Mon ComptePanier

Bienvenue sur le site de Gifts Tomorrow

Choisissez parmi des centaines d'idées cadeaux

Avec un choix d'options de livraison

CKB SA

Politique de protection des données

Décembre 2021

1. Introduction
Cette politique énonce les obligations de CKB Ltd ® et de ses marques de groupe, y compris Lanyards Tomorrow ®, Gifts Tomorrow ™ et Bar Amigos ® («la Société»), une société enregistrée en Angleterre sous 07123102 (numéro de TVA 991324508), dont l'adresse enregistrée est St. Christopher's House, Ridge Road, Letchworth Garden City, Hertfordshire, SG6 1PT, Angleterre et dont l'adresse commerciale principale est Unit 5, Business Centre East, Fifth Avenue, Letchworth Garden City, Hertfordshire, SG6 2TS, concernant la protection des données et les droits de ses clients (utilisateurs du site Web), contacts commerciaux, sous-traitants, etc., ensemble appelés «personnes concernées» en ce qui concerne leurs données personnelles en vertu de la législation sur la protection des données, y compris le UK Data Protection Act 2018 et UK-GDPR (General Data Protection Regulation - « GDPR »).
Le RGPD définit les «données personnelles» comme toute information relative à une personne physique identifiée ou identifiable (une «personne concernée»); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs facteurs spécifiques à la physique, physiologique , l'identité génétique, mentale, économique, culturelle ou sociale de la personne physique qui est en possession ou qui est susceptible d'entrer en possession du responsable du traitement (la Société dans ce contexte).
Cette politique définit les obligations de la Société concernant la collecte, le traitement, le transfert, le stockage et l'élimination des données personnelles. Les procédures et principes énoncés dans le présent document doivent être suivis à tout moment par la Société. La Société doit s'assurer que toutes les parties travaillant pour le compte de la Société traitent les données personnelles de manière appropriée.
La Société s'engage non seulement à respecter la lettre de la loi, mais également à l'esprit de la loi et accorde une grande importance au traitement correct, licite et équitable de toutes les données personnelles, dans le respect des droits légaux, de la vie privée et de la confiance de tous. les personnes avec lesquelles il traite. À ce titre, la Société a analysé notre site, y compris son appel au regard du Code de conception adapté à l'âge 2020.

2. Définitions

"consentement"

désigne le consentement de la personne concernée qui doit être une indication librement donnée, spécifique, éclairée et sans ambiguïté des souhaits de la personne concernée par laquelle elle, par une déclaration ou par une action affirmative claire, signifie son accord au traitement des données personnelles relatives pour eux;

«Responsable du traitement des données»

désigne la personne physique ou morale ou l'organisation qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel;

"processeur de données"

désigne une personne physique ou morale ou une organisation qui traite des données à caractère personnel pour le compte d'un responsable du traitement;

«Personne concernée»

désigne une personne physique vivante, identifiée ou identifiable à propos de laquelle la Société détient des données personnelles;

"EEE"

désigne l'Espace économique européen, composé de tous les États membres de l'UE, de l'Islande, du Liechtenstein et de la Norvège;

"Notre site"

désigne tous les sites Web des marques du groupe CKB Ltd ®, y compris www.ckbltd.com, www.lanyardstomorrow.co.uk et www.giftstomorrow.co.uk www.ckbltd.com agit comme un portail uniquement pour accéder à nos sites Web transactionnels associés de www.cadeauxdemain.co.uk et www.lanyardstomorrow.co.uk. Notre site business to business de www.wholesalegiftstomorrow.co.uk est un site non transactionnel. 

 

"données personnelles"

désigne toute information relative à une personne concernée qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs facteurs propres au physique, l'identité physiologique, génétique, mentale, économique, culturelle ou sociale de la personne concernée;

«Violation de données personnelles»

désigne une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès aux données personnelles transmises, stockées ou autrement traitées;

"En traitement"

désigne toute opération ou ensemble d'opérations effectuées sur des données personnelles ou des ensembles de données personnelles, que ce soit par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou mise à disposition, alignement ou combinaison, restriction, effacement ou destruction;

«Pseudonymisation»

désigne le traitement des données à caractère personnel de telle manière que les données à caractère personnel ne puissent plus être attribuées à une personne concernée spécifique sans l'utilisation d'informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et soient soumises à des mesures techniques et organisationnelles pour garantir que les données personnelles ne sont pas attribuées à une personne physique identifiée ou identifiable; et

«Données personnelles de catégorie spéciale»

désigne les données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance à un syndicat, la santé, la vie sexuelle, l'orientation sexuelle, les données biométriques ou génétiques.

