Mi CuentaCarrito

Bienvenido al sitio web Gifts Tomorrow

Elija entre cientos de ideas para regalos

Con una variedad de opciones de entrega

CKB Ltda.

Política de protección de datos

Diciembre 2021

1. Introducción
Esta Política establece las obligaciones de CKB Ltd ® y las marcas de su grupo, incluidas Lanyards Tomorrow ®, Gifts Tomorrow ™ y Bar Amigos ® ("la Compañía"), una Compañía registrada en Inglaterra con el número 07123102 (número de IVA 991324508), cuya dirección registrada es St. Christopher's House, Ridge Road, Letchworth Garden City, Hertfordshire, SG6 1PT, Inglaterra y cuya dirección comercial principal es Unit 5, Business Centre East, Fifth Avenue, Letchworth Garden City, Hertfordshire, SG6 2TS, en lo que respecta a la protección de datos y los derechos de sus clientes (usuarios del sitio web), contactos comerciales, contratistas, etc., conocidos en conjunto como "sujetos de datos" con respecto a sus datos personales según la legislación de protección de datos, incluida la Ley de Protección de Datos del Reino Unido de 2018 y el RGPD del Reino Unido (Reglamento general de protección de datos - " GDPR ”).
El RGPD define "datos personales" como cualquier información relacionada con una persona física identificada o identificable (un "interesado"); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea, o a uno o más factores específicos de la física, fisiológica , identidad genética, mental, económica, cultural o social de esa persona física que está en posesión o es probable que entre en posesión del controlador de datos (la Compañía en este contexto).
Esta Política establece las obligaciones de la Compañía con respecto a la recopilación, procesamiento, transferencia, almacenamiento y disposición de datos personales. Los procedimientos y principios establecidos en este documento deben ser seguidos en todo momento por la Compañía. La Compañía debe asegurarse de que cualquier parte que trabaje en nombre de la Compañía trate adecuadamente los datos personales.
La Compañía está comprometida no solo con la letra de la ley, sino también con el espíritu de la ley y otorga gran importancia al manejo correcto, legal y justo de todos los datos personales, respetando los derechos legales, la privacidad y la confianza de todos. individuos con los que trata. Como tal, la Compañía ha analizado Nuestro sitio, incluido su atractivo con respecto al Código de diseño apropiado para la edad 2020.

2. Definiciones

"consentimiento"

significa el consentimiento del interesado, que debe ser una indicación libre, específica, informada e inequívoca de los deseos del interesado mediante la cual, mediante una declaración o una acción afirmativa clara, manifiestan su acuerdo con el procesamiento de los datos personales relacionados a ellos;

"controlador de datos"

significa la persona física o jurídica u organización que, sola o conjuntamente con otros, determina los propósitos y medios del procesamiento de datos personales;

"procesador de datos"

significa una persona física o jurídica u organización que procesa datos personales en nombre de un controlador de datos;

"Sujeto de datos"

significa una persona física viva, identificada o identificable sobre quien la Compañía tiene datos personales;

"EEE"

significa el Espacio Económico Europeo, compuesto por todos los Estados miembros de la UE, Islandia, Liechtenstein y Noruega;

"Nuestro sitio"

se refiere a todos y cada uno de los sitios web de marcas de empresas del grupo CKB Ltd ®, incluidos www.ckbltd.com, www.lanyardstomorrow.co.uk y www.giftstomorrow.co.uk www.ckbltd.com actúa como un portal solo para acceder a los sitios web transaccionales de nuestra empresa asociada de www.giftstomorrow.co.uk y www.lanyardstomorrow.co.uk. Nuestro sitio de empresa a empresa de www.wholesalegiftstomorrow.co.uk es un sitio no transaccional. 

 

"información personal"

significa cualquier información relacionada con un sujeto de datos que pueda ser identificado, directa o indirectamente, en particular por referencia a un identificador como un nombre, número de identificación, datos de ubicación, un identificador en línea, o uno o más factores específicos del físico, identidad fisiológica, genética, mental, económica, cultural o social del interesado;

"Violación de datos personales"

significa una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o procesados ​​de otra manera, de forma accidental o ilegal;

"tratamiento"

significa cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por medios automatizados o no, tales como recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción;

"Seudonimización"

significa el procesamiento de datos personales de tal manera que los datos personales ya no puedan atribuirse a un sujeto de datos específico sin el uso de información adicional, siempre que dicha información adicional se mantenga por separado y esté sujeta a medidas técnicas y organizativas para garantizar que los datos personales no se atribuyen a una persona física identificada o identificable; y

"Datos personales de categoría especial"

significa datos personales que revelan origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, salud, vida sexual, orientación sexual, datos biométricos o genéticos.

 

3. Los principios de protección de datos
Esta Política tiene como objetivo garantizar el cumplimiento de la GDPR. El GDPR establece los siguientes principios que debe cumplir cualquier parte que maneje datos personales. Todos los datos personales deben ser:
3.1 Procesado legalmente, de manera justa y transparente en relación con el interesado.
3.2 Recolectado para propósitos específicos, explícitos y legítimos y no procesarse más de una manera que sea incompatible con esos propósitos. El procesamiento posterior con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos no se considerará incompatible con los fines iniciales.
3.3 Adecuado, relevante y limitado a lo necesario en relación con los propósitos
para el que se procesa.
3.4 Preciso y, cuando sea necesario, actualizado. Se deben tomar todas las medidas razonables para garantizar que los datos personales que sean inexactos, teniendo en cuenta los fines para los que se procesan, se borran o se rectifican sin demora.
3.5 Conservados en un formato que permita la identificación de los interesados ​​durante un período no superior al necesario para los fines para los que se procesan los datos personales. Los datos personales pueden almacenarse durante períodos más largos en la medida en que los datos personales se procesarán únicamente con fines de archivo en el interés público, fines de investigación científica o histórica o fines estadísticos, sujeto a la implementación de las medidas técnicas y organizativas apropiadas requeridas por el GDPR en para salvaguardar los derechos y libertades del interesado.
3.6 Procesados ​​de una manera que garantice la seguridad adecuada de los datos personales, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida accidental, destrucción o daño, utilizando las medidas técnicas u organizativas adecuadas.

