ЗАЯВЛЕНИЕ О СООТВЕТСТВИИ С GDPR

Введение

Высокая Общее положение ЕС о защите данных («GDPR») вступает в силу в Европейском союзе 25th May 2018 и вносит самые значительные изменения в закон о защите данных за последние два десятилетия. Основанный на конфиденциальности в соответствии с замыслом и основанный на риске подход, GDPR был разработан, чтобы соответствовать требованиям цифрового века.

Apparel Textile Sourcing участвует в деятельности, которая может быть предметом ВВПР, и этот документ устанавливает, как Apparel Textile Sourcing намерен реализовать и соблюдать GDPR.

Наши обязательства

Apparel Textile Sourcing («мы» или «нас» или «наш») стремимся обеспечить безопасность и защиту личной информации, которую мы обрабатываем, и обеспечивать соответствующий и последовательный подход к защите данных. У нас всегда была надежная и эффективная программа защиты данных, которая соответствует действующему законодательству и соблюдает принципы защиты данных. Тем не менее, мы осознаем свои обязательства по обновлению и расширению этой программы в соответствии с требованиями GDPR.

Apparel Textile Sourcing посвящен защите личной информации, которой мы доверяем, и разработке эффективных методов защиты данных. Наша подготовка и цели по соблюдению GDPR были кратко изложены в этом заявлении и включают разработку и внедрение новых ролей, политик, процедур, средств контроля и мер защиты данных для обеспечения максимального и постоянного соблюдения.

Как мы готовимся к ВВПР

Apparel Textile Sourcing уже имеют постоянный уровень защиты данных и безопасности во всей нашей организации. Тем не менее, для того, чтобы полностью соответствовать 25 мая 2018Мы предприняли следующие шаги:

  • Информационный аудит - проведение общекорпоративного информационного аудита для выявления и оценки того, какая личная информация у нас хранится, откуда она поступает, как и почему она обрабатывается, а также если и кому она раскрывается.
  • Политики и процедуры - мы пересмотрели наши политики и процедуры защиты данных, чтобы они соответствовали требованиям и стандартам GDPR и любым соответствующим законам о защите данных, включая:
    • Защита данных - наш основной политический и процедурный документ по защите данных был пересмотрен в соответствии со стандартами и требованиями GDPR. Внедрены меры подотчетности и управления, чтобы мы понимали, адекватно распространяли и доказывали свои обязательства и обязанности; с уделением особого внимания конфиденциальности в соответствии с дизайном и правами отдельных лиц.
    • Сохранение и удаление данных - мы обновили нашу политику и график хранения, чтобы обеспечить соблюдение принципов «минимизации данных» и «ограничения хранения», а также соблюдение, хранение и уничтожение личной информации с соблюдением этических норм. Мы разработали специальные процедуры удаления для выполнения нового обязательства «Право на удаление» и знаем, когда применяются эти и другие права субъектов данных; наряду с любыми исключениями, сроками ответа и обязанностями по уведомлению.
    • Нарушения данных - наши процедуры нарушения гарантируют, что у нас есть меры предосторожности и меры для выявления, оценки, расследования и сообщения о любых нарушениях персональных данных в кратчайшие возможные сроки. Наши процедуры являются надежными и распространяются среди всех сотрудников, информируя их о строках отчетности и о шагах.
    • Международная передача данных и раскрытие информации третьими сторонами - где Apparel Textile Sourcing хранит или передает личную информацию за пределы ЕС, у нас есть надежные процедуры и меры по обеспечению безопасности, шифрования и поддержания целостности данных. Наши процедуры включают постоянный обзор стран с достаточными решениями о достаточности, а также положения, касающиеся обязательных корпоративных правил; стандартными положениями о защите данных или утвержденными кодексами поведения для этих стран без. Мы проводим строгую проверку должной осмотрительности со всеми получателями персональных данных для оценки и проверки того, что у них есть соответствующие гарантии для защиты информации, обеспечения прав на получение прав на данные и наличия эффективных средств правовой защиты для субъектов данных, где это применимо.
    • Запрос доступа к предмету (SAR) - мы пересмотрели наши процедуры SAR для размещения пересмотренного 30-дневного таймфрейма для предоставления запрашиваемой информации и для предоставления этого положения бесплатно. В наших новых процедурах подробно описано, как проверить тему данных, какие шаги необходимо предпринять для обработки запроса на доступ, какие существуют исключения и набор шаблонов ответов для обеспечения совместимости, согласованности и адекватности сообщений с субъектами данных.
  • Юридическая основа для обработки - мы проверяем все действия по обработке, чтобы определить правовую основу для обработки и убедиться, что каждая основа подходит для деятельности, к которой она относится. Там, где это применимо, мы также ведем записи о нашей деятельности по обработке, чтобы гарантировать выполнение наших обязательств в соответствии со статьей 30 GDPR и Приложением 1 Закона о защите данных.
  • Конфиденциальность / политика конфиденциальности - мы пересмотрели наши Уведомления о конфиденциальности, чтобы соответствовать GDPR, чтобы все лица, чью личную информацию мы обрабатываем, были проинформированы о том, зачем она нам нужна, как она используется, каковы их права, кому эта информация раскрывается. и какие защитные меры принимаются для защиты их информации.
  • Получение согласия - мы пересматриваем наши механизмы согласия на получение персональных данных, гарантируя, что люди понимают, что они предоставляют, почему и как мы их используем, и даем четкие, определенные способы дать согласие на обработку нами их информации. Мы разработали строгие процессы для регистрации согласия, гарантируя, что мы можем подтвердить положительное согласие, наряду с записями времени и даты; и удобный способ отозвать согласие в любое время.
  • Прямой маркетинг - мы пересматриваем формулировки и процессы прямого маркетинга, включая четкие механизмы согласия на маркетинговые подписки; четкое уведомление и способ отказа от подписки на все последующие маркетинговые материалы.
  • Оценка воздействия на защиту данных (DPIA) - когда мы обрабатываем личную информацию, которая считается высокой степенью риска, связана с крупномасштабной обработкой или включает в себя данные специальной категории / обвинительные приговоры; мы разработали строгие процедуры и шаблоны оценки для проведения оценок воздействия, которые полностью соответствуют требованиям ArticleR 35 GDPR. Мы внедрили процессы документирования, которые регистрируют каждую оценку, позволяют нам оценить риск, связанный с обработкой, и принять меры по смягчению, чтобы уменьшить риск, связанный с субъектом (ами) данных.
  • Процессорные соглашения - если мы используем стороннюю организацию для обработки личной информации от нашего имени (например, расчет заработной платы, набор персонала, хостинг и т. Д.), Мы разработали соответствующие соглашения с процессорами и процедуры должной осмотрительности для обеспечения того, чтобы они (а также мы) встречались и понимали свои / наши обязательства по GDPR. Эти меры включают первоначальные и текущие проверки предоставленных услуг, необходимость обработки, технические и организационные меры и соответствие GDPR.
  • Специальные категории данных - когда мы получаем и обрабатываем любую информацию специальной категории, мы делаем это в полном соответствии с требованиями статьи 9 и обеспечиваем высокоуровневое шифрование и защиту всех таких данных. Данные специальной категории обрабатываются только при необходимости и только в том случае, если мы впервые определили соответствующее основание статьи 9 (2) или условие Приложения 1 Закона о защите данных. Если мы полагаемся на согласие на обработку, оно является явным и подтверждается подписью с четко обозначенным правом на изменение или удаление согласия.
XNUMX. Права субъекта данных