 

3. Les principes de protection des données
Cette politique vise à assurer la conformité avec le GDPR. Le GDPR énonce les principes suivants auxquels toute partie manipulant des données à caractère personnel doit se conformer. Toutes les données personnelles doivent être:
3.1 Traités de manière licite, équitable et transparente vis-à-vis de la personne concernée.
3.2 Collectées à des fins spécifiées, explicites et légitimes et ne pas être traitées ultérieurement d'une manière incompatible avec ces fins. Un traitement ultérieur à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré comme incompatible avec les objectifs initiaux.
3.3 Adéquat, pertinent et limité à ce qui est nécessaire par rapport aux objectifs
pour lequel il est traité.
3.4 Précis et, si nécessaire, mis à jour. Toutes les mesures raisonnables doivent être prises pour garantir que les données personnelles inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai.
3.5 Conservé sous une forme permettant l'identification des personnes concernées pour une durée n'excédant pas celle nécessaire aux fins pour lesquelles les données à caractère personnel sont traitées. Les données personnelles peuvent être stockées pendant de plus longues périodes dans la mesure où les données personnelles seront traitées uniquement à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sous réserve de la mise en œuvre des mesures techniques et organisationnelles appropriées requises par le RGPD dans afin de sauvegarder les droits et libertés de la personne concernée.
3.6 Traités de manière à garantir une sécurité appropriée des données personnelles, y compris une protection contre les traitements non autorisés ou illégaux et contre la perte, la destruction ou les dommages accidentels, en utilisant des mesures techniques ou organisationnelles appropriées.

4. Les droits des personnes concernées
Le GDPR énonce les droits suivants applicables aux personnes concernées (veuillez vous reporter aux parties de cette politique indiquées pour plus de détails):
4.1 Le droit d'être informé (partie 14).
4.2 Le droit d'accès (partie 15;
4.3 Le droit de rectification (partie 16;
4.4 Le droit à l'effacement (également appelé «droit à l'oubli») (partie 17);
4.5 Le droit de restreindre le traitement (partie 18);
4.6 Le droit à la portabilité des données (partie 19);
4.7 Le droit d'opposition (partie 20); et
4.8 Droits concernant la prise de décision automatisée et le profilage (parties 21 et 22).

5. Traitement des données légal, équitable et transparent
5.1 Le RGPD vise à garantir que les données personnelles sont traitées de manière licite, loyale et transparente, sans nuire aux droits de la personne concernée. Le RGPD stipule que le traitement des données personnelles est licite si au moins l'une des conditions suivantes s'applique:
5.1.1 La personne concernée a donné son consentement au traitement de ses données personnelles à une ou plusieurs fins spécifiques;
5.1.2 Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie, ou afin de prendre des mesures à la demande de la personne concernée avant de conclure un contrat avec elle;
5.1.3 Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
5.1.4 Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique;
5.1.5 Le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt public ou dans l'exercice de l'autorité publique dévolue au responsable du traitement; ou
5.1.6 Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque ces intérêts sont supplantés par les droits et libertés fondamentaux de la personne concernée qui nécessitent la protection des données personnelles, en particulier lorsque la personne concernée est un enfant.
5.2 La Société ne traite pas de «données de catégorie spéciale» (également appelées «données personnelles sensibles») sur son site Web tel que défini dans le RGPD. Les «données de catégorie spéciale» comprennent, par exemple, les données concernant la race, l'ethnicité, la politique, la religion, l'appartenance syndicale, la génétique, la biométrie (si utilisée à des fins d'identification), la santé, la vie sexuelle ou l'orientation sexuelle. Les employés de la société doivent se référer à la politique de protection des données des employés applicable.
5.3 Tout en soutenant la transparence, la Société doit également être consciente de son obligation de protéger ses connaissances commerciales et sa sécurité. Si une personne concernée souhaite en savoir plus sur les détails des tiers avec lesquels la société travaille, etc., veuillez contacter le responsable de la protection des données de l'Unité 5, Business Center East, Fifth Avenue, Letchworth Garden City, Herts, SG6 2TS.

