dotyczą, decyzja o tym, czy akcja może być kontynuowana, zależy od dalszej oceny inspektora ochrony danych. Inspektor ochrony danych, jeżeli istnieją poważne obawy, zarówno co do potencjalnej szkody lub niepokoju, jak i ilości danych, przekazuje sprawę do rady Fundacji Calm lub rady nadzorczej Fundacji Calm.

Zostaną wybrane i zastosowane odpowiednie kontrole w celu zmniejszenia poziomu ryzyka związanego z przetwarzaniem pojedynczych danych do akceptowalnego poziomu, poprzez odniesienie do udokumentowanych kryteriów akceptacji ryzyka Calm & rsquo oraz wymagań GDPR (RODO).

6. Zasady ochrony danych

All processing of personal data must be done in accordance with the following data protection principles of the Regulation, and Calm’s policies and procedures are designed to ensure compliance with them.

6.1  Personal data must be processed lawfully, fairly and transparently.

The GDPR introduces the requirement for transparency whereby the controller has transparent and easily accessible policies relating to the processing of personal data and the exercise of individuals’ “rights and freedoms”. Information must be communicated to the data subject in an intelligible form using clear and plain language.

The specific information that must be provided to the data subject must as a minimum include:

6.1.1 the identity and the contact details of the controller and, if any, of the controller's representative;

6.1.2  the contact details of the Data Protection Officer;

6.1.3  the purposes of the processing for which the personal data are intended as well as the legal basis for the processing;

6.1.4  the period for which the personal data will be stored;

6.1.5  the existence of the rights to request access, rectification, erasure or to  

 object to the processing;

6.1.6  the categories of personal data concerned;

6.1.7   the recipients or categories of recipients of the personal data;

6.1.8 where applicable, that the controller intends to transfer personal data to a recipient in a third country and the level of protection afforded to the data;

6.1.9 any further information necessary to guarantee fair processing.

Całe przetwarzanie danych osobowych musi odbywać się zgodnie z następującymi zasadami ochrony danych określonymi w rozporządzeniu (RODO). Zasady i procedury Fundacji Calm mają na celu zapewnienie zgodności z nimi.

6.1   Dane osobowe muszą być przetwarzane zgodnie z prawem, uczciwie i przejrzyście.

RODO wprowadza wymóg przejrzystości, zgodnie z którym administrator ma przejrzyste i łatwo dostępne zasady dotyczące przetwarzania danych osobowych osób fizycznych z poszanowaniem ich praw i wolności.Informacje muszą być przekazywane podmiotowi danych w zrozumiałej formie za pomocą jasnego i prostego języka.

Szczególne informacje, które należy przekazać podmiotowi danych, muszą obejmować co najmniej:

6.1.1 tożsamość i dane kontaktowe administratora i (o ile dotyczy) przedstawiciela administratora;

6.1.2   dane kontaktowe inspektora ochrony danych;

6.1.3   celów przetwarzania, dla których dane osobowe są przeznaczone, a także prawnej podstawy przetwarzania;

6.1.4   okres, w którym dane osobowe będą zapisane;

6.1.5   istnienie praw do żądania dostępu, poprawiania, usuwania lub wyrażenia sprzeciwu podmiotu do przetwarzania;

6.1.7   odbiorcy lub kategorie odbiorców danych osobowych;

6.1. 8 tam, gdzie ma to zastosowanie, że administrator zamierza przekazać dane osobowe odbiorcy w państwie trzecim oraz poziom ochrony danych;

6.3.1 Inspektor ochrony danych jest odpowiedzialny za zapewnienie, że informacje, które nie są ściśle niezbędne do tego celu dla których jest uzyskiwany, nie są zbierane.

6.3.2 Wszystkie formularze do zbierania danych (elektroniczne lub na papierze), w tym wymagania dotyczące zbierania danych w nowych systemach informatycznych, muszą zostać zatwierdzone przez inspektora ochrony danych.

6.3. 3 Inspektor ochrony danych zapewni coroczne przeglądanie wszystkich metod zbierania danych przez audyt wewnętrzny, aby upewnić się, że zgromadzone dane są nadal adekwatne, odpowiednie i nienadmierne.

6.3.4 Jeśli zebrano dane, których wymaganie nie jest wyraźnie udokumentowane w procedurach Calm; inspektor ochrony danych / właściciel danych jest odpowiedzialny za zapewnienie, że zostaną one bezpiecznie usunięte lub zniszczone zgodnie z polityką usuwania.

