DECLARACIÓN DE CUMPLIMIENTO DEL RGPD

Introducción

La  Reglamento general de protección de datos de la UE ("GDPR") entra en vigor en toda la Unión Europea el 25 de mayo 2018 y trae consigo los cambios más significativos a la ley de protección de datos en dos décadas. Basado en la privacidad del diseño y con un enfoque basado en el riesgo, el GDPR ha sido diseñado para cumplir con los requisitos de la era digital.

Apparel Textile Sourcing participa en actividades que pueden estar sujetas a GDPR, y este documento establece cómo Apparel Textile Sourcing tiene la intención de implementar y cumplir con GDPR.

Nuestro Compromiso

Apparel Textile Sourcing ('nosotros' o 'nos' o 'nuestro') estamos comprometidos a garantizar la seguridad y protección de la información personal que procesamos, y a proporcionar un enfoque coherente y compatible con la protección de datos. Siempre hemos tenido un programa de protección de datos sólido y eficaz que cumple con la ley existente y se rige por los principios de protección de datos. Sin embargo, reconocemos nuestras obligaciones en la actualización y expansión de este programa para cumplir con las demandas del GDPR.

Apparel Textile Sourcing se dedica a salvaguardar la información personal que se nos confía y al desarrollo de prácticas efectivas de protección de datos. Nuestra preparación y objetivos para el cumplimiento de GDPR se han resumido en esta declaración e incluyen el desarrollo e implementación de nuevos roles, políticas, procedimientos, controles y medidas de protección de datos para garantizar el cumplimiento máximo y continuo.

Cómo nos estamos preparando para el GDPR

Apparel Textile Sourcing Ya tenemos un nivel consistente de protección y seguridad de datos en nuestra organización. Sin embargo, para ser totalmente compatible con el GDPR por 25 de mayo de 2018, hemos dado los siguientes pasos:

  • Auditoria de información - Llevar a cabo una auditoría de información en toda la empresa para identificar y evaluar qué información personal tenemos, de dónde proviene, cómo y por qué se procesa y si se divulga y a quién.
  • Políticas y Procedimientos - hemos revisado nuestras políticas y procedimientos de protección de datos para cumplir con los requisitos y estándares del RGPD y cualquier ley de protección de datos relevante, que incluye:
    • Protección de Datos - Nuestro documento principal de política y procedimiento para la protección de datos ha sido revisado para cumplir con los estándares y requisitos del GDPR. Se han implementado medidas de responsabilidad y gobernanza para garantizar que comprendamos y difundamos adecuadamente y evidenciamos nuestras obligaciones y responsabilidades; con un enfoque dedicado a la privacidad por diseño y los derechos de las personas.
    • Retención y borrado de datos - Hemos actualizado nuestra política y programa de retención para asegurarnos de que cumplimos con los principios de 'minimización de datos' y 'limitación de almacenamiento' y que la información personal se almacena, archiva y destruye de manera ética y conforme a las normas. Contamos con procedimientos de borrado específicos para cumplir con la nueva obligación de 'Derecho de borrado' y sabemos cuándo se aplican este y otros derechos de los interesados; junto con las exenciones, los plazos de respuesta y las responsabilidades de notificación.
    • Incumplimiento de datos - nuestros procedimientos de violación aseguran que contamos con medidas de seguridad y protección para identificar, evaluar, investigar e informar cualquier violación de datos personales lo antes posible. Nuestros procedimientos son sólidos y se han difundido a todos los empleados, lo que les permite conocer las líneas de informe y los pasos a seguir.
    • Transferencias internacionales de datos y divulgaciones de terceros - dónde Apparel Textile Sourcing almacena o transfiere información personal fuera de la UE, contamos con procedimientos sólidos y medidas de protección para proteger, cifrar y mantener la integridad de los datos. Nuestros procedimientos incluyen una revisión continua de los países con suficientes decisiones de adecuación, así como disposiciones para normas corporativas vinculantes; cláusulas de protección de datos estándar o códigos de conducta aprobados para aquellos países sin. Llevamos a cabo verificaciones estrictas de la diligencia debida con todos los destinatarios de datos personales para evaluar y verificar que cuentan con las medidas de seguridad adecuadas para proteger la información, garantizar los derechos exigibles de los datos y contar con recursos legales efectivos para los sujetos de los datos, según corresponda.
    • Solicitud de acceso de sujeto (SAR) - hemos revisado nuestros procedimientos SAR para adaptarnos al calendario revisado de 30-day para proporcionar la información solicitada y para hacer esta disposición de forma gratuita. Nuestros nuevos procedimientos detallan cómo verificar el sujeto de datos, qué pasos tomar para procesar una solicitud de acceso, qué exenciones se aplican y un conjunto de plantillas de respuesta para garantizar que las comunicaciones con los interesados ​​sean compatibles, coherentes y adecuadas.
  • Bases legales para el procesamiento - Estamos revisando todas las actividades de procesamiento para identificar la base legal para el procesamiento y asegurarnos de que cada base sea apropiada para la actividad a la que se refiere. Cuando corresponda, también mantenemos registros de nuestras actividades de procesamiento, asegurando que se cumplan nuestras obligaciones bajo el Artículo 30 del GDPR y el Anexo 1 del Proyecto de Ley de Protección de Datos.
  • Aviso de privacidad / Política - hemos revisado nuestro (s) Aviso (s) de Privacidad para cumplir con el GDPR, asegurando que todas las personas cuya información personal procesamos hayan sido informadas de por qué la necesitamos, cómo se utiliza, cuáles son sus derechos, a quién se divulga la información. y qué medidas de salvaguardia existen para proteger su información.
  • Obteniendo Consentimiento - Estamos revisando nuestros mecanismos de consentimiento para obtener datos personales, asegurándonos de que las personas comprendan lo que están proporcionando, por qué y cómo los usamos y brindando formas claras y definidas de darnos su consentimiento para que procesemos su información. Hemos desarrollado procesos estrictos para registrar el consentimiento, asegurándonos de que podamos evidenciar una aceptación afirmativa, junto con los registros de fecha y hora; y una forma fácil de ver y acceder a retirar el consentimiento en cualquier momento.
  • Marketing Directo - estamos revisando la redacción y los procesos para el marketing directo, incluidos los mecanismos claros de aceptación para las suscripciones de marketing; un aviso claro y un método para optar por no participar y proporcionar funciones de cancelación de suscripción en todos los materiales de marketing posteriores.
  • Evaluaciones de Impacto de Protección de Datos (DPIA) - cuando procesamos información personal que se considera de alto riesgo, implica un procesamiento a gran escala o incluye datos de categoría especial / condena penal; Hemos desarrollado procedimientos estrictos y plantillas de evaluación para llevar a cabo evaluaciones de impacto que cumplan plenamente con los requisitos del Artículo 35 del GDPR. Hemos implementado procesos de documentación que registran cada evaluación, nos permiten calificar el riesgo planteado por la actividad de procesamiento e implementar medidas de mitigación para reducir el riesgo planteado a los interesados.
  • Acuerdos de procesador - cuando utilizamos a un tercero para procesar información personal en nuestro nombre (es decir, nómina, contratación, alojamiento, etc.), hemos redactado Acuerdos de procesador en cumplimiento y procedimientos de diligencia debida para garantizar que ellos (así como nosotros), cumplan y comprendan sus / nuestras obligaciones de GDPR. Estas medidas incluyen revisiones iniciales y continuas del servicio prestado, la necesidad de la actividad de procesamiento, las medidas técnicas y organizativas implementadas y el cumplimiento del GDPR.
  • Categorías Especiales de Datos - cuando obtenemos y procesamos cualquier información de categoría especial, lo hacemos en total cumplimiento con los requisitos del Artículo 9 y tenemos encriptaciones y protecciones de alto nivel en todos esos datos. Los datos de categorías especiales solo se procesan cuando es necesario y solo se procesan donde primero hemos identificado la base apropiada del Artículo 9 (2) o la condición del Anexo 1 de la Ley de Protección de Datos. Cuando dependemos del consentimiento para el procesamiento, esto es explícito y se verifica mediante una firma, y ​​el derecho a modificar o eliminar el consentimiento está claramente señalizado.
Derechos de los sujetos de datos