4. Los derechos de los interesados
El GDPR establece los siguientes derechos aplicables a los interesados ​​(consulte las partes de esta política indicadas para obtener más detalles):
4.1 El derecho a ser informado (Parte 14).
4.2 El derecho de acceso (Parte 15;
4.3 El derecho a la rectificación (Parte 16;
4.4 El derecho a borrar (también conocido como el "derecho a ser olvidado") (Parte 17);
4.5 El derecho a restringir el procesamiento (Parte 18);
4.6 El derecho a la portabilidad de datos (Parte 19);
4.7 El derecho a oponerse (Parte 20); y
4.8 Derechos con respecto a la toma de decisiones y la elaboración de perfiles automatizados (partes 21 y 22).

5. Procesamiento de datos legal, justo y transparente
5.1 El RGPD busca garantizar que los datos personales se procesen de manera legal, justa y transparente, sin afectar negativamente los derechos del interesado. El RGPD establece que el procesamiento de datos personales será legal si se aplica al menos uno de los siguientes:
5.1.1 El interesado ha dado su consentimiento para el procesamiento de sus datos personales para uno o más propósitos específicos;
5.1.2 El procesamiento es necesario para la ejecución de un contrato del cual el interesado es parte, o para tomar medidas a solicitud del interesado antes de celebrar un contrato con ellos;
5.1.3 El procesamiento es necesario para cumplir con una obligación legal a la que está sujeto el controlador de datos;
5.1.4 El procesamiento es necesario para proteger los intereses vitales del interesado o de otra persona física;
5.1.5 El procesamiento es necesario para el desempeño de una tarea realizada en interés público o en el ejercicio de la autoridad oficial conferida al controlador de datos; o
5.1.6 El procesamiento es necesario para los fines de los intereses legítimos perseguidos por el controlador de datos o por un tercero, excepto cuando dichos intereses sean anulados por los derechos y libertades fundamentales del interesado que requieren protección de datos personales, en particular donde el interesado es un niño.
5.2 La Compañía no procesa “datos de categoría especial” (también conocidos como “datos personales confidenciales”) en su sitio web como se define en el GDPR. Los “datos de categoría especial” incluyen, por ejemplo, datos relacionados con la raza, el origen étnico, la política, la religión, la afiliación sindical, la genética, la biometría (si se usan con fines de identificación), salud, vida sexual u orientación sexual del sujeto de los datos. Los empleados de la Compañía deben consultar la Política de protección de datos de empleados correspondiente.
5.3 Al tiempo que respalda la transparencia, la Compañía también debe ser consciente de su requisito de proteger su conocimiento y seguridad comercial. Si un interesado desea consultar más detalles sobre terceros con los que trabaja la Compañía, etc., comuníquese con el Oficial de Protección de Datos en la Unidad 5, Centro de Negocios Este, Quinta Avenida, Letchworth Garden City, Herts, SG6 2TS.

6. Consentimiento
Si se confía en el consentimiento como base legal para recopilar, mantener y / o procesar cualquier dato personal, se aplicará lo siguiente:
6.1 El consentimiento es una indicación clara por parte del interesado de que acepta el procesamiento de sus datos personales. Una indicación tan clara puede tomar la forma de una declaración o una acción positiva. Es poco probable que el silencio, las casillas marcadas previamente o la inactividad equivalgan a consentimiento.
6.2 Cuando el consentimiento se da en un documento que incluye otros asuntos, la sección que trata del consentimiento debe mantenerse claramente separada de esos otros asuntos.
6.3 Los interesados ​​son libres de retirar su consentimiento en cualquier momento y se les debe facilitar hacerlo. Si un interesado retira su consentimiento, su solicitud debe cumplirse de inmediato.
6.4 Si los datos personales se van a procesar para un propósito diferente que es incompatible con el propósito o los propósitos para los que se recopilaron originalmente esos datos personales que no se revelaron al interesado cuando dio su consentimiento por primera vez, consentimiento para el nuevo propósito o propósitos puede ser necesario obtenerlo del interesado.
6.5 En todos los casos en los que se confía en el consentimiento como base legal para recopilar, mantener y / o procesar datos personales, se deben mantener registros de todos los consentimientos obtenidos para garantizar que la Compañía pueda demostrar su cumplimiento con los requisitos de consentimiento.

7. Fines específicos, explícitos y legítimos
7.1 La Compañía recopila y procesa los datos personales establecidos en la Parte 23 de esta Política. Esto incluye:
7.1.1 Datos personales recopilados directamente de los interesados. Por ejemplo, los datos de contacto utilizados cuando un interesado se comunica con la Compañía con el propósito de esa comunicación / cumplimiento de un pedido; y
7.1.2 Datos personales obtenidos de terceros. Por ejemplo, portales de mercado donde la Compañía también vende sus productos como Amazon para cumplir con los pedidos. Tenga en cuenta que dichos portales del mercado operarán sus propias políticas de privacidad y protección de datos.
7.2 La Compañía solo recopila, procesa y mantiene datos personales para los fines específicos establecidos en la Parte 23 de esta Política (o para otros fines expresamente permitidos por el GDPR).
7.3 Los sujetos de los datos se mantienen informados en todo momento del propósito o fines para los cuales la Compañía utiliza sus datos personales. Consulte la Parte 14 para obtener más información sobre cómo mantener informados a los interesados.

