.jpg?width=1440&height=672&name=iStock-1177064020%20(1).jpg)
Déclaration de conformité au GDPR
Notre engagement
Precision Medicine Group et ses filiales ("Precision") s'engagent à garantir la sécurité et la protection des informations personnelles que nous traitons, et à fournir une approche conforme et cohérente de la protection des données. Nous avons toujours mis en place un programme de protection des données solide et efficace, conforme à la législation en vigueur et respectant les principes de protection des données. Cependant, nous reconnaissons nos obligations en matière de mise à jour et d'extension de ce programme pour répondre aux exigences du Règlement général sur la protection des données de l'UE (" RGPD ").
Precision s'engage à protéger les informations personnelles que nous traitons et à développer un régime de protection des données qui soit efficace, adapté à l'objectif visé et qui démontre une compréhension et une appréciation de ce règlement. Notre préparation et nos objectifs en matière de conformité au GDPR sont résumés dans la présente déclaration.
Comment nous nous sommes préparés au GDPR
- Audit des informations - nous avons réalisé un audit des informations à l'échelle de l'entreprise afin d'identifier et d'évaluer les informations personnelles que nous détenons, leur origine, comment et pourquoi elles sont traitées et si elles sont divulguées et à qui elles le sont.
- Politiques et procédures - Nous avons revu nos politiques et procédures de protection des données afin de répondre aux exigences et aux normes du GDPR et de toutes les lois pertinentes en matière de protection des données, y compris :
- Protection des données - notre politique principale et notre document de procédure pour la protection des données répondent aux normes et aux exigences du GDPR. Des mesures de responsabilité et de gouvernance sont en place pour s'assurer que nous comprenons, diffusons et prouvons de manière adéquate nos obligations et nos responsabilités, en mettant l'accent sur les droits des personnes.
- Conservation et effacement des données - nous avons mis en place des procédures d'effacement spécifiques pour répondre à la nouvelle obligation du "droit à l'effacement" et nous savons quand ce droit et d'autres droits de la personne concernée s'appliquent, ainsi que les exemptions, les délais de réponse et les responsabilités en matière de notification.
- Violation de données - nos procédures en cas de violation garantissent que nous disposons de garanties et de mesures permettant d'identifier, d'évaluer, d'examiner et de signaler toute violation de données à caractère personnel dans les plus brefs délais. Nos procédures sont solides et ont été diffusées à tous les employés, les informant des voies de signalement et des étapes à suivre.
- Transferts internationaux de données et divulgations à des tiers - lorsque Precision peut stocker ou transférer des informations personnelles en dehors de l'UE, nous avons mis en place des procédures et des mesures de sauvegarde solides pour sécuriser, crypter et maintenir l'intégrité des données. Nos procédures comprennent un examen continu des pays ayant fait l'objet de décisions d'adéquation suffisantes, ainsi que des dispositions relatives à des règles d'entreprise contraignantes, des clauses standard de protection des données, des clauses contractuelles standard ou des codes de conduite approuvés pour les pays qui n'en ont pas.
- Demande d'accès du sujet (SAR) - nous avons révisé nos procédures SAR pour tenir compte du délai révisé de 30 jours pour fournir les informations demandées et pour assurer la gratuité de cette prestation. Nos nouvelles procédures détaillent comment vérifier la personne concernée, quelles sont les étapes à suivre pour traiter une demande d'accès, quelles sont les exemptions applicables et une série de modèles de réponse pour garantir que les communications avec les personnes concernées sont conformes, cohérentes et adéquates.
- Base juridique du traitement - nous avons examiné toutes les activités de traitement afin d'identifier la base juridique du traitement et de nous assurer que chaque base est appropriée pour l'activité à laquelle elle se rapporte. Le cas échéant, nous tenons également des registres de nos activités de traitement, en veillant à ce que nos obligations au titre de l'article 30 du GDPR et de l'annexe 1 de la loi sur la protection des données soient respectées.
- Avis/politique de confidentialité - nos avis de confidentialité sont conformes au GDPR, garantissant que toutes les personnes dont nous traitons les informations personnelles ont été informées des raisons pour lesquelles nous en avons besoin, de la manière dont elles sont utilisées, de leurs droits, des personnes à qui les informations sont divulguées et des mesures de sauvegarde mises en place pour protéger leurs informations.
