Help Refugees: Politique de protection des données

Introduction

Vocation

L'organisation s'est engagée à faire preuve de transparence quant à la manière dont elle collecte et utilise les données personnelles de son personnel et à respecter ses obligations en matière de protection des données. Cette politique définit l'engagement de l'organisation en matière de protection des données, ainsi que les droits et obligations individuels en matière de données à caractère personnel.

Cette politique s'applique aux données personnelles des candidats à un emploi, des employés, des travailleurs, des sous-traitants, des volontaires, des donateurs et des anciens employés, appelées données personnelles relatives aux ressources humaines.

Ce que cette politique applique à

Cette politique s'applique à Les «données personnelles» sont des informations relatives à une personne pouvant être identifiées à partir de ces informations. Le traitement désigne toute utilisation des données, y compris la collecte, le stockage, la modification, la divulgation ou la destruction de celles-ci.

En outre, un soin particulier sera apporté au traitement des données "Catégories spéciales de données à caractère personnel », à savoir des informations sur l'origine raciale ou ethnique d'un individu, ses opinions politiques, ses convictions religieuses ou philosophiques, son appartenance à un syndicat, sa santé, sa vie sexuelle ou son orientation sexuelle et ses données biométriques. Un soin similaire sera apporté au traitement des «données de casier judiciaire», à savoir des informations sur les condamnations pénales et les infractions d'un individu, ainsi que des informations relatives à des allégations et à des procédures pénales.

Principes de protection des données

L'organisation traite les données à caractère personnel relatives aux ressources humaines conformément aux principes de protection des données suivants:

  • L'organisation traite les données à caractère personnel de manière licite, équitable et transparente.
  • L'organisation ne collecte des données personnelles qu'à des fins spécifiées, explicites et légitimes.
  • L'organisation traite des données à caractère personnel uniquement lorsque celles-ci sont adéquates, pertinentes et limitées à ce qui est nécessaire aux fins du traitement.
  • L'organisation conserve des données personnelles précises et prend toutes les mesures raisonnables pour s'assurer que les données personnelles inexactes soient rectifiées ou supprimées sans délai.
  • L'organisation conserve les données personnelles uniquement pendant la période nécessaire au traitement.
  • L'organisation adopte les mesures appropriées pour assurer la sécurité des données personnelles, leur protection contre le traitement non autorisé ou illégal, ainsi que pour la perte, la destruction ou les dommages accidentels.

L'organisation détiendra et traitera des données à caractère personnel relatives aux ressources humaines (y compris des catégories particulières de données à caractère personnel) qui ont été ou seront obtenues à l'avenir par l'organisation à des fins liées à l'administration, à la gestion et au fonctionnement de son emploi ou de son engagement salaires et tenue des registres de présences, de performances et de conduite) ou par rapport aux obligations légales ou aux besoins opérationnels de l’organisation. Ce traitement sera effectué par l'organisation car: il est nécessaire à l'exécution du contrat de travail ou de tout autre contrat en vertu duquel la personne est engagée; est nécessaire pour se conformer à une obligation légale à laquelle l'organisation est soumise; et / ou est nécessaire aux fins des intérêts légitimes défendus par l'organisation. À l'occasion, l'organisation s'appuiera également sur son consentement et, si tel est le cas, son consentement peut être retiré en avisant l'organisation.

L'organisation indiquera aux individus les raisons du traitement de leurs données personnelles, comment elle les utilise et la base légale pour le traitement de ses avis de confidentialité. Il ne traitera pas les données personnelles d'individus pour d'autres raisons.

L'organisation mettra à jour rapidement les données personnelles relatives aux ressources humaines si une personne informe que ses informations ont changé ou sont inexactes.

Les données personnelles recueillies au cours de la relation d'emploi, de travailleur, de contractant, de donateur ou de bénévole sont conservées dans le dossier personnel de l'individu (en format papier ou électronique, ou les deux), ainsi que dans les systèmes de ressources humaines. Les périodes pendant lesquelles l’organisation détient des données à caractère personnel relatives aux ressources humaines varieront en fonction des informations détenues. Toutefois, pour la plupart des données relatives au personnel lié aux ressources humaines, sept ans au plus à compter de la fin de la relation, mais certains enregistrements devront être conservés. plus long pour, par exemple, s’assurer qu’un dossier est conservé sur qui a été employé et quand.

L'organisation conserve une trace de ses activités de traitement des données à caractère personnel relatives aux ressources humaines, conformément aux exigences du règlement général sur la protection des données (RPG).

Droits individuels

En tant que personne concernée par les données, les individus jouissent d'un certain nombre de droits sur leurs données personnelles.

