Protection de Données
Applicable à partir du: 25 mai 2018
1 OBJECTIF
Le Global Leisure Group se soucie de la vie privée de ses homologues, partenaires et employés et respecte les réglementations en vigueur en matière de protection des données. Ce document fournit des orientations générales sur la manière dont Global Leisure Group traite les données personnelles.
2 PORTÉE
Tout traitement de données personnelles doit être effectué conformément à la réglementation en vigueur sur la protection des données. La réglementation actuelle en matière de protection des données comprend le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cette politique s’applique à tous les employés et consultants.
3 PRINCIPES FONDAMENTAUX
3.1 Motif légitime
Tout traitement de données personnelles par The Global Leisure Group doit être fondé sur un motif licite. Les motifs légaux comprennent l’exécution d’une tâche dans l’intérêt public et le consentement. Le motif juridique applicable est communiqué à la personne concernée, par ex. en référence aux informations disponibles sur le site Web de The Global Leisure Group. Si un motif légitime ne peut être identifié, le traitement des données personnelles ne doit pas être effectué.
3.2 Limitation de la finalité
Si The Global Leisure Group envisage de traiter des données personnelles à des fins autres que celles pour lesquelles les données personnelles ont été collectées, la finalité ultérieure doit être compatible avec celle d’origine.
3.3 Minimisation des données
Les données personnelles traitées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Il faut s’assurer que les données collectées sont effectivement nécessaires et que les données personnelles ne doivent pas être demandées simplement parce qu’elles pourraient être utiles. Les copies de données et le stockage dans plusieurs systèmes doivent être évités afin de minimiser les sources d’erreur et de faciliter la rectification.
3.4 Précision
Les données personnelles traitées doivent être exactes et, si nécessaire, mises à jour. Prendre les mesures appropriées pour garantir que les données inexactes ou incomplètes soient rectifiées.
3.5 Limitation du stockage
Les données personnelles ne peuvent être conservées sous une forme permettant d’identifier la personne concernée pendant une durée plus longue que nécessaire, eu égard aux finalités du traitement.
3.6 Transfert vers des pays tiers
La position du Global Leisure Group est que, si possible, le traitement des données personnelles devrait avoir lieu à l’intérieur des frontières de l’UE. Le RGPD signifie que tous les États membres de l’UE et les pays de l’EEE offrent le même niveau de protection des données personnelles et de la vie privée, et les données personnelles peuvent donc être transférées librement au sein de cette zone. Les données personnelles ne peuvent être transférées vers des pays tiers (hors UE et EEE) que dans des cas exceptionnels et justifiés. Avant que des données personnelles ne soient transférées vers un pays tiers, il convient de s’assurer qu’il existe un niveau de protection adéquat dans le pays destinataire ou qu’il existe des garanties spécifiques quant à la protection des données personnelles et des droits des personnes concernées. Contactez le coordinateur de sécurité pour obtenir des conseils sur les enquêtes sur les transferts vers des pays tiers.
3.7 Analyse d’impact
Le Groupe Global Leisure dispose d’une procédure spécifique pour identifier et gérer les risques spécifiques en matière de protection des données dans ses opérations, ainsi que d’un suivi structuré. Par exemple, des risques particuliers liés aux droits et libertés des personnes privées peuvent survenir en relation avec un certain type de traitement de données personnelles, notamment d’informations sensibles, un traitement à une échelle particulièrement importante, l’utilisation de nouvelles technologies, etc. Avant le début d’un tel traitement de données personnelles, le coordinateur de la sécurité doit être contacté afin de déterminer si une analyse d’impact est nécessaire. Le cas échéant, une analyse d’impact sera réalisée par la personne responsable à l’aide des conseils fournis par le DPD.
4 ENREGISTREREMENT
Un enregistrement doit être conservé du traitement des données personnelles effectué par The Global Leisure Group et dont The Global Leisure Group est responsable. Le dossier doit contenir des informations statutaires et être tenu à jour.
5 DEMANDE D’ACCÈS
Les particuliers ont le droit de demander si The Global Leisure Group traite leurs données personnelles. Sur demande, The Global Leisure Group doit confirmer si les données personnelles concernant la personne concernée sont traitées ou non et donne accès aux données personnelles et aux informations requises par le RGPD. Des mesures d’identification appropriées et raisonnables doivent être prises pour garantir que les informations sont fournies à la bonne personne.
6 DEMANDE DE RECTIFICATION ET D’ENREGISTREMENT
Une demande de rectification et d’effacement de données personnelles doit être traitée de la manière prescrite par la loi. Si des données personnelles inexactes ont été enregistrées, toutes les mesures raisonnables doivent être prises sans délai pour que les données soient rectifiées ou effacées.
7 ACCORD DE PROCESSEUR DE DONNÉES
Si une partie externe est engagée pour traiter des données personnelles au nom de The Global Leisure Group, un accord de traitement des données doit être conclu. Les instructions de Global Leisure Group au sous-traitant concernant le traitement des données personnelles doivent être énoncées dans l’accord du sous-traitant. Un sous-traitant ne peut être engagé que s’il est en mesure de fournir des garanties suffisantes qu’il mettra en œuvre les mesures techniques et organisationnelles appropriées pour garantir la protection des droits des personnes concernées. Dans la mesure du possible, The Global Leisure Group doit insérer une disposition dans l’accord de sous-traitant selon laquelle le sous-traitant paiera tous les frais encourus pour un contrôle annuel visant à vérifier le respect de la législation en vigueur sur la protection des données, de l’accord de sous-traitant et des instructions de The Global Leisure Group.
8 MESURES DE SÉCURITÉ ET ACCÈS
Les données personnelles doivent être traitées de manière à garantir une sécurité appropriée des données personnelles, en utilisant des mesures techniques et organisationnelles. Le coordinateur de sécurité du Global Leisure Group doit être contacté lorsqu’une enquête sur les mesures techniques et organisationnelles appropriées est évaluée.
9 VIOLATION DE DONNÉES PERSONNELLES
Le Global Leisure Group documente toutes les violations de données personnelles. Le coordinateur de sécurité du Global Leisure Group doit toujours être informé lorsque des violations de données personnelles se produisent. De plus, un e-mail doit être envoyé à GDPRincident@spiglobalplay.com. S’il existe un risque probable pour les droits et libertés des particuliers, celui-ci doit être signalé à l’autorité de contrôle dans les 72 heures. Le Groupe Global Leisure peut être amené à informer les personnes concernées des violations survenues.