6.4   Dane osobowe muszą być dokładne i aktualne.

6,4 .1 Dane przechowywane przez długi czas muszą zostać przejrzane i zaktualizowane w razie potrzeby. Nie należy przechowywać żadnych danych, co do których nie ma pewności, że są poprawne.

6.4.2 Lokalne trusty i firma Calm są odpowiedzialne za zapewnienie, że wszyscy usługujący są przeszkoleni w zakresie zbierania dokładnych danych i konserwacji.

6,4 .3 Obowiązkiem osób fizycznych jest również zapewnienie, że dane przechowywane przez firmę Calm są dokładne i aktualne. Wypełnienie odpowiedniego formularza rejestracji jest traktowane jako wskazówka, że ​​dane w nim zawarte są dokładne w dniu przedłożenia.

6.4.4 Usługujący i uczniowie powinni powiadomić CALM o wszelkich zmianach okoliczności, aby umożliwić aktualizację rejestrów osobistych.Instrukcje dotyczące aktualizacji zapisów są zawarte. Obowiązkiem fundacji Calm jest zagwarantowanie, że wszelkie powiadomienia dotyczące zmiany okoliczności zostaną odnotowane i zastosowane.

6.4.5 Inspektor ochrony danych jest odpowiedzialny za zapewnienie podjęcia odpowiednich dodatkowych kroków w celu zapewnienia dokładności i aktualności danych osobowych, biorąc pod uwagę ilość zebranych danych, szybkość, z jaką dane te są gromadzone może się zmienić.

6.4.6 Co najmniej raz w roku, Inspektor ochrony danych sprawdzi wszystkie dane osobowe przechowywane przez fundację Calm, odwołując się do rejestru spisu danych, i zidentyfikuje wszelkie dane, które nie są już wymagane w kontekście zarejestrowanego celu i zapewni bezpieczne usunięcie / zniszczenie tych danych.

6.4.7 Inspektor ochrony danych jest odpowiedzialny za dokonanie odpowiednich ustaleń, w przypadku gdy organizacjom stron trzecich mogły zostać przekazane niedokładne lub nieaktualne dane osobowe, w celu poinformowania ich o tym, że informacje są niedokładne i / lub nieaktualne i nie należy ich używać informowanie o decyzjach dotyczących danych osób; oraz za przekazanie jakiejkolwiek korekty danych osobowych stronie trzeciej, jeżeli jest to wymagane.

6,5   Dane osobowe muszą być przechowywane w takiej formie, aby osoba, której dane dotyczą, mogła zostać zidentyfikowana tylko tak długo, jak to jest konieczne do przetworzenia.

6.5. 1 Jeżeli dane osobowe są przechowywane poza datą przetwarzania, zostaną zminimalizowane w celu ochrony tożsamości osoby, której dane dotyczą, w przypadku naruszenia danych.

6.5.3   Inspektor ochrony danych musi zatwierdzać zatrzymanie danych, które przekracza okresy zatrzymania i musi zapewnić, że uzasadnienie jest jasno określone i zgodne z wymogami ustawodawstwa dotyczącego ochrony danych. To zatwierdzenie musi zostać zapisane.

6.6   Dane osobowe muszą być przetwarzane w sposób zapewniający ich bezpieczeństwo

6,7   Należy podjąć odpowiednie środki techniczne i organizacyjne w przypadku nieuprawnionego lub niezgodnego z prawem przetwarzania danych osobowych oraz przed przypadkową utratą lub zniszczeniem lub uszkodzeniem danych osobowych.

  ;

Te kontrole zostały wybrane na podstawie zidentyfikowanego ryzyka związanego z danymi osobowymi oraz możliwości wyrządzenia szkody osobom, których dane są przetwarzane.

Spójność z tą zasadą zawarta jest w Systemie Zarządzania Bezpieczeństwem Informacji (ISMS), który został opracowany zgodnie z normą ISO / IEC 27001: 2013. Kontrola bezpieczeństwa będzie podlegać audytowi i przeglądowi.

6.8   Dane osobowe nie będą przesyłane do kraju lub terytorium poza Unią Europejską, chyba że ten kraj lub terytorium zapewni odpowiedni poziom ochrony praw i wolności & rsquo; osób, których dane dotyczą w związku z przetwarzaniem danych osobowych.

Przekazywanie danych osobowych poza UE jest zabronione, chyba że zastosowanie ma co najmniej jedna z określonych gwarancji lub wyjątków.