6. consentement
Si le consentement est invoqué comme base légale pour la collecte, la conservation et / ou le traitement de données à caractère personnel, les dispositions suivantes s'appliquent:
6.1 Le consentement est une indication claire de la personne concernée qu'elle accepte le traitement de ses données personnelles. Une telle indication claire peut prendre la forme d'une déclaration ou d'une action positive. Le silence, les cases pré-cochées ou l'inactivité sont peu susceptibles de constituer un consentement.
6.2 Lorsque le consentement est donné dans un document qui comprend d'autres questions, la section traitant du consentement doit être clairement séparée de ces autres questions.
6.3 Les personnes concernées sont libres de retirer leur consentement à tout moment et il doit leur être facile de le faire. Si une personne concernée retire son consentement, sa demande doit être honorée dans les plus brefs délais.
6.4 Si des données à caractère personnel doivent être traitées à des fins différentes qui sont incompatibles avec la ou les finalités pour lesquelles ces données à caractère personnel ont été initialement collectées et qui n'ont pas été divulguées à la personne concernée lors de sa première autorisation, son consentement au ou aux nouveaux objectifs peuvent devoir être obtenus auprès de la personne concernée.
6.5 Dans tous les cas où le consentement est invoqué comme base légale pour la collecte, la conservation et / ou le traitement des données personnelles, des enregistrements doivent être conservés de tous les consentements obtenus afin de garantir que la Société puisse démontrer sa conformité aux exigences de consentement.

7. Fins spécifiées, explicites et légitimes
7.1 La Société collecte et traite les données personnelles définies dans la partie 23 de la présente politique. Ceci comprend:
7.1.1 Données personnelles collectées directement auprès des personnes concernées. Par exemple, les coordonnées utilisées lorsqu'une personne concernée communique avec la Société aux fins de cette communication / exécution d'une commande; et
7.1.2 Données personnelles obtenues de tiers. Par exemple, des portails de marché où la société vend également ses produits comme Amazon pour exécuter les commandes. Veuillez noter que ces portails de marché appliqueront leurs propres politiques de protection des données et de confidentialité.
7.2 La Société collecte, traite et détient uniquement des données personnelles aux fins spécifiques énoncées dans la partie 23 de la présente politique (ou à d'autres fins expressément autorisées par le RGPD).
7.3 Les personnes concernées sont tenues informées à tout moment de la ou des finalités pour lesquelles la Société utilise leurs données personnelles. Veuillez vous référer à la partie 14 pour plus d'informations sur la tenue des personnes concernées informées.

8. Traitement des données adéquat, pertinent et limité
8.1 La Société ne collectera et traitera des données personnelles que pour et dans la mesure nécessaire à la ou aux fins spécifiques dont les personnes concernées ont été informées (ou seront informées) conformément à la partie 5, ci-dessus, et comme indiqué à la partie 23, au dessous de.

9. Exactitude des données et mise à jour des données
9.1 La Société veillera à ce que toutes les données personnelles collectées, traitées et détenues par elle soient maintenues exactes et à jour. Cela comprend, mais sans s'y limiter, la rectification des données personnelles à la demande d'une personne concernée, comme indiqué dans la partie 16 ci-dessous.
9.2 L'exactitude des données personnelles doit être vérifiée lors de leur collecte. Le délai d'exécution de la réception de la commande au traitement de la commande n'est pas long et, en tant que tel, il n'y a ni possibilité ni obligation de revérifier l'exactitude des données à un autre moment dans le futur. Si un client prend contact avec une commande entre la réception et le traitement, sa demande de modification des données fournies sera satisfaite dans la mesure du possible (par exemple, modification de l'adresse de livraison d'un produit). Si des données personnelles s'avèrent inexactes ou obsolètes, toutes les mesures raisonnables seront prises sans délai pour modifier ou effacer ces données, le cas échéant.

