Déclaration de conformité au RGPD pour les études de marché Data Bridge

mai 2018

À propos du RGPD

Le Règlement général européen sur la protection des données (« RGPD ») entre en vigueur dans l’UE le 25 mai 2018 et garantit les changements les plus louables apportés à la législation sur la protection des données au cours des deux dernières décennies. Fondé sur la protection de la vie privée dès la conception et sur une approche basée sur les risques, le RGPD est conçu pour répondre aux exigences de la nouvelle ère numérique.

Notre engagement

DataBridge Market Research Private Ltd (« nous » ou « notre ») s'engage à assurer la sécurité et la protection des informations personnelles que nous traitons, et à fournir une approche conforme et cohérente en matière de protection des données. Nous avons toujours fait tout notre possible pour mettre en place un programme de protection des données solide et efficace, conforme à la loi en vigueur et aux principes de protection des données. Cependant, nous reconnaissons nos obligations de mettre à jour et d'étendre ce programme pour répondre aux exigences du RGPD et du Règlement sur la confidentialité et les communications électroniques (PECR).

DataBridge Market Research Private Ltd se consacre à la protection des informations personnelles relevant de notre compétence et au développement d'un régime de protection des données qui soit efficace, adapté à son objectif et démontre une compréhension et une appréciation du nouveau règlement. Notre préparation et nos objectifs en matière de conformité au RGPD ont été résumés dans cette déclaration et incluent le développement et la mise en œuvre de nouveaux rôles, politiques, procédures, contrôles et mesures en matière de protection des données pour garantir une conformité maximale et continue.

Comment nous nous préparons au RGPD

DataBridge Market Research Private Ltd dispose déjà d’un niveau cohérent de protection et de sécurité des données dans toute notre organisation. Notre préparation comprend : –

• Audit des informations – réalisation d'un audit des informations à l'échelle de l'entreprise pour identifier et évaluer quelles informations personnelles nous détenons, d'où elles proviennent, comment et pourquoi elles sont traitées, où elles sont stockées, et si et à qui elles sont divulguées.
• Politiques et procédures – mise en œuvre de nouvelles politiques et procédures de protection des données pour répondre aux exigences et normes du RGPD et de toute loi pertinente sur la protection des données, notamment :
• Protection des données – notre principal document de politique et de procédure en matière de protection des données a été remanié pour répondre aux normes et exigences du RGPD. Des mesures de responsabilisation et de gouvernance sont en place pour garantir que nous comprenons, diffusons et démontrons de manière adéquate nos obligations et responsabilités ; en mettant l’accent sur la confidentialité dès la conception et les droits des individus.
• Conservation et effacement des données – nous sommes en train de mettre à jour notre politique et notre calendrier de conservation pour garantir que nous respectons les principes de « minimisation des données » et de « limitation de stockage » et que les informations personnelles sont stockées, archivées et détruites de manière conforme et éthique. Nous travaillons activement à la mise en place de procédures d'effacement dédiées pour répondre à la nouvelle obligation du « droit à l'effacement » et savons quand ce droit et d'autres droits de la personne concernée s'appliquent ; ainsi que les éventuelles exemptions, délais de réponse et responsabilités de notification.
•  Violations de données – nos procédures en cas de violation garantissent que nous disposons de garanties et de mesures pour identifier, évaluer, enquêter et signaler toute violation de données personnelles dans les 72 heures suivant la prise de conscience de la violation. Nos procédures sont robustes et ont été diffusées à tous les collaborateurs, les sensibilisant aux lignes hiérarchiques et aux étapes à suivre.

• Transferts internationaux de données et divulgations à des tiers – lorsque DataBridge effectue des études de marché ou transfère des informations personnelles en dehors de l'UE, nous travaillons activement à la mise en place de procédures et de mesures de protection pour sécuriser, chiffrer et maintenir l'intégrité des données. Nos procédures comprendront un examen continu des pays disposant de décisions d'adéquation suffisantes, ainsi que des dispositions relatives aux règles d'entreprise contraignantes ; clauses standard de protection des données ou codes de conduite approuvés pour les pays qui n’en ont pas. Nous effectuerons des contrôles de diligence stricts auprès de tous les destinataires de données personnelles pour évaluer et vérifier qu'ils disposent de garanties appropriées pour protéger les informations, garantir les droits exécutoires des personnes concernées et disposer de recours juridiques efficaces pour les personnes concernées, le cas échéant.

