TRADEDORK LTD
POLITIQUE DE PROTECTION DES DONNÉES
La présente politique de protection des données (la politique) définit la manière dont Tradedork Ltd ("nous", "notre" et "nos") traite les données à caractère personnel.
Si vous avez des questions sur la présente politique, vos responsabilités ou tout autre aspect de la loi sur la protection des données, contactez Chris Smith, notre responsable de la conformité des données chez Tradedork.
1. Introduction
- Le règlement général sur la protection des données(RGPD) du Royaume-Uni et la loi sur la protection des données 2018 (DPA 2018) (ensemble, les lois sur la protection des données) s'appliquent au traitement des données à caractère personnel.
- Les lois sur la protection des données exigent toutes que les données à caractère personnel soient traitées conformément à certains principes (voir paragraphe 2) et confèrent aux individus des droits d'accès, de rectification et de contrôle sur la manière dont nous utilisons leurs données à caractère personnel (voir paragraphe 6).
- Au Royaume-Uni, la loi sur la protection des données est appliquée par l'Information Commissioner's Office(ICO), qui est le régulateur de la protection des données au Royaume-Uni.
- En résumé, les lois sur la protection des données nous obligent à :
4.1 traiter les données à caractère personnel uniquement à certaines fins ;
4.2 traiter les données à caractère personnel conformément aux six principes de "bonne gestion de l'information" (voir le paragraphe 2) ;
4.3 fournir certaines informations aux personnes au sujet desquelles nous traitons des données à caractère personnel, informations qui sont généralement fournies dans un avis de confidentialité - par exemple, vous aurez reçu l'un de ces avis de notre part en tant que membre de notre personnel et un autre sera disponible sur notre plateforme pour nos utilisateurs ;
4.4. respecter les droits des personnes au sujet desquelles nous traitons des données à caractère personnel (notamment en leur donnant accès aux données à caractère personnel que nous détenons à leur sujet) ; et
4.5 tenir des registres adéquats sur la manière dont les données sont traitées et, si nécessaire, notifier le régulateur et éventuellement les personnes concernées en cas de violation des données.
- Chaque membre de notre personnel a un rôle important à jouer dans la réalisation de ces objectifs. Il est donc de votre responsabilité de vous familiariser avec cette politique.
2. Quels sont les principes de protection des données ?
Les lois sur la protection des données énoncent six principes de conservation et de protection des données à caractère personnel, qui constituent la base de la législation. Toutes les données à caractère personnel doivent être
- traitées de manière licite, loyale et transparente et seulement si certaines conditions spécifiques sont remplies ("licéité, loyauté et transparence") ;
- collectées pour des finalités spécifiques, explicites et légitimes, et non traitées de manière incompatible avec ces finalités ("limitation de la finalité") ;
- adéquates et pertinentes, et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ("minimisation des données") ;
- exactes et, le cas échéant, mises à jour ("exactitude") ;
- conservés pendant une durée n'excédant pas celle nécessaire à la réalisation de l'objectif ("limitation du stockage") ; et
- traitées d'une manière qui garantisse une sécurité appropriée des données à caractère personnel au moyen de mesures techniques et organisationnelles appropriées ("intégrité et sécurité").
3. Quels types d'informations peuvent constituer des données à caractère personnel ?
- Les données à caractère personnel sont des données relatives à une personne et sont donc des données à caractère personnel si elles :
1.1 identifient la personne (par exemple, noms, adresses, numéros de téléphone et adresses électroniques) ;
1.2 leur contenu concerne la personne personnellement (par exemple, dossiers médicaux ou historique du profil de l'utilisateur (par exemple, préférences)) ;
1.3 se rapportent à la propriété de la personne ;
1.4 peuvent être traitées pour apprendre, enregistrer ou décider quelque chose à propos de la personne (par exemple, si vous êtes en mesure de relier les données à la personne pour vous dire quelque chose à son sujet, cela se rapportera à la personne (par exemple, les détails salariaux d'un poste lorsqu'il n'y a qu'une seule personne nommée à ce poste)) ; 1.5 affectent la vie privée de la personne, que ce soit dans le cadre d'une enquête ou d'un traitement. les données salariales d'un poste pour lequel il n'y a qu'une seule personne nommée)) ;
1.5 affecte la vie privée de l'individu, que ce soit à titre personnel, familial, organisationnel ou professionnel (par exemple, le lieu de travail et les adresses électroniques professionnelles peuvent être des données personnelles) ;
1.6 est l'expression d'une opinion sur l'individu ; ou
1.7 est une indication de nos intentions (ou de celles de toute autre personne) à l'égard de l'individu (par exemple, la manière dont une plainte reçue d'un membre du personnel ou d'un utilisateur de notre plateforme sera traitée).
