DÉCLARATION DE CONFORMITÉ GDPR

Introduction

La Règlement général de l'UE sur la protection des données («GDPR») entre en vigueur dans l'Union européenne le 25th May 2018 apporte les modifications les plus importantes apportées à la législation sur la protection des données en deux décennies. Fondé sur la protection de la vie privée dès la conception et sur une approche fondée sur les risques, le GDPR a été conçu pour répondre aux exigences de l'ère numérique.

Apparel Textile Sourcing participe à des activités pouvant être soumises au RGPD, et ce document explique comment Apparel Textile Sourcing entend mettre en œuvre et se conformer au GDPR.

Notre engagement

Apparel Textile Sourcing («nous» ou «notre» ou «nos») nous engageons à assurer la sécurité et la protection des informations personnelles que nous traitons et à fournir une approche conforme et cohérente de la protection des données. Nous avons toujours mis en place un programme de protection des données solide et efficace, conforme à la législation en vigueur et respectant les principes de protection des données. Cependant, nous reconnaissons nos obligations de mettre à jour et d'étendre ce programme pour répondre aux exigences du RGPD.

Apparel Textile Sourcing est dédié à la protection des informations personnelles qui nous sont confiées et au développement de pratiques efficaces de protection des données. Notre préparation et nos objectifs en matière de conformité au GDPR ont été résumés dans cette déclaration et incluent l’élaboration et la mise en œuvre de nouveaux rôles, politiques, procédures, contrôles et mesures de protection des données visant à garantir une conformité maximale et continue.

Comment nous préparons le GDPR

Apparel Textile Sourcing Nous avons déjà un niveau cohérent de protection et de sécurité des données dans l'ensemble de notre organisation. Cependant, afin de se conformer pleinement au GDPR en 25 mai 2018, nous avons pris les mesures suivantes:

  • Audit d'information - réalisation d'un audit d'information à l'échelle de l'entreprise pour identifier et évaluer les informations personnelles que nous détenons, d'où elles proviennent, comment et pourquoi elles sont traitées et si et à qui elles sont divulguées.
  • Politiques et procédures - nous avons révisé nos politiques et procédures de protection des données pour répondre aux exigences et aux normes du RGPD et à toutes les lois pertinentes sur la protection des données, notamment:
    • Protection des données - notre principal document de politique et de procédure relatif à la protection des données a été révisé pour répondre aux normes et aux exigences du RGP. Des mesures de responsabilisation et de gouvernance sont en place pour nous assurer que nous comprenons et diffusons de manière adéquate nos obligations et nos responsabilités et en apportons la preuve. avec un accent particulier sur la protection de la vie privée dès la conception et les droits des individus.
    • Conservation et effacement des données - nous avons mis à jour notre politique et notre calendrier de conservation pour nous assurer que nous respectons les principes de `` minimisation des données '' et de `` limitation de stockage '' et que les informations personnelles sont stockées, archivées et détruites de manière conforme et éthique. Nous avons mis en place des procédures d'effacement dédiées pour répondre à la nouvelle obligation de «droit à l'effacement» et nous savons à quel moment ce droit et d'autres droits de la personne concernée s'appliquent; ainsi que les exemptions, les délais de réponse et les responsabilités en matière de notification.
    • Infractions aux données - nos procédures en matière de violation garantissent que nous disposons de sauvegardes et de mesures pour identifier, évaluer, enquêter et signaler toute violation de données à caractère personnel dans les plus brefs délais. Nos procédures sont robustes et ont été diffusées à tous les employés, en les informant des lignes hiérarchiques et des étapes à suivre.
    • Transferts internationaux de données et divulgations à des tiers - où Apparel Textile Sourcing stocke ou transfère des informations personnelles en dehors de l'UE, nous disposons de procédures et de mesures de sauvegarde robustes pour sécuriser, chiffrer et maintenir l'intégrité des données. Nos procédures incluent un examen continu des pays avec suffisamment de décisions en matière d'adéquation, ainsi que des dispositions pour des règles d'entreprise contraignantes; clauses standard de protection des données ou codes de conduite approuvés pour les pays sans. Nous effectuons des contrôles de due diligence rigoureux auprès de tous les destinataires de données à caractère personnel afin d'évaluer et de vérifier qu'ils disposent des sauvegardes appropriées pour protéger les informations, garantir les droits applicables des personnes concernées et disposer de recours légaux effectifs pour les personnes concernées, le cas échéant.
    • Demande d'accès au sujet (SAR) - nous avons révisé nos procédures SAR afin de tenir compte du calendrier révisé du jour 30 pour fournir les informations demandées et pour rendre cette mise à disposition gratuite. Nos nouvelles procédures expliquent en détail comment vérifier la personne concernée, les étapes à suivre pour traiter une demande d'accès, les dérogations applicables et une série de modèles de réponse permettant de garantir que les communications avec la personne concernée sont conformes, cohérentes et adéquates.
  • Fondement juridique du traitement - nous examinons toutes les activités de traitement pour identifier la base juridique du traitement et nous assurer que chaque base est appropriée à l'activité à laquelle elle se rapporte. Le cas échéant, nous conservons également des enregistrements de nos activités de traitement, en veillant à ce que nos obligations en vertu de l'article 30 du RGPD et de l'annexe 1 du projet de loi sur la protection des données soient respectées.
  • Avis de confidentialité / Politique - nous avons révisé notre (nos) avis de confidentialité pour nous conformer au RGPD, en veillant à ce que toutes les personnes dont nous traitons les informations personnelles ont été informées de la raison pour laquelle nous en avons besoin, de la manière dont elles sont utilisées, de leurs droits, des personnes auxquelles les informations sont divulguées et quelles mesures de sauvegarde sont en place pour protéger leurs informations.
  • Obtention du consentement - nous révisons nos mécanismes de consentement pour obtenir des données personnelles, en veillant à ce que les individus comprennent ce qu'ils fournissent, pourquoi et comment nous les utilisons et en donnant des moyens clairs et définis de consentir à ce que nous traitions leurs informations. Nous avons développé des processus rigoureux pour enregistrer le consentement, en nous assurant que nous pouvons prouver un opt-in affirmatif, ainsi que des enregistrements d'heure et de date; et un moyen facile de voir et d'accéder à retirer le consentement à tout moment.
  • Marketing Direct - nous révisons la formulation et les processus de marketing direct, y compris des mécanismes clairs d'acceptation pour les abonnements marketing; un avis et une méthode clairs pour vous désabonner et fournir des fonctionnalités de désabonnement sur tous les supports marketing ultérieurs.
  • Etudes d'impact sur la protection des données (DPIA) - lorsque nous traitons des informations personnelles considérées à haut risque, qui impliquent un traitement à grande échelle ou incluent des données de catégories / condamnations pénales spéciales; nous avons développé des procédures rigoureuses et des modèles d'évaluation pour la réalisation d'analyses d'impact pleinement conformes aux exigences de l'article 35 du RGPD. Nous avons mis en œuvre des processus de documentation qui enregistrent chaque évaluation, nous permettent d'évaluer le risque posé par l'activité de traitement et de mettre en œuvre des mesures d'atténuation afin de réduire le risque posé pour la ou les personnes concernées par les données.
  • Contrats de traitement - lorsque nous utilisons un tiers pour traiter des informations personnelles en notre nom (p. Ex. Paie, recrutement, hébergement, etc.), nous avons rédigé des accords de sous-traitance et des procédures de diligence raisonnable pour nous assurer qu'ils (ainsi que nous), se rencontrent et comprennent leurs / nos obligations GDPR. Ces mesures comprennent des examens initiaux et continus du service fourni, la nécessité de l'activité de traitement, les mesures techniques et organisationnelles en place et le respect du RGPD.
  • Catégories spéciales - lorsque nous obtenons et traitons des informations de catégorie particulière, nous le faisons en totale conformité avec les exigences de l'article 9 et avons des cryptages et des protections de haut niveau sur toutes ces données. Les données de catégorie spéciale ne sont traitées que lorsque cela est nécessaire et ne sont traitées que lorsque nous avons d'abord identifié la base appropriée de l'article 9 (2) ou la condition de l'annexe 1 du projet de loi sur la protection des données. Lorsque nous nous appuyons sur le consentement pour le traitement, cela est explicite et est vérifié par une signature, le droit de modifier ou de supprimer le consentement étant clairement indiqué.
Droits des personnes concernées

