DECLARAÇÃO DE CONFORMIDADE COM GDPR

Introdução

Regulamento Geral de Proteção de Dados da UE (“GDPR”) entra em vigor em toda a União Europeia no 25th May 2018 e traz consigo as mudanças mais significativas na lei de proteção de dados em duas décadas. Com base na privacidade por design e adotando uma abordagem baseada em riscos, o GDPR foi projetado para atender aos requisitos da era digital.

Apparel Textile Sourcing participa de atividades que podem estar sujeitas a GDPR, e este documento estabelece como Apparel Textile Sourcing pretende implementar e cumprir o GDPR.

Nosso Compromisso

Apparel Textile Sourcing ('nós' ou 'nós' ou 'nosso') temos o compromisso de garantir a segurança e a proteção das informações pessoais que processamos e de fornecer uma abordagem compatível e consistente para a proteção de dados. Sempre tivemos um programa de proteção de dados robusto e eficaz em vigor que está em conformidade com a legislação existente e segue os princípios de proteção de dados. No entanto, reconhecemos nossas obrigações em atualizar e expandir este programa para atender às demandas do GDPR.

Apparel Textile Sourcing dedica-se a salvaguardar as informações pessoais que nos são confiadas e a desenvolver práticas eficazes de proteção de dados. Nossa preparação e objetivos para a conformidade com o GDPR foram resumidos nesta declaração e incluem o desenvolvimento e a implementação de novas funções, políticas, procedimentos, controles e medidas de proteção de dados para garantir a conformidade máxima e contínua.

Como estamos nos preparando para o GDPR

Apparel Textile Sourcing já tem um nível consistente de proteção de dados e segurança em toda a organização. No entanto, para estar totalmente em conformidade com o GDPR 25 Maio 2018, seguimos os seguintes passos:

  • Auditoria de Informação - realizar uma auditoria de informações em toda a empresa para identificar e avaliar quais informações pessoais mantemos, de onde vêm, como e por que são processadas e se e para quem são divulgadas.
  • Políticas e Procedimentos - revisamos nossas políticas e procedimentos de proteção de dados para atender aos requisitos e padrões do GDPR e quaisquer leis de proteção de dados relevantes, incluindo:
    • Proteção de dados - nosso principal documento de política e procedimentos para proteção de dados foi revisado para atender aos padrões e requisitos do GDPR. Existem medidas de responsabilização e governança para assegurar que compreendamos e adequadamente divulgamos e evidenciamos nossas obrigações e responsabilidades; com um foco dedicado em privacidade por design e os direitos dos indivíduos.
    • Retenção e eliminação de dados - atualizamos nossa política de retenção e programação para garantir que atendemos aos princípios de 'minimização de dados' e 'limitação de armazenamento' e que as informações pessoais sejam armazenadas, arquivadas e destruídas de forma compatível e ética. Temos procedimentos de eliminação específicos em vigor para cumprir a nova obrigação de 'Direito de eliminação' e estamos cientes de quando este e outros direitos do titular dos dados se aplicam; junto com quaisquer isenções, prazos de resposta e responsabilidades de notificação.
    • Violações de dados - nossos procedimentos de violação garantem que tenhamos salvaguardas e medidas para identificar, avaliar, investigar e relatar qualquer violação de dados pessoais o mais cedo possível. Nossos procedimentos são robustos e foram disseminados para todos os funcionários, conscientizando-os sobre as linhas de relatórios e as etapas a serem seguidas.
    • Transferências de dados internacionais e divulgações de terceiros - Onde Apparel Textile Sourcing armazena ou transfere informações pessoais fora da UE, temos procedimentos robustos e medidas de salvaguarda em vigor para proteger, criptografar e manter a integridade dos dados. Nossos procedimentos incluem uma revisão contínua dos países com decisões de adequação suficientes, bem como disposições para regras corporativas vinculantes; cláusulas de protecção de dados normalizadas ou códigos de conduta aprovados para os países que não o possuam. Realizamos rigorosas verificações de due diligence com todos os destinatários de dados pessoais para avaliar e verificar se eles têm as salvaguardas adequadas para proteger as informações, garantir direitos de titulares de direitos e ter recursos legais efetivos para os titulares de dados, quando aplicável.
    • Pedido de Acesso ao Assunto (SAR) - revimos os nossos procedimentos de SAR para acomodar o calendário de dias 30 revisto para fornecer as informações solicitadas e para tornar esta disposição gratuita. Nossos novos procedimentos detalham como verificar o assunto dos dados, que etapas tomar para o processamento de uma solicitação de acesso, quais isenções se aplicam e um conjunto de modelos de resposta para garantir que as comunicações com os sujeitos de dados sejam compatíveis, consistentes e adequadas.
  • Base Legal para Processamento - estamos revisando todas as atividades de processamento para identificar a base legal para o processamento e garantir que cada base seja apropriada para a atividade a que se refere. Quando aplicável, também mantemos registros de nossas atividades de processamento, garantindo que nossas obrigações de acordo com o Artigo 30 do GDPR e o Anexo 1 da Lei de Proteção de Dados sejam cumpridas.
  • Aviso de Privacidade / Política - revisamos nossos Termos de Privacidade para cumprir com o GDPR, garantindo que todos os indivíduos cujas informações pessoais processamos tenham sido informados de por que precisamos, como são utilizados, quais são seus direitos, quem as informações são divulgadas e quais medidas de salvaguarda estão em vigor para proteger suas informações.
  • Obtendo o consentimento - estamos revisando nossos mecanismos de consentimento para obtenção de dados pessoais, garantindo que os indivíduos entendam o que estão fornecendo, por que e como os usamos e fornecendo formas claras e definidas de consentimento para o processamento de suas informações. Desenvolvemos processos rigorosos para registrar o consentimento, certificando-nos de que podemos evidenciar uma aceitação afirmativa, juntamente com os registros de data e hora; e uma maneira fácil de ver e acessar para retirar o consentimento a qualquer momento.
  • Marketing Direto - estamos revisando a redação e os processos de marketing direto, incluindo mecanismos claros de aceitação para assinaturas de marketing; um aviso claro e método para cancelar e fornecer recursos de cancelamento de assinatura em todos os materiais de marketing subsequentes.
  • Avaliações de impacto de proteção de dados (DPIA) - onde processamos informações pessoais que são consideradas de alto risco, envolvem processamento em larga escala ou incluem dados de categoria especial / condenação criminal; Desenvolvemos procedimentos rigorosos e modelos de avaliação para realizar avaliações de impacto que cumprem integralmente os requisitos do Artigo 35 do GDPR. Implementamos processos de documentação que registram cada avaliação, nos permitem avaliar o risco representado pela atividade de processamento e implementar medidas de mitigação para reduzir o risco imposto à (s) pessoa (s) de dados.
  • Contratos de Processador - quando usamos terceiros para processar informações pessoais em nosso nome (ou seja, folha de pagamento, recrutamento, hospedagem, etc.), elaboramos Contratos de processador em conformidade e procedimentos de devida diligência para garantir que eles (assim como nós), atendam e compreendam suas / nossas obrigações GDPR. Essas medidas incluem análises iniciais e contínuas do serviço prestado, a necessidade da atividade de processamento, as medidas técnicas e organizacionais em vigor e a conformidade com o GDPR.
  • Dados Especiais de Categorias - quando obtemos e processamos qualquer informação de categoria especial, fazemos isso em total conformidade com os requisitos do Artigo 9 e temos criptografias e proteções de alto nível em todos esses dados. Os dados da categoria especial são processados ​​apenas quando necessário e são processados ​​apenas quando primeiro identificamos a base apropriada do Artigo 9 (2) ou a condição do Cronograma 1 da Lei de Proteção de Dados. Quando contamos com o consentimento para o processamento, isso é explícito e verificado por uma assinatura, com o direito de modificar ou remover o consentimento claramente sinalizado.
Direitos sobre os dados