8. Procesamiento de datos adecuado, relevante y limitado
8.1 La Compañía solo recopilará y procesará datos personales para y en la medida necesaria para el propósito o propósitos específicos de los cuales los sujetos de los datos han sido informados (o serán informados) según la Parte 5, arriba, y según lo establecido en la Parte 23, abajo.

9. Precisión de datos y mantenimiento de datos actualizados
9.1 La Compañía se asegurará de que todos los datos personales recopilados, procesados y almacenados por ella se mantengan precisos y actualizados. Esto incluye, pero no se limita a, la rectificación de datos personales a solicitud de un interesado, como se establece en la Parte 16, a continuación.
9.2 Se comprobará la exactitud de los datos personales cuando se recopilen. El tiempo de respuesta desde la recepción del pedido hasta su procesamiento no es largo y, como tal, no existe la oportunidad o el requisito de volver a verificar la precisión de los datos en otro momento en el futuro. Si un cliente se pone en contacto con un pedido entre la recepción y el procesamiento, su solicitud para modificar los datos proporcionados se cumplirá siempre que sea posible (por ejemplo, modificando la dirección de entrega de un producto). Si se determina que algún dato personal es inexacto o no está actualizado, se tomarán todas las medidas razonables sin demora para modificar o borrar esos datos, según corresponda.

10. Retención de datos
10.1 La Compañía no conservará los datos personales por más tiempo del necesario a la luz del propósito o propósitos para los cuales los datos personales se recopilaron, conservaron y procesaron originalmente.
10.2 Cuando los datos personales ya no sean necesarios, se tomarán todas las medidas razonables para borrarlos o eliminarlos sin demora.
10.3 Para obtener detalles completos sobre el enfoque de la Compañía para la retención de datos, incluidos los períodos de retención para tipos de datos personales específicos en poder de la Compañía, consulte nuestra Política de retención de datos.

11. Procesamiento seguro
11.1 La Compañía se asegurará de que todos los datos personales recopilados, retenidos y procesados se mantengan seguros y protegidos contra el procesamiento no autorizado o ilegal y contra pérdidas, destrucción o daños accidentales. En las Partes 24 a 29 de esta Política se proporcionan más detalles sobre las medidas técnicas y organizativas que se tomarán.

12. Rendición de cuentas y mantenimiento de registros
12.1 El Oficial de Protección de Datos de la Compañía es el titular de la posición del Secretario de la Compañía, CKB Ltd, de la Unidad 5, Centro de Negocios Este, Quinta Avenida, Letchworth Garden City, Hertfordshire, SG6 2TS.
12.2 El Oficial de Protección de Datos será responsable de supervisar la implementación de esta Política y de monitorear el cumplimiento de esta Política, las demás políticas relacionadas con la protección de datos de la Compañía, y con el GDPR y otras leyes de protección de datos aplicables.
12.3 La Compañía mantendrá registros internos escritos de toda la recopilación, tenencia y procesamiento de datos personales, que incorporará la siguiente información:
12.3.1 El nombre y los detalles de la Compañía, su Oficial de Protección de Datos, si está disponible, y los procesadores de datos de terceros correspondientes;
12.3.2 Los fines para los cuales la Compañía recopila, retiene y procesa datos personales;
12.3.3 Detalles de las categorías de datos personales recopilados, retenidos y procesados ​​por la Compañía, y las categorías de sujetos de datos con los que se relacionan esos datos personales;
12.3.4 Detalles de cualquier transferencia de datos personales a países no pertenecientes al Espacio Económico Europeo (“EEE”), incluidas las salvaguardias de seguridad (consulte la Parte 30 sobre el impacto del Brexit);
12.3.5 Detalles de cuánto tiempo los datos personales serán retenidos por la Compañía (consulte la Política de retención de datos de la Compañía); y
12.3.6 Descripciones de las medidas técnicas y organizativas adoptadas según lo comunicado por la Compañía para garantizar la seguridad de los datos personales.
12.4 Si se encuentra en la Unión Europea, puede dirigir consultas relacionadas con la privacidad a nuestro Representante de la UE de conformidad con el Artículo 27 UE-GDPR:

EU-REP.Global GmbH
www.eu-rep.global
A la atención de: CKB Ltd.
Hopfenstr. 1d, 24114 Kiel, Alemania
[correo electrónico protegido]