- Les informations sur les sociétés ou autres personnes morales qui ne sont pas des individus vivants ne sont pas des données à caractère personnel. Toutefois, les informations concernant les directeurs, les actionnaires, les cadres et les employés, ainsi que les entrepreneurs individuels ou les partenaires, sont souvent des données à caractère personnel, de sorte que les informations relatives aux entreprises peuvent souvent être des données à caractère personnel.
- Les données de catégorie spéciale au sens de la législation sur la protection des données sont des données personnelles relatives à la race, aux opinions politiques, à la santé, aux croyances religieuses ou autres, aux antécédents syndicaux, à la vie sexuelle, aux données biométriques et aux données génétiques d'une personne. En outre, les données relatives aux condamnations pénales et aux infractions font partie d'une catégorie spéciale qui, à bien des égards, est traitée de la même manière que les données relevant d'une catégorie spéciale. Auparavant, ces types de données à caractère personnel étaient qualifiés de données à caractère personnel sensibles et certaines personnes peuvent continuer à utiliser ce terme.
4. Comment traitons-nous les données à caractère personnel ?
- Chaque jour, nous traitons des données à caractère personnel à des fins diverses et de différentes manières. Pratiquement tout ce que nous faisons avec des données à caractère personnel est considéré comme un "traitement" de ces données, y compris la collecte, la modification, le transfert, la visualisation, la suppression, la détention, la sauvegarde, l'archivage, la conservation, la divulgation ou la destruction. Ainsi, même le simple stockage de données à caractère personnel constitue une forme de traitement. Nous pouvons traiter des données à caractère personnel à l'aide d'ordinateurs ou manuellement en conservant des dossiers papier.
- Le traitement des données personnelles peut inclure l'utilisation de données personnelles pour correspondre avec les utilisateurs de notre plateforme ou la conservation de données personnelles dans nos systèmes de stockage en ligne ou nos bases de données ou dans des documents papier.
5. Dans quelles circonstances sommes-nous autorisés à traiter des données à caractère personnel ?
- Pour que le traitement des données à caractère personnel soit licite, nous devons le faire sur la base de l'un des motifs légaux énoncés dans les lois sur la protection des données.
- Pour le traitement de données à caractère personnel ordinaires dans notre organisation, il peut s'agir, entre autres, des éléments suivants :
2.1 la personne concernée a donné son consentement au traitement ;
2.2 le traitement est nécessaire à l'exécution d'un contrat avec la personne concernée ;
2.3 le traitement est nécessaire au respect d'une obligation légale à laquelle nous sommes soumis ; ou
2.4 le traitement est nécessaire à la réalisation de nos intérêts légitimes (ou de ceux de quelqu'un d'autre).
- Pour traiter légalement des catégories spéciales de données à caractère personnel, certaines autres conditions doivent être remplies. Normalement, nous ne devrions traiter des données personnelles de catégorie spéciale ou des données relatives à des condamnations pénales et à des infractions que dans un contexte d'emploi et, par conséquent, les conditions sur lesquelles nous nous appuierions normalement pourraient inclure, entre autres :
3.1 en ce qui concerne les catégories spéciales de données personnelles :
3.1.1 lorsque la personne a donné son consentement explicite au traitement ;
3.1.2 lorsque le traitement est nécessaire à l'exécution de nos obligations en vertu du droit du travail ;
3.1.3 lorsque le traitement est nécessaire à la protection des intérêts vitaux de la personne en question. L'ICO a précédemment indiqué qu'il était peu probable que cette condition soit remplie autrement que dans des situations de vie ou de mort ou d'autres situations extrêmes ;
3.1.4 lorsque le traitement est nécessaire pour le contrôle de l'égalité des chances ; ou
3.1.5 lorsque le traitement est nécessaire aux fins de la médecine préventive ou professionnelle ou pour l'évaluation de la capacité de travail de l'employé ; et
3.2 en ce qui concerne les données relatives aux condamnations pénales et aux infractions, lorsque la personne concernée a donné son consentement explicite au traitement.
6. Quels sont les droits des personnes à l'égard de leurs données à caractère personnel ?
- Les personnes disposent de certains droits en vertu des lois sur la protection des données(droits). Ces droits sont les suivants
1.1 du droit d'accès (également appelé "demande d'accès de la personne concernée") ;
1.2 du droit de rectification ;
1.3 du droit à l'effacement (également appelé "droit à l'oubli") ;
1.4 du droit à la limitation du traitement ;
1.5 du droit à la portabilité des données ;
1.6 du droit d'opposition ; et
1.7 des droits relatifs à la prise de décision automatisée et au profilage.
