Declaración de GDPR

Introducción.

El Reglamento General de Protección de Datos de la Unión Europea (UE), entró en vigor en todo su territorio el 25 de mayo de 2018 y trajo consigo los cambios más significativos a la ley de Protección de Datos en dos décadas. Basado en la privacidad del diseño y con un enfoque basado en el riesgo, el GDPR ha sido diseñado para cumplir con los requisitos de la era digital.

El siglo XXI trae consigo un uso más amplio de la tecnología, nuevas definiciones de lo que constituyen datos personales y un gran aumento en el procesamiento transfronterizo. El nuevo Reglamento tiene como objetivo estandarizar las leyes de protección de datos y su procesamiento en toda la UE; garantizando así a los individuos derechos más sólidos y consistentes para acceder y controlar su información personal.

Nuestro Compromiso.

Dance Direct ("nosotros" o "nos" o "nuestro") se comprometen a garantizar la seguridad y protección de la información personal que procesamos, y a proporcionar un enfoque compatible y consistente con la protección de datos. Siempre hemos tenido un programa de protección de datos sólido y efectivo, que cumple con la legislación vigente y cumple con los principios de protección de datos. Sin embargo, reconocimos nuestras obligaciones tanto con el GDPR como con el Proyecto de Ley de Protección de Datos del Reino Unido, y actualizamos y ampliamos nuestro programa a fin de cumplir con estas obligaciones.

Dance Direct se dedica a salvaguardar la información personal bajo nuestra responsabilidad y al desarrollo de un régimen de protección de datos que sea efectivo, adecuado a su propósito y que demuestre que comprende y aprecia el nuevo Reglamento. Nuestra preparación y objetivos para el cumplimiento de GDPR fueron resumidos en esta declaración e incluyeron el desarrollo y la implementación de nuevos roles, políticas, procedimientos, controles y medidas de protección de datos que garantizan un cumplimiento máximo y continuo.

¿Cómo nos preparamos para el GDPR?

Nuestra preparación incluyó

Auditoría de Información: Se llevó a cabo una auditoría de información en toda la empresa para identificar y evaluar con qué información personal contamos, de dónde proviene, cómo y por qué se procesa y a quién se divulga.

Políticas y Procedimientos: Políticas y procedimientos de protección de datos revisados ​​para cumplir con los requisitos y estándares de la GDPR y cualquier ley de protección de datos relevante, que incluye:

Bases Legales para el Procesamiento: Hemos revisado todas las actividades de procesamiento para identificar la base legal del mismo y nos hemos asegurado de que cada base sea adecuada para la actividad a la que se refiere. Donde corresponda, también mantenemos registros de nuestras actividades de procesamiento, asegurando que se cumplan nuestras obligaciones en virtud del Artículo 30 del GDPR y el Anexo 1 del Proyecto de Ley de Protección de Datos.

Política / Aviso de privacidad: Revisamos nuestro (s) Aviso (s) de privacidad para cumplir con el GDPR, asegurando que todas las personas cuya información personal procesamos hayan sido informadas de por qué la necesitamos, cómo se utiliza, cuáles son sus derechos, a quién se divulga la información y qué medidas de salvaguardia existen para proteger su información.

Obtención del Consentimiento: Revisamos nuestros mecanismos de consentimiento para obtener datos personales, asegurándonos de que las personas entiendan lo que están proporcionando, por qué y cómo los usamos, y brindamos formas claras y definidas de que nos autoricen a que procesemos dicha información. Hemos desarrollado procesos estrictos para registrar el consentimiento, asegurándonos de que podemos evidenciar una aceptación positiva, junto con registros de fecha y hora; y una forma fácil de ver y acceder a retirar el consentimiento en cualquier momento.

Marketing Directo: Revisamos nuestra redacción y procesos de marketing directo, incluidos los mecanismos de adhesión para las suscripciones de marketing; un aviso claro y un método para excluirse y proporcionar funciones de cancelación de suscripción en todos los materiales de marketing posteriores.

Acuerdos de Procesador: Cuando utilizamos a terceros para procesar información personal en nuestro nombre (es decir, Nómina, Reclutamiento, Alojamiento, etc.), hemos redactado Acuerdos de Procesador y procedimientos de diligencia debida que cumplen con los requisitos para garantizar que (así como nosotros), cumplan y entiendan sus / nuestras obligaciones para con el GDPR. Estas medidas incluyen revisiones iniciales y continuas del servicio prestado, la necesidad de la actividad de procesamiento, las medidas técnicas y organizativas establecidas y el cumplimiento del GDPR.

Evaluaciones de Impacto de Protección de Catos: Dado que procesamos información personal que se considera de alto riesgo, lo cual implica un procesamiento a gran escala o incluye datos de condena penal / categoría especial, hemos desarrollado procedimientos rigurosos y plantillas de evaluación para llevar a cabo evaluaciones de impacto que cumplen plenamente con los requisitos del Artículo 35 del GDPR. Hemos implementado procesos de documentación que registran cada evaluación, nos permiten evaluar el riesgo planteado por la actividad de procesamiento e implementar medidas de mitigación para reducir el riesgo planteada a por la información(es) en cuestión.

Protección de Datos: Nuestro principal documento sobre política y procedimientos para la protección de datos ha sido revisado para cumplir con los estándares y los requisitos del GDPR. Se implementan medidas de responsabilidad y gobierno para asegurarnos de que lo entendemos y difundimos adecuadamente y evidenciamos nuestras obligaciones y responsabilidades; con un enfoque dedicado a la privacidad por diseño y los derechos de las personas.