13. Evaluaciones de impacto de protección de datos y privacidad por diseño
13.1 De acuerdo con los principios de 'privacidad por diseño', la Compañía llevará a cabo Evaluaciones de Impacto de Protección de Datos para todos y cada uno de los nuevos proyectos y / o nuevos usos de datos personales que involucren el uso de nuevas tecnologías y el procesamiento involucrado probablemente resulte en un alto riesgo para los derechos y libertades de los interesados ​​bajo el GDPR.
13.2 Los principios de 'privacidad por diseño' deben seguirse en todo momento al recopilar, mantener y procesar datos personales de los empleados. Deben tenerse en cuenta los siguientes factores:
13.2.1 la naturaleza, alcance, contexto y propósito o propósitos de la recopilación, tenencia y procesamiento;
13.2.2 el estado del arte de todas las medidas técnicas y organizativas relevantes que se tomarán;
13.2.3 el costo de implementar tales medidas; y
13.2.4 los riesgos planteados a los interesados ​​de los datos de los empleados y a la Compañía, incluida su probabilidad y gravedad.
13.3 Las evaluaciones de impacto de la protección de datos serán supervisadas por el oficial de protección de datos y abordarán lo siguiente:
13.3.1 Los tipos de datos personales que se recopilarán, conservarán y procesarán;
13.3.2 El (los) propósito (s) para los cuales se usarán los datos personales;
13.3.3 Los objetivos de la Compañía;
13.3.4 Cómo se utilizarán los datos personales;
13.3.5 Las partes (internas y / o externas) a las que se va a consultar, en su caso;
13.3.6 La necesidad y la proporcionalidad del procesamiento de datos con respecto a los fines para los que se procesa;
13.3.7 Riesgos para los interesados;
13.3.8 Riesgos planteados tanto dentro como para la Compañía; y
13.3.9 Medidas propuestas para minimizar y manejar los riesgos identificados.

14. Mantener informados a los interesados
14.1 La Compañía proporcionará la información establecida en la Parte 14.2 a cada interesado (nb, consulte las políticas de protección de datos / GDPR de la Compañía para obtener este detalle):
14.1.1 Cuando los datos personales se recopilan directamente de los interesados, dichos interesados serán informados de su propósito en el momento de la recopilación; y
14.1.2 Cuando los datos personales se obtienen de un tercero (por ejemplo, un sitio de mercado en el que se venden sus productos), el tercero debe informar a los interesados de su propósito:
a) si los datos personales se utilizan para comunicarse con el interesado, cuando se realiza la primera comunicación; o
b) si los datos personales se transferirán a otra parte, antes de que se realice dicha transferencia; o
c) tan pronto como sea razonablemente posible y, en cualquier caso, no más de un mes después de la obtención de los datos personales.
14.2 Se proporcionará la siguiente información:
14.2.1 Detalles de la Compañía que incluyen, entre otros, la identidad de su Oficial de protección de datos, si está disponible;
14.2.2 El (los) propósito (s) para los cuales se recopilan y procesan los datos personales (como se detalla en la Parte 23 de esta Política) y la base legal que justifica esa recopilación y procesamiento;
14.2.3 Cuando corresponda, los intereses legítimos sobre los cuales la Compañía justifica su recopilación y procesamiento de datos personales;
14.2.4 Cuando los datos personales no se obtienen directamente del interesado, las categorías de datos personales recopilados y procesados;
14.2.5 Cuando los datos personales se vayan a transferir a uno o más terceros, detalles de esos terceros. Los detalles de terceros no se enumeran aquí por razones del requisito de la Compañía de proteger su conocimiento comercial y seguridad. Si un interesado desea obtener más información sobre los detalles de terceros con los que trabaja la Compañía, etc., comuníquese con el Oficial de Protección de Datos en Unit 5, Business Center East, Fifth Avenue, Letchworth Garden City, Herts, SG6 2TS).
14.2.6 Cuando los datos personales se van a transferir a un tercero que se encuentra fuera del Reino Unido, los detalles de esa transferencia, incluidas, entre otras, las salvaguardas vigentes (consulte la Parte 30 de esta Política para obtener más detalles). Consulte también la Parte 14.2.5 relativa a la protección del conocimiento y la seguridad empresarial;
14.2.7 Detalles de retención de datos;
14.2.8 Detalles de los derechos del interesado bajo el RGPD;
14.2.9 Detalles del derecho del interesado a retirar su consentimiento para el procesamiento de sus datos personales por parte de la Compañía en cualquier momento;
14.2.10 Detalles del derecho del interesado a presentar una queja ante la Oficina del Comisionado de Información (la "autoridad de supervisión" bajo el RGPD);
14.2.11 Cuando corresponda, detalles de cualquier requisito u obligación legal o contractual que requiera la recopilación y el procesamiento de los datos personales y detalles de cualquier consecuencia de no proporcionarlos; y
14.2.12 Detalles de cualquier toma de decisiones automatizada o elaboración de perfiles que llevará a cabo la Compañía utilizando los datos personales, incluida información sobre cómo se tomarán las decisiones, la importancia de esas decisiones y las consecuencias.

15. Acceso del interesado
15.1 Los interesados ​​pueden hacer solicitudes de acceso a los sujetos ("SAR") en cualquier momento para obtener más información sobre los datos personales que la Compañía tiene sobre ellos, qué está haciendo con esos datos personales y por qué.
15.2 Los interesados ​​que deseen realizar un SAR pueden hacerlo por escrito, proporcionando todos los detalles necesarios. Los SAR deben dirigirse al Oficial de Protección de Datos de la Compañía en la Unidad 5, Centro de Negocios Este, Quinta Avenida, Letchworth Garden City, Hertfordshire, SG6 2TS.
15.3 Las respuestas a los SAR se harán normalmente en el plazo de un mes a partir de su recepción, sin embargo, esto puede extenderse hasta dos meses si el SAR es complejo y / o se realizan numerosas solicitudes. Si se requiere dicho tiempo adicional, se informará al interesado.
15.4 Todos los SAR recibidos serán manejados por el Oficial de Protección de Datos de la Compañía.
15.5 La Compañía no cobra una tarifa por el manejo de SAR normales. La Compañía se reserva el derecho de cobrar tarifas razonables por copias adicionales de información que ya se ha suministrado a un interesado, y por solicitudes que son manifiestamente infundadas o excesivas, particularmente cuando tales solicitudes son repetitivas.

