POLITIQUE DE PROTECTION DES DONNÉES – MUZZY BBC Language Learning For Children

POLITIQUE DE PROTECTION DES DONNÉES

Responsable: Benjamin Maddrell

Numéro de version et date : Version 1, 24 mai 2018

Prochaine date de révision : Mai 2019

POLITIQUE DE PROTECTION DES DONNÉES

1 Énoncé de politique

1.1 La présente politique de protection des données (« Politique ») définit les politiques et pratiques de traitement, de partage et de protection des données de Growing Minds LLC (la « Société », « nous », « notre » ou « nos »). La présente politique, ainsi que la politique de confidentialité des sites Web MUZZYBBC® et MUZZY123® (« Politique de confidentialité »), sont conçues pour garantir que la Société opère en conformité avec les lois, règles et réglementations applicables, y compris, sans limitation, le Règlement général sur la protection des données de l'UE (« RGPD », et avec toutes les autres lois, règles et réglementations applicables, les « Lois sur la protection des données »). Les lois sur la protection des données sont conçues pour protéger l'utilisation des données personnelles des individus et pour leur fournir certains droits concernant leurs données personnelles telles que celles-ci sont détenues par des organisations tierces.

1.2 Le délégué à la protection des données de la Société (« DPD ») est chargé de veiller à ce que la Société respecte les lois sur la protection des données et la présente politique. Le DPD est Benjamin Maddrell, qui peut être contacté au 917-292-8049 ou à ben.maddrell@gmail.com. Toute question, préoccupation ou avis concernant les politiques et pratiques de traitement, de partage et/ou de protection des données de la Société, y compris l'interprétation ou le fonctionnement de la présente politique, ainsi que toute réclamation connexe, doivent être adressés au DPD.

1.3 Le DPD effectuera une « évaluation de l'impact sur la protection des données » (telle que définie dans le RGPD) pour toute nouvelle technologie ou activité de traitement de données personnelles devant être adoptée par la Société, et s'assurera que cette nouvelle technologie ou activité de traitement de données personnelles, le cas échéant, est entièrement conforme à la présente Politique et à toutes les lois applicables en matière de protection des données.

1.4 La présente politique ne fait pas partie d'un contrat de travail avec la Société et la Société peut modifier la présente politique à tout moment. Cependant, l'adhésion à la présente politique est une condition d'emploi des employés.

1.5 La Société détient et traite les données personnelles des consommateurs aux fins suivantes :

1.5.1 Nous traitons les données personnelles pour nous permettre de :

- fournir des produits et/ou services de tutorat en langues étrangères à nos clients ;

- tenir nos comptes et nos registres ;

- promouvoir nos produits et/ou services de tutorat en langues étrangères ;

- entreprendre des recherches; et

- accompagner et manager nos collaborateurs.

2 types de données

2.1 Il existe deux types de données protégées par les lois sur la protection des données : les données personnelles et les données personnelles sensibles.

2.2 Les données à caractère personnel sont des données relatives à une personne vivante qui peut être identifiée à partir de ces données ou à partir de ces données associées à d’autres informations détenues ou susceptibles d’être contrôlées par un responsable du traitement. Parmi les exemples de données à caractère personnel figurent le nom, le numéro d’identification, les données de localisation, l’identifiant en ligne ou un ou plusieurs éléments spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle et/ou sociale d’une personne donnée. Elles comprennent également toute expression d’opinion concernant une personne.

2.3 Les données personnelles sensibles sont des données personnelles constituées d'informations sur :

2.3.1 Origine raciale ou ethnique ;

2.3.1 Opinions politiques ;

2.3.3 Croyances religieuses ou autres croyances philosophiques similaires ;

2.3.4 Adhésion à un syndicat ;

2.3.5 Données génétiques ou biométriques ;

2.3.6 Santé ou état physique ou mental;

2.3.7 Vie sexuelle et/ou orientation sexuelle ;

2.3.8 La commission ou la prétendue commission d’une infraction ; ou

2.3.9 Procédures pénales pour toute infraction commise ou présumée avoir été commise, le règlement de ces procédures ou la sentence de tout tribunal dans une telle procédure.

