I. Introduction et présentation

  1. Hristova Neli (raison sociale) (UIC BE0777.584.266) est le responsable du traitement des données personnelles au sens de l’article 4, paragraphe 7, du règlement (UE) 2016/679. Aux fins du présent document, les Administrateurs seront désignés en abrégé.
  2. Informations de contact:
    1. Adresse : RUE DE LA GARE 6A/2, 5530 YVOIR, BELGIQUE
    2. Adresse Internet : https://lifecoachneli.eu/
    3. Téléphone : 0032485753445 

   II. Définitions

  1. Tous les termes utilisés dans ce document sont au sens de leur définition à l’article 4 du règlement (UE) 2016/679 du Parlement européen (Règlement général sur la protection des données – DPO).
  2. Autres termes non inclus dans l’ORD :
    1. B2B – business to business – signifie la relation commerciale de Nelly Hristova avec d’autres entreprises
    2. B2C – business to customers – désigne la relation de Nelly Hristova avec les particuliers, utilisateurs de ses services.

 III. Catégories de personnes concernées

Dans leurs activités commerciales, les Administrateurs interagissent avec les catégories de personnes concernées suivantes :

  1. Représentants de personnes morales dont les informations sont accessibles au public dans les registres de l’Agence d’enregistrement (B2B)
  2. Particuliers – utilisateurs des services des Administrateurs ou potentiels (B2C)
  3. Les personnes physiques employées sous contrat de travail avec les Administrateurs ou dans d’autres relations contractuelles avec lui.

Cette politique vise à assurer la protection des données des individus par les Administrateurs.

IV. Catégories de données personnelles

Selon les besoins de leur activité, les Administrateurs collectent et traitent les catégories de données personnelles suivantes :

  1. Données personnelles ordinaires – noms, adresse, e-mail, adresse IP
  2. Numéro civil unifié, lorsqu’il est requis pour la conclusion de diverses relations contractuelles

Les administrateurs ne collectent ni ne traitent de données personnelles sensibles.

Toutes les catégories de données personnelles sont décrites en détail dans le  Registre des activités de traitement des données personnelles

  V. Fondement juridique du traitement des données

  1. Consentement:
    1. Les administrateurs doivent conserver des informations sur les données collectées sur la base du consentement du sujet et, dans chaque cas, peuvent prouver que le consentement donné est :
      1. librement exprimé – non donné sous pression ou sous la menace de conséquences néfastes ;
      2. spécifique – consentement séparé pour chaque finalité spécifique et, le cas échéant – pour une catégorie spécifique de données personnelles ;
      3. informé – donné sur la base d’informations complètes, exactes et facilement compréhensibles ;
      4. sans ambiguïté – n’est pas dérivé ou supposé sur la base d’autres déclarations ou actions de la personne ;
      5. déclaration explicite ou action clairement confirmative – le silence d’une personne concernée n’est pas accepté comme consentement.
    2. Les administrateurs conservent des enregistrements (sur papier ou sous forme électronique) du consentement donné afin de le prouver aux autorités compétentes.
    3. Les administrateurs ont fourni la possibilité de retirer le consentement à tout moment aussi facilement que donné.
  2. Conclure ou exécuter un contrat
  3. Obligation légale

Toutes les catégories de données personnelles avec les motifs respectifs de traitement sont décrites en détail dans le  Registre des activités de traitement des données personnelles

VI. Finalités du traitement des données

  1. Relations de travail – dans le cadre de contrats de travail et civils
  2. Comptabilité
  3. Activités commerciales et marketing
  4. Selon les relations contractuelles avec les entrepreneurs

Toutes les finalités du traitement des données sont décrites en détail dans le  Registre des activités de traitement des données personnelles.

VII. Fourniture de données personnelles

Les administrateurs veillent à ce que les données personnelles ne soient pas divulguées à des tiers non autorisés, notamment des membres de la famille, des amis, des autorités publiques ou même des enquêteurs, s’il existe un soupçon raisonnable qu’elles ne sont pas nécessaires conformément à la procédure établie. Tous les employés doivent être prudents lorsqu’ils sont invités à divulguer des données personnelles stockées sur un autre tiers. Il est important de déterminer si la divulgation est liée ou non aux besoins des activités de l’organisation.

Toutes les demandes de données émanant de tiers doivent être étayées par une documentation appropriée et toutes ces divulgations doivent être expressément autorisées par le délégué à la protection des données.

