GDPR合规声明

介绍

新的 欧盟通用数据保护条例(“ GDPR”) 25th 2018在整个欧盟范围内生效,并带来了二十年来数据保护法最重大的变化。 基于设计隐私和采用基于风险的方法,GDPR旨在满足数字时代的要求。

Apparel Textile Sourcing 参加可能受GDPR约束的活动,本文件阐述了如何开展活动 Apparel Textile Sourcing 打算实施并遵守GDPR。

我们的承诺

Apparel Textile Sourcing (“我们”或“我们”或“我们的”)致力于确保我们处理的个人信息的安全性和保护,并提供合规且一致的数据保护方法。 我们一直有一个强大而有效的数据保护计划,该计划符合现行法律并遵守数据保护原则。 但是,我们认识到我们有义务更新和扩展此计划以满足GDPR的要求。

Apparel Textile Sourcing 致力于保护我们受托的个人信息,并致力于开发有效的数据保护实践。 我们在本声明中总结了我们的GDPR合规准备和目标,包括制定和实施新的数据保护角色,政策,程序,控制和措施,以确保最大限度地持续合规。

我们如何为GDPR做准备

Apparel Textile Sourcing 我们的组织已经拥有一致的数据保护和安全级别。 但是,为了完全符合GDPR 25 日 2018 月 XNUMX 年,我们采取了以下步骤:

  • 信息审计 –进行全公司范围的信息审核,以识别和评估我们持有的个人信息,来源,处理方式和原因以及是否以及向谁披露。
  • 政策和程序 –我们已经修改了数据保护政策和程序,以满足GDPR和任何相关数据保护法律的要求和标准,包括:
    • 资料保护  - 我们对数据保护的主要政策和程序文件进行了彻底检查,以满足GDPR的标准和要求。 制定问责制和治理措施,以确保我们理解并充分传播和证明我们的义务和责任; 通过设计和个人权利专注于隐私。
    • 数据保留与删除 –我们已经更新了保留政策和计划,以确保我们符合“数据最小化”和“存储限制”的原则,并确保个人信息的存储,存档和销毁符合道德规范。 我们已经制定了专门的擦除程序来履行新的“擦除权”义务,并且知道何时以及该数据主体的权利适用时; 以及任何豁免,响应时间表和通知责任。
    • 数据泄露  - 我们的违规程序确保我们有适当的保护措施和措施,以尽早识别,评估,调查和报告任何个人数据泄露事件。 我们的程序非常强大,并已传播给所有员工,使他们了解报告关系和要遵循的步骤。
    • 国际数据传输和第三方披露 - 哪里 Apparel Textile Sourcing 在欧盟以外存储或传输个人信息,我们拥有强大的程序和保护措施来保护,加密和维护数据的完整性。 我们的程序包括持续审查有充分决策的国家,以及具有约束力的公司规则的规定; 没有的国家的标准数据保护条款或经批准的行为守则。 我们对所有个人数据接收者进行严格的尽职调查,以评估和验证他们是否有适当的保护措施来保护信息,确保可执行的数据主体权利,并在适用的情况下为数据主体提供有效的法律补救措施。
    • 主题访问请求(SAR)  - 我们修订了SAR程序,以适应修订后的30天时间表,以提供所需信息并免费提供此项规定。 我们的新程序详细说明了如何验证数据主题,处理访问请求需要采取的步骤,适用的豁免以及一套响应模板,以确保与数据主体的通信符合,一致和充分。
  • 加工的法律依据 –我们正在审查所有加工活动,以确定加工的法律依据,并确保每种依据都适合其所涉及的活动。 在适用的情况下,我们还会保存处理活动的记录,以确保我们履行GDPR第30条和数据保护法案附表1规定的义务。
  • 隐私声明/政策 - 我们修改了我们的隐私声明以遵守GDPR,确保我们处理其个人信息的所有个人都被告知我们为什么需要它,如何使用,他们的权利是什么,信息披露给谁以及为保护其信息采取了哪些保护措施。
  • 获得同意 –我们正在修改获取个人数据的同意机制,以确保个人理解他们所提供的信息,我们为什么以及如何使用它,并提供明确,明确的方式同意我们处理其信息。 我们已经制定了严格的记录同意书的流程,以确保我们可以证明是肯定的选择加入以及时间和日期记录; 以及易于查看和访问的方式来随时撤回同意。
  • 直复营销 –我们正在修改直接营销的用语和流程,包括明确的营销订阅选择机制; 明确的通知和方法,以选择退出并在所有后续营销材料中提供退订功能。
  • 数据保护影响评估(DPIA)  - 我们处理被视为高风险的个人信息,涉及大规模处理或包括特殊类别/刑事定罪数据; 我们已经制定了严格的程序和评估模板,用于进行影响评估,完全符合GDPR的第35条要求。 我们实施了记录每项评估的文档流程,允许我们对处理活动带来的风险进行评级,并实施缓解措施以降低对数据主体的风险。
  • 处理者协议 –在我们使用任何第三方代表我们处理个人信息(即工资,招聘,托管等)的情况下,我们起草了合规的处理器协议和尽职调查程序,以确保它们(以及我们),满足并理解他们/我们的GDPR义务。 这些措施包括对提供服务的初步和持续审查,加工活动的必要性,已采取的技术和组织措施以及对GDPR的遵守情况。
  • 特殊类别数据 –在获取和处理任何特殊类别信息的地方,我们完全遵守第9条的要求,并且对所有此类数据进行了高级加密和保护。 仅在必要时处理特殊类别数据,并且仅在我们首先确定适当的第9(2)条基础或《数据保护条例草案》附表1条件的情况下处理。 在我们依靠同意进行处理的情况下,这是明确的,并已通过签名进行了验证,并明确签署了修改或删除同意的权利。
数据主体权利

除了上述确保个人可以执行其数据保护权利的政策和程序之外,我们还通过我们的网站提供易于访问的信息,表明个人有权访问任何 Apparel Textile Sourcing 处理它们并请求有关的信息:

  • 我们持有哪些个人数据
  • 加工的目的
  • 涉及的个人数据类别
  • 个人数据已被/将被披露的接收者
  • 我们打算存储您的个人数据多长时间
  • 如果我们没有直接从他们那里收集数据,那么有关源的信息
  • 纠正或完成关于它们的不完整或不准确数据的权利以及请求此过程的过程
  • 请求删除个人数据(如适用)或根据数据保护法限制处理,以及反对我们的任何直接营销以及了解我们使用的任何自动决策的权利
  • 在这种情况下提出投诉或寻求补救以及与谁联系的权利
信息安全与技术与组织措施

Apparel Textile Sourcing 严肃对待个人及其个人信息的隐私和安全,并采取一切合理措施和预防措施来保护和保护我们处理的个人数据。 我们拥有强大的信息安全政策和程序,以保护个人信息免遭未经授权的访问,更改,泄露或破坏,并具有多层安全措施,包括但不限于SSL加密,数据库加密,磁盘加密,访问控制程序和冗余防火墙。

GDPR角色和员工

Apparel Textile Sourcing 已指定Lester Hughes为我们的数据保护官(DPO),并已指定数据隐私团队制定并实施符合新数据保护法规的路线图。 该团队负责提升整个组织对GDPR的认识,评估我们的GDPR准备情况,确定任何差距领域并实施新的政策,程序和措施。

Apparel Textile Sourcing 了解持续的员工意识和理解对于GDPR的持续合规至关重要,并使我们的员工参与我们的准备计划。 我们不断修订我们的培训计划,以确保符合所有适用的数据保护法规。

如果您对我们准备GDPR有任何疑问,请 立即联系.