• Demande d'accès à la personne concernée (DSAR) – nous révisons activement nos procédures SAR pour tenir compte du délai révisé de 30 jours pour fournir les informations demandées et pour rendre cette fourniture gratuite. Nos nouvelles procédures détailleront comment vérifier la personne concernée, les étapes à suivre pour traiter une demande d'accès, les exemptions applicables et une suite de modèles de réponse pour garantir que les communications avec les personnes concernées sont conformes, cohérentes et adéquates.

• Base juridique du traitement – ​​nous examinons toutes les activités de traitement pour identifier la base juridique du traitement et nous assurer que chaque base est appropriée à l'activité à laquelle elle se rapporte. Le cas échéant, nous conservons également des enregistrements de nos activités de traitement, garantissant ainsi que nos obligations en vertu de l'article 30 du RGPD et de l'annexe 1 du projet de loi sur la protection des données sont respectées.

• Avis/Politique de confidentialité – nous révisons notre (nos) avis de confidentialité pour nous conformer au RGPD, en garantissant que toutes les personnes dont nous traitons les informations personnelles ont été informées de la raison pour laquelle nous en avons besoin, de la manière dont elles sont utilisées, de leurs droits, de qui. les informations sont divulguées et quelles mesures de sauvegarde sont en place pour protéger leurs informations.

• Obtention du consentement – ​​nous avons révisé nos mécanismes de consentement pour obtenir des données personnelles, en veillant à ce que les individus comprennent ce qu'ils fournissent, pourquoi et comment nous les utilisons et en donnant des moyens clairs et définis de consentir à ce que nous traitions leurs informations. Nous avons développé des processus rigoureux pour enregistrer le consentement, en veillant à ce que nous puissions prouver un consentement affirmatif, ainsi que des enregistrements d'heure et de date ; et un moyen facile à voir et à accéder pour retirer son consentement à tout moment.

• Marketing direct – nous avons révisé la formulation et les processus du marketing direct, y compris des mécanismes d'adhésion clairs pour les abonnements marketing ; un avis clair et une méthode de désinscription et de fourniture de fonctionnalités de désabonnement sur tous les supports marketing ultérieurs.

• Évaluations d'impact sur la protection des données (DPIA) – lorsque nous traitons des informations personnelles considérées comme à haut risque, impliquent un traitement à grande échelle ou incluent des données de catégorie spéciale/condamnation pénale ; nous avons développé des procédures et des modèles d'évaluation rigoureux pour réaliser des analyses d'impact qui sont pleinement conformes aux exigences de l'article 35 du RGPD. Nous avons mis en œuvre des processus de documentation qui enregistrent chaque évaluation, nous permettent d'évaluer le risque posé par l'activité de traitement et de mettre en œuvre des mesures d'atténuation pour réduire le risque présenté à la ou aux personnes concernées.

• Accords de sous-traitant – lorsque nous faisons appel à des tiers pour traiter des informations personnelles en notre nom, nous sommes en train de rédiger des accords de sous-traitant conformes et des procédures de diligence raisonnable pour garantir qu'ils (ainsi que nous) respectent et comprennent leur/notre RGPD. obligations. Ces mesures comprennent des examens initiaux et continus du service fourni, de la nécessité de l'activité de traitement, des mesures techniques et organisationnelles en place et du respect du RGPD.

• Données de catégories spéciales – lorsque nous obtenons et traitons des informations de catégories spéciales, nous le faisons en totale conformité avec les exigences de l'article 9 et disposons de cryptages et de protections de haut niveau sur toutes ces données. Les données de catégorie spéciale ne sont traitées que lorsque cela est nécessaire et ne sont traitées que lorsque nous avons d'abord identifié la base appropriée de l'article 9, paragraphe 2, ou la condition de l'annexe 1 du projet de loi sur la protection des données. Lorsque nous nous appuyons sur le consentement pour le traitement, celui-ci est explicite et vérifié par une signature, le droit de modifier ou de supprimer le consentement étant clairement indiqué.