- L'exercice de ces droits peut se faire par écrit, y compris par courrier électronique, ainsi que verbalement, et il convient d'y répondre par écrit sans retard injustifié et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si nécessaire, en tenant compte de la complexité et du nombre des demandes. Nous devons informer la personne concernée de cette prolongation dans un délai d'un mois à compter de la réception de la demande, en indiquant les raisons du retard.
- Si vous recevez une demande verbale concernant un droit, ou si vous pensez avoir reçu une demande verbale concernant l'exercice d'un droit, vous devez transmettre l'appel ou la personne à notre responsable de la conformité des données. Ce dernier consignera par écrit tous les détails pertinents et vous expliquera la procédure à suivre. Si possible, essayez de faire confirmer la demande par écrit. S'il n'est pas possible de transférer la personne, consignez par écrit la demande et les coordonnées de la personne qui l'a formulée. Si vous recevez une lettre ou un courriel exerçant un droit, vous devez le transmettre à notre responsable de la conformité des données, qui répondra à la personne en notre nom.
- Notre responsable de la conformité des données assurera la coordination. Les mesures prises dépendront de la nature de la demande et du droit. Notre responsable de la conformité des données écrira à la personne concernée et lui expliquera la situation juridique et si nous donnerons suite à sa demande.
- Nous pouvons demander des informations supplémentaires pour confirmer l'identité de la personne qui fait la demande et nous pouvons également demander que la portée de la demande soit réduite afin de faciliter les recherches à entreprendre (mais la personne n'est pas obligée d'accepter une telle demande de notre part). Lorsque les demandes sont manifestement infondées ou excessives ou qu'elles sont répétitives, nous pouvons facturer une redevance raisonnable tenant compte des coûts administratifs liés à la fourniture de l'information (et le montant peut être soumis à des limites) ou refuser de répondre. Lorsque nous refusons de répondre à une demande, nous en expliquons les raisons à la personne concernée, en l'informant de son droit de déposer une plainte auprès de l'autorité de contrôle et d'introduire un recours juridictionnel sans retard excessif et au plus tard dans un délai d'un mois.
- Si nous recevons la demande d'un tiers (par exemple, un conseiller juridique), nous devons prendre des mesures pour vérifier que la demande a bien été introduite par la personne concernée et que le tiers est dûment autorisé à formuler la demande. Cela signifie généralement que nous devons contacter directement la personne concernée pour vérifier que la tierce partie est bien autorisée à faire la demande.
- Si une personne n'est pas d'accord avec le fait que nous ayons correctement respecté un droit ou que nous n'ayons pas répondu, elle peut demander une ordonnance à un tribunal ou déposer une plainte auprès de l'ICO, en exigeant dans chaque cas que nous exercions correctement ce droit. Si le tribunal ou l'ICO est d'accord avec la personne, il peut nous ordonner d'exercer correctement le droit et de prendre les mesures nécessaires pour y parvenir, et nous ordonner d'informer les tiers à qui nous avons transmis les données de ce droit. Un tribunal peut également accorder une compensation à l'individu pour tout dommage qu'il a subi en raison de notre non-respect de la loi. L'ICO peut également nous imposer une amende civile. Ces amendes peuvent être très importantes
7. Pouvons-nous transférer des données à caractère personnel en dehors du Royaume-Uni ?
- Les données à caractère personnel ne doivent pas être transférées en dehors du Royaume-Uni, à moins que le pays de destination n'assure un niveau de protection adéquat des droits des personnes en ce qui concerne le traitement des données à caractère personnel ou que nous ne mettions en place des protections adéquates. Ces protections peuvent résulter de contrats spéciaux que nous devons mettre en place avec le destinataire des données à caractère personnel, du fait qu'il accepte d'être lié par des règles spécifiques de protection des données ou du fait que les lois du pays du destinataire offrent une protection suffisante.
- Vous ne devez en aucun cas transférer des données à caractère personnel en dehors du Royaume-Uni sans l'accord écrit préalable de notre responsable de la conformité des données. Nous devrons également informer les personnes concernées de tout transfert de leurs données à caractère personnel en dehors du Royaume-Uni et pourrons être amenés à modifier notre avis de confidentialité pour tenir compte du transfert de données en dehors du Royaume-Uni.
- Si vous êtes impliqué dans un nouveau traitement de données à caractère personnel susceptible d'impliquer un transfert de données à caractère personnel en dehors du Royaume-Uni, veuillez demander l'approbation de notre responsable de la conformité des données avant de mettre en œuvre tout traitement de données à caractère personnel susceptible d'avoir cet effet.
