Política de privacidad - Bleplus Marketing Agency

BLEPLUS ADS

se compromete a proteger los derechos y libertades de los interesados y a procesar de forma segura sus datos de acuerdo con todas nuestras obligaciones legales.

Conservamos datos personales sobre nuestros empleados, clientes, proveedores y otras personas para una variedad de fines comerciales.

Esta política establece cómo buscamos proteger los datos personales y asegurarnos de que nuestro personal comprenda las reglas que rigen el uso de los datos personales a los que tienen acceso en el curso de su trabajo.

En particular, esta política requiere que el personal se asegure de que se consulte al Oficial de Protección de Datos (DPO) antes de iniciar cualquier nueva actividad significativa de procesamiento de datos para garantizar que se aborden los pasos de cumplimiento relevantes.

Definiciones

Propósitos de negocios

Los fines para los que podemos utilizar los datos personales:

Fines de personal, administrativos, financieros, regulatorios, nómina y desarrollo empresarial.

Los propósitos comerciales incluyen lo siguiente:

Cumplimiento de nuestras obligaciones legales, regulatorias y de gobierno corporativo y buenas prácticas

Recopilar información como parte de las investigaciones de los organismos reguladores o en relación con procedimientos o solicitudes legales

Asegurarse de que se cumplan las políticas comerciales (como las políticas que cubren el uso del correo electrónico y de Internet)

Razones operativas, como registrar transacciones, capacitación y control de calidad, garantizar la confidencialidad de la información comercialmente sensible, verificación de seguridad, calificación crediticia y verificación.

Investigar quejas

Verificar referencias, garantizar prácticas de trabajo seguras, monitorear y administrar el acceso del personal a los sistemas e instalaciones y las ausencias, administración y evaluaciones del personal.

Supervisión de la conducta del personal, asuntos disciplinarios

Comercializar nuestro negocio

Mejorando los servicios

Información personal

“Datos personales” significa cualquier información relacionada con una persona física identificada o identificable (“sujeto de datos”); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de los aspectos físicos, fisiológicos, identidad genética, mental, económica, cultural o social de esa persona física.

Los datos personales que recopilamos pueden incluir: número de teléfono, dirección de correo electrónico, antecedentes educativos, detalles financieros y de pago, detalles de certificados y diplomas, educación y habilidades, estado civil, nacionalidad, cargo y CV de las personas.

Categorías especiales de datos personales

Las categorías especiales de datos incluyen información sobre el origen racial o étnico de un individuo, opiniones políticas, creencias religiosas o similares, afiliación sindical (o no afiliación), salud o condición física o mental, delitos penales o procedimientos relacionados, y genética y biometría. Información: cualquier uso de categorías especiales de datos personales debe controlarse estrictamente de acuerdo con esta política.

Controlador de datos

“Responsable del tratamiento” significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros, determina los fines y los medios del tratamiento de datos personales; donde los propósitos y medios de dicho procesamiento estén determinados por ley.

Procesador de datos

“Procesador” significa una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador.

Procesando

“Procesamiento” significa cualquier operación o conjunto de operaciones que se realiza sobre datos personales o sobre conjuntos de datos personales, ya sea por medios automatizados o no, como recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción.

Autoridad supervisora

Este es el organismo nacional responsable de la protección de datos. La autoridad supervisora de nuestra organización es [la Oficina del Comisionado de Información].

Alcance

Esta política se aplica a todo el personal, que debe estar familiarizado con esta política y cumplir con sus términos.

Esta política complementa nuestras otras políticas relacionadas con el uso de Internet y el correo electrónico. Podemos complementar o modificar esta política con políticas y pautas adicionales de vez en cuando. Cualquier política nueva o modificada se enviará al personal antes de ser adoptada.

¿Quién es responsable de esta política?

Como nuestro oficial de protección de datos (DPO), Tiene la responsabilidad general de la implementación diaria de esta política.

Debe comunicarse con el DPO para obtener más información sobre esta política si es necesario

Los principios

BLEPLUS ADS cumplirá con los principios de protección de datos (los Principios) enumerados en el Reglamento General de Protección de Datos de la EUA, Haremos todo lo posible en todo lo que hagamos para cumplir con estos principios.

Los Principios son:

1. Legal, equitativo y transparente

La recopilación de datos debe ser justa, con un propósito legal y debemos ser abiertos y transparentes en cuanto a cómo se utilizarán los datos.