16. Rectificación de datos personales
16.1 Los interesados ​​tienen derecho a exigir a la Compañía que rectifique cualquiera de sus datos personales que sea inexacto o incompleto.
16.2 La Compañía rectificará los datos personales en cuestión e informará al interesado de dicha rectificación, dentro de un mes a partir de que el interesado informe a la Compañía del problema. El período puede extenderse hasta dos meses en el caso de solicitudes complejas. Si se requiere dicho tiempo adicional, se informará al interesado.
16.3 En el caso de que los datos personales afectados hayan sido revelados a terceros, se informará a dichas partes de cualquier rectificación que deba hacerse a dichos datos personales.

17. Eliminación de datos personales
17.1 Los interesados ​​tienen derecho a solicitar que la Compañía borre los datos personales que tiene sobre ellos en las siguientes circunstancias:
17.1.1 Ya no es necesario que la Compañía mantenga esos datos personales con respecto a los fines para los cuales se recopilaron o procesaron originalmente;
17.1.2 El interesado desea retirar su consentimiento para que la Compañía posea y procese sus datos personales;
17.1.3 El interesado se opone a que la Compañía posea y procese sus datos personales (y no existe un interés legítimo absoluto para permitir que la Compañía continúe haciéndolo) (consulte la Parte 20 de esta Política para obtener más detalles sobre el derecho a oponerse);
17.1.4 Los datos personales han sido procesados ​​ilegalmente; o
17.1.5 Los datos personales deben borrarse para que la Compañía cumpla con una obligación legal particular.
17.2 A menos que la Compañía tenga motivos razonables para negarse a borrar los datos personales, todas las solicitudes de borrado deberán cumplirse, y el interesado deberá ser informado del borrado, dentro de un mes a partir de la recepción de la solicitud del interesado. El período puede extenderse hasta dos meses en el caso de solicitudes complejas. Si se requiere dicho tiempo adicional, se informará al interesado.
17.3 En el caso de que cualquier dato personal que deba borrarse en respuesta a la solicitud de un interesado haya sido revelado a terceros, se informará a esas partes sobre el borrado (a menos que sea imposible o requiera un esfuerzo desproporcionado para hacerlo).

18. Restricción del procesamiento de datos personales
18.1 Los interesados ​​pueden solicitar que la Compañía deje de procesar los datos personales que tiene sobre ellos. Si un sujeto de datos realiza una solicitud de este tipo, la Compañía retendrá solo la cantidad de datos personales relacionados con ese sujeto de datos (si corresponde) que sea necesaria para garantizar que los datos personales en cuestión no se procesen más. Los registros históricos pueden conservarse por ciertas razones, incluida la contabilidad legal y financiera.
18.2 En el caso de que cualquier dato personal afectado haya sido revelado a terceros, se informará a las partes de las restricciones aplicables al procesamiento (a menos que sea imposible o requiera un esfuerzo desproporcionado para hacerlo).

19. Portabilidad de datos
19.1 La Compañía procesa datos personales utilizando medios automatizados. La Compañía procesa los pedidos de los clientes de forma electrónica para su envío.
19.2 Cuando los interesados ​​hayan dado su consentimiento a la Compañía para procesar sus datos personales de tal manera, o el procesamiento sea requerido para la ejecución de un contrato entre la Compañía y el interesado, los interesados ​​tienen el derecho, bajo el GDPR , para solicitar recibir una copia de sus datos personales y usarla para otros fines (es decir, transmitirla a otros controladores de datos).
19.3 Para facilitar el derecho a la portabilidad de datos, la Compañía pondrá a disposición todos los datos personales aplicables a los interesados ​​en el siguiente formato si así se solicita:
19.3.1 Detalles electrónicos de los pedidos realizados dentro del período de retención de datos si es necesario.
19.4 No se prevé que se solicite la información del pedido a otra persona que no sea el cliente si así se solicita. Sin embargo, si lo solicita un interesado y si es técnicamente factible, los datos personales se enviarán directamente al controlador de datos requerido.
19.5 Todas las solicitudes de copias de datos personales deberán cumplirse dentro de un mes a partir de la solicitud del interesado. El período puede extenderse hasta dos meses en el caso de solicitudes complejas o numerosas. Si se requiere dicho tiempo adicional, se informará al interesado.

20. Objeciones al procesamiento de datos personales
20.1 Los interesados ​​tienen derecho a oponerse a que la Compañía procese sus datos personales en función de intereses legítimos y marketing directo (incluida la elaboración de perfiles).
20.2 Cuando un sujeto de datos se opone a que la Compañía procese sus datos personales en función de sus intereses legítimos, la Compañía suspenderá dicho procesamiento de inmediato, a menos que se pueda demostrar que los motivos legítimos de la Compañía para dicho procesamiento anulan los intereses, derechos y libertades del sujeto de datos , o que el procesamiento es necesario para la realización de reclamos legales.
20.3 Cuando un interesado se oponga a que la Compañía procese sus datos personales con fines de elaboración de perfiles, la Compañía suspenderá dicho procesamiento de inmediato. La Compañía no realiza actividades de marketing por correo electrónico, correo postal o teléfono directo para promocionar productos, etc. Para obtener más información relacionada con la actividad de creación de perfiles, consulte la Parte 22.