En dehors de l’organisation, les administrateurs fournissent des données aux sous-traitants suivants :

  1. Organismes publics – ARN, NSSI
  2. Aux autres sous-traitants de données personnelles en fonction des besoins de l’activité commerciale :
    1. Cabinet d’expertise comptable
    2. Sociétés informatiques supportant les sites Internet des Administrateurs, la plateforme de messagerie et le système d’information

Tous les destinataires des données sont décrits en détail dans le  registre des activités de traitement des données personnelles.

VIII. Transfert de données

  1. Les administrateurs collectent et traitent les adresses e-mail des clients potentiels et actuels via la plateforme GetResponse, propriété de la société polonaise GetResponse Sp. z oo, avec adresse Arkońska 6, A3, ZIP / Code postal : 80-387, Gdańsk, Pologne, TVA PL9581468984
  2. En dehors du point 1, les administrateurs traitent toute exportation de données depuis l’UE vers des pays tiers (appelés dans le règlement général « pays tiers ») comme illégale, à moins qu’il n’existe un niveau approprié de protection des droits fondamentaux des personnes concernées.
  3. Exceptions : le transfert de données personnelles vers un pays tiers ou une organisation internationale n’a lieu que sous l’une des conditions suivantes :
    1. le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ;
    2. la transmission est nécessaire pour des raisons importantes d’intérêt public ;
    3. le transfert est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ;
    4. le transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’autres personnes lorsque la personne concernée est physiquement ou juridiquement incapable de donner son consentement ;
    5. la transmission est effectuée par un registre qui, en vertu du droit de l’Union ou d’un État membre, est destiné à fournir des informations au public et peut être consulté par le grand public ou par toute personne pouvant justifier d’un intérêt légitime à le faire, mais uniquement dans la mesure où les conditions de référence prévues par le droit de l’Union ou par le droit des États membres sont remplies en l’espèce.

 IX. Stockage et destruction des données

  1. Les administrateurs ne stockent pas les données personnelles sous une forme permettant l’identification des sujets plus longtemps que nécessaire aux fins pour lesquelles les données ont été collectées.
  2. Les administrateurs peuvent stocker des données pendant des périodes plus longues uniquement si les données personnelles sont traitées à des fins d’archivage, d’intérêt public et statistiques, et uniquement si des mesures techniques et organisationnelles appropriées sont en place pour garantir les droits et libertés de la personne concernée.
  3. La procédure de stockage et de destruction des données adoptée par les Administrateurs s’appliquera dans tous les cas.
  4. Les données à caractère personnel seront détruites de manière sécurisée conformément au principe consistant à garantir un niveau de sécurité adéquat (article 5, paragraphe 1, point f), du règlement général) – y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels. mesures techniques ou organisationnelles appropriées.

  X. Évaluation des risques

  1. Les administrateurs sont conscients des risques liés au traitement de certains types de données personnelles.
  2. Les administrateurs évaluent le niveau de risque pour les personnes impliquées dans le traitement de leurs données personnelles. Des analyses d’impact sur la protection des données sont effectuées dans le cadre du traitement des données personnelles et dans le cadre du traitement entrepris par d’autres organisations au nom des Administrateurs.
  3. Les administrateurs gèrent tous les risques identifiés par l’analyse d’impact afin de réduire la probabilité de non-respect de ces règles.
  4. Lorsque, à la suite de l’analyse d’impact, il est clair que les responsables du traitement commenceront à traiter des données à caractère personnel qui, en raison du risque élevé, pourraient causer un préjudice aux personnes concernées, la décision de poursuivre ou non le traitement doit être soumise à examen par le délégué à la protection des données.
  5. Si le DPP a de sérieuses inquiétudes concernant le préjudice ou le danger potentiel ou la quantité de données pertinentes, il doit faire remonter l’affaire à l’autorité de contrôle.
  6. Le Délégué à la Protection des Données examinera périodiquement (annuellement) les données initialement inventoriées, révisera les informations saisies dans le Registre des Activités de Traitement à la lumière de tout changement dans les activités des ADMINISTRATEURS.

 XI. Mesures de sécurité

  1. Les administrateurs ont fourni les mesures techniques et organisationnelles pertinentes pour la sécurité des données traitées, décrites en détail dans le Registre des activités de traitement des données.
  2. Tous les employés / personnels des Administrateurs sont responsables d’assurer la sécurité du stockage des données dont ils sont responsables et que les Administrateurs collectent, et que les données sont stockées en toute sécurité et ne sont en aucun cas divulguées à des tiers, sauf si les ADMINISTRATEURS ont n’a pas accordé de tels droits à ce tiers en concluant un contrat / une clause de confidentialité.
  3. Toutes les données personnelles ne doivent être accessibles qu’à ceux qui en ont besoin, et l’accès ne peut être fourni que conformément aux règles établies pour le contrôle d’accès.