2. Limitado para su propósito

Los datos solo se pueden recopilar para un propósito específico.

3. Minimización de datos

Cualquier dato recopilado debe ser necesario y no excesivo para su propósito.

4. Exacto

Los datos que tenemos deben ser precisos y estar actualizados.

5. Retención

No podemos almacenar datos más de lo necesario.

6. Integridad y confidencialidad

Los datos que tenemos deben mantenerse seguros y protegidos.

Responsabilidad y transparencia

Debemos garantizar la responsabilidad y la transparencia en todo nuestro uso de datos personales.

Debemos mostrar cómo cumplimos con cada Principio. Usted es responsable de mantener un registro escrito de cómo todas las actividades de procesamiento de datos de las que es responsable cumplen con cada uno de los Principios.

Esto debe mantenerse actualizado y debe ser aprobado por el DPO.

Para cumplir con las leyes de protección de datos y el Principio de responsabilidad y transparencia de GDPR, debemos demostrar el cumplimiento.

Usted es responsable de comprender sus responsabilidades particulares para garantizar que cumplamos con las siguientes obligaciones de protección de datos:

• Implementar completamente todas las medidas técnicas y organizativas apropiadas

• Mantener documentación actualizada y relevante sobre todas las actividades de procesamiento.

• Realización de evaluaciones de impacto de protección de datos

• Implementar medidas para garantizar la privacidad por diseño y por defecto, que incluyen:

o Minimización de datos

o Seudonimización

o Transparencia

o Permitir que las personas supervisen el procesamiento

o Crear y mejorar procedimientos de seguridad y privacidad mejorados de forma continua

Nuestros procedimientos

Procesamiento justo y legal

Debemos procesar los datos personales de manera justa y legal de acuerdo con los derechos de las personas según el primer Principio.

Esto generalmente significa que no debemos procesar datos personales a menos que la persona cuyos detalles estamos procesando haya dado su consentimiento para que esto suceda.

Si no podemos aplicar una base legal (que se explica a continuación), nuestro procesamiento no se ajusta al primer principio y será ilegal.

Los interesados tienen derecho a que se borre cualquier dato procesado ilegalmente

Base legal para el procesamiento de datos

Debemos establecer una base legal para el procesamiento de datos.

Asegúrese de que cualquier dato que sea responsable de administrar tenga una base legal por escrito aprobada por el DPO. Es su responsabilidad verificar la base legal de los datos con los que está trabajando y asegurarse de que todas sus acciones cumplan con la base legal. Se debe aplicar al menos una de las siguientes condiciones siempre que procesemos datos personales:

1. Consentimiento

Tenemos un consentimiento reciente, claro, explícito y definido para que los datos de la persona se procesen con un propósito específico.

2. Contrato

El procesamiento es necesario para cumplir o preparar un contrato para el individuo.

3. Obligación legal

Tenemos la obligación legal de procesar los datos (excluyendo un contrato).

4. Intereses vitales

El procesamiento de los datos es necesario para proteger la vida de una persona o en una situación médica.

5. Función pública

El procesamiento necesario para llevar a cabo una función pública, una tarea de interés público o la función tiene una base clara en la ley.

6. Interés legítimo

El procesamiento es necesario para nuestros intereses legítimos. Esta condición no se aplica si existe una buena razón para proteger los datos personales de la persona que anula el interés legítimo.

Decidir en qué condición confiar

Si está realizando una evaluación de la base legal, primero debe establecer que el procesamiento es necesario. Esto significa que el procesamiento debe ser una forma específica y apropiada de lograr el propósito establecido. No puede confiar en una base legal si puede lograr razonablemente el mismo propósito por algún otro medio.

Recuerde que se puede aplicar más de una base, y debe confiar en lo que mejor se adapte al propósito, no en lo que sea más fácil.

Considere los siguientes factores y documente sus respuestas:

• ¿Cuál es la finalidad del tratamiento de los datos?

• ¿Se puede razonablemente hacerlo de otra manera?

• ¿Existe la opción de procesar o no los datos?

• ¿A quién beneficia el procesamiento?

• Después de seleccionar la base legal, ¿es la misma que la base legal que esperaría el interesado?

• ¿Cuál es el impacto del procesamiento en el individuo?

• ¿Está en una posición de poder sobre ellos?

• ¿Es una persona vulnerable?

• ¿Es probable que se opongan al procesamiento?