8. Quelles sont les conséquences d'une violation de la présente politique ?
- Tout manquement à cette politique sera pris très au sérieux. Tous les membres du personnel doivent lire attentivement cette politique et s'assurer qu'ils la connaissent bien. Toute infraction à la présente politique constitue une faute disciplinaire et sera traitée dans le cadre de notre procédure disciplinaire et d'évaluation des compétences.
- Si vous ne respectez pas les lois sur la protection des données et/ou la présente politique, nous vous encourageons à le signaler immédiatement à notre responsable de la conformité des données. Ce signalement sera pris en compte lors de l'évaluation de la manière de traiter toute infraction, y compris toute non-conformité antérieure à l'entrée en vigueur de la présente politique.
- De même, si vous avez connaissance ou si vous pensez qu'un autre de nos représentants ne respecte pas les lois sur la protection des données et/ou la présente politique, vous devez le signaler en toute confidentialité à notre responsable de la conformité des données. Notre politique de dénonciation s'appliquera dans ces circonstances et vous pouvez choisir de signaler tout manquement ou toute violation par le biais de notre service de dénonciation confidentiel.
- Le non-respect des lois sur la protection des données peut entraîner un certain nombre de conséquences graves, tant pour vous que pour nous. Ces conséquences sont les suivantes :
4.1 Pour vous :
4.1.1 Mesures disciplinaires ou licenciement
4.1.2 Sanctions pénales en cas d'infraction grave
4.1.3 Enquêtes et entretiens
4.2 Pour notre entreprise :
4.2.1 Sanctions pénales
4.2.2 Amendes civiles pouvant atteindre 17,5 millions de livres sterling ou 4 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu.
4.2.3 Évaluations, enquêtes et mesures d'exécution par l'ICO 4.2.4 Ordonnances judiciaires 4.2.3 Évaluations, enquêtes et mesures d'exécution par l'ICO .2.3 Évaluations, enquêtes et mesures d'exécution par l'ICO
4.2.4 Ordonnances judiciaires
4.2.5 Demandes d'indemnisation de particuliers
4.2.6 Mauvaise publicité et perte d'activité
4.2.7 Ponction sur le temps et les ressources de la direction
9. Quelles mesures pratiques puis-je prendre pour assurer la conformité ?
Bien que vous deviez toujours faire preuve de bon sens dans la manière dont vous utilisez et protégez les données à caractère personnel, et les traiter avec soin et respect, vous trouverez ci-dessous quelques exemples de ce qu'il faut faire et de ce qu'il ne faut pas faire :
- Ne pas sortir les données personnelles de nos locaux (sauf en cas d'absolue nécessité).
- Ne divulguez vos identifiants et mots de passe uniques pour l'un de nos systèmes informatiques qu'au personnel autorisé (par exemple, le service informatique) et à personne d'autre.
- Ne laissez jamais d'objets contenant des données personnelles sans surveillance dans un lieu public, par exemple dans un train, dans un café ou dans des endroits non sécurisés, par exemple dans votre voiture pendant la nuit - cela inclut les dossiers papier, les téléphones mobiles, les ordinateurs portables, les tablettes, les clés USB, etc.
- Crypter les ordinateurs portables, les appareils mobiles et les dispositifs de stockage amovibles contenant des données personnelles, les verrouiller et les mettre hors de vue lorsqu'ils ne sont pas utilisés.
- Protéger par mot de passe les documents et les bases de données contenant des données personnelles plus sensibles.
- Les papiers contenant des données personnelles doivent être éliminés de manière confidentielle et ne doivent pas être jetés dans les ordures ménagères, les poubelles ou les bennes à ordures, à moins qu'ils n'aient été déchiquetés au préalable.
- Dans un lieu public, par exemple dans un train ou un café, ou même au bureau, faites attention aux personnes qui pourraient voir les informations affichées sur l'écran de l'appareil que vous utilisez lorsque vous affichez des informations personnelles et, le cas échéant, changez de place ou de tâche. En outre, lorsque vous parlez au téléphone dans un lieu public, ou même au bureau, veillez à ne pas utiliser les noms complets des personnes ou d'autres informations permettant de les identifier, car vous ne savez pas qui pourrait entendre la conversation. Utilisez plutôt des initiales ou des prénoms pour préserver la confidentialité.
- Ne donnez jamais suite aux instructions d'une personne si vous n'êtes pas absolument sûr de son identité, et si vous n'êtes pas sûr, prenez des mesures pour déterminer son identité. C'est particulièrement vrai lorsque les instructions concernent des informations qui pourraient être sensibles ou préjudiciables si elles tombaient entre les mains d'un tiers ou lorsque les instructions concernent de l'argent, des biens ou des objets de valeur ou qu'elles ne peuvent pas être facilement annulées.