2.4 Les lois sur la protection des données prévoient des restrictions plus strictes pour le traitement des données personnelles sensibles. Bien que nous n'acquérions généralement pas de données personnelles sensibles auprès de nos clients, si nous le faisons, dans tous les cas et sous réserve des dispositions des lois sur la protection des données, les données personnelles sensibles ne doivent pas être traitées sans le consentement de la personne concernée.

3 Acquisition et utilisation des données personnelles

3.1 La Société doit collecter des données personnelles auprès de certaines personnes et entités commerciales afin de mener à bien son activité consistant à aider les particuliers à obtenir des produits et/ou services de tutorat en langues étrangères.

3.2 Dans le cadre de ses activités commerciales, la Société collecte et utilise des données personnelles concernant :

3.2.1 Ses employés, ainsi que les employés de ses agents, associés et partenaires publicitaires ;

3.2.2 Les personnes qui entrent en contact avec la Société via ses sites Web ou autrement ; et

3.2.3 Les consommateurs qui s’abonnent reçoivent des informations directement de la Société.

3.3 Lorsque la Société utilise des données personnelles pour contacter des personnes à des fins de marketing, ou lorsque nous fournissons des données personnelles à des tiers pour les utiliser à des fins de marketing, nous le ferons dans le respect des lois sur la protection des données.

3.4 En outre, nous pouvons être amenés à collecter et à utiliser certains types de données personnelles afin de nous conformer aux exigences de la législation applicable. Quelle que soit la manière dont elles sont collectées, enregistrées et/ou utilisées (par exemple sur un ordinateur ou sur papier), ces données personnelles doivent être traitées et utilisées correctement afin de garantir le respect des lois sur la protection des données.

3.5 Le traitement légal et approprié des données personnelles par la Société est extrêmement important pour le succès de notre entreprise et afin de maintenir la confiance de nos employés et de nos clients. Tous les employés de la Société ont la responsabilité de s'assurer que la Société respecte les données personnelles et les traite de manière légale et correcte.

3.6 Parce que nous déterminons la finalité et la manière dont les données personnelles sont traitées, la Société est considérée comme un responsable du traitement des données au sens du RGPD.

4 principes de protection des données

4.1 Nous soutenons pleinement et respectons les huit principes de protection des données suivants :

4.1.1 Les données personnelles doivent être traitées loyalement et licitement ;

4.1.2 Les données personnelles doivent être obtenues pour une ou plusieurs finalités spécifiques et traitées strictement de manière compatible avec cette ou ces finalités ;

4.1.3 Les données personnelles détenues doivent être adéquates, pertinentes et non excessives ;

4.1.4 Les données personnelles doivent être exactes et tenues à jour ;

4.1.5 Les données personnelles ne seront pas conservées plus longtemps que nécessaire ;

4.1.6 Les données personnelles seront traitées conformément aux droits des personnes concernées ;

4.1.7 Les données personnelles doivent être conservées en toute sécurité ; et

4.1.8 Les données personnelles ne seront pas transférées vers un pays ou un territoire situé en dehors de l’Espace économique européen (« EEE »), à moins que ce pays ou territoire ne garantisse un niveau adéquat de protection des droits et libertés des personnes concernées en ce qui concerne le traitement des données personnelles.

4.2 Pour obtenir des conseils sur le moment où les données personnelles peuvent être traitées, veuillez contacter le DPD.

5 TRAITEMENT ÉQUITABLE ET LÉGAL

5.1 Nos employés, nos clients et tout tiers dont nous acquérons et traitons les données doivent être pleinement informés du traitement équitable et licite que la Société effectuera à l'égard de ces données. Nous devons nous assurer qu'ils reçoivent :

5.1.1 L'identité du responsable du traitement, c'est-à-dire la Société ;

5.1.2 Les finalités pour lesquelles les données sont destinées à être traitées ; et

5.1.3 Toute autre information nécessaire pour permettre un traitement équitable des données, par exemple, à qui les données peuvent être divulguées ou transférées.