• ¿Puede detener el procesamiento en cualquier momento cuando lo solicite y ha tenido en cuenta cómo hacerlo?

Nuestro compromiso con el primer Principio requiere que documentemos este proceso y demostremos que hemos considerado qué base legal se aplica mejor a cada propósito de procesamiento y que justifiquemos plenamente estas decisiones.

También debemos asegurarnos de que las personas cuyos datos estamos procesando estén informadas de la base legal para procesar sus datos, así como del propósito previsto.

Esto debería ocurrir mediante un aviso de privacidad. Esto se aplica si hemos recopilado los datos directamente de la persona o de otra fuente.

Si usted es responsable de realizar una evaluación de la base legal y de implementar el aviso de privacidad para la actividad de procesamiento, debe contar con la aprobación del DPO.

Categorías especiales de datos personales

¿Cuáles son las categorías especiales de datos personales?

Anteriormente conocido como datos personales sensibles, esto significa datos sobre un individuo que son más sensibles, por lo que requieren más protección. Este tipo de datos podría crear riesgos más importantes para los derechos y libertades fundamentales de una persona, por ejemplo, poniéndola en riesgo de discriminación ilegal.

Las categorías especiales incluyen información sobre las personas:

• raza

• origen étnico

• política

• religión

• afiliación sindical

• genética

• biometría (cuando se utilice con fines de identificación)

• salud

• orientación sexual

En la mayoría de los casos en los que procesamos categorías especiales de datos personales, necesitaremos el consentimiento explícito del interesado para hacerlo, a menos que se apliquen circunstancias excepcionales o la ley nos exija hacerlo (por ejemplo, para cumplir con las obligaciones legales para garantizar la salud y la seguridad en el trabajo). Dicho consentimiento deberá identificar claramente cuáles son los datos relevantes, por qué se están procesando y a quién se divulgarán.

La condición para el procesamiento de categorías especiales de datos personales debe cumplir con la ley. Si no tenemos una base legal para procesar categorías especiales de datos, esa actividad de procesamiento debe cesar.

Responsabilidades

Nuestras responsabilidades

• Analizar y documentar el tipo de datos personales que tenemos

• Verificar los procedimientos para asegurarse de que cubran todos los derechos de la persona.

• Identificar la base legal para el procesamiento de datos.

• Asegurar que los procedimientos de consentimiento sean legales

• Implementar y revisar procedimientos para detectar, informar e investigar violaciones de datos personales.

• Almacenar datos de forma segura y protegida

• Evaluar el riesgo que podría plantearse para los derechos y libertades individuales en caso de que los datos se vean comprometidos

tus responsabilidades

• Comprenda completamente sus obligaciones de protección de datos

• Verifique que cualquier actividad de procesamiento de datos con la que esté tratando cumpla con nuestra política y esté justificada

• No utilice los datos de forma ilegal

• No almacene datos incorrectamente, no sea descuidado con ellos o haga que violemos las leyes de protección de datos y nuestras políticas a través de sus acciones.

• Cumplir con esta política en todo momento

• Plantee cualquier inquietud, notifique cualquier incumplimiento o error, e informe sin demora cualquier cosa sospechosa o contradictoria a esta política o nuestras obligaciones legales.

Responsabilidades del delegado de protección de datos

• Mantener a la junta actualizada sobre las responsabilidades, los riesgos y los problemas de protección de datos.

• Revisar todos los procedimientos y políticas de protección de datos de forma regular

• Organizar formación y asesoramiento en protección de datos para todo el personal y los incluidos en esta política.

• Responder preguntas sobre protección de datos del personal, miembros de la junta y otras partes interesadas

• Responder a personas como clientes y empleados que deseen saber qué datos tenemos sobre ellos

• Verificar y aprobar con terceros que manejan los datos de la empresa cualquier contrato o acuerdo relacionado con el procesamiento de datos

Responsabilidades del gerente de TI

• Asegúrese de que todos los sistemas, servicios, software y equipos cumplan con los estándares de seguridad aceptables.

• Verificar y escanear el hardware y el software de seguridad con regularidad para asegurarse de que funcione correctamente.

• Investigar servicios de terceros, como los servicios en la nube que la empresa está considerando utilizar para almacenar o procesar datos.

Responsabilidades del director de marketing

• Aprobar declaraciones de protección de datos adjuntas a correos electrónicos y otra copia de marketing

• Atender consultas de protección de datos de clientes, públicos, objetivo o medios de comunicación.