В дополнение к упомянутым выше политикам и процедурам, которые гарантируют, что люди могут реализовать свои права на защиту данных, мы предоставляем простой доступ к информации через наш веб-сайт о праве человека на доступ к любой личной информации, которая Apparel Textile Sourcing процессы о них и запросить информацию о:

  • Какие персональные данные мы имеем о них
  • Цели обработки
  • Категории соответствующих персональных данных
  • Получатели, которым персональные данные будут / будут раскрыты
  • Как долго мы намерены хранить ваши личные данные для
  • Если мы не собирали данные непосредственно из них, информация об источнике
  • Право иметь неполные или неточные данные о них, скорректированные или завершенные, и процесс запроса этого
  • Право запрашивать удаление персональных данных (где применимо) или ограничивать обработку в соответствии с законами о защите данных, а также возражать против любого прямого маркетинга у нас и получать информацию о любых автоматизированных решениях, которые мы используем
  • Право подать жалобу или обратиться за защитой и к кому обратиться в таких случаях
Информационная безопасность и технические и организационные меры

Apparel Textile Sourcing очень серьезно относится к конфиденциальности и безопасности отдельных лиц и их личной информации и принимает все разумные меры и меры предосторожности для защиты и защиты обрабатываемых нами личных данных. Мы располагаем надежными политиками и процедурами информационной безопасности для защиты личной информации от несанкционированного доступа, изменения, раскрытия или уничтожения и имеем несколько уровней мер безопасности, включая, помимо прочего, шифрование SSL, шифрование базы данных, шифрование на диске, процедуры контроля доступа. и избыточные брандмауэры.

Роли и работники ВВП

Apparel Textile Sourcing назначил Лестера Хьюза нашим сотрудником по защите данных (DPO) и назначил группу по защите данных для разработки и реализации нашей дорожной карты по соблюдению нового Регламента защиты данных. Команда отвечает за повышение осведомленности о GDPR во всей организации, оценку нашей готовности к GDPR, выявление любых пробелов и внедрение новых политик, процедур и мер.

Apparel Textile Sourcing понимает, что постоянное осознание и понимание сотрудника жизненно важно для постоянного соблюдения GDPR и вовлекло наших сотрудников в наши планы подготовки. Мы постоянно пересматриваем наши программы обучения, чтобы обеспечить соблюдение всех применимых правил защиты данных.

Если у вас есть какие-либо вопросы о нашей подготовке к GDPR, пожалуйста, напишите нам.