10. La conservation des données
10.1 La Société ne conservera pas les données personnelles plus longtemps que nécessaire compte tenu de la ou des finalités pour lesquelles ces données personnelles ont été initialement collectées, détenues et traitées.
10.2 Lorsque les données personnelles ne sont plus nécessaires, toutes les mesures raisonnables seront prises pour les effacer ou les éliminer autrement sans délai.
10.3 Pour plus de détails sur l'approche de la Société en matière de conservation des données, y compris les périodes de conservation pour les types de données personnelles spécifiques détenues par la Société, veuillez vous référer à Notre Politique de conservation des données.

11. Traitement sécurisé
11.1 La Société veillera à ce que toutes les données personnelles collectées, détenues et traitées soient gardées en sécurité et protégées contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels. De plus amples détails sur les mesures techniques et organisationnelles à prendre sont fournis dans les parties 24 à 29 de la présente politique.

12. Responsabilité et tenue de registres
12.1 Le délégué à la protection des données de la société est le titulaire du poste de secrétaire de la société, CKB Ltd, de l'unité 5, Business Center East, Fifth Avenue, Letchworth Garden City, Hertfordshire, SG6 2TS.
12.2 Le délégué à la protection des données est responsable de la supervision de la mise en œuvre de la présente politique et de la surveillance de la conformité à cette politique, aux autres politiques de la société en matière de protection des données, ainsi qu'au RGPD et aux autres lois applicables en matière de protection des données.
12.3 La Société conservera des enregistrements internes écrits de toutes les collectes, détentions et traitements de données personnelles, qui comprendront les informations suivantes:
12.3.1 Le nom et les coordonnées de la Société, son délégué à la protection des données si disponible, et tout sous-traitant de données tiers applicable;
12.3.2 Les finalités pour lesquelles la Société collecte, détient et traite des données personnelles;
12.3.3 Détails sur les catégories de données personnelles collectées, détenues et traitées par la Société, et les catégories de données auxquelles se rapportent ces données personnelles;
12.3.4 Détails de tout transfert de données personnelles vers des pays non membres de l'Espace économique européen (« EEE »), y compris les mesures de sécurité (voir la partie 30 concernant l'impact du Brexit) ;
12.3.5 Détails sur la durée de conservation des données personnelles par la société (veuillez vous référer à la politique de conservation des données de la société); et
12.3.6 Descriptions de toutes les mesures techniques et organisationnelles prises telles que communiquées par la Société pour assurer la sécurité des données personnelles.
12.4 Si vous êtes dans l'Union européenne, vous pouvez adresser des demandes relatives à la confidentialité à notre représentant de l'UE conformément à l'article 27 UE-GDPR:

EU-REP.Global GmbH
www.eu-rep.global
À l'attention de: CKB Ltd.
Hopfenstr. 1d, 24114 Kiel, Allemagne
[email protected]

13. Analyses d'impact sur la protection des données et confidentialité dès la conception
13.1 Conformément aux principes de la `` protection de la vie privée dès la conception '', la Société effectuera des analyses d'impact sur la protection des données pour tous les nouveaux projets et / ou nouvelles utilisations de données personnelles qui impliquent l'utilisation de nouvelles technologies et le traitement impliqué est susceptible d'en résulter dans un risque élevé pour les droits et libertés des personnes concernées en vertu du RGPD.
13.2 Les principes de «confidentialité dès la conception» doivent être suivis à tout moment lors de la collecte, de la conservation et du traitement des données personnelles des employés. Les facteurs suivants doivent être pris en considération:
13.2.1 la nature, la portée, le contexte et le ou les buts de la collecte, de la conservation et du traitement;
13.2.2 l'état de l'art de toutes les mesures techniques et organisationnelles pertinentes à prendre;
13.2.3 le coût de mise en œuvre de ces mesures; et
13.2.4 les risques encourus par les salariés concernés et la Société, y compris leur probabilité et leur gravité.
13.3 Les évaluations d'impact sur la protection des données seront supervisées par le délégué à la protection des données et porteront sur les points suivants:
13.3.1 Le (s) type (s) de données personnelles qui seront collectées, détenues et traitées;
13.3.2 La ou les finalités pour lesquelles les données personnelles doivent être utilisées;
13.3.3 Les objectifs de la Société;
13.3.4 Comment les données personnelles doivent être utilisées;
13.3.5 Les parties (internes et / ou externes) à consulter, le cas échéant;
13.3.6 La nécessité et la proportionnalité du traitement des données par rapport aux finalités pour lesquelles elles sont traitées;
13.3.7 Risques posés aux personnes concernées;
13.3.8 Risques posés à la fois au sein et pour la Société; et
13.3.9 Mesures proposées pour minimiser et gérer les risques identifiés.