XII. Principes de protection des données

Les responsables du traitement effectuent tout traitement de données à caractère personnel conformément aux principes de protection des données énoncés à l’article 5 du règlement (UE) 2016/679. Les politiques et procédures des Administrateurs visent à assurer le respect de ces principes.

  1. 1.      Légalité, bonne foi et transparence :  Les données personnelles sont traitées de manière licite, de bonne foi et transparente
    1. Juridiquement – avec une base juridique / une base juridique identifiée.
    2. En toute bonne foi – Les administrateurs doivent fournir les informations nécessaires aux personnes concernées dans la mesure du possible. Ceci s’applique que les données personnelles soient obtenues directement auprès des personnes concernées ou à partir d’autres sources.
      1. Tous les formulaires de collecte de données (électroniques ou papier), y compris les exigences de collecte de données dans les nouveaux systèmes d’information, doivent inclure une déclaration de traitement de bonne foi ou être approuvés par le DPO.
    3. Transparent – à tout moment, les administrateurs peuvent fournir des informations résumées, concises et compréhensibles via leur site Web ou d’une autre manière accessible aux personnes concernées sur :
      1. identification de l’entreprise ou de l’organisation – nom et mode de contact, y compris le délégué à la protection des données, le cas échéant (adresse, e-mail, téléphone, etc.) ;
      2. quelles catégories de données personnelles sont collectées et à quelles fins elles sont traitées ;
      3. les catégories de destinataires des données personnelles en dehors de l’entreprise ou de l’organisation, ainsi que si les données seront transférées (transférées) vers des pays tiers en dehors de l’UE ;
      4. le terme pour le stockage des données ;
      5. l’existence de droits spécifiques des personnes concernées (droit d’accès, de rectification ou de suppression des données personnelles, limitation du traitement, opposition au traitement, portabilité des données) et la procédure pour les exercer ;
      6. le droit des personnes concernées de porter plainte auprès de la CPDP ou du tribunal ;
      7. si la fourniture de données personnelles est obligatoire en vertu de la loi ou d’une exigence contractuelle, ainsi que les conséquences possibles si ces données ne sont pas fournies ;
      8. (le cas échéant) s’il existe une prise de décision automatisée, y compris le profilage.
  2. 2.      Limitation des objectifs
    1. Les données personnelles sont collectées uniquement pour des finalités déterminées, explicites et légitimes et ne font pas l’objet d’un traitement ultérieur incompatible avec ces finalités.
    2. Le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les objectifs initiaux (« limitation des objectifs »).
  3. 3.      Minimiser les données
    1. Les données personnelles doivent être adéquates, pertinentes, limitées à ce qui est nécessaire à leur traitement pour la finalité poursuivie afin de respecter le principe d’exigences minimales.
    2. Le DPO/Délégué à la protection des données est chargé de s’assurer que les Administrateurs ne collectent pas d’informations qui ne sont pas strictement nécessaires à la finalité pour laquelle elles ont été obtenues.
    3. Le délégué à la protection des données veillera à ce que toutes les méthodes de collecte de données soient revues sur une base annuelle afin de garantir que les données collectées continuent d’être adéquates, pertinentes et non excessives.
  4. 4.      Exactitude :  Les données personnelles doivent être exactes et à jour à tout moment, et les efforts nécessaires doivent être faits pour permettre la suppression ou la correction immédiate (dans la limite des solutions techniques possibles).
    1. Les données stockées par le responsable du traitement doivent être révisées et mises à jour si nécessaire. Aucune donnée n’est stockée dans les cas où elle est susceptible d’être inexacte.
    2. Le délégué à la protection des données est chargé de s’assurer que tout le personnel est formé à l’importance de collecter et de conserver des données exactes.
    3. En outre, il est du devoir de la personne concernée de déclarer que les données soumises pour stockage par les ADMINISTRATEURS sont exactes et à jour. Le remplissage d’un formulaire par la personne concernée destiné au responsable du traitement comprendra une déclaration selon laquelle les données qu’il contient sont exactes à la date de soumission.
    4. Les employés (clients / autres) sont tenus d’informer les administrateurs de tout changement de circonstances afin que les enregistrements de données personnelles puissent être mis à jour. Il est de la responsabilité des administrateurs de s’assurer que toute notification d’un changement de circonstances est enregistrée et que des mesures sont prises.