• Coordinar con el DPO para garantizar que todas las iniciativas de marketing cumplan con las leyes de protección de datos y la Política de protección de datos de la empresa.

Precisión y relevancia

Nos aseguraremos de que cualquier dato personal que procesemos sea exacto, adecuado, relevante y no excesivo, dado el propósito para el que fue obtenido. No procesaremos los datos personales obtenidos para un propósito para ningún propósito no relacionado, a menos que la persona en cuestión haya aceptado esto o lo esperara razonablemente.

Las personas pueden solicitar que corrijamos los datos personales inexactos relacionados con ellos. Si cree que la información es inexacta, debe registrar el hecho de que la precisión de la información está en disputa e informar al DPO.

Seguridad de datos

Debe mantener los datos personales seguros contra pérdida o uso indebido. Cuando otras organizaciones procesen datos personales como un servicio en nuestro nombre, el DPO establecerá qué acuerdos de seguridad de datos específicos adicionales deben implementarse en los contratos con esas organizaciones de terceros.

Almacenar datos de forma segura

• En los casos en que los datos se almacenan en papel impreso, deben guardarse en un lugar seguro donde el personal no autorizado no pueda acceder a ellos.

• Los datos impresos deben triturarse cuando ya no se necesiten

• Los datos almacenados en una computadora deben estar protegidos por contraseñas seguras que se cambian regularmente. Animamos a todo el personal a utilizar un administrador de contraseñas para crear y almacenar sus contraseñas.

• Los datos almacenados en CD o tarjetas de memoria deben estar encriptados o protegidos con contraseña y bloqueados de forma segura cuando no se estén utilizando

• El DPO debe aprobar cualquier nube utilizada para almacenar datos

• Los servidores que contienen datos personales deben mantenerse en un lugar seguro, lejos del espacio general de la oficina.

• Los datos deben respaldarse periódicamente de acuerdo con los procedimientos de respaldo de la empresa.

• Los datos nunca deben guardarse directamente en dispositivos móviles como computadoras portátiles, tabletas o teléfonos inteligentes.

• Todos los servidores que contienen datos sensibles deben estar aprobados y protegidos por software de seguridad.

• Se deben implementar todas las medidas técnicas posibles para mantener los datos seguros

Retención de datos

Debemos conservar los datos personales por más tiempo del necesario. Lo que sea necesario dependerá de las circunstancias de cada caso, teniendo en cuenta las razones por las que se obtuvieron los datos personales, pero debe determinarse de manera consistente con nuestras pautas de retención de datos.

Transferencia de datos internacionalmente

Existen restricciones sobre las transferencias internacionales de datos personales. No debe transferir datos personales al extranjero ni a ningún otro lugar fuera de las reglas y procedimientos normales sin el permiso expreso del DPO.

Derechos de las personas

Las personas tienen derechos sobre sus datos que debemos respetar y cumplir lo mejor que podamos. Debemos asegurarnos de que las personas puedan ejercer sus derechos de las siguientes formas:

1. Derecho a ser informado

• Proporcionar avisos de privacidad que sean concisos, transparentes, inteligibles y de fácil acceso, gratuitos, que estén escritos en un lenguaje claro y sencillo, especialmente si están dirigidos a los niños.

• Mantener un registro de cómo usamos los datos personales para demostrar el cumplimiento de la necesidad de responsabilidad y transparencia.

2. Derecho de acceso

• Permitir que las personas accedan a sus datos personales e información complementaria

• Permitir que las personas conozcan y verifiquen la legalidad de las actividades de procesamiento

3. Derecho de rectificación

• Debemos rectificar o enmendar los datos personales de la persona si así lo solicita porque son inexactos o incompletos.

• Esto debe hacerse sin demora y no más tarde de un mes. Esto se puede ampliar a dos meses con el permiso del DPO.

4. Derecho a supresión

• Debemos eliminar o eliminar los datos de una persona si así se solicita y no existe una razón de peso para su procesamiento continuo.

5. Derecho a restringir el procesamiento

• Debemos cumplir con cualquier solicitud para restringir, bloquear o suprimir el procesamiento de datos personales.

• Se nos permite almacenar datos personales si se han restringido, pero no procesarlos más. Debemos conservar suficientes datos para garantizar que se respete el derecho de restricción en el futuro.

6. Derecho a la portabilidad de datos

• Debemos proporcionar a las personas sus datos para que puedan reutilizarlos para sus propios fines o en diferentes servicios.