- Ne transférez pas de données personnelles à un tiers sans l'accord écrit préalable d'un cadre supérieur de l'entreprise.
- Notifier immédiatement à notre responsable de la conformité des données tout soupçon de violation de la sécurité ou de perte de données à caractère personnel (y compris la perte d'appareils ou de matériel contenant des données à caractère personnel).
ANNEXE 1 DE LA POLITIQUE DE PROTECTION DES DONNÉES
VIOLATIONS DE DONNÉES
1. Violations de données
- Une violation de données comprend toute perte de données que nous possédons ou utilisons, qu'un tiers obtienne ou non l'accès aux données. Par exemple, cela inclut :
1.1 la perte d'un ordinateur, d'un ordinateur portable, d'un téléphone mobile ou d'un support de stockage amovible, la perte de fichiers papier ou la destruction non sécurisée de nos données ;
1.2 la perte de nos données stockées sur un ordinateur ou un serveur en raison de la corruption du disque dur, d'un piratage ou d'une attaque (par exemple, ransomware, malware, virus) contre notre réseau et nos systèmes informatiques (ou ceux d'un tiers) ;
1.3 l'envoi à la mauvaise personne d'un courriel ou d'un courrier contenant nos données ou l'envoi d'un courriel à un groupe de destinataires en utilisant le champ "à" alors que leurs adresses électroniques n'auraient pas dû être divulguées aux autres destinataires ;
1.4 le fait de permettre à quelqu'un d'écouter une conversation téléphonique lorsque des données d'identification sont divulguées ; ou
1.5 la divulgation ou la révélation de données à une personne qui n'est pas autorisée à voir ou à connaître ces données.
- La liste ci-dessus n'est pas exhaustive et les violations de données peuvent prendre de nombreuses formes. Nous exigeons que les violations de données soient signalées, que les données concernent ou non une personne, de sorte que tout type de violation de données doit nous être signalé.
2. Que devez-vous faire ?
- Dès que vous avez connaissance d'une violation de données impliquant nos données, vous devez en informer IMMÉDIATEMENT notre responsable de la conformité des données. Vous devez également vous assurer que vous avez reçu un accusé de réception de la notification, afin d'éviter que le destinataire ne soit absent du bureau ou en vacances. Si vous n'obtenez pas d'accusé de réception dans les deux heures, informez immédiatement Imran Ahmed Director de la violation de données. Il vous incombe de veiller à ce que la violation de données soit notifiée et à ce que la notification soit reçue. Ne vous contentez pas d'envoyer un courriel ou de laisser un message vocal et d'oublier.
- Vous devrez fournir des détails et des informations sur la violation de données, y compris des détails sur le type de données perdues, la quantité de données perdues, les personnes concernées, la manière dont elles ont été perdues et l'identité de toute tierce partie ayant acquis les données (si elle est connue). Vous devez également fournir toute autre information que nous pourrions vous demander et, dans certains cas, nous pourrions vous demander de remplir un formulaire détaillant la violation de données avec toutes les informations dont vous disposez. Même si vous ne disposez pas immédiatement de toutes ces informations, ne tardez pas à nous notifier la violation de données. Le temps est compté.
- L'obligation de notification s'applique, que vous soyez ou non impliqué dans la violation de données ou que vous en soyez ou non la cause. Si vous avez connaissance d'une violation de données, vous devez nous la notifier, quelle qu'en soit la cause. Nous traiterons toutes les notifications concernant un collègue ou un autre travailleur de manière confidentielle, conformément à notre politique de dénonciation.
4. Quelles sont les conséquences de l'absence de notification ?
- Si vous notifiez une violation de données conformément à la présente politique, même si vous n'êtes pas responsable d'avoir causé ou contribué à la violation de données, par exemple en raison d'une erreur humaine, nous préférerions être informés de la violation de données. Le fait que vous l'ayez signalée jouera en votre faveur, et c'est une réalité que des violations de données se produisent parfois.
- Toutefois, si vous avez connaissance d'une violation de nos données et que vous ne notifiez pas cette violation conformément à la présente politique, nous considérerons qu'il s'agit d'une faute grave. Cette règle s'applique que la violation de données ait été causée par vous ou que vous y ayez contribué, ou que vous ayez simplement connaissance d'une violation de données causée par un collègue ou un tiers ou que vous y ayez contribué, ou même que vous ayez simplement connaissance d'une violation de données dont personne n'est responsable.
5. Pourquoi faut-il notifier ?
- En vertu de la loi sur la protection des données, nous sommes tenus d'informer l'ICO des violations de données impliquant des données à caractère personnel que nous contrôlons, dans les meilleurs délais, lorsque la violation de données peut entraîner un préjudice pour les personnes. Nous devons informer l'ICO dès que possible et, en tout état de cause, dans les 72 heures suivant la prise de connaissance de la violation de données. Ce délai court à partir du moment où vous avez pris connaissance de la violation de données, et non pas à partir du moment où vous nous avez notifié la violation de données. La notification doit donc être faite immédiatement.