21. Toma de decisiones automatizada
21.1 La Compañía utiliza datos personales en procesos automatizados de toma de decisiones. Dichas decisiones automatizadas incluyen lo siguiente en nuestros sitios transaccionales (1) la parte inicial de la dirección IP de un cliente que se utiliza para determinar qué moneda debe mostrarse en Nuestro sitio; (2) el código postal del cliente se utiliza para determinar el mejor servicio de mensajería a utilizar; y (3) el peso de un artículo que se utiliza para determinar el mejor método de entrega para el pedido del cliente.
21.2 Cuando tales decisiones tienen un efecto legal (o un efecto similarmente significativo) en los interesados, esos interesados ​​tienen el derecho de impugnar tales decisiones bajo el GDPR, solicitar intervención humana, expresar su propio punto de vista y obtener una explicación de la decisión de la compañia.
21.3 El derecho descrito en la Parte 21.2 no se aplica en las siguientes circunstancias:
21.3.1 La decisión es necesaria para la entrada o cumplimiento de un contrato entre la Compañía y el interesado;
21.3.2 La decisión está autorizada por ley; o
21.3.3 El interesado ha dado su consentimiento explícito.

22. Elaboración de perfiles
22.1 La Compañía utiliza datos personales para fines de elaboración de perfiles. Por ejemplo, el uso de una dirección IP le permite a la Compañía analizar el comportamiento en su sitio web, incluyendo de dónde proviene un visitante en Internet y cuánto tiempo pasa un visitante en cada una de las páginas web de la Compañía. Para obtener más información sobre esto, consulte la Parte 23 a continuación y la Política de privacidad y cookies del sitio web de CKB Ltd ®.
22.2 Cuando los datos personales se utilizan con fines de creación de perfiles, se aplicará lo siguiente:
22.2.1 Se proporcionará información clara que explique el perfil a los interesados, incluida la importancia y las posibles consecuencias del perfil;
22.2.2 Se utilizarán procedimientos matemáticos o estadísticos apropiados;
22.2.3 Se deben implementar medidas técnicas y organizativas para minimizar el riesgo de errores. Si se producen errores, tales medidas deben permitir que se corrijan fácilmente; y
22.2.4 Todos los datos personales procesados ​​con fines de creación de perfiles deben estar protegidos para evitar efectos discriminatorios derivados de la creación de perfiles (consulte las Partes 24 a 28 de esta Política para obtener más detalles sobre la seguridad de los datos).
22.3 Si en cualquier momento un individuo desea dejar de ser incluido en la actividad de creación de perfiles, puede modificar sus preferencias de cookies en nuestro sitio web. También pueden optar por revisar la configuración avanzada en su motor de búsqueda. Desafortunadamente, la Compañía no puede proporcionar instrucciones detalladas sobre cómo desactivar los permisos en general, ya que existen varios motores de búsqueda / sistemas operativos. La opción general para bloquear las cookies generalmente se encuentra en la configuración avanzada.

23. Datos personales recopilados, conservados y procesados
La Compañía recopila, retiene y procesa los siguientes datos personales (para obtener información sobre la retención de datos, consulte la Política de retención de datos de la Compañía):

• nombre: para enviar productos;
• Confirmación de mayores de 18 años: para productos clasificados por edad (si corresponde);
• nombre de la empresa / empresa: al que enviar los productos;
• información de contacto, como direcciones de correo electrónico, direcciones postales y números de teléfono, para consultas de pedidos;
• información demográfica, como códigos postales, elaboración de perfiles;
• dirección IP (recopilada automáticamente);
• tipo y versión del navegador web (recopilado automáticamente);
• sistema operativo (recopilado automáticamente); y
• una lista de URL que comienzan con un sitio de referencia, su actividad en Nuestro sitio y el sitio al que sale (recopilado y perfilado automáticamente);

Todos y cada uno de los datos personales recopilados por la Compañía se recopilan para garantizar que la Compañía pueda proporcionar el mejor servicio posible a sus clientes, y que pueda trabajar eficazmente con sus contactos comerciales, etc. La Compañía también puede usar datos personales para cumplir con ciertas obligaciones impuesto por la ley. Esto incluye retener información durante el tiempo que sea necesario para fines de contabilidad financiera.
Ciertos datos recopilados por la Compañía, como direcciones IP, cierta información recopilada por cookies, seudónimos y otra información no identificable, no obstante, se recopilarán, conservarán y procesarán con los mismos estándares que los datos personales.
Los datos personales pueden divulgarse dentro de la Compañía y a terceros de confianza; Se espera que dicha divulgación cumpla con el RGPD y esta Política. Los datos personales pueden pasar de un departamento / parte a otro de acuerdo con los principios de protección de datos y esta Política. Bajo ninguna circunstancia se transmitirán datos personales a ningún departamento o individuo dentro o fuera de la Compañía que no requiera razonablemente acceso a esos datos personales con respecto a los fines para los que fueron recopilados y están siendo procesados. Tal intercambio de datos puede ser necesario con el fin de cumplir con el pedido, por ejemplo, para cumplir con un pedido personalizado como, por ejemplo, para cordones. Esto puede incluir un cliente que trata directamente con un proveedor externo para obtener una prueba del producto y la entrega de su pedido.