Droits des personnes concernées

En plus des politiques et procédures mentionnées ci-dessus qui garantissent que les individus peuvent faire valoir leurs droits en matière de protection des données, nous fournissons des informations faciles d'accès sur demande et via notre politique de confidentialité sur le droit d'un individu à accéder à toutes les informations personnelles que DataBridge Market Research Private Ltd traite à son sujet. et pour demander des informations sur : –

• Quelles données personnelles nous détenons à leur sujet
• Les finalités du traitement
• Les destinataires auxquels les données personnelles ont/seront divulguées
• Pendant combien de temps nous avons l'intention de conserver vos données personnelles
• Si nous n'avons pas collecté les données directement auprès d'eux, dans la mesure du possible, des informations sur la source
• Le droit de faire rectifier ou compléter les données incomplètes ou inexactes les concernant et la procédure pour en faire la demande
• Le droit de demander l'effacement des données personnelles (le cas échéant) ou de restreindre le traitement conformément aux lois sur la protection des données, ainsi que de vous opposer à tout marketing direct de notre part et d'être informé de toute prise de décision automatisée que nous utilisons
• Le droit de déposer une plainte ou de demander un recours judiciaire et qui contacter dans de tels cas

Sécurité de l’information et mesures techniques et organisationnelles

DataBridge Market Research Private Ltd prend très au sérieux la confidentialité et la sécurité des individus et de leurs informations personnelles et prend toutes les mesures et précautions raisonnables pour protéger et sécuriser les données personnelles que nous traitons. Nous avons mis en place des politiques et des procédures robustes en matière de sécurité des informations pour protéger les informations personnelles contre tout accès, modification, divulgation ou destruction non autorisés et disposons de plusieurs niveaux de mesures de sécurité, notamment :

• Accréditation Cyber ​​Essentiel.
• Pare-feu de dernière génération avec les derniers correctifs à chaque emplacement.
• VPN sécurisés entre les emplacements régionaux et mondiaux.
• Réseau MPLS reliant les principaux bureaux européens.
• Contrôles stricts de gestion des accès à toutes les zones des serveurs de fichiers.
• Détection des menaces leader du marché avec les derniers correctifs sur tous les serveurs et postes de travail.
• Cryptage des postes de travail et des supports amovibles.
• Sécurité et protection du contrôle Web des appareils leaders sur le marché.
• Gestion des appareils mobiles sur tous les appareils portables appartenant à l'entreprise.
• Tests réguliers de vulnérabilité et d’intrusion.
• Serveurs de messagerie en cluster sur des sites distincts à des fins de reprise après sinistre.
• Résilience totale en cas de basculement du réseau.
• Infrastructure informatique située dans des salles climatisées derrière des portes verrouillées de sécurité.
• Système de rotation de sauvegarde GFS avec supports stockés soit dans des coffres-forts ignifuges, soit hors site.
• * Destruction sécurisée des données une fois l'équipement informatique arrivé en fin de vie.

Rôles et employés du RGPD

DataBridge Market Research Private Ltd a nommé un personnel chargé de la confidentialité des données pour développer et mettre en œuvre notre feuille de route pour se conformer au nouveau règlement sur la protection des données. Le personnel est chargé de promouvoir la sensibilisation au RGPD dans l'ensemble de l'organisation, d'évaluer notre préparation au RGPD, d'identifier les lacunes et de mettre en œuvre les nouvelles politiques, procédures et mesures.

DataBridge Market Research Private Ltd comprend que la sensibilisation et la compréhension continues des employés sont essentielles au maintien de la conformité au RGPD et a impliqué nos employés dans nos plans de préparation. Nous avons mis en œuvre un programme de formation des employés spécifique à nos fonctions commerciales principales qui a été dispensé à tous les employés avant le 25 mai 2018 et qui fait partie de notre programme d'intégration et de formation annuel.