- Votre notification nous permettra d'évaluer si nous devons ou non informer l'ICO de la violation de données. Si nous ne notifions pas l'ICO alors que nous le devrions, nous sommes passibles d'amendes pouvant aller jusqu'à 2 % du chiffre d'affaires mondial du groupe ou 8,7 millions de livres sterling, le montant le plus élevé étant retenu. Il s'agit là de risques très importants et c'est pourquoi le fait de ne pas nous informer d'une violation de données dont vous avez connaissance est considéré comme une faute grave et peut entraîner un licenciement ou la résiliation d'un contrat.
6. Que se passe-t-il une fois la notification effectuée ?
- Une fois que vous avez notifié une violation de données, nous évaluons ce qu'il convient de faire ensuite. Il se peut que nous devions signaler la violation de données à l'ICO. Il se peut également que nous devions signaler la violation de données aux personnes dont les données sont affectées par la violation.
- Il se peut également que nous devions prendre des mesures pour tenter d'atténuer l'impact de la violation de données, de contenir la violation de données ou d'annuler la violation de données. Ces mesures sont plus faciles à prendre si nous sommes informés de la violation de données dès que possible et sans délai.
- Il se peut également que nous devions modifier nos systèmes, procédures et protections afin de prévenir ou de réduire le risque d'une telle violation de données à l'avenir. En général, il y a toujours quelque chose à apprendre d'une violation de données.
- Quoi qu'il en soit, nous consignons la violation de données dans notre registre des violations de données, ce qui peut nous aider à repérer des modèles ou des domaines présentant un risque particulier au fil du temps, afin de prendre des mesures pour prévenir ou réduire le risque de violations de données répétées.
ANNEXE 2 DE LA POLITIQUE DE PROTECTION DES DONNÉES
DOCUMENT DE POLITIQUE GÉNÉRALE APPROPRIÉ
1. Introduction
Ce document explique comment nous protégerons les données de catégorie spéciale et les données relatives aux condamnations pénales et aux infractions, et répond à l'exigence de la loi sur la protection des données de 2018 selon laquelle un document de politique approprié doit être mis en place lorsque de telles données personnelles sont en jeu dans certaines circonstances.
2. Pourquoi nous traitons des données de catégories spéciales et des données relatives aux condamnations pénales et aux infractions ?
- Nous traitons des données de catégorie spéciale aux fins suivantes :
1.1 évaluer l'aptitude d'un employé à travailler ;
1.2 respecter les obligations en matière de santé et de sécurité ;
1.3 respecter la loi sur l'égalité de 2010 ;
1.4 vérifier le droit des candidats et des employés à travailler au Royaume-Uni ; et
1.5 vérifier que les candidats sont aptes à l'emploi ou au maintien de l'emploi.
- Nous traitons les données relatives aux condamnations pénales et aux infractions aux fins suivantes :
2.1 vérifier que les candidats sont aptes à l'emploi ou au maintien de l'emploi ; et
2.2 s'assurer que le personnel est autorisé à conduire les véhicules de l'entreprise et prendre des dispositions en matière d'assurance pour la conduite de ces véhicules.
3. Respect des principes de protection des données
- Légalité, équité et transparence
1.1 Nous ne traiterons les données à caractère personnel que de manière loyale et licite et pour des finalités déterminées. La loi sur la protection des données limite nos actions concernant les données à caractère personnel à des fins licites spécifiées. Nous ne pouvons traiter des données de catégorie spéciale et des données relatives à des condamnations pénales et à des infractions que si nous disposons d'un fondement juridique pour le traitement et si l'une des conditions de traitement spécifiques relatives aux données de catégorie spéciale ou aux données relatives à des condamnations pénales et à des infractions s'applique. Nous identifierons et documenterons le motif juridique et la condition de traitement spécifique invoqués pour chaque activité de traitement.