6.8.1     Zabezpieczenia

Ocena adekwatności przez administratora danych z uwzględnieniem następujących czynników:

  •         charakter przekazywanych informacji;
  •   kraj lub terytorium pochodzenia i ostateczne miejsce przeznaczenia informacji;
  •   jak informacje będą używane i na jak długo;
  •   prawa i praktyki w kraju cesjonariusza, w tym odpowiednie kodeksy postępowania i zobowiązania międzynarodowe; i

6.8.2     Wiążące reguły korporacyjne

6.8.3     Klauzule umów modelowych

Calm może przyjmować zatwierdzone klauzule kontraktu modelowego do przesyłania danych poza Unię Europejską. Jeśli fundacja Calm przyjmuje klauzule kontraktu modelowego zatwierdzone przez organ ochrony danych, automatycznie rozpoznaje adekwatność.

6.8. 4     Wyjątki

ma miejsce tylko w jednym z następujących warunków:

  •   transfer jest konieczny r wykonanie umowy między osobą, której dane dotyczą, a administratorem danych lub wdrożenie środków przedumownych podjętych na wniosek podmiotu danych;
  •   przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem danych a inną osobą fizyczną lub prawną;
  •   transfer jest konieczny z ważnych powodów związanych z interesem publicznym;
  •     przekazanie jest konieczne w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innych osób, w przypadku gdy podmiot danych jest fizycznie lub prawnie niezdolny do wyrażenia zgody;
  • Lista krajów, które spełniają wymogi adekwatności Komisji , jest publikowana w w Dzienniku Urzędowym Unii Europejskiej.

     

    6,9   Accountability

    RODO wprowadza zasadę odpowiedzialności, która stwierdza, że ​​administrator jest odpowiedzialny nie tylko za zapewnienie zgodności, ale za wykazanie, że każda operacja przetwarzania jest zgodna z wymogami RODO.

    W szczególności administratorzy są zobowiązani do przechowywania niezbędnej dokumentacji wszystkich operacji przetwarzania, wdrażania odpowiednich środków bezpieczeństwa, wykonywania DPIA (ocena wpływu na przetwarzanie danych), spełniania wymogów dotyczących wcześniejszych powiadomień lub zatwierdzania przez organy nadzorcze i wyznaczania inspektora ochrony danych. Holenderski inspektor ochrony danych jest wyznaczany na centralnego inspektora ochrony danych dla organizacji Calm.

7. Prawa osób, których dane dotyczą

Podmioty danych mają następujące prawa dotyczące przetwarzania danych i danych, które są na ich temat zapisywane:

7.1 do uzyskania dostępu do informacji na temat charakteru posiadanych informacji i ich ujawnienia.

7,2 do zapobieżenia przetwarzaniu, które może spowodować ich szkodę.

7,3 do zapobieżenia przetwarzaniu w celu marketingu bezpośredniego.

7,4 do uzyskania informacji na temat mechanizmów automatycznego podejmowania decyzji, które mają znaczący wpływ na podmiot danych.

7,5 do zapewnienia, że żadne istotne decyzje nie będą podejmowane autoamtycznieNie podejmować istotnych decyzji wpłynie to na nich, podejmowane wyłącznie zautomatyzowanym procesem.

7.6 W celu dochodzenia odszkodowania, jeśli poniosą szkodę w wyniku jakiegokolwiek naruszenia GDPR.

7.7 Aby podjąć działania w celu naprawienia, zablokowania, usunięcia, w tym prawa do bycia zapomnianym lub zniszczenia inacc dane dotyczące moczu.

7,8 Aby poprosić DPA (Autoriteit Persoonsgegevens) o ocenę, czy jakiekolwiek zapisy GDPR zostały naruszone.

7,9 Prawo do podawania danych osobowych w uporządkowanym, powszechnie używanym i czytelnym formacie, oraz prawo do przekazania tych danych do innego kontrolera .

7.10 Prawo do sprzeciwu wobec automatycznego profilowania bez zgody.

Dane osób może składać wnioski o dostęp do danych. Procedura opisuje także, w jaki sposób firma Calm zapewnia, że ​​odpowiedź na żądanie dostępu do danych jest zgodna z wymogami rozporządzenia.

Skargi

Osoby, które chcą złożyć skargę do firmy Calm na temat przetwarzania ich danych osobowych, mogą złożyć skargę bezpośrednio do inspektora ochrony danych.