    5. Le délégué à la protection des données est chargé de veiller à ce que des procédures et des politiques appropriées soient en place pour maintenir l’exactitude et l’actualité des données personnelles, en tenant compte du volume de données collectées, de la vitesse à laquelle elles peuvent changer et d’autres facteurs pertinents.
    6. Au moins une fois par an, le délégué à la protection des données examinera les durées de conservation de toutes les données personnelles traitées par les ADMINISTRATEURS, en se référant à l’inventaire des données et identifiera toutes les données qui ne sont plus nécessaires dans le cadre de la finalité enregistrée. Ces données seront détruites de manière fiable conformément aux procédures et règles de l’administrateur.
    7. Le Délégué à la Protection des Données / Délégué à la Protection des Données est responsable du respect des demandes de rectification de données dans un délai d’un mois. Ce délai peut être prolongé de deux mois supplémentaires pour les demandes complexes. Si les ADMINISTRATEURS décident de ne pas accéder à la demande, le délégué à la protection des données doit répondre à la personne concernée pour expliquer ses raisons et l’informer de son droit d’introduire une réclamation auprès de l’autorité de contrôle et d’obtenir réparation.
    8. Le délégué à la protection des données est chargé de prendre les mesures appropriées, dans les cas où des organisations tierces disposent de données personnelles inexactes ou périmées, pour les informer que les informations sont inexactes ou périmées et ne doivent pas être utilisées pour prendre des décisions concernant des personnes. , pour informer les parties concernées et de transmettre toute correction des données personnelles à des tiers si nécessaire.
  5. 5.      Restriction de stockage :  Les données personnelles doivent être stockées sous une forme telle que la personne concernée ne puisse être identifiée que pendant la durée nécessaire au traitement.
    1. Lorsque des données personnelles sont conservées après la date de traitement, elles seront stockées de manière appropriée (minimisée) pour protéger l’identité de la personne concernée en cas de violation de données.
    2. Les données personnelles seront stockées conformément à la procédure de stockage et de destruction des données, et après l’expiration de leur période de stockage, elles doivent être détruites en toute sécurité conformément à la procédure spécifiée dans cette procédure.
    3. Le Délégué à la Protection des Données doit spécifiquement approuver toute conservation de données dépassant la durée de conservation définie dans la Procédure de Conservation et de Destruction des Données et doit s’assurer que la justification est clairement définie et conforme aux exigences de la législation sur la protection des données. Cette approbation doit être écrite.
  6. Intégrité et confidentialité :
    1. Les données personnelles sont traitées de manière à garantir un niveau de sécurité approprié, y compris la protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels, en appliquant des mesures techniques ou organisationnelles appropriées ;
    2. Le délégué à la protection des données évaluera le risque en tenant compte de toutes les circonstances liées aux opérations de gestion ou de traitement des données par les ADMINISTRATEURS.
    3. Pour déterminer le caractère approprié du traitement, le délégué à la protection des données doit également tenir compte de l’étendue de tout dommage ou perte pouvant être causé à des personnes (par exemple, le personnel ou les clients) en cas de violation de la sécurité, ainsi que de tout dommage probable causé au réputation, y compris toute perte de confiance des clients.
  7. 7.      Respect du principe de responsabilité
    1. Le règlement (UE) 2016/679 comprend des dispositions qui favorisent la responsabilité et la gérabilité et complètent les exigences de transparence. Le principe de responsabilité de l’art. 5, par. 2 exige de l’administrateur qu’il prouve qu’il respecte les autres principes de l’ORD et précise explicitement qu’il en est de sa responsabilité.
    2. Les ADMINISTRATEURS démontreront le respect des principes de protection des données en mettant en œuvre des politiques de protection des données en adhérant aux codes de conduite, en mettant en œuvre des mesures techniques et organisationnelles appropriées et en adoptant des techniques de protection des données au stade de la conception et de la protection des données par défaut, de l’évaluation de l’impact de la protection des données personnelles, des données personnelles procédure de notification de violation de données, etc.