1.2 Lorsque nous collectons des données de catégorie spéciale et des données relatives à des condamnations pénales et à des infractions auprès de personnes concernées, que ce soit directement auprès de ces dernières ou indirectement (par exemple auprès d'un tiers), nous fournissons aux personnes concernées un avis de confidentialité contenant toutes les informations requises par la loi sur la protection des données dans un avis de confidentialité concis, transparent, intelligible, facilement accessible et rédigé dans un langage clair et simple qui peut être facilement compris.|
Travailleurs, entrepreneurs et employés | |
Données relatives à la santé Consentement (article 6, paragraphe 1, point a), du règlement GDPR du Royaume-Uni). Respect d'une obligation légale (article 6, paragraphe 1, point c), du GDPR britannique). Nécessaire à l'exécution d'un contrat avec la personne concernée (article 6, paragraphe 1, point b), du RGPD). Dans l'intérêt légitime de l'organisation qui n'est pas contrebalancé par les droits et libertés fondamentaux de la personne concernée (article 6, paragraphe 1, point f), du RGPD). | La personne concernée a donné son consentement explicite au traitement (article 9, paragraphe 2, point a), du GDPR britannique). Nécessaire aux fins de l'exécution des obligations et de l'exercice des droits spécifiques du responsable du traitement ou de la personne concernée dans le domaine de l'emploi et de la sécurité sociale et du droit de la protection sociale (article 9, paragraphe 2, point b), du GDPR britannique et paragraphe 1, annexe 1, DPA 2018). Nécessaire à la protection des intérêts vitaux de la personne concernée ou d'une autre personne physique lorsque la personne concernée est physiquement ou légalement incapable de donner son consentement (article 9, paragraphe 2, point c), du GDPR britannique). Nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'évaluation de la capacité de travail de l'employé, du diagnostic médical, de la fourniture de soins ou de traitements médicaux ou sociaux ou de la gestion de systèmes et de services de soins médicaux ou sociaux, à condition que ces données soient traitées par un professionnel ou une autre personne soumise à une obligation légale de secret professionnel ou à des règles établies par un organisme national compétent, ou sous la responsabilité d'un tel professionnel ou d'une telle personne (article 9, paragraphe 2, point h), du RGPD britannique et paragraphe 2 de l'annexe 1 du RGPD de 2018). |
Données relatives à la race ou à l'origine ethnique Consentement (article 6, paragraphe 1, point a)). Respect d'une obligation légale (article 6, paragraphe 1, point c)). Intérêts légitimes de l'organisation qui ne sont pas contrebalancés par les droits et libertés fondamentaux de la personne concernée (article 6, paragraphe 1, point f)). | La personne concernée a donné son consentement explicite au traitement (article 9, paragraphe 2, point a), du GDPR britannique). Nécessaire aux fins de l'exécution des obligations et de l'exercice des droits spécifiques du responsable du traitement ou de la personne concernée dans le domaine de l'emploi et de la sécurité sociale et du droit de la protection sociale (article 9, paragraphe 2, point b), du GDPR britannique et paragraphe 1, annexe 1, DPA 2018). Nécessaire aux fins d'identifier ou de contrôler l'existence ou l'absence d'une égalité de chances ou de traitement entre des groupes de personnes spécifiés par rapport à cette catégorie, en vue de permettre la promotion ou le maintien de cette égalité. (Article 9, paragraphe 2, point g), du RGPD britannique et paragraphe 8 de l'annexe 1 du RGPD 2018) Effectuées dans le cadre d'un processus d'identification des personnes aptes à occuper des postes de direction dans une organisation particulière, un type d'organisation ou des organisations en général, ou nécessaires aux fins de la promotion ou du maintien de la diversité des origines raciales et ethniques des personnes qui occupent des postes de direction dans l'organisation ou les organisations et, dans les deux cas, peuvent raisonnablement être effectuées sans le consentement de la personne concernée. (Article 9(2)(g) UK GDPR et Paragraph 9, Schedule 1, DPA 2018) |
Données relatives aux condamnations pénales et aux infractions Respect d'une obligation légale (article 6, paragraphe 1, point c)). Intérêts légitimes de l'organisation qui ne sont pas contrebalancés par les droits et libertés fondamentaux de la personne concernée (article 6, paragraphe 1, point f)). | Nécessaire aux fins de l'exécution des obligations et de l'exercice des droits spécifiques du responsable du traitement ou de la personne concernée dans le domaine de l'emploi et de la sécurité sociale et du droit de la protection sociale (article 9, paragraphe 2, point b), GDPR UK et paragraphe 1, annexe 1, DPA 2018). Prévention ou détection des actes illicites (article 10 du GDPR britannique et paragraphes 10 et 36 de l'annexe 1, DPA 2018). Exigences réglementaires relatives aux actes illicites et à la malhonnêteté (article 10 du GDPR britannique et paragraphes 12 et 36 de l'annexe 1, DPA 2018). |
| |
- Limitation de l'objet
Nous ne collecterons les données à caractère personnel que pour des finalités déterminées, explicites et légitimes et nous informerons les personnes concernées de ces finalités dans un avis de confidentialité publié. Nous n'utiliserons pas les données à caractère personnel à des fins nouvelles, différentes ou incompatibles avec celles divulguées lors de leur collecte initiale, à moins que nous n'ayons informé la personne concernée des nouvelles finalités et qu'elle ait donné son consentement le cas échéant.