Osoby, których dane dotyczą, mogą również składać skargi bezpośrednio do organu ochrony danych (de Autoriteit Persoonsgegevens).

Jeżeli osoby, których dane dotyczą chcą złożyć skargę na temat sposobu rozpatrzenia ich skargi lub odwołania się od decyzji podjętej w wyniku skargi, mogą złożyć kolejną skargę do inspektora ochrony danych. Prawo do tego powinno być zawarte w procedurze składania skarg i komunikowane z uczniami i serwerami.

8. Zgoda

Fundacja Calm rozumie poprzez zgodę: świadomie, dobrowolne i jednoznacznie wskazanie życzenia na przetwarzanie danych osobowych osoby, której dane dotyczą, poprzez oświadczenie lub inne wyraźne działanie afirmatywne. Zgoda osoby, której dane dotyczą, może zostać wycofana w dowolnym momencie.

Calm rozumie, że osoba, której dane dotyczą, została w pełni poinformowana o planowanym przetwarzaniu danych i wyraziła zgodę na to, będąc w dobrej kondycji, nie będąc pod presją. Zgoda uzyskana pod przymusem lub na podstawie wprowadzających w błąd informacji nie będzie stanowić ważnej podstawy przetwarzania. Musi istnieć komunikacja między stronami, która wykazuje aktywną zgodę. Zgody nie można wywnioskować z braku odpowiedzi na komunikat. W przypadku danych szczególnie chronionych należy uzyskać wyraźną pisemną zgodę osób, których dane dotyczą, chyba że istnieje alternatywna uzasadniona podstawa przetwarzania.

W większości przypadków zgoda na przetwarzanie danych osobowych i wrażliwych jest uzyskiwana rutynowo przez Fundację CALM, korzystając ze standardowych dokumentów zgody, np kiedy uczeń lub pomocnik składa zgłoszenie na kurs. W przypadku, gdy Fundacja Calm świadczy usługę przez internet na kurs dla dzieci, należy uzyskać zgodę rodzica lub prawnego opiekuna. Wymóg ten dotyczy dzieci poniżej 16 roku życia (chyba że państwo członkowskie przewidziało niższy limit wieku, który nie może być niższy niż 13 lat).

9. Bezpieczeństwo danych

Wszyscy usługujący są odpowiedzialni za zapewnienie, że wszelkie dane osobowe, które Calm posiada i za które jest odpowiedzialny, są przechowywane w bezpieczny sposób i nie są w żadnych warunkach ujawniane osobom trzecim, chyba że ta strona trzecia została specjalnie upoważniony przez fundację Calm do otrzymywania tych informacji i zawarła umowę o zachowaniu poufności.

Wszystkie dane osobowe powinny być dostępne tylko dla tych, którzy muszą z nich korzystać, a dostęp może być przyznany tylko zgodnie z Zasadami kontroli dostępu. Dane osobowe muszą być przechowywane:

  • w zamykanym pomieszczeniu z kontrolowanym dostępem; i / lub
  • w zamkniętej szufladzie lub szafce na dokumenty; i / lub
  • jeśli są skomputeryzowane, chronione hasłem zgodnie z wymaganiami korporacyjnymi w zasadah kontroli dostępu; i / lub
  • zapisane na (wymiennym) nośniku komputerowym, który jest zaszyfrowany.
  • Powinny być anonimizowane lub pseudomizowane w miarę możliwości .

Należy zwrócić uwagę, aby ekrany i terminale komputera były niewidoczne z wyjątkiem usługujących mających autoryzowany dostęp. autoryzowanych. Wszyscy usługujący są zobowiązani do zawarcia Umowy o dpouszczenie do użytkowania zanim uzyskają dostęp do jakichkolwiek informacji organizacyjnych.

Ręczne zapisy nie mogą być pozostawione tam, gdzie mogą być dostępne przez nieupoważnione osoby. Gdy zapisy papierowe nie są już potrzebne, muszą zostać usunięte z bezpiecznej archiwizacji.

Dane osobowe można usuwać lub zdecydować o zatrzymaniu zgodnie z procedurą zatrzymywania danych. Papierowe zapisy, które dotarły do ​​daty ich przechowywania, są rozdrabniane i usuwane jako poufne odpady & rsquo ;. Dane z dysków twardych z komputerów osobistych, należy usunąć i dyski natychmiast zniszczyć zgodnie z wymaganiami.