- Obtention du consentement - nos mécanismes de consentement pour l'obtention de données à caractère personnel garantissent que les personnes comprennent ce qu'elles fournissent, pourquoi et comment nous les utilisons, et qu'elles disposent de moyens clairs et définis pour consentir au traitement de leurs informations. Nous avons mis au point des procédures rigoureuses d'enregistrement du consentement, en veillant à ce que nous puissions prouver l'existence d'un consentement affirmatif, ainsi que l'enregistrement de l'heure et de la date, et à ce qu'il soit facile de voir et d'accéder à un moyen de retirer le consentement à tout moment.
- Marketing direct - nous avons mis à jour notre formulation et nos procédures pour le marketing direct, y compris des mécanismes d'acceptation clairs pour les abonnements au marketing ; un avis et une méthode clairs pour se désabonner et fournir des fonctions de désabonnement sur tous les documents de marketing ultérieurs.
- Évaluations de l'impact sur la protection des données (DPIA ) - lorsque nous traitons des informations personnelles considérées comme présentant un risque élevé, impliquant un traitement à grande échelle ou comprenant des données relatives à des catégories spéciales ou à des condamnations pénales, nous avons développé des procédures et des modèles rigoureux pour réaliser des évaluations d'impact qui sont entièrement conformes aux exigences de l'article 35 du GDPR.
- Accords de traitement - lorsque nous utilisons des tiers pour traiter des informations personnelles en notre nom, nous disposons d'accords de traitement conformes et de procédures de diligence raisonnable pour nous assurer qu'ils (ainsi que nous) respectent et comprennent leurs/nos obligations au titre du GDPR. Ces mesures comprennent des examens initiaux et continus du service fourni, de la nécessité de l'activité de traitement, des mesures techniques et organisationnelles en place et de la conformité au GDPR.
- Données de catégories spéciales - lorsque nous obtenons et traitons des informations de catégories spéciales, nous le faisons en totale conformité avec les exigences de l'article 9 et disposons d'un cryptage et d'une protection de haut niveau pour toutes ces données. Les données de catégories spéciales ne sont traitées qu'en cas de nécessité et uniquement lorsque nous avons d'abord identifié la base appropriée de l'article 9, paragraphe 2, ou la condition de l'annexe 1 de la loi sur la protection des données. Lorsque nous nous appuyons sur le consentement pour le traitement, celui-ci est explicite et le droit de modifier ou de retirer le consentement est clairement indiqué.
Droits des personnes concernées
Outre les politiques et procédures mentionnées ci-dessus qui garantissent que les personnes peuvent faire valoir leurs droits en matière de protection des données, nous fournissons un accès facile, via notre site web, aux informations concernant le droit d'une personne à accéder à toutes les informations personnelles que Precision traite à son sujet et à demander des informations sur : -
- les données personnelles que nous détenons à leur sujet
- les finalités du traitement
- les catégories de données personnelles concernées
- les destinataires auxquels les données personnelles ont été ou seront divulguées
- la durée pendant laquelle nous avons l'intention de conserver les données à caractère personnel.
- si nous n'avons pas collecté les données directement auprès d'eux, des informations sur la source
- le droit de faire rectifier ou compléter les données incomplètes ou inexactes les concernant et la procédure à suivre pour en faire la demande
- le droit de demander l'effacement des données à caractère personnel (le cas échéant) ou de limiter le traitement conformément aux lois sur la protection des données, ainsi que de s'opposer à tout marketing direct de notre part et d'être informé de toute prise de décision automatisée que nous utilisons
- le droit de déposer une plainte ou de demander un recours judiciaire et de savoir à qui s'adresser dans de tels cas.
Sécurité de l'information et mesures techniques et organisationnelles
Precision prend très au sérieux la confidentialité et la sécurité des individus et de leurs informations personnelles et prend toutes les mesures et précautions raisonnables pour protéger et sécuriser les données personnelles que nous traitons. Nous avons mis en place des politiques, des procédures et des technologies robustes en matière de sécurité de l'information afin de protéger les informations personnelles contre tout accès, modification, divulgation ou destruction non autorisés, et nous disposons de plusieurs niveaux de mesures de sécurité.
Rôles et employés GDPR
Precision a désigné Amy Ford comme notre délégué à la protection des données (DPD) et a nommé une équipe chargée de la confidentialité des données pour développer et mettre en œuvre notre feuille de route pour se conformer aux règlements sur la protection des données. L'équipe est chargée de sensibiliser l'ensemble de l'organisation au GDPR, d'évaluer la conformité au GDPR, d'identifier les éventuelles lacunes et de mettre en œuvre les nouvelles politiques, procédures et mesures.
Si vous avez des questions sur notre conformité au GDPR, veuillez contacter Privacy@precisionmedicinegrp.com.
.png?width=313&height=376&name=Image%2047%20(2).png)