Demandes d'accès sujet

Les individus ont le droit de faire une demande d'accès au sujet. Si une personne fait une demande d'accès au sujet, l'organisation lui dira:

  • si ses données sont ou non traitées et, dans l'affirmative, pourquoi, les catégories de données à caractère personnel concernées et la source des données si elles ne sont pas collectées auprès de l'individu;
  • à qui ses données sont ou pourraient être divulguées, y compris à des destinataires situés en dehors de l'Espace économique européen (EEE) et aux garanties applicables à de tels transferts;
  • pendant combien de temps ses données personnelles sont stockées (ou comment cette période est décidée);
  • ses droits de rectification ou de suppression des données, ou de restreindre ou de s’opposer au traitement;
  • son droit de porter plainte auprès du commissaire à l'information s'il pense que l'organisation n'a pas respecté ses droits en matière de protection des données; et
  • si l'organisation prend en charge la prise de décision automatisée et la logique impliquée dans une telle prise de décision.

L'organisation fournira également à la personne une copie des données à caractère personnel en cours de traitement. Ce sera normalement sous forme électronique si la personne a fait une demande par voie électronique, à moins qu'il / elle n'en convienne autrement.

Si la personne souhaite obtenir des copies supplémentaires, l'organisation facturera des frais, qui seront basés sur les coûts administratifs supportés par l'organisation pour fournir les copies supplémentaires.

Pour faire une demande d'accès au sujet, l'individu doit envoyer la demande à la personne identifiée. Dans certains cas, l’organisation devra peut-être demander une preuve d’identité avant que la demande puisse être traitée. L'organisation informera la personne si elle doit vérifier son identité et les documents qu'elle requiert.

L'organisation répond normalement à une demande dans un délai d'un mois à compter de la date de réception. Dans certains cas, par exemple lorsque l’organisation traite de grandes quantités de données, elle peut répondre dans les trois mois suivant la date à laquelle la demande est reçue. L’organisation écrira à la personne dans un délai d’un mois à compter de la réception de la demande initiale pour lui dire si tel est le cas.

Si une demande d'accès au sujet est manifestement non fondée ou excessive, l'organisation n'est pas obligée de s'y conformer. Sinon, l’organisation peut accepter de répondre mais facturera des frais qui seront basés sur les coûts administratifs liés à la réponse à la demande. Une demande d'accès au sujet est susceptible d'être manifestement non fondée ou excessive lorsqu'elle répète une demande à laquelle l'organisation a déjà répondu. Si une personne soumet une demande non fondée ou excessive, l’organisation l’avertira que tel est le cas et si elle y répond ou non.

Autres droits

Les individus ont plusieurs autres droits en ce qui concerne leurs données personnelles. Ils peuvent demander à l'organisation de:

  • rectifier les données inexactes;
  • arrêter le traitement ou effacer les données qui ne sont plus nécessaires aux fins du traitement;
  • arrêter le traitement ou effacer les données si les intérêts de l'individu l'emportent sur les motifs légitimes de traitement des données de l'organisation (dans les cas où l'organisation s'appuie sur ses intérêts légitimes pour justifier le traitement des données);
  • arrêter le traitement ou effacer les données si le traitement est illégal; et
  • arrêtez le traitement des données pendant une période si les données sont inexactes ou s'il existe un désaccord sur le point de savoir si les intérêts de l'individu l'emportent sur les motifs légitimes de l'organisation pour le traitement des données.

Pour demander à l'organisation de suivre l'une de ces étapes, la personne doit envoyer la demande à la personne identifiée dans cette politique.

Sécurité des données

L'organisation prend au sérieux la sécurité des données personnelles relatives aux ressources humaines. L'organisation a mis en place des politiques et des contrôles internes pour protéger les données personnelles contre la perte, la destruction accidentelle, l'utilisation abusive ou la divulgation, et pour garantir que les données ne sont pas consultées, sauf par les employés dans l'exercice de leurs fonctions.

Lorsque l'organisation fait appel à des tiers pour traiter des données à caractère personnel en son nom, elle les fait sur la base d'instructions écrites, est soumise à une obligation de confidentialité et est tenue de mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données.

Violations de données

Si l'organisation découvre qu'il y a eu violation des données à caractère personnel relatives aux ressources humaines qui pose un risque pour les droits et libertés des personnes, elle le signalera au Commissaire à l'information dans les heures 72 suivant la découverte. L'organisation enregistrera toutes les violations de données, quel que soit leur effet.

Si la violation est susceptible de présenter un risque élevé pour les droits et libertés des personnes, elle informera les personnes concernées de la violation et leur fournira des informations sur ses conséquences probables et les mesures d'atténuation qu'elle a prises.

Transferts internationaux de données

L'organisation ne transmettra pas de données à caractère personnel relatives aux ressources humaines à des pays extérieurs à l'EEE.

Responsabilités individuelles

Il incombe aux individus d’aider l’organisation à maintenir leurs données personnelles à jour. Les individus doivent informer l’organisation si les données fournies à l’organisation changent, par exemple si un particulier déménage ou modifie ses coordonnées bancaires.