Retención y Eliminación de Datos: Hemos actualizado nuestra política y programa de retención para garantizar que cumplimos con los principios de "minimización de datos" y "limitación de almacenamiento", y que la información personal se almacena, se archiva y se destruye de forma obediente y ética. Contamos con dedicados procedimientos de eliminación en vigencia para cumplir con la nueva obligación de "Derecho a la eliminación" y somos conscientes de cuándo se aplican estos y otros derechos del interesado; así como también las exenciones, plazos de respuesta y responsabilidades de notificación.

Infracciones con datos: Nuestros procedimientos de infracción garantizan que contamos con medidas de seguridad y protección para identificar, evaluar, investigar e informar cualquier infracción de datos personales lo antes posible. Nuestros procedimientos son sólidos y han sido difundido a todos los empleados, lo que les permite conocer las líneas de informes y los pasos a seguir.

Transferencias Internacionales de Datos y Divulgaciones a Terceros: Cuando Dance Direct almacena o transfiere información personal fuera de la UE, contamos con procedimientos sólidos y medidas de protección para proteger, cifrar y mantener la integridad de los datos. Nuestros procedimientos incluyen una revisión continua de los países con suficientes medidas de adecuación, así como disposiciones para normas corporativas vinculantes; cláusulas de protección de datos estándar o códigos de conducta aprobados para aquellos países que no las poseen. Llevamos a cabo las debidas verificaciones de diligencia con todos los destinatarios de los datos personales a fin de evaluar y verificar que cuentan con las medidas de seguridad adecuadas para proteger la información, garantizan los derechos del asunto de los datos aplicables y cuentan con recursos legales efectivos para el sujeto de los datos, según corresponda.

Solicitud de Acceso al Sujeto: hemos revisado nuestros procedimientos para adaptarnos al nuevo marco de tiempo de 30 días para proporcionar la información solicitada y para hacer esta disposición de forma gratuita. Nuestros nuevos procedimientos detallan cómo verificar el asunto de los datos, qué pasos tomar para procesar una solicitud de acceso, qué exenciones se aplican y un conjunto de plantillas de respuesta para garantizar que las comunicaciones con los interesados ​​sean compatibles, coherentes y adecuadas.

Datos de Categorías Especiales: Cuando obtenemos y procesamos cualquier información de categorías especiales, lo hacemos en total cumplimiento con los requisitos del Artículo 9 y tenemos encriptaciones y protecciones de alto nivel para todos estos datos. Los datos de categoría especial solo se procesan cuando es necesario y solo se procesan cuando hemos identificado primero la base apropiada del Artículo 9 (2) o la condición del Anexo 1 del Proyecto de Ley de Protección de Datos. Cuando dependemos del consentimiento para el procesamiento, este es explícito y se verifica mediante una firma, con el derecho de modificar o eliminar el consentimiento que se encuentra claramente indicado.

Derechos de los sujetos de datos.

Además de las políticas y procedimientos mencionados anteriormente, que aseguran que las personas puedan hacer valer sus derechos de protección de datos, proporcionamos información de fácil acceso a través del sitio web del derecho de una persona a acceder a cualquier información personal que Dance Direct procese sobre ellos así como también a solicitar información sobre:

Qué datos personales tenemos sobre ellos.

Los fines del procesamiento de dichos datos.

Las categorías de los datos personales en cuestión.

Los destinatarios a los que se han divulgado los datos personales.

Por cuánto tiempo pretendemos almacenar sus datos personales.

Si no recopilamos los datos directamente de ellos, información sobre la fuente, si está disponible.

El derecho a corregir datos incompletos o inexactos sobre ellos y el proceso para solicitarlo.

El derecho a solicitar la eliminación de datos personales (cuando corresponda) o a restringir el procesamiento de acuerdo con las leyes de protección de datos, así como a objetar cualquier comercialización directa de nuestra parte y ser informado sobre cualquier decisión automática que utilicemos.

El derecho a presentar una queja o buscar una solución judicial y a quién contactar en tales casos.

 

Seguridad de la Información y Medidas Técnicas y Organizativas.

Dance Direct toma muy en serio la privacidad y seguridad de las personas y su información personal, y toma todas las medidas y precauciones razonables para proteger y asegurar los datos personales que procesamos. Contamos con procedimientos y políticas de seguridad de la información sólidos para proteger la información personal de accesos no autorizados, modificaciones, revelaciones o destrucción, y tenemos varias capas de medidas de seguridad.

Roles y empleados según el GDPR.

Dance Direct ha designado a Jan Chope como nuestro Oficial de Protección de Datos y ha reunido un equipo de privacidad de datos para desarrollar e implementar nuestra hoja de ruta a fin de cumplir con el nuevo Reglamento de Protección de Datos. El equipo, es responsable de promover el conocimiento del GDPR en toda la organización, evaluar nuestra preparación para el GDPR, identificar las áreas deficientes e implementar las nuevas políticas, procedimientos y medidas.

Dance Direct entiende que el conocimiento y la comprensión continua de los empleados son vitales para el cumplimiento continuo de GDPR y hemos involucrado a nuestros empleados en nuestros planes de preparación. Hemos implementado un programa de capacitación para empleados que fue impartido a todos los empleados antes del 25 de mayo de 2018 y forma parte de nuestro programa de capacitación anual e introductoria.

Si tiene alguna pregunta sobre nuestra preparación para el GDPR, comuníquese con nuestro Oficial de Protección de Datos, Jan Chope.

Jan Chope - Oficial de Protección de Datos

Email: jan@ids.co.uk

Teléfono: +44(0)1626 882 206