5.2 La politique de confidentialité énonce les dispositions décrivant la manière dont la Société traitera les données personnelles des utilisateurs.

5.3 Pour que les données à caractère personnel soient traitées de manière licite, certaines conditions doivent être remplies. Ces conditions peuvent inclure, entre autres, l'exigence que la personne concernée ait consenti à chaque activité de traitement spécifique et que le traitement soit nécessaire à l'intérêt légitime du responsable du traitement ou de la partie à laquelle les données sont divulguées. Lorsque des données à caractère personnel sensibles sont traitées, des conditions différentes doivent être remplies. Dans la plupart des cas, le consentement explicite de la personne concernée au traitement de données à caractère personnel sensibles sera requis.

5.4 En particulier, le consentement doit être donné expressément, par le biais d'une déclaration ou d'une action affirmative claire de la personne concernée. Le silence, les cases pré-cochées et l'inactivité ne sont pas des moyens suffisants pour obtenir un consentement valable en vertu des lois sur la protection des données. En outre, le consentement ne sera pas réputé donné librement en vertu des lois sur la protection des données si le consommateur ne se voit pas offrir un véritable choix de refuser son consentement et de continuer à recevoir les produits/services sous-jacents. Les personnes concernées doivent être informées de leur droit de retirer leur consentement, et la Société doit mettre à disposition un moyen simple et efficace de le faire. Les enregistrements du consentement doivent être conservés par la Société et fournis à toute autorité de contrôle compétente sur demande.

6 TRAITEMENT À DES FINS SPÉCIFIÉES

6.1 Nous aurons toujours une raison claire pour traiter les données personnelles et cette raison sera communiquée à la personne concernée, normalement par :

6.1.1 La politique de confidentialité ;

6.1.2 Toute notification fournie lorsqu'une personne concernée utilise le site Web de la Société ; et

6.1.3 Tout document interne relatif aux employés.

6.2 Nous ne sommes pas autorisés à collecter des données personnelles dans un but précis et à commencer à les traiter dans un but différent.

7 adéquat, pertinent et non excessif

7.1 Les données personnelles ne seront collectées que dans la mesure où elles sont nécessaires aux fins spécifiques communiquées aux personnes concernées. Les données personnelles qui ne sont pas nécessaires à ces fins ne seront pas collectées en premier lieu. Les données personnelles ne seront traitées que conformément aux fins limitées décrites ci-dessus et ne seront pas traitées de manière excessive.

7.2 Nous ne collecterons pas de données personnelles auprès d’une personne concernée dans le cas où elles pourraient être nécessaires à l’avenir.

8 données précises

8.1 Les données personnelles seront exactes et mises à jour. Les données personnelles incorrectes ou trompeuses ne sont pas exactes et des mesures seront donc prises pour vérifier l'exactitude de toute donnée personnelle au moment de la collecte et à intervalles réguliers par la suite.

8.2 Dans le cadre de ses opérations de marketing commercial, la Société travaillera avec ses partenaires marketing tiers pour garantir que les données personnelles faisant partie d'une base de données marketing/liste de contacts sont régulièrement vérifiées et mises à jour.

8.3 Les données personnelles identifiées comme obsolètes ou inexactes seront soit mises à jour, soit supprimées et détruites.

9 Conservation des données

9.1 Les données personnelles ne seront pas conservées plus longtemps que nécessaire aux fins pour lesquelles elles ont été collectées et/ou traitées. Cela signifie que les données personnelles seront archivées, et finalement détruites ou effacées de nos systèmes, lorsqu'elles ne seront plus nécessaires.

9.2 Pour obtenir des conseils sur la durée pendant laquelle certaines données sont susceptibles d'être conservées avant d'être détruites, veuillez contacter le DPD.