XIII. Exercice pratique des droits par les personnes concernées

  1. Les administrateurs offrent une possibilité pratique d’exercer les droits que le règlement 2016/679 accorde aux personnes concernées :
    1. droit d’accès aux données personnelles traitées par l’entreprise / l’organisation ;
    2. droit de corriger ou de compléter des données personnelles inexactes ou incomplètes ;
    3. le droit de supprimer (« droit à l’oubli ») les données personnelles qui sont traitées illégalement ou avec une base légale révoquée (période de conservation expirée, consentement retiré, objectif initial rempli pour lequel elles ont été collectées, etc.) ;
    4. droit de limiter le traitement – en présence d’un litige entre l’entreprise / l’organisation et la personne physique jusqu’à sa résolution et / ou pour l’établissement, l’exercice ou la protection de droits en justice ;
    5. droit à la portabilité des données – si elles sont traitées de manière automatisée sur la base d’un consentement ou d’un contrat. À cette fin, les données sont transmises dans un format structuré, largement utilisé et lisible par machine. Si cela est techniquement faisable, le transfert de données peut se faire directement d’un administrateur à un autre. Le droit à la portabilité ne couvre que les données fournies personnellement par la personne concernée, ainsi que les données personnelles générées et collectées par son activité.
    6. droit d’opposition – à tout moment et pour des motifs liés à la situation particulière de la personne, à condition qu’il n’existe pas de motif juridique convaincant pour le traitement qui prévaut sur les intérêts, les droits et les libertés de la personne concernée ou sur un litige ;
    7. le droit de ne pas faire l’objet d’une décision entièrement automatisée impliquant un profilage ayant des conséquences juridiques ou affectant de manière significative la personne concernée.
  2. Les administrateurs ont des procédures internes écrites pour accepter, examiner et répondre dans un délai d’un mois aux demandes des individus d’exercer leurs droits en tant que personnes concernées et d’établir une organisation pour leur mise en œuvre dans la pratique.

XIV. Notification de violation de la sécurité des données

  1. En cas de violation de données personnelles, les Administrateurs en tant que responsable du traitement des données personnelles, sans retard injustifié et lorsque cela est possible – au plus tard 72 heures après en avoir eu connaissance, notifient la CPDP de la violation de données personnelles en tant qu’autorité de contrôle pour la République de Bulgarie . compétente conformément à l’article 55, sauf si la violation de la sécurité des données à caractère personnel est susceptible de porter atteinte aux droits et libertés des personnes. La notification à l’autorité de contrôle indique les raisons du retard lorsqu’elle n’est pas présentée dans les 72 heures.
  2. Les administrateurs, en tant que sous-traitants des données personnelles, informent l’administrateur sans retard injustifié après avoir pris connaissance d’une violation de la sécurité des données personnelles.
  3. La notification doit contenir au moins les éléments suivants :
    1. une description de la nature de la violation de données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
    2. indication du nom et des coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel de plus amples informations peuvent être obtenues ;
    3. une description des conséquences possibles de la violation de la sécurité des données personnelles ;
    4. une description des mesures prises ou proposées par le responsable du traitement pour remédier à la violation de la sécurité des données à caractère personnel, y compris, le cas échéant, des mesures visant à réduire tout effet indésirable.
  4. Lorsque et dans la mesure où il n’est pas possible de soumettre les informations en même temps, les informations peuvent être soumises par étapes sans autre retard injustifié.
  5. Les administrateurs, en tant que responsables du traitement, doivent documenter toute violation de la sécurité des données personnelles, y compris les faits liés à la violation de la sécurité des données personnelles, ses conséquences et les mesures prises pour y remédier. Cette documentation permet à l’autorité de contrôle de vérifier que l’article 33 de la LPD a été respecté.