• Debemos proporcionarlo en un formato de uso común y legible por máquina, y enviarlo directamente a otro controlador si se solicita.

7. Derecho a oponerse

Debemos respetar el derecho de una persona a oponerse al procesamiento de datos en función de un interés legítimo o el desempeño de una tarea de interés público.

• Debemos respetar el derecho de una persona a oponerse al marketing directo, incluida la elaboración de perfiles.

• Debemos respetar el derecho de una persona a oponerse al procesamiento de sus datos para investigaciones y estadísticas científicas e históricas.

8. Derechos en relación con la toma de decisiones automatizada y la elaboración de perfiles

• Debemos respetar los derechos de las personas en relación con la toma de decisiones automatizada y la elaboración de perfiles.

• Las personas conservan su derecho a oponerse a dicho procesamiento automatizado, a que se les explique la razón fundamental y a solicitar la intervención humana.

Avisos de privacidad

Cuándo proporcionar un aviso de privacidad

Se debe proporcionar un aviso de privacidad en el momento en que se obtienen los datos si se obtienen directamente del interesado. Si los datos no se obtienen directamente del interesado, el aviso de privacidad debe proporcionarse dentro de un período razonable de haber obtenido los datos, es decir, dentro de un mes.

Si los datos se utilizan para comunicarse con la persona, entonces el aviso de privacidad debe proporcionarse a más tardar cuando tenga lugar la primera comunicación.

Si se prevé la divulgación a otro destinatario, se debe proporcionar el aviso de privacidad antes de que se divulguen los datos.

Qué incluir en un aviso de privacidad

Los avisos de privacidad deben ser concisos, transparentes, inteligibles y de fácil acceso. Se proporcionan de forma gratuita y deben estar redactados en un lenguaje claro y sencillo, especialmente si están dirigidos a niños.

La siguiente información debe incluirse en un aviso de privacidad para todos los interesados:

• Identificación y datos de contacto del responsable del tratamiento y del delegado de protección de datos

• El propósito del procesamiento de los datos y la base legal para hacerlo.

• Los intereses legítimos del responsable del tratamiento o de un tercero, en su caso

• El derecho a retirar el consentimiento en cualquier momento, si corresponde

• La categoría de los datos personales (solo para datos no obtenidos directamente del interesado)

• Cualquier destinatario o categorías de destinatarios de los datos personales

• Información detallada de cualquier transferencia a terceros países y salvaguardias establecidas

• El período de retención de los datos o los criterios utilizados para determinar el período de retención, incluidos los detalles para la eliminación de los datos después del período de retención.

• El derecho a presentar una denuncia ante el ICO y los procedimientos internos de denuncia

• La fuente de los datos personales y si provienen de fuentes disponibles públicamente (solo para datos no obtenidos directamente del interesado)

• Cualquier existencia de toma de decisiones automatizada, incluida la elaboración de perfiles e información sobre cómo se toman esas decisiones, sus significados y consecuencias para el interesado.

• Si la provisión de datos personales es parte de un requisito u obligación contractual legal y las posibles consecuencias de la falta de provisión de los datos (solo para los datos obtenidos directamente del interesado)

Solicitudes de acceso de sujetos

¿Qué es una solicitud de acceso de sujeto?

Una persona tiene derecho a recibir confirmación de que se están procesando sus datos, acceso a sus datos personales e información complementaria, que es la información que debe proporcionarse en un aviso de privacidad.

Cómo tratamos las solicitudes de acceso de materias

Debemos proporcionarle a una persona una copia de la información solicitada, sin cargo. Esto debe ocurrir sin demora y dentro del mes siguiente a la recepción. Nos esforzamos por proporcionar a los interesados acceso a su información en formatos electrónicos de uso común y, cuando sea posible, proporcionamos acceso directo a la información a través de un sistema seguro de acceso remoto.

Si el cumplimiento de la solicitud es complejo o numeroso, el plazo se puede extender en dos meses, pero se debe informar al individuo en el plazo de un mes. Debe obtener la aprobación del DPO antes de extender el plazo.

Podemos negarnos a responder a determinadas solicitudes y podemos, en circunstancias en las que la solicitud sea manifiestamente infundada o excesiva, cobrar una tarifa. Si la solicitud es por una gran cantidad de datos, podemos solicitarle al individuo que especifique la información que está solicitando. Esto solo se puede hacer con el permiso expreso del DPO.