10 Traitement conforme aux droits des personnes concernées

10.1 Les données personnelles seront traitées conformément aux droits de la personne concernée. Les personnes concernées ont droit à :

10.1.1 Demander l'accès à une copie lisible par machine de toutes les données personnelles détenues à leur sujet par la Société (appelée demande d'accès aux données personnelles (« DSAR ») ;

10.1.2 Empêcher le traitement de leurs données personnelles à des fins de marketing direct ;

10.1.3 Demander que les données personnelles inexactes soient modifiées et/ou complétées ;

10.1.4 Demander que leurs données personnelles soient supprimées de tous les serveurs, bases de données et autres supports de stockage de données de la Société, ainsi que des serveurs, bases de données et autres supports de stockage de données de tout tiers avec lequel la Société a partagé ces données personnelles ;

10.1.5 Empêcher le traitement qui est susceptible de causer des dommages substantiels ou une détresse injustifiée à eux-mêmes ou à quelqu'un d'autre ; et

10.1.6 S’opposer à toute décision qui les affecte de manière significative, lorsque cette décision est le résultat d’un processus automatisé sans intervention humaine.

10.2 Une demande de DSAR doit être formulée par écrit. Par conséquent, si un employé de la Société reçoit une demande orale, il doit demander qu'elle soit formulée par écrit. Toute demande écrite de données personnelles émanant d'une personne concernée doit être traitée comme une DSAR. Si un employé de la Société reçoit une DSAR, il doit la transmettre immédiatement au DPD, qui la traitera de manière appropriée ou autorisera le destinataire à y répondre conformément à la présente politique. Il est important que la demande soit immédiatement transmise au DPD, car la Société est tenue par la loi de répondre à une DSAR dans un délai de quarante (40) jours.

Sécurité des données

11.1 La Société doit veiller à ce que des mesures de sécurité appropriées soient prises contre le traitement illicite ou non autorisé des données personnelles et contre la perte ou l'endommagement accidentel des données personnelles. Les personnes peuvent s'adresser aux tribunaux pour obtenir réparation si elles ont subi un préjudice du fait d'une telle perte.

11.2 Les lois sur la protection des données exigent que la Société mette en place des procédures et des technologies pour maintenir la sécurité de toutes les données personnelles depuis le point de collecte jusqu'au point de destruction. Maintenir la sécurité des données signifie garantir la confidentialité, l'intégrité et la disponibilité des données personnelles, définies comme suit :

11.3 La confidentialité signifie que seules les personnes autorisées à utiliser les données personnelles peuvent y accéder.

11.4 L’intégrité signifie que les données personnelles doivent être exactes et adaptées à la finalité pour laquelle elles sont traitées.

11.5 La disponibilité signifie que les utilisateurs autorisés doivent pouvoir accéder aux données personnelles s'ils en ont besoin à des fins autorisées. Les données personnelles ne doivent donc être stockées que sur le système informatique central de la Société et non sur des équipements informatiques individuels (tels que des ordinateurs portables).

11.6 Les mesures suivantes sont prises par la Société pour protéger ses manifestations physiques de données personnelles (c'est-à-dire les documents papier imprimés) contre tout accès non autorisé :

11.6.1 Lorsqu'ils ne sont pas nécessaires, les documents ou les dossiers doivent être conservés dans un tiroir ou un classeur verrouillé ;

11.6.2 Les employés doivent s'assurer que le papier et les impressions ne sont pas laissés là où des personnes non autorisées pourraient les voir, comme sur une imprimante ; et

11.6.3 Les impressions de données doivent être déchiquetées et éliminées de manière sécurisée lorsqu'elles ne sont plus nécessaires.

11.7 Les mesures suivantes sont prises par la Société pour protéger les données personnelles stockées sur ses systèmes informatiques afin qu'aucun accès non autorisé ne se produise :

11.7.1 Tous les employés ayant accès à un ordinateur disposent de leur propre identifiant et mot de passe pour se connecter au système. Dans un délai d'un (1) jour ouvrable à compter de la date à laquelle un employé est licencié ou met fin volontairement à son emploi au sein de la Société, l'identifiant et le mot de passe utilisés par cet employé doivent être désactivés ;

