POLÍTICA DE PROTECCIÓ DE DADES GENERAL (GDPR)
1. Declaració de política
Cada dia la nostra empresa rebrà, utilitzarà i emmagatzemarà informació personal sobre els nostres clients, proveïdors, candidats a entrevistes i companys de feina. És important que aquesta informació sigui tractada de manera legal i apropiada d'acord amb els requisits de la [Llei de Protecció de Dades del 2018] i el Reglament General de Protecció de Dades (conjuntament esmentats com a "Requisits de Protecció de Dades").
Nosaltres prenem seriosament els nostres deures de protecció de dades, perquè respectem la confiança que es diposita en nosaltres per utilitzar la informació personal de manera apropiada i responsable.
2. Sobre aquesta política
Aquesta política, i qualsevol altre document al qual es faci referència, estableix els motius pels quals processarem qualsevol dada personal que recopilem o tractem.
Aquesta política no forma part del contracte laboral de cap empleat i pot ser modificada en qualsevol moment.
En Alex Smit és el nostre Oficial de Protecció de Dades (DPO), i és responsable de garantir el compliment de l'empresa amb els Requisits de Protecció de Dades i amb aquesta política. Qualsevol pregunta sobre el funcionament d'aquesta política o qualsevol preocupació de que no s'hagi seguit la política, s'ha de dirigir en primer lloc al DPO, o s'ha de denunciar d'acord amb la nostra Política de Plànols (consultar Manual de l'Empleat).
3. Què és la dada personal?
La dada personal significa dades (ja siguin emmagatzemades electrònicament o en paper) que es refereixen a una persona viva que es pot identificar directa o indirectament a partir d'aquestes dades (o d'aquestes dades i d'altres informacions en la nostra possessió).
El processament és qualsevol activitat que implica l'ús de dades personals. Inclou obtenir, enregistrar o guardar les dades, organitzar-les, modificar-les, recuperar-les, utilitzar-les, divulgar-les, esborrar-les o destruir-les. El processament també inclou transferir dades personals a tercers.
Les dades personals sensibles inclouen dades personals sobre l'origen racial o ètnic d'una persona, opinions polítiques, creences religioses o filosòfiques, afiliació sindical, condició genètica, biomètrica, física o mental, orientació sexual o vida sexual. També poden incloure dades sobre delictes o condemnes penals. Les dades personals sensibles només es poden processar sota condicions estrictes, incloent-hi el consentiment de la persona.
4. Principis de protecció de dades
Qualsevol que processi dades personals, ha de garantir que les dades siguin:
a. Processat de manera justa, legal i transparent.
b. Recollit per a fins específics, explícits i legítims i qualsevol processament posterior es realitza per a un propòsit compatible.
c. Adequat, rellevant i limitat al necessari per als fins pensats.
d. Precís, i si és necessari, mantingut actualitzat.
e. Mantingut en una forma que permeti la identificació no més del temps necessari per als fins pensats.
f. Processat d'acord amb els drets de l'individu i de manera que asseguri la seguretat adequada de les dades personals, incloent-hi protecció contra el processament no autoritzat o il·legal i contra la pèrdua accidental, destrucció o dany, utilitzant mesures tècniques o organitzatives adequades.
g. No transferit a persones o organitzacions situades en països sense protecció adequada i sense informar primerament a l'individu.
5. Processament Just i Legal
Els Requisits de Protecció de Dades no tenen la intenció de prevenir el processament de dades personals, sinó de garantir que es faci de manera justa i sense afectar negativament els drets de l'individu.
D'acord amb els Requisits de Protecció de Dades, només processarem les dades personals quan sigui necessari per a un propòsit legal. Els propòsits legals inclouen (entre altres): si l'individu ha donat el seu consentiment, el processament és necessari per complir un contracte amb l'individu, per complir amb una obligació legal, o per l'interès legítim de l'empresa. Quan es processen dades personals sensibles, s'han de complir condicions addicionals.
6. Processament per a fins limitats
Durant el transcurs del nostre negoci, podem recopilar i processar les dades personals. Això pot incloure dades rebudes directament d'un subjecte de les dades (per exemple, omplint formularis o mitjançant la correspondència amb nosaltres per correu, telèfon, correu electrònic o d'una altra manera) i dades rebudes d'altres fonts (incloent, per exemple, dades de localització, socis comercials, subcontractistes en serveis tècnics, de pagament i de lliurament, agències de referència creditícia i altres).
Només processarem les dades personals per als fins específics establerts en l'Annex 1 o per a qualsevol altre propòsit permès específicament pels Requisits de Protecció de Dades. Notificarem aquests fins al subjecte de les dades quan recollim les dades per primera vegada o el més aviat possible després.
7. Notificació als individuals
Si recopilem dades personals directament d'un individu, els informarem sobre:
a. El propòsit o propòsits pels quals pretenem processar les dades personals, així com el fonament legal del processament.
b. Si confiem en els interessos legítims de l'empresa per processar dades personals, els interessos legítims perseguits.
c. Els tipus de tercers, si n'hi ha, amb els quals compartirem o divulgarem aquestes dades personals.
d. Com les persones poden limitar el nostre ús i divulgació de les seves dades personals.
e. Informació sobre el període durant el qual s'emmagatzemaran les seves dades, o els criteris utilitzats per determinar aquest període.
f. El seu dret a sol·licitar-nos com a controlador l'accés i la rectificació o esborrament de dades personals o la restricció del processament.
g. El seu dret a oposar-se al processament i el seu dret a la portabilitat de dades.
h. El seu dret a retirar el seu consentiment en qualsevol moment (si s'ha donat consentiment) sense afectar la legalitat del processament abans que el consentiment fos retirat.
i. El dret a presentar una queixa davant l'Oficina del Comissionat d'Informació.
j. Altres fonts d'on van sorgir les dades personals sobre l'individu i si provenien de fonts d'accés públic.
k. Si la facilitació de les dades personals és un requisit estatutari o contractual, o un requisit necessari per celebrar un contracte, així com si l'individu està obligat a facilitar les dades personals i les conseqüències de no facilitar les dades.