Przetwarzanie danych osobowych poza terenem Fundacji& rsquo; przedstawia potencjalnie większe ryzyko utraty, kradzieży lub uszkodzenia danych osobowych. Usługjący muszą być specjalnie upoważnieni do przetwarzania danych poza siedzibą Fundacji, należy zapoznać się z procedurą dotyczącą naruszenia danych i zastosować ją w razie potrzeby.

10. Prawo dostępu do danych

Podmioty danych mają prawo dostępu do wszelkich danych osobowych (tj. danych na ich temat), które są przechowywane w systemie CALM w formacie elektronicznym, jak też zapisów papierowych, które stanowią część odpowiedniego zbioru danych. Obejmuje to prawo do wglądu w poufne referencje osobiste otrzymane przez Fundację Calm oraz informacje uzyskane od organizacji zewnętrznych na temat tej osoby.

11. Ujawnienie danych

CALM musi zapewniać, że dane osobowe nie są ujawniane nieupoważnionym osobom trzecim, w tym członkom rodziny, znajomym, organom rządowym, policji (z wyjątkiem stuacji określonych prawem). Wszyscy usługujący w ośrodku, przy organizacji kursów, powinni zachować ostrożność w przypadku prośby o ujawnienie danych osobowych osobie trzeciej. Będą musieli odbyć konkretne szkolenia, które pomogą im skutecznie radzić sobie z tym rysykiem. Ważne jest, aby rozważyć, czy ujawnienie informacji jest istotne i konieczne do prowadzenia kursów.

RODO zezwala na niektóre ujawnienia bez zgody, o ile informacje są wymagane dla jednego lub więcej z następujących celów:

  • w celu zabezpieczenia bezpieczeństwa narodowego;
  • zapobieganiu lub wykrywaniu przestępstw, (m.in ściganiu przestępców);
  • ocenie lub poborowi podatku;
  • wyegzekwowaniu czynności regulacyjnych (obejmujących zdrowie, bezpieczeństwo i dobrostan osób w miejscu pracy);
  • w celu zapobieżenia poważnej szkodzie osoby trzeciej;
  • w celu ochrony żywotnych interesów jednostki, odnosi się to do sytuacji życia i śmierci.

Wszystkie prośby o dostarczenie danych z jednego z tych powodów muszą być poparte odpowiednią dokumentacją, a wszystkie takie ujawnienia muszą być autoryzowane przez inspektora ochrony danych.

12. Przechowywanie i usuwanie danych

Dane osobowe mogą nie być przechowywane dłużej niż jest to wymagane. Gdy uczeń lub usługujący przestali się zgłaszać na kursy, może nie być konieczne przechowywanie wszystkich informacji na jego/jej temat. Niektóre dane będą przechowywane przez dłuższy czas niż inne. Procedury zatrzymywania danych i usuwania danych w systemie CALM będą obowiązywać we wszystkich przypadkach.

Usuwanie zapisów

Dane osobowe muszą być usuwane w sposób chroniący prawa i wolności & bdquo; osób, których dane dotyczą (np. rozdrabnianie w niszczarce, usuwanie jako poufne odpady, bezpieczne usuwanie elektroniczne) oraz zgodnie z procedurą bezpiecznego usuwania.

13. Procedura w przypadku naruszenia ochrony danych

Calm zintegrował procedurę naruszenia danych. Każde naruszenie musi zostać zgłoszone DPO zgodnie z zatwierdzonymi zasadami.

14. Data wejścia w życie

Zasady Ochrony Danych obowiązują od 26 maja 2018r. CALM zastrzega sobie prawo do dopasowania lub zmiany Zasad. Wszyscy użytkownicy CALMa są zobowiązani do stosowania Zasad Ochrony Danych. Dotyczy to Zarządu Fundacji CALM, Organu Nadzoru, inspektora ochrony danych, członków zarządu Polskiej Fundacji Medytacji Vipassana i usługujących używających oprogramowania CALM oraz krajów trzecich i innych podmiotów,o ile są wspomniane w Zasadach Ochrony Danych, jako zobowiązane do przestrzegania niniejszych zasad

15. Komunikacja

Zasady zostaną przekazane uczniom i pomocnikom ubiegającym się o uczestnictwo w kursach w zrozumiały i kompleksowy sposób. Kopia tych zasad jest dostępna dla wszystkich użytkowników Calm na żądanie, można ją również znaleźć na stronie internetowej.