Una vez que se ha realizado una solicitud de acceso de sujeto, no debe cambiar ni modificar ninguno de los datos que se han solicitado. Hacerlo es un delito.

Solicitudes de portabilidad de datos

Debemos proporcionar los datos solicitados en un formato estructurado, de uso común y legible por máquina. Normalmente sería un archivo CSV, aunque se aceptan otros formatos. Debemos proporcionar estos datos a la persona que los ha solicitado o al responsable del tratamiento al que han solicitado que se envíen. Esto debe hacerse de forma gratuita y sin demora, y no más tarde de un mes. Esto puede extenderse a dos meses para solicitudes complejas o numerosas, pero la persona debe ser informada de la extensión dentro de un mes y primero debe recibir un permiso expreso del DPO.

Derecho a borrar

¿Qué es el derecho a borrar?

Las personas tienen derecho a que se borren sus datos y a que cese el procesamiento en las siguientes circunstancias:

• Cuando los datos personales ya no sean necesarios en relación con el propósito para el que fueron recopilados y / o procesados originalmente

• Donde se retira el consentimiento

• Cuando el individuo se opone al procesamiento y no existe un interés legítimo primordial para continuar el procesamiento.

• Los datos personales fueron procesados ilegalmente o violaron las leyes de protección de datos.

• Para cumplir con una obligación legal

• El procesamiento se relaciona con un niño

Cómo tratamos el derecho de borrado

Solo podemos negarnos a cumplir con el derecho de borrado en las siguientes circunstancias:

• Ejercer el derecho a la libertad de expresión e información.

• Para cumplir con una obligación legal para el desempeño de una tarea de interés público o ejercicio de autoridad oficial

• Para fines de salud pública de interés público

• Para fines de archivo de interés público, investigación científica, investigación histórica o fines estadísticos.

• El ejercicio o la defensa de reclamaciones legales

Si los datos personales que deben borrarse se han transmitido a otras partes o destinatarios, se debe contactar con ellos e informarles de su obligación de borrar los datos. Si el individuo pregunta, debemos informarle de esos destinatarios.

El derecho a oponerse

Las personas tienen derecho a oponerse al uso de sus datos por motivos relacionados con su situación particular. Debemos dejar de procesar a menos que:

• Tenemos motivos legítimos para el procesamiento que anulan los intereses, derechos y libertades del individuo.

• El tratamiento se relaciona con el establecimiento, ejercicio o defensa de reclamaciones legales.

Siempre debemos informar al individuo de su derecho a oponerse en el primer punto de comunicación, es decir, en el aviso de privacidad. Debemos ofrecer una forma para que las personas se opongan en línea.

El derecho a restringir la elaboración de perfiles automatizada o la toma de decisiones

Solo podemos llevar a cabo la elaboración de perfiles automatizada o la toma de decisiones que tengan un efecto legal o similarmente significativo en un individuo en las siguientes circunstancias:

• Es necesario para la celebración o ejecución de un contrato.

• Basado en el consentimiento explícito de la persona.

• De lo contrario autorizado por la ley.

En estas circunstancias, debemos:

• Brindar a las personas información detallada sobre el procesamiento automatizado.

• Ofrezca formas sencillas para que soliciten la intervención humana o impugnen cualquier decisión sobre ellos.

• Lleve a cabo comprobaciones periódicas y pruebas de usuario para asegurarse de que nuestros sistemas funcionen según lo previsto.

Terceros

Uso de controladores y procesadores de terceros

Como [controlador de datos (y / o) procesador de datos], debemos tener contratos escritos en vigor con cualquier tercero [controladores de datos (y / o) procesadores de datos] que usemos. El contrato debe contener cláusulas específicas que establezcan nuestras y sus responsabilidades, obligaciones y responsabilidades.

[Para controladores] Como controlador de datos, solo debemos designar procesadores que puedan proporcionar garantías suficientes en virtud del RGPD y que los derechos de los interesados serán respetados y protegidos.

[Para procesadores] Como procesador de datos, solo debemos actuar según las instrucciones documentadas de un controlador. Reconocemos nuestras responsabilidades como procesador de datos bajo GDPR y protegeremos y respetaremos los derechos de los interesados.

Contratos

Nuestros contratos deben cumplir con los estándares establecidos por el ICO y, cuando sea posible, seguir las cláusulas contractuales estándar que estén disponibles. Nuestros contratos con [controladores de datos (y / o) procesadores de datos] deben establecer el tema y la duración del procesamiento, la naturaleza y el propósito declarado de las actividades de procesamiento, los tipos de datos personales y las categorías de sujetos de datos, y las obligaciones y derechos del responsable del tratamiento.