14. Tenir les personnes concernées informées
14.1 La Société doit fournir les informations énoncées dans la partie 14.2 à chaque personne concernée (veuillez vous référer aux politiques de protection des données / GDPR de la Société pour ce détail):
14.1.1 Lorsque des données personnelles sont collectées directement auprès des personnes concernées, ces personnes concernées seront informées de leur finalité au moment de la collecte; et
14.1.2 Lorsque des données personnelles sont obtenues auprès d'un tiers (par exemple, un site de marché sur lequel ses produits sont vendus), les personnes concernées devraient être informées de leur finalité par le tiers:
a) si les données personnelles sont utilisées pour communiquer avec la personne concernée, lors de la première communication; ou
b) si les données personnelles doivent être transférées à une autre partie, avant que ce transfert ne soit effectué; ou
c) dès que raisonnablement possible et en tout état de cause pas plus d'un mois après l'obtention des données personnelles.
14.2 Les informations suivantes doivent être fournies:
14.2.1 Les détails de la société, y compris, mais sans s'y limiter, l'identité de son délégué à la protection des données si disponible;
14.2.2 La ou les finalités pour lesquelles les données personnelles sont collectées et seront traitées (comme détaillé dans la partie 23 de la présente politique) et la base juridique justifiant cette collecte et ce traitement;
14.2.3 Le cas échéant, les intérêts légitimes sur lesquels la Société justifie sa collecte et son traitement des données personnelles;
14.2.4 Lorsque les données personnelles ne sont pas obtenues directement de la personne concernée, les catégories de données personnelles collectées et traitées;
14.2.5 Lorsque les données personnelles doivent être transférées à un ou plusieurs tiers, coordonnées de ces parties. Les détails des tiers ne sont pas répertoriés ici pour des raisons de l'exigence de la société de protéger ses connaissances commerciales et sa sécurité. Si une personne concernée souhaite en savoir plus sur les détails des tiers avec lesquels la société travaille, etc., veuillez contacter le délégué à la protection des données de l'unité 5, Business Center East, Fifth Avenue, Letchworth Garden City, Herts, SG6 2TS).
14.2.6 Lorsque les données personnelles doivent être transférées à un tiers situé en dehors du Royaume-Uni, les détails de ce transfert, y compris, mais sans s'y limiter, les garanties en place (voir la partie 30 de la présente politique pour plus de détails). Veuillez également vous référer à la partie 14.2.5 concernant la protection des connaissances et la sécurité des entreprises ;
14.2.7 Détails sur la conservation des données;
14.2.8 Détails des droits de la personne concernée en vertu du RGPD;
14.2.9 Détails sur le droit de la personne concernée de retirer son consentement au traitement de ses données personnelles par la Société à tout moment;
14.2.10 Détails sur le droit de la personne concernée de déposer une plainte auprès du bureau du commissaire à l'information (l '«autorité de contrôle» en vertu du RGPD);
14.2.11 Le cas échéant, les détails de toute exigence ou obligation légale ou contractuelle nécessitant la collecte et le traitement des données personnelles et les détails des conséquences de leur omission de les fournir; et
14.2.12 Détails de toute prise de décision automatisée ou profilage qui aura lieu par la Société à l'aide des données personnelles, y compris des informations sur la manière dont les décisions seront prises, l'importance de ces décisions et leurs conséquences.