XV. Déclaration sur la politique de protection des données personnelles

  1. La direction des administrateurs s’engage à assurer le respect de la législation de l’UE et des États membres concernant le traitement des données à caractère personnel et la protection des « droits et libertés » des personnes dont les données à caractère personnel sont collectées et traitées par les responsables du traitement conformément au règlement général sur la protection des données. Règlement (UE) 2016/679).
  2. Conformément au Règlement général, d’autres documents pertinents ainsi que les processus et procédures connexes sont décrits dans la présente politique.
  3. Le règlement (UE) 2016/679 et cette politique s’appliquent à toutes les fonctions de traitement des données personnelles, y compris celles effectuées sur les données personnelles des clients, employés, fournisseurs et partenaires et toutes autres données personnelles que l’organisation traite à partir de diverses sources. .
  4. Le délégué à la protection des données est responsable de l’examen annuel du registre des activités de traitement à la lumière de tout changement dans les activités des administrateurs, ainsi que de toute exigence supplémentaire, évaluation de l’impact sur la protection des données. Ce registre doit être disponible à la demande de l’autorité de contrôle.
  5. Cette politique s’applique à tous les employés/partenaires et partenaires des Administrateurs en tant que fournisseurs externes. Toute violation du règlement général sera considérée comme une violation de la discipline du travail et, en cas de suspicion d’infraction pénale, l’affaire sera portée devant les autorités publiques compétentes dans les meilleurs délais.
  6. Les partenaires et les tiers qui travaillent avec ou pour les administrateurs, ainsi que ceux qui ont ou peuvent avoir accès aux données personnelles, seront censés connaître, comprendre et respecter cette politique. Aucun tiers ne peut accéder aux données personnelles détenues par les Administrateurs sans avoir au préalable conclu un accord de confidentialité des données qui impose au tiers des obligations non moins lourdes que celles assumées par les Administrateurs et qui donne le droit aux ADMINISTRATEURS de vérifier le respect des obligations imposées par l’accord.

XVI. Documentation et rapports

  1. Les administrateurs ont mis en place un processus d’inventaire des données dans le cadre de leur approche de gestion des risques et des opportunités dans le processus de conformité pour se conformer au règlement (UE) 2016/679. L’inventaire des données dans le workflow de données établit :
    1. les processus commerciaux qui utilisent des données personnelles ;
    2. sources de données personnelles ;
    3. le nombre de personnes concernées ;
    4. une description des catégories de données personnelles et des éléments de chaque catégorie ;
    5. activités de traitement ;
    6. les finalités du traitement auxquelles les données personnelles sont destinées ;
    7. la base juridique du traitement ;
    8. les destinataires ou catégories de destinataires des données personnelles ;
    9. les systèmes et emplacements de stockage de base ;
    10. toutes les données personnelles faisant l’objet de transferts hors UE ;
    11. les conditions de stockage et de suppression.
  2. En lien avec le point 1, les Administrateurs préparent et mettent à jour périodiquement les documents suivants conformément au Règlement 2016/679
    1. Registre interne des activités de traitement des données personnelles dans l’organisation  avec les informations suivantes :
      1. le nom et les coordonnées de tous les administrateurs conjoints, des représentants des administrateurs et du délégué à la protection des données ;
      2. les finalités du traitement ;
  3. description des catégories de personnes concernées et des catégories de données personnelles ;
  4. les catégories de destinataires auxquels les données personnelles sont ou seront divulguées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
  5. le cas échéant, le transfert de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale, la documentation des garanties appropriées ;
  6. les délais de suppression des différentes catégories de données ;
  7. une description générale des mesures de sécurité techniques et organisationnelles.
  8. Politique interne de protection des données personnelles  dans l’organisation (ce document).
  9. Contrats avec des sous-traitants de données personnelles  dans le but d’y inclure toutes les conditions obligatoires conformément à l’art. 28 du Règlement général sur la protection des données.
  10. Autres procédures et règles :
  11. Procédure de gestion des réclamations des sujets
  12. Procédure pour les moyens de communication dans les plaintes
  13. Procédure d’obtention du consentement au traitement des données et de retrait du consentement de la personne concernée
  14. Procédure de stockage et de destruction des données, qui comprend l’évaluation des risques et la sélection des mesures techniques et organisationnelles appropriées
  15. Règles de sous-traitance
  16. Procédure de notification de violation de données personnelles.
  17. Déclarations et contrats :
  18. Politique de confidentialité
  19. Formulaire de demande de la personne concernée
  20. Déclaration de consentement de la personne concernée
  21. Formulaire de retrait du consentement de la personne concernée
  22. Déclaration de consentement du parent / tuteur
  23. Formulaire de retrait du consentement du parent/tuteur
  24. Les responsables du traitement, en tant que responsables conjoints du traitement, définissent entre eux de manière transparente leurs responsabilités respectives pour la mise en œuvre des obligations du DPA, notamment en ce qui concerne l’exercice des droits des personnes concernées et leurs obligations respectives de fournir les informations visées à l’article 13. . et 14 du règlement, d’un commun accord entre eux, reflétés dans un document séparé.

XVII. Modifications de cette politique

  1. Toute modification qui pourrait être apportée à cette politique à l’avenir sera publiée sur ces sites.
  2. Dernière modification : 25 janvier 2022