24. Seguridad de los datos: transferencia de datos personales y comunicaciones
La Compañía se asegurará de que se tomen las siguientes medidas con respecto a todas las comunicaciones y otras transferencias que involucren datos personales:
24.1 Todos los correos electrónicos que contengan datos personales deben estar encriptados;
24.2 Los datos personales solo pueden transmitirse a través de redes seguras;
24.3 Los datos personales no pueden transmitirse a través de una red inalámbrica si existe una alternativa cableada que sea razonablemente posible;
24.4 Los datos personales contenidos en el cuerpo de un correo electrónico, ya sea enviado o recibido, se almacenan de forma segura;
24.5 Cuando los datos personales se envíen por transmisión por fax, el destinatario debe ser informado con anticipación de la transmisión y debe estar esperando en la máquina de fax para recibir los datos;
24.6 Cuando los datos personales se transfieran en forma impresa, se deben pasar directamente al destinatario o enviarse utilizando un método de entrega seguro; y
24.7 Todos los datos personales que se transferirán físicamente, ya sea en forma impresa o en medios electrónicos extraíbles, se transferirán en un contenedor adecuado marcado como "confidencial".

25. Seguridad de los datos: almacenamiento
La Compañía se asegurará de que se tomen las siguientes medidas con respecto al almacenamiento de datos personales:
25.1 Todas las copias electrónicas de datos personales deben almacenarse de forma segura utilizando contraseñas y cifrado de datos;
25.2 Todas las copias impresas de datos personales, junto con las copias electrónicas almacenadas en medios físicos extraíbles, deben almacenarse de forma segura en una caja cerrada, cajón, gabinete o similar;
25.3 Todos los datos personales almacenados electrónicamente deben ser respaldados regularmente con copias de seguridad almacenadas fuera del sitio. Todas las copias de seguridad deben estar encriptadas;
25.4 No se deben almacenar datos personales en ningún dispositivo móvil (incluidos, entre otros, computadoras portátiles, tabletas y teléfonos inteligentes), ya sea que dicho dispositivo pertenezca a la Compañía o no sin la aprobación formal por escrito del Director de la Compañía y, en el caso de dicha aprobación, estrictamente de acuerdo con todas las instrucciones y limitaciones descritas en el momento en que se otorga la aprobación (por ejemplo, códigos de acceso para desbloquear dispositivos), y por un tiempo que no sea absolutamente necesario; y
25.5 No se deben transferir datos personales a ningún dispositivo que pertenezca personalmente a un empleado a menos que se haya otorgado la aprobación adecuada del Director de la Compañía de acuerdo con la Política de Traiga su Propio Dispositivo al Trabajo de la Compañía. Se espera que los datos personales transferidos a dispositivos pertenecientes a otras partes que trabajen en nombre de la Compañía cumplan plenamente con el RGPD / esta Política (nb, esto puede incluir demostrar a la Compañía que se han tomado todas las medidas técnicas y organizativas adecuadas).

26. Seguridad de los datos: eliminación
26.1 Cuando cualquier información personal deba borrarse o desecharse por cualquier otro motivo (incluso cuando se hayan realizado copias y ya no sean necesarias), debe eliminarse y eliminarse de manera segura. Las copias impresas de los datos se deben triturar de forma segura y las copias electrónicas de los datos se deben eliminar de forma segura. Para obtener más información sobre la eliminación y eliminación de datos personales, consulte la Política de retención de datos de la Compañía.

27. Seguridad de datos: uso de datos personales
La Compañía se asegurará de que se tomen las siguientes medidas con respecto al uso de datos personales:
27.1 No se pueden compartir datos personales de manera informal y si un empleado o una parte que trabaja en nombre de la Compañía requiere acceso a cualquier información personal a la que aún no tenga acceso, dicho acceso debe solicitarse formalmente al Director de la Compañía;
27.2 No se pueden transferir datos personales a ningún empleado u otras partes, ya sea que dichas partes trabajen en nombre de la Compañía o no, sin la autorización del Director de la Compañía;
27.3 Los datos personales deben manejarse con cuidado en todo momento y no deben dejarse desatendidos ni a la vista de empleados no autorizados u otras partes en ningún momento; y
27.4 Si los datos personales se visualizan en la pantalla de una computadora y la computadora en cuestión se deja desatendida por cualquier período de tiempo, el usuario debe bloquear la computadora y la pantalla antes de abandonarla.

28. Seguridad de datos: seguridad de TI
La Compañía exige que se tomen las siguientes medidas con respecto a la seguridad informática y de la información:
28.1 Todas las contraseñas utilizadas para proteger los datos personales deben cambiarse regularmente y no deben usar palabras o frases que puedan adivinarse o comprometerse fácilmente. Todas las contraseñas deben contener una combinación de letras mayúsculas y minúsculas, números y símbolos;
28.2 Bajo ninguna circunstancia se deben escribir o compartir contraseñas entre empleados u otras partes que trabajen en nombre de la Compañía, independientemente de su antigüedad o departamento.
28.3 Todo el software (incluidas, entre otras, las aplicaciones y los sistemas operativos) se mantendrá actualizado. Las actualizaciones deben instalarse tan pronto como sea razonable y prácticamente posible a menos que existan razones técnicas válidas para no hacerlo; y
28.4 No se puede instalar ningún software nuevo en ninguna computadora o dispositivo propiedad de la Compañía sin la aprobación previa del Director de la Compañía.