Além das políticas e procedimentos mencionados acima, que garantem que os indivíduos possam fazer valer seus direitos de proteção de dados, fornecemos informações de fácil acesso através de nosso site sobre o direito de um indivíduo de acessar qualquer informação pessoal que Apparel Textile Sourcing processos sobre eles e solicitar informações sobre:

  • Quais dados pessoais nós mantemos sobre eles?
  • Os propósitos do processamento
  • As categorias de dados pessoais em causa
  • Os destinatários a quem os dados pessoais foram / serão divulgados
  • Por quanto tempo pretendemos armazenar seus dados pessoais para
  • Se não coletamos os dados diretamente deles, informações sobre a fonte
  • O direito de ter dados incompletos ou imprecisos sobre eles corrigidos ou completados e o processo para solicitar este
  • O direito de solicitar o apagamento de dados pessoais (quando aplicável) ou restringir o processamento de acordo com as leis de proteção de dados, bem como se opor a qualquer marketing direto de nós e ser informado sobre qualquer tomada de decisão automatizada que utilizamos
  • O direito de apresentar uma reclamação ou buscar remédio e quem contatar em tais instâncias
Segurança da informação e medidas técnicas e organizacionais

Apparel Textile Sourcing leva a privacidade e segurança dos indivíduos e suas informações pessoais muito a sério e toma todas as medidas razoáveis ​​e precauções para proteger e proteger os dados pessoais que processamos. Temos políticas e procedimentos robustos de segurança de informações para proteger informações pessoais contra acesso, alteração, divulgação ou destruição não autorizados e temos várias camadas de medidas de segurança, incluindo criptografia SSL, criptografia de banco de dados, criptografia em disco, procedimentos de controle de acesso e firewalls redundantes.

Funções e funcionários do GDPR

Apparel Textile Sourcing designamos Lester Hughes como nosso Diretor de Proteção de Dados (DPO) e nomeamos uma equipe de privacidade de dados para desenvolver e implementar nosso roteiro para conformidade com o novo Regulamento de proteção de dados. A equipe é responsável por promover a conscientização do GDPR em toda a organização, avaliando a prontidão para o GDPR, identificando quaisquer lacunas e implementando as novas políticas, procedimentos e medidas.

Apparel Textile Sourcing Entende que a conscientização e a compreensão contínuas dos funcionários são vitais para a conformidade contínua do GDPR e envolveram nossos funcionários em nossos planos de preparação. Estamos continuamente revisando nossos programas de treinamento para garantir a conformidade com todos os regulamentos de proteção de dados aplicáveis.

Se você tiver alguma dúvida sobre nossa preparação para o GDPR, por favor entre em contato conosco.