En plus des politiques et procédures mentionnées ci-dessus qui garantissent que les individus peuvent faire valoir leurs droits de protection des données, nous fournissons des informations faciles d'accès via notre site Web sur le droit d'un individu d'accéder à toute information personnelle qui Apparel Textile Sourcing processus à leur sujet et de demander des informations sur:

  • Quelles sont les données personnelles que nous détenons à leur sujet
  • Les objectifs du traitement
  • Les catégories de données personnelles concernées
  • Les destinataires à qui les données personnelles ont été / seront divulguées
  • Combien de temps avons-nous l'intention de stocker vos données personnelles pendant
  • Si nous n'avons pas collecté les données directement auprès d'eux, des informations sur la source
  • Droit de faire corriger ou compléter les données incomplètes ou inexactes à leur sujet et procédure de demande
  • Le droit de demander l'effacement de données à caractère personnel (le cas échéant) ou de restreindre le traitement conformément aux lois sur la protection des données, ainsi que de s'opposer à toute commercialisation directe de notre part et d'être informé de toute prise de décision automatisée que nous utilisons
  • Le droit de porter plainte ou de demander réparation et qui contacter dans de tels cas
Sécurité de l'information et mesures techniques et organisationnelles

Apparel Textile Sourcing prend très au sérieux la protection de la vie privée et la sécurité des personnes et de leurs informations personnelles et prend toutes les mesures et précautions raisonnables pour protéger et sécuriser les données personnelles que nous traitons. Nous avons mis en place des politiques et procédures de sécurité des informations robustes pour protéger les informations personnelles contre tout accès, modification, divulgation ou destruction non autorisés, ainsi que plusieurs niveaux de mesures de sécurité, notamment le cryptage SSL, le cryptage de base de données, le cryptage sur disque et les procédures de contrôle d'accès et pare-feu redondants.

Rôles et employés GDPR

Apparel Textile Sourcing avons désigné Lester Hughes en tant que délégué à la protection des données (DPO) et désigné une équipe de protection des données pour élaborer et mettre en œuvre notre feuille de route pour la mise en conformité avec le nouveau règlement sur la protection des données. L’équipe est chargée de promouvoir la notoriété du RGPD dans l’ensemble de l’organisation, d’évaluer l’état de préparation du RGPD, de recenser les lacunes et de mettre en œuvre les nouvelles politiques, procédures et mesures.

Apparel Textile Sourcing comprend que la sensibilisation et la compréhension continues des employés est essentielle à la conformité continue du RGPD et a impliqué nos employés dans nos plans de préparation. Nous révisons continuellement nos programmes de formation pour assurer la conformité à toutes les réglementations applicables en matière de protection des données.

Si vous avez des questions sur notre préparation au GDPR, veuillez contactez nous.