15. Accès des personnes concernées
15.1 Les personnes concernées peuvent à tout moment faire des demandes d'accès aux sujets («SAR») pour en savoir plus sur les données personnelles que la Société détient à leur sujet, ce qu'elle fait avec ces données personnelles et pourquoi.
15.2 Les personnes concernées qui souhaitent effectuer un SAR peuvent le faire par écrit, en fournissant tous les détails nécessaires. Les DAS doivent être adressés au responsable de la protection des données de l'entreprise à l'Unité 5, Business Center East, Fifth Avenue, Letchworth Garden City, Hertfordshire, SG6 2TS.
15.3 Les réponses aux SAR doivent normalement être faites dans un délai d'un mois à compter de la réception, mais cela peut être prolongé jusqu'à deux mois si le SAR est complexe et / ou si de nombreuses demandes sont faites. Si ce délai supplémentaire est nécessaire, la personne concernée est informée.
15.4 Tous les DAS reçus seront traités par le délégué à la protection des données de la société.
15.5 La Société ne facture pas de frais pour le traitement des DAS normaux. La Société se réserve le droit de facturer des frais raisonnables pour les copies supplémentaires des informations qui ont déjà été fournies à une personne concernée et pour les demandes manifestement infondées ou excessives, en particulier lorsque ces demandes sont répétitives.

16. Rectification des données personnelles
16.1 Les personnes concernées ont le droit d'exiger de la Société qu'elles rectifient toute donnée personnelle inexacte ou incomplète.
16.2 La Société rectifie les données personnelles en question et informe la personne concernée de cette rectification dans un délai d'un mois à compter de la date à laquelle la personne concernée a informé la Société du problème. Le délai peut être prolongé jusqu'à deux mois en cas de demandes complexes. Si ce délai supplémentaire est nécessaire, la personne concernée est informée.
16.3 Dans le cas où des données personnelles affectées auraient été divulguées à des tiers, ces parties seront informées de toute rectification à apporter à ces données personnelles.

17. Effacement des données personnelles
17.1 Les personnes concernées ont le droit de demander à la Société d'effacer les données personnelles qu'elle détient à leur sujet dans les circonstances suivantes:
17.1.1 Il n'est plus nécessaire que la Société détienne ces données personnelles au regard des finalités pour lesquelles elles ont été initialement collectées ou traitées;
17.1.2 La personne concernée souhaite retirer son consentement à ce que la Société détienne et traite ses données personnelles;
17.1.3 La personne concernée s'oppose à ce que la Société détienne et traite ses données personnelles (et il n'y a aucun intérêt légitime impérieux à permettre à la Société de continuer à le faire) (voir la partie 20 de la présente Politique pour plus de détails concernant le droit d'opposition);
17.1.4 Les données personnelles ont été traitées illégalement; ou
17.1.5 Les données personnelles doivent être effacées afin que la Société se conforme à une obligation légale particulière.
17.2 Sauf si la Société a des motifs raisonnables de refuser d'effacer les données personnelles, toutes les demandes d'effacement doivent être satisfaites et la personne concernée informée de l'effacement, dans un délai d'un mois à compter de la réception de la demande de la personne concernée. Le délai peut être prolongé jusqu'à deux mois en cas de demandes complexes. Si ce délai supplémentaire est nécessaire, la personne concernée est informée.
17.3 Dans le cas où des données personnelles devant être effacées en réponse à la demande d'une personne concernée ont été divulguées à des tiers, ces parties seront informées de l'effacement (sauf si cela est impossible ou nécessiterait un effort disproportionné pour le faire).

18. Restriction du traitement des données personnelles
18.1 Les personnes concernées peuvent demander à la Société de cesser de traiter les données personnelles qu'elle détient à leur sujet. Si une personne concernée fait une telle demande, la Société ne conservera que la quantité de données personnelles concernant cette personne concernée (le cas échéant) qui est nécessaire pour garantir que les données personnelles en question ne seront pas traitées ultérieurement. Les registres historiques peuvent être conservés pour certaines raisons, notamment la comptabilité juridique et financière.
18.2 Dans le cas où des données personnelles affectées ont été divulguées à des tiers, ces parties seront informées des restrictions applicables à leur traitement (sauf si cela est impossible ou nécessiterait un effort disproportionné pour le faire).