11.7.2 Tous les mots de passe doivent être forts, changés régulièrement et ne jamais être partagés entre les employés ;

11.7.3 Les employés doivent toujours verrouiller ou déconnecter leur ordinateur, ordinateur portable, iPad, tablette, appareil mobile ou autre appareil électronique lorsqu'ils sont laissés sans surveillance ;

11.7.4 Si des données personnelles sont stockées sur des supports amovibles (tels qu'un CD, un DVD ou une clé USB), ceux-ci doivent être conservés sous clé en toute sécurité lorsqu'ils ne sont pas utilisés ;

11.7.5 Les données personnelles doivent, à tout moment, être cryptées à l'aide d'une nouvelle version de la technologie Transport Layer Security (« TLS »), et non de la technologie Secure Socket Layer (« SSL ») ou d'anciennes versions de TLS, y compris lorsque ces données personnelles sont collectées, distribuées et/ou stockées ;

11.7.6 Les données personnelles ne doivent être stockées que sur des lecteurs et des serveurs désignés ;

11.7.7

11.7.8 Les données personnelles sont sauvegardées fréquemment. Ces sauvegardes sont régulièrement testées, conformément aux procédures de sauvegarde standard de la Société ;

11.7.9 Les données personnelles ne doivent jamais être enregistrées directement sur des équipements informatiques (tels que des ordinateurs portables). Les données personnelles doivent toujours être stockées de manière centralisée ;

11.7.10 Tous les serveurs et ordinateurs contenant des données personnelles sont protégés par un logiciel de sécurité approuvé et un pare-feu ; et

11.7.11 Le cas échéant, les données doivent être cryptées avant d'être transmises par voie électronique. Le directeur/responsable des TIC peut expliquer comment envoyer les données aux contacts externes autorisés.

11.8 Tout étranger aperçu dans les zones à entrée contrôlée doit être signalé.

11.9 Le DPD procédera à un examen et à un audit annuels des mesures de cybersécurité et de sécurité physique mises en œuvre par la Société et les mettra à jour, le cas échéant.

11.10 Le DPD a établi un plan complet de réponse aux incidents de cybersécurité et le teste et le met à jour régulièrement, le cas échéant, sur une base annuelle, ou plus tôt si nécessaire.

11.11 Le DPD a mis en place des politiques/technologies pour détecter, répondre et signaler les « violations de données personnelles », qui sont définies dans le RGPD comme des violations de « sécurité entraînant la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé, accidentel ou illicite, de données personnelles transmises, stockées ou traitées d’une autre manière ». Le DPD testera et mettra à jour régulièrement ces politiques/technologies, le cas échéant, sur une base annuelle, ou plus tôt si nécessaire. Le DPD veillera à ce que toutes les violations de données personnelles soient signalées à « l’autorité de contrôle » de chaque État membre de l’UE dans lequel réside une personne concernée impliquée dans une violation de données personnelles dans les soixante-douze (72) heures suivant la violation de données personnelles concernée.

11.12 Le DPD a établi des politiques de continuité des activités/reprise après sinistre et les teste et les met à jour régulièrement sur une base annuelle, ou plus tôt si nécessaire.