Además de las políticas y procedimientos mencionados anteriormente que garantizan que las personas puedan hacer cumplir sus derechos de protección de datos, proporcionamos información de fácil acceso a través de nuestro sitio web sobre el derecho de una persona a acceder a cualquier información personal que Apparel Textile Sourcing Procesos sobre ellos y para solicitar información sobre:

  • Qué datos personales tenemos sobre ellos.
  • Los fines del procesamiento
  • Las categorías de datos personales afectadas
  • Los destinatarios a los que se han divulgado los datos personales.
  • ¿Cuánto tiempo pretendemos almacenar sus datos personales para
  • Si no recopilamos los datos directamente de ellos, información sobre la fuente
  • El derecho a que se corrijan o completen los datos incompletos o inexactos sobre ellos y el proceso para solicitarlos
  • El derecho a solicitar el borrado de los datos personales (cuando corresponda) o a restringir el procesamiento de acuerdo con las leyes de protección de datos, así como a objetar cualquier comercialización directa de nuestra parte y recibir información sobre cualquier decisión automática que utilicemos.
  • El derecho a presentar una queja o buscar remedio ya quién contactar en tales casos
Seguridad de la información y medidas técnicas y organizativas

Apparel Textile Sourcing toma la privacidad y seguridad de las personas y su información personal muy seriamente y toma todas las medidas y precauciones razonables para proteger y asegurar los datos personales que procesamos. Tenemos políticas y procedimientos de seguridad de la información sólidos para proteger la información personal de accesos, alteraciones, revelaciones o destrucción no autorizados, y contamos con varias capas de medidas de seguridad, que incluyen, entre otras, el cifrado SSL, el cifrado de bases de datos, el cifrado en disco y los procedimientos de control de acceso. , y cortafuegos redundantes.

Roles y empleados de GDPR

Apparel Textile Sourcing ha designado a Lester Hughes como nuestro Oficial de Protección de Datos (DPO) y ha designado un equipo de privacidad de datos para desarrollar e implementar nuestra hoja de ruta para cumplir con el nuevo Reglamento de protección de datos. El equipo es responsable de promover el conocimiento del GDPR en toda la organización, evaluar nuestra preparación para el GDPR, identificar las áreas deficientes e implementar las nuevas políticas, procedimientos y medidas.

Apparel Textile Sourcing entiende que el conocimiento y la comprensión continuos de los empleados son vitales para el cumplimiento continuo de la GDPR y ha involucrado a nuestros empleados en nuestros planes de preparación. Estamos revisando continuamente nuestros programas de capacitación para garantizar el cumplimiento de todas las regulaciones de protección de datos aplicables.

Si tiene alguna pregunta sobre nuestra preparación para el GDPR, por favor Contáctenos.