Si rebem dades personals sobre un individu d'altres fonts, els proporcionarem aquesta informació el més aviat possible (a més de dir-los sobre les categories de dades personals afectades), però com a molt tard dins d'un mes.
També informarem els subjectes de les dades, de qui processarem les seves dades personals, que nosaltres som els controladors de dades respecte a aquestes dades, les nostres dades de contacte i qui és el DPO.
8. Processament Adequat, Rellevant i No-excessiu
Només recopil·larem dades personals en la mesura que sigui necessari per al propòsit específic notificat al subjecte de les dades.
9. Dades Precises
Nos assegurarem que les dades personals que tinguem siguin precises i estiguin actualitzades. Comprovarem la precisió de qualsevol dada personal en el punt de recopilació i en intervals regulars després. Prendrem totes les mesures raonables per destruir o modificar les dades inexactes o obsoletes.
10. Processament Oportú
No mantindrem les dades personals més del necessari per al propòsit pel qual van ser recopilades. Prendrem totes les mesures raonables per destruir o esborrar dels nostres sistemes totes les dades que ja no siguin necessàries.
11. Processament d'acord amb els Drets del Subjecte de les Dades
Processarem totes les dades personals d'acord amb els drets dels subjectes de les dades, en particular el seu dret a:
a. Confirmació de si les dades personals relatives a l'individu s'estan processant o no.
b. Sol·licitar l'accés a les dades que el controlador de dades té sobre ells.
c. Sol·licitar la rectificació, l'esborrat o la restricció en el processament de les seves dades personals.
d. Presentar una queixa davant una autoritat de supervisió.
e. Oposar-se al processament, incloent-hi pel màrqueting directe.
12. Seguretat de les Dades
Prenem les mesures de seguretat adequades contra el processament il·legal o no autoritzat de dades personals, i contra la destrucció accidental o il·legal, el dany, la pèrdua, l'alteració, la divulgació no autoritzada o l'accés a les dades personals transmeses, emmagatzemades o processades d'una altra manera. En cas que es produeixi una transferència de dades il·legal, això serà investigat pel responsable adequat i s'aplicaran els procediments disciplinaris de l'empresa.
Establirem procediments i tecnologies per mantenir la seguretat de totes les dades personals des del punt de determinació dels mitjans de processament i del punt de recollida de dades fins al punt de destrucció. Les dades personals només es transferiran a un encarregat de tractament si accepta complir amb aquests procediments i polítiques, o si ell mateix aplica mesures adequades.
Mantindrem la seguretat de les dades protegint la confidencialitat, la integritat i la disponibilitat de les dades personals, definides de la següent manera:
a. La confidencialitat significa que només les persones autoritzades poden accedir a les dades.
b. La integritat significa que les dades personals haurien de ser precises i adequades per al propòsit pel qual són processades.
c. La disponibilitat significa que els usuaris autoritzats haurien de poder accedir a les dades si les necessiten per a fins autoritzats. Per tant, les dades personals haurien de ser emmagatzemades al sistema informàtic central de l'empresa en comptes de als ordinadors personals.
Els procediments de seguretat inclouen:
a. Controls d'entrada. Cal informar de qualsevol estrany vist en àrees d'accés controlat.
b. Escriptoris i armaris amb tancadura segura. Els escriptoris i armaris s'han de mantenir tancats amb clau si contenen informació confidencial de qualsevol tipus. (La informació personal sempre es considera confidencial.)
c. Minimització de dades.
d. Mètodes de eliminació. Els documents en paper s'han de triturar. Els dispositius de emmagatzematge digital s'han de destruir físicament quan ja no siguin necessaris.
e. Equipament. El personal ha de garantir que els monitors individuals no mostrin informació confidencial a persones que passin i que tinguin la sessió tancada al PC quan quedi sense vigilància.
13. Sol·licituds d'accés dels subjectes
Els individus han de fer una sol·licitud formal per a la informació que tenim sobre ells. Els empleats que rebin una sol·licitud han de reenviar-la immediatament al DPO o a un membre de Recursos Humans.
En rebre consultes telefòniques, només revelarem les dades personals que tenim en els nostres sistemes si es compleixen les següents condicions:
a. Comprovarem la identitat del trucador per assegurar-nos que la informació només es dóna a una persona que té dret a rebre-la.
b. Sugerirem al trucador que faci la seva sol·licitud per escrit si no estem segurs sobre la seva identitat i on la seva identitat no es pugui comprovar.
En el cas que es faci una sol·licitud de manera electrònica, les dades es proporcionaran electrònicament sempre que sigui possible.
Els nostres empleats remetrà una sol·licitud al seu superior jeràrquic per obtenir assistència en situacions difícils.
14. Canvis en aquesta política
Nos reservem el dret de canviar aquesta política en qualsevol moment. Quan sigui apropiat, notificarem els canvis mitjançant un banner de galetes al lloc web.