29. Medidas organizativas
La Compañía se asegurará de que se tomen las siguientes medidas con respecto a la recopilación, retención y procesamiento de datos personales:
29.1 Todos los empleados u otras partes relevantes que trabajan en nombre de la Compañía pueden ver tanto sus responsabilidades individuales como las responsabilidades de la Compañía bajo el GDPR en esta Política;
29.2 Solo los empleados u otras partes que trabajen en nombre de la Compañía que necesiten acceso y uso de datos personales para llevar a cabo sus tareas asignadas correctamente tendrán acceso a los datos personales en poder de la Compañía;
29.3 Todos los empleados que manejan datos personales recibirán la capacitación adecuada para hacerlo;
29.4 Todos los empleados que manejen datos personales serán supervisados ​​adecuadamente;
29.5 Se debe esperar y alentar a todos los empleados u otras partes que trabajen en nombre de la Compañía que maneja datos personales a que tengan cuidado, precaución y discreción cuando discutan asuntos relacionados con el trabajo que se relacionan con datos personales, ya sea en el lugar de trabajo o de otro modo;
29.6 Los métodos de recopilación, almacenamiento y procesamiento de datos personales deben revisarse periódicamente;
29.7 Todos los datos personales en poder de la Compañía se revisarán periódicamente, tal como se establece en la Política de retención de datos de la Compañía;
29.8 El desempeño de aquellos que trabajan en nombre de la Compañía que maneja datos personales estará sujeto a revisión;
29.9 Se espera que todos los empleados u otras partes relevantes que trabajen en nombre de la Compañía que manejan datos personales lo hagan de acuerdo con los principios del GDPR y esta Política;
29.10 Todas las partes que trabajan en nombre de la Compañía que manejan datos personales deben asegurarse de que todos y cada uno de sus empleados que estén involucrados en el procesamiento de datos personales estén sujetos a las mismas condiciones que se describen en esta Parte 29; y
29.11 Cuando cualquier parte que trabaje en nombre de la Compañía que maneja datos personales no cumple con sus obligaciones bajo el GDPR y / o esta Política, esa parte indemnizará y eximirá a la Compañía de cualquier costo, responsabilidad, daños, pérdida, reclamos o procedimientos que puedan surgir de ese fracaso.

30. Transferencia de datos personales a un país fuera del Reino Unido
30.1 La Compañía puede, de vez en cuando, transferir ('transferir' incluye poner a disposición de forma remota) datos personales a países fuera del Reino Unido. El RGPD del Reino Unido restringe dichas transferencias para garantizar que el nivel de protección brindado a los interesados ​​no se vea comprometido.
30.2 La transferencia de datos personales a un país fuera del Reino Unido se llevará a cabo solo si se aplica uno de los siguientes:
30.2.1 El Reino Unido ha emitido reglamentos que confirman que el país en cuestión garantiza un nivel adecuado de protección (lo que se conoce como "decisiones de adecuación" o "reglamentos de adecuación"). A partir del 1 de enero de 2021, se seguirán permitiendo las transferencias de datos personales desde el Reino Unido a los países del EEE. También existen disposiciones transitorias para reconocer las decisiones de adecuación de la UE preexistentes en el Reino Unido.
30.2.2 Existen salvaguardas adecuadas que incluyen reglas corporativas vinculantes, cláusulas contractuales estándar aprobadas para su uso en el Reino Unido (esto incluye las adoptadas por la Comisión Europea antes del 1 de enero de 2021), un código de conducta aprobado o un mecanismo de certificación aprobado.
30.2.3 La transferencia se realiza con el consentimiento informado de los interesados ​​relevantes;
30.2.4 La transferencia es necesaria por una de las otras razones establecidas en el Reino Unido-GDPR, incluida la ejecución de un contrato entre el interesado y la Compañía (o para los pasos precontractuales tomados a petición del interesado); razones de interés público; para el establecimiento, ejercicio o defensa de reclamos legales; para proteger los intereses vitales del interesado cuando el interesado es física o legalmente incapaz de dar su consentimiento; o por los intereses legítimos de la Compañía.

31. Notificación de violación de datos
31.1 Todas las violaciones de datos personales deben informarse de inmediato al Oficial de Protección de Datos de la Compañía.
31.2 Si se produce una violación de datos personales y es probable que dicha violación genere un riesgo para los derechos y libertades de los interesados ​​(por ejemplo, pérdida financiera, violación de la confidencialidad, discriminación, daño a la reputación u otro daño social o económico significativo), los Datos El Oficial de Protección debe asegurarse de que la Oficina del Comisionado de Información esté informada de la violación sin demora y, en cualquier caso, dentro de las 72 horas después de haberla notado.
31.3 En el caso de que una violación de datos personales pueda resultar en un alto riesgo (es decir, un riesgo mayor que el descrito en la Parte 31.2) a los derechos y libertades de los interesados, el Oficial de Protección de Datos debe hacer los arreglos para todos los datos afectados sujetos a ser informados de la violación directamente y sin demora indebida.
31.4 Las notificaciones de violación de datos deben incluir la siguiente información:
31.4.1 Las categorías y el número aproximado de interesados ​​interesados;
31.4.2 Las categorías y el número aproximado de registros de datos personales en cuestión;
31.4.3 El nombre y los datos de contacto del delegado de protección de datos de la Compañía (u otro punto de contacto donde se pueda obtener más información);
31.4.4 Las probables consecuencias de la violación;
31.4.5 Detalles de las medidas tomadas, o propuestas a tomar, por la Compañía para abordar el incumplimiento, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos.

32. Notificación a la Oficina del Comisionado de Información (ICO)
32.1 Como controlador de datos, la Compañía debe notificar a la ICO que está procesando datos personales. La Compañía está registrada en el registro de controladores de datos con el número de registro ZA185276.

33. Implementación de la política
33.1 Esta Política se considerará efectiva a partir del 1 de diciembre de 2021. Ninguna parte de esta Política tendrá efecto retroactivo y, por lo tanto, se aplicará solo a los asuntos que ocurran en esta fecha o después.

V9 CKB Ltd Política de protección de datos: fecha de vigencia 1 de diciembre de 2021

Cesta
¡No hay productos en el carrito!
SEGUIR COMPRANDO
0