- Minimisation des données
Nous ne collecterons ou ne divulguerons que le minimum de données à caractère personnel requis aux fins pour lesquelles les données sont collectées ou divulguées. Nous veillerons à ne pas collecter de données excessives et à ce que les données à caractère personnel collectées soient adéquates et pertinentes au regard des finalités poursuivies.
- Précision
Nous veillerons à ce que les données à caractère personnel que nous détenons et utilisons soient exactes, complètes, mises à jour et pertinentes au regard des finalités pour lesquelles nous les collectons. Nous vérifions l'exactitude de toutes les données à caractère personnel au moment de leur collecte et à intervalles réguliers par la suite. Nous prenons toutes les mesures raisonnables pour détruire ou modifier les données à caractère personnel inexactes ou périmées.
- Limitation du stockage
5.1 Nous ne conservons les données à caractère personnel sous une forme identifiable que pendant la durée nécessaire aux fins pour lesquelles elles ont été collectées, ou lorsque nous avons une obligation légale de le faire. Lorsque nous n'avons plus besoin des données à caractère personnel, elles sont supprimées ou rendues définitivement anonymes.
5.2 Nous appliquons une politique de conservation des données et des procédures connexes afin de garantir que les données à caractère personnel sont supprimées au terme d'un délai raisonnable au regard des finalités pour lesquelles elles étaient conservées, sauf si nous sommes légalement tenus de conserver ces données plus longtemps.
5.3 Nous veillerons à ce que les personnes concernées soient informées de la période de conservation des données et de la manière dont cette période est déterminée dans tout avis de confidentialité applicable.
- Sécurité, intégrité, confidentialité
Nous prenons très au sérieux la sécurité des données de catégorie spéciale et des données relatives aux condamnations pénales et aux infractions. Nous avons mis en place des garanties administratives, physiques et techniques appropriées pour protéger les données à caractère personnel contre un traitement illégal ou non autorisé, ou contre une perte ou un dommage accidentel.
- Principe de responsabilité
7.1 Nous sommes responsables du respect des principes susmentionnés et sommes en mesure de le démontrer. Notre responsable de la conformité des données est chargé de veiller à ce que nous respections les principes susmentionnés.
7.2 Nous nous engageons à :
7.2.1 veiller à ce que toutes les activités de traitement des données à caractère personnel soient enregistrées et communiquées à l'ICO sur demande ;
7.2.2 procéder à une évaluation de l'impact sur la protection des données pour tout traitement de données à caractère personnel à haut risque afin de comprendre comment le traitement peut affecter les personnes concernées et consulter l'ICO le cas échéant ;
7.2.3 veiller à ce qu'un responsable de la conformité des données soit nommé pour fournir des conseils indépendants et contrôler le traitement des données à caractère personnel, et à ce que ce responsable puisse rendre compte au plus haut niveau de la direction ; et
7.2.4 disposer de procédures internes pour garantir que les données à caractère personnel ne sont collectées, utilisées ou traitées que d'une manière conforme à la législation en matière de protection des données.
4. Politiques de conservation et d'effacement des données à caractère personnel
- Lorsque des données relatives à des catégories particulières ou à des condamnations pénales et à des infractions sont traitées, nous veillons à ce que :
1.1 le traitement soit enregistré et que l'enregistrement fixe, si possible, un délai approprié pour l'effacement sûr et permanent des différentes catégories de données conformément à notre politique de conservation des données ;
1.2. lorsque nous n'avons plus besoin des données relatives aux catégories spéciales ou des données relatives aux condamnations pénales et aux infractions aux fins pour lesquelles elles ont été collectées, nous les supprimons ou les rendons définitivement anonymes dans les meilleurs délais ;
1.3 lorsque les dossiers sont détruits, nous veillons à ce qu'ils soient éliminés de manière sûre et permanente.
- Les personnes concernées reçoivent un avis de confidentialité expliquant comment leurs données personnelles seront traitées lorsque nous les obtenons pour la première fois, et cet avis comprendra la période pendant laquelle les données personnelles seront stockées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période.
5. Révision
- Ce document de politique générale sur le traitement des données de catégorie spéciale et des données relatives aux condamnations pénales et aux infractions est révisé chaque année.
- Ce document de politique approprié sera conservé lorsque nous traitons des données de catégorie spéciale et des données relatives à des condamnations pénales et à des infractions, et pendant une période d'au moins six mois après que nous ayons cessé de procéder à ce traitement.
- Une copie de cette politique sera fournie gratuitement à l'ICO sur demande.