Transfert de données La Société transférera des données personnelles de l'EEE vers les États-Unis. Afin de garantir un niveau adéquat de protection des données personnelles des personnes concernées, la Société empêchera le transfert de données personnelles en dehors de l'UE à moins que des protections spécifiques ne soient en place, en particulier que : (a) une décision d'"adéquation" de la Commission européenne selon laquelle le pays en question dispose de niveaux adéquats de lois/infrastructures de protection des données ; ou (b) le destinataire transfrontalier dispose de garanties de données appropriées et que des recours juridiques adéquats sont à la disposition des personnes concernées. La Société ne transférera pas de données en dehors de l'EEE à un tiers à moins que nous n'ayons pris des mesures pour garantir qu'un tel transfert soit effectué en conformité avec : (a) le RGPD ; et (b) toute autre loi applicable sur la protection des données. Divulgation à des tiers Lorsque nous avons obtenu le consentement exprès nécessaire comme l'exigent toutes les lois applicables sur la protection des données (y compris le RGPD), nous pouvons partager les données personnelles que nous détenons avec tout membre de notre groupe, c'est-à-dire nos filiales, notre société holding ultime et ses filiales. La Société peut vendre ou divulguer, sous licence, des contacts/listes marketing à des tiers sélectionnés, mais uniquement lorsque le consentement approprié (en stricte conformité avec toutes les lois sur la protection des données) a été obtenu auprès des personnes concernées qui composent les contacts/listes marketing des personnes concernées. Les employés ne peuvent pas divulguer par inadvertance (ou autrement) des données personnelles à des tiers, à moins que la Société ne les y autorise expressément. À moins que la personne concernée n'ait donné son consentement exprès comme l'exigent toutes les lois applicables sur la protection des données (y compris le RGPD), la Société ne fournira pas ses données personnelles à des tiers à des fins de marketing. La Société doit s'assurer que tout tiers avec lequel elle partage des données personnelles accepte, dans un contrat contraignant, de recevoir, de conserver et de traiter toutes ces données personnelles dans le strict respect de toutes les lois sur la protection des données. En outre, le DPO doit mener une enquête raisonnable sur les politiques et pratiques de protection des données et de conformité de tous ces tiers pour s'assurer que ces tiers sont des destinataires appropriés des données personnelles de la Société. Français En outre, la Société doit s'assurer que tous les tiers avec lesquels elle partage des données personnelles acceptent, dans des contrats contraignants, de répondre immédiatement à toute DSAR qu'ils reçoivent de la Société et/ou d'une personne concernée, et qu'ils se conforment à la DSAR applicable - y compris, le cas échéant, en supprimant les données personnelles de la personne concernée concernée des serveurs, bases de données et autres supports de stockage de données de chacun de ces tiers. Tout employé qui a divulgué des données personnelles à une personne extérieure à la Société, à des tiers sélectionnés ou à toute personne autre que la personne concernée elle-même peut être licencié. Nous sommes en mesure d'envoyer des messages marketing électroniques (tels que des e-mails et des SMS) à nos clients si ces derniers ont donné leur consentement comme l'exigent les lois applicables sur la protection des données. En plus d'obtenir le consentement pour envoyer des communications marketing à nos personnes concernées, nous offrirons toujours à ces personnes concernées la possibilité de se désinscrire ultérieurement des communications marketing et d'être retirées de nos listes de diffusion et des listes de diffusion de tout tiers auquel nous transférons des données personnelles. Nous le faisons en offrant la possibilité de se désinscrire : (a) au moment où les données sont collectées ; (b) via les options de désabonnement énoncées dans notre matériel de marketing et sur notre site Web ; et (c) à tout moment en nous contactant par e-mail, téléphone et/ou courrier. Lorsqu'une personne concernée retire son consentement ou refuse de commercialiser et/ou de traiter ses données personnelles, ses données personnelles seront ajoutées à une liste de suppression, archivées et finalement détruites. Nous obtenons un consentement explicite distinct avant de transmettre des données personnelles à des tiers qui utiliseront les données personnelles à des fins de marketing. Le DPD doit être consulté avant que des communications électroniques ou d'autres messages marketing ne soient envoyés aux personnes concernées. Adresses IP et cookies Nous pouvons collecter des informations sur le comportement des visiteurs de notre site Web. Cela peut inclure, le cas échéant, les adresses IP, le système d'exploitation et les types de navigateur. Les informations que nous collectons sont des données statistiques sur les actions et les modèles de navigation de nos utilisateurs, et