Como mínimo, nuestros contratos deben incluir términos que especifiquen:

• Actuar solo siguiendo instrucciones escritas

• Los implicados en el tratamiento de los datos están sujetos a un deber de confidencialidad

• Se tomarán las medidas adecuadas para garantizar la seguridad del procesamiento.

• Los subprocesadores solo se contratarán con el consentimiento previo del controlador y bajo un contrato escrito

• El controlador ayudará al procesador a tratar las solicitudes de acceso del sujeto y permitirá que los sujetos de datos ejerzan sus derechos en virtud del GDPR

• El procesador ayudará al controlador a cumplir con sus obligaciones de GDPR en relación con la seguridad del procesamiento, notificación de violaciones de datos e implementación de evaluaciones de impacto de protección de datos.

• Eliminar o devolver todos los datos personales al final del contrato

• Someterse a auditorías e inspecciones periódicas, y proporcionar toda la información necesaria para que el responsable y el encargado del tratamiento cumplan con sus obligaciones legales.

• El controlador o el procesador no harán nada para infringir el GDPR.

Datos de delitos penales

Verificaciones de antecedentes penales

Cualquier verificación de antecedentes penales está justificada por la ley. No se pueden realizar comprobaciones de antecedentes penales basándose únicamente en el consentimiento del sujeto. No podemos mantener un registro completo de datos sobre delitos. Todos los datos relacionados con delitos penales se consideran una categoría especial de datos personales y deben tratarse como tales. Debe tener la aprobación del DPO antes de realizar una verificación de antecedentes penales.

Auditorías, seguimiento y formación

Auditorías de datos

Las auditorías de datos periódicas para gestionar y mitigar los riesgos informarán al registro de datos. Contiene información sobre qué datos se guardan, dónde se almacenan, cómo se utilizan, quién es responsable y cualquier otra normativa o escala de tiempo de retención que pueda ser relevante. Debe realizar una auditoría de datos periódica según lo definido por el DPO y los procedimientos normales.

Supervisión

Todos deben observar esta política. El DPO tiene la responsabilidad general de esta política. Smarcomms Ltd. Mantendrá esta política bajo revisión y la modificará o cambiará según sea necesario. Debe notificar al DPO de cualquier incumplimiento de esta política. Debe cumplir con esta política en su totalidad y en todo momento.

Formación

Recibirá la formación adecuada sobre las disposiciones de la ley de protección de datos específicas para su función. Debe completar toda la capacitación solicitada. Si cambia de rol o responsabilidades, es responsable de solicitar nueva capacitación en protección de datos relevante para su nuevo rol o responsabilidades.

Si necesita formación adicional sobre cuestiones de protección de datos, póngase en contacto con el DPO.

Informar infracciones

Cualquier incumplimiento de esta política o de las leyes de protección de datos debe notificarse lo antes posible. Esto significa tan pronto como tenga conocimiento de una infracción. BLEPLUS ADS tiene la obligación legal de informar cualquier violación de datos a [nombre de la autoridad supervisora] dentro de las [72 horas].

Todos los miembros del personal tienen la obligación de informar las fallas de cumplimiento de protección de datos reales o potenciales. Esto nos permite:

• Investigar la falla y tomar medidas correctivas si es necesario

• Mantener un registro de fallas de cumplimiento

• Notificar a [nombre de la autoridad supervisora] de cualquier incumplimiento que sea material ya sea por derecho propio o como parte de un patrón de fallas

Cualquier miembro del personal que no notifique de una infracción, o se descubra que sabe o sospecha que se ha producido una infracción, pero no ha seguido los procedimientos de denuncia correctos, estará sujeto a medidas disciplinarias.

Consulte nuestro [nombre del sistema de notificación] para conocer nuestro procedimiento de notificación.

Incumplimiento

Nos tomamos muy en serio el cumplimiento de esta política. El incumplimiento lo pone en riesgo tanto a usted como a la organización.

La importancia de esta política significa que el incumplimiento de cualquier requisito puede dar lugar a una acción disciplinaria según nuestros procedimientos que puede resultar en el despido.

Si tiene alguna pregunta o inquietud sobre cualquier tema de esta política, no dude en comunicarse con el DPO.