n'identifient pas et ne peuvent pas être utilisées pour identifier une personne. Nous utilisons des cookies (petits fichiers électroniques qui collectent des informations lorsque quelqu'un visite un site Web). Nous utilisons des cookies obligatoires, fonctionnels et publicitaires. Français Certains cookies n'existent que lorsque les internautes sont en ligne (cookies de session), mais les cookies persistants restent sur l'ordinateur du visiteur, afin qu'il puisse être reconnu comme un visiteur précédent lors de sa prochaine visite sur notre site Web. Nous fournissons à tous les visiteurs de notre site Web des informations sur les types de cookies que nous utilisons et à quoi nous les utilisons. Le visiteur peut ensuite soumettre ses préférences en matière de cookies. Sans limiter ce qui précède, nous obtenons le consentement séparé des visiteurs de notre site Web avant que nous, ou tout partenaire tiers, n'utilisions des cookies sur notre site Web qui suivent le comportement de navigation sur le Web, les actions et/ou les préférences de l'un de nos visiteurs. Ce consentement peut être révoqué par les visiteurs du site Web à tout moment via les options de préférence en matière de cookies mises à disposition sur notre site Web, ou par e-mail. Obligations des employés Tous les employés s'engagent, grâce à une formation appropriée et à une gestion responsable : à respecter les termes de la présente politique, toutes les formes de directives, codes de pratique et procédures concernant la collecte et l'utilisation des données personnelles ; à comprendre pleinement les finalités pour lesquelles la Société utilise les données personnelles ; à collecter et traiter les données personnelles appropriées uniquement conformément aux finalités pour lesquelles elles doivent être utilisées par la Société pour répondre à ses besoins commerciaux ou aux exigences légales ; Accéder uniquement aux données personnelles dont ils ont besoin pour effectuer correctement leur travail ; S'assurer que les données personnelles sont correctement saisies dans les systèmes de la Société en suivant les protocoles et le format standard de la Société ; Prendre des mesures raisonnables pour garantir que les données personnelles sont conservées aussi exactes et à jour que possible, y compris la mise à jour des données personnelles lorsque des inexactitudes sont découvertes et la confirmation des coordonnées des personnes concernées lorsqu'elles appellent ; S'assurer que les données personnelles sont détruites (conformément aux dispositions des lois sur la protection des données) lorsqu'elles ne sont plus nécessaires ; Dès réception d'une demande d'une personne concernant des données personnelles détenues à son sujet par ou au nom de la Société, avertir immédiatement le DPD ; Dès la découverte d'une violation de données personnelles, d'une violation potentielle de données personnelles ou de toute vulnérabilité de sécurité, quelle qu'elle soit, en informer immédiatement le DPD ; Traiter toutes les données personnelles conformément aux procédures de sécurité de la Société ; et Suivre le programme de formation du personnel. Toute violation des lois sur la protection des données et/ou de la présente politique sera considérée comme une faute grave et pourra entraîner un licenciement. OBLIGATIONS DE L'ENTREPRISE La Société s'engage à : Veiller à ce qu'une seule personne soit toujours responsable en dernier ressort de la protection des données : le DPD. Français Actuellement, ce poste est occupé par Benjamin Maddrell, qui peut être contacté au 917-292-8049 ou à ben.maddrell@gmail.com. Assurer la formation de tous les membres du personnel qui manipulent des données personnelles (si un employé n'est pas sûr de ses responsabilités, il doit en informer le DPD qui examinera si une formation supplémentaire est nécessaire) ; Fournir des lignes claires de reporting et de supervision pour le respect de toutes les lois applicables en matière de protection des données ; Effectuer des contrôles réguliers pour surveiller et évaluer les nouveaux traitements de données personnelles ; Entreprendre une surveillance appropriée et suffisante, y compris des contrôles ponctuels sans préavis, pour s'assurer que les lois sur la protection des données et la présente politique sont respectées par la Société et tous ses employés ; et Examiner et mettre à jour cette politique si nécessaire, au moins une fois par an. l'importance de la conformité Lorsque la Société ne se conforme pas au RGPD, les autorités de contrôle compétentes peuvent imposer : (a) des amendes administratives à la Société d'un montant égal au plus élevé de 20 000 000,00 € ou jusqu'à 4 % du chiffre d'affaires annuel mondial total de la Société de l'exercice précédent ; et (b) tout autre recours que les autorités de contrôle peuvent adopter de temps à autre. Les personnes concernées peuvent intenter une action contre la Société pour obtenir réparation des dommages et/ou préjudices subis à la suite d'une violation du RGPD ou d'autres lois sur la protection des données par la Société concernant leurs données personnelles.