19. Portabilité des données
19.1 La Société traite les données personnelles par des moyens automatisés. La Société traite les commandes des clients par voie électronique pour l'expédition.
19.2 Lorsque les personnes concernées ont donné leur accord à la Société pour traiter leurs données personnelles de cette manière, ou si le traitement est autrement requis pour l'exécution d'un contrat entre la Société et la personne concernée, les personnes concernées ont le droit, en vertu du RGPD , de demander à recevoir une copie de leurs données personnelles et à les utiliser à d'autres fins (à savoir les transmettre à d'autres responsables du traitement).
19.3 Pour faciliter le droit à la portabilité des données, la Société mettra toutes les données personnelles applicables à la disposition des personnes concernées dans le format suivant sur demande:
19.3.1 Détails électroniques des commandes passées pendant la période de conservation des données si nécessaire.
19.4 Il n'est pas prévu que les informations de commande soient demandées pour être émises à toute autre personne que le client si demandé. Toutefois, si une personne concernée le demande et si cela est techniquement possible, les données à caractère personnel sont transmises directement au responsable du traitement des données requis.
19.5 Toutes les demandes de copie de données personnelles doivent être satisfaites dans un délai d'un mois à compter de la demande de la personne concernée. Le délai peut être prolongé jusqu'à deux mois en cas de demandes complexes ou nombreuses. Si ce délai supplémentaire est nécessaire, la personne concernée est informée.

20. Objections au traitement des données personnelles
20.1 Les personnes concernées ont le droit de s'opposer à ce que la Société traite leurs données personnelles sur la base d'intérêts légitimes et de marketing direct (y compris le profilage).
20.2 Lorsqu'une personne concernée s'oppose à ce que la Société traite ses données personnelles sur la base de ses intérêts légitimes, la Société doit cesser immédiatement ce traitement, sauf s'il peut être démontré que les motifs légitimes de la Société pour un tel traitement l'emportent sur les intérêts, droits et libertés de la personne concernée. , ou que le traitement est nécessaire à la conduite des actions en justice.
20.3 Lorsqu'une personne concernée s'oppose au traitement par la Société de ses données personnelles à des fins de profilage, la Société doit immédiatement cesser ce traitement. La Société n'entreprend aucune activité de marketing direct par courrier électronique, postal ou téléphonique pour promouvoir les produits, etc. Pour plus d'informations sur l'activité de profilage, veuillez consulter la Partie 22.

21. Prise de décision automatisée
21.1 La Société utilise les données personnelles dans des processus décisionnels automatisés. Ces décisions automatisées incluent ce qui suit sur nos sites transactionnels (1) la partie initiale de l'adresse IP d'un client utilisée pour déterminer quelle devise doit être affichée sur notre site; (2) le code postal du client utilisé pour déterminer le meilleur service de messagerie à utiliser; et (3) le poids d'un article utilisé pour déterminer la meilleure méthode de livraison pour la commande du client.
21.2 Lorsque de telles décisions ont un effet juridique (ou un effet similaire significatif) sur les personnes concernées, ces personnes ont le droit de contester ces décisions en vertu du RGPD, de demander une intervention humaine, d'exprimer leur propre point de vue et d'obtenir une explication de la décision auprès de l'entreprise.
21.3 Le droit décrit à la partie 21.2 ne s'applique pas dans les circonstances suivantes:
21.3.1 La décision est nécessaire à la conclusion ou à l'exécution d'un contrat entre la Société et la personne concernée;
21.3.2 La décision est autorisée par la loi; ou
21.3.3 La personne concernée a donné son consentement explicite.

22. Profilage
22.1 La Société utilise des données personnelles à des fins de profilage. Par exemple, l'utilisation d'une adresse IP permet à la société d'analyser le comportement sur son site Web, y compris la provenance d'un visiteur sur Internet et le temps qu'un visiteur passe sur chacune des pages Web de la société. Pour plus d'informations à ce sujet, veuillez consulter la partie 23 ci-dessous et la politique de confidentialité et de cookies du site Web de CKB Ltd ®.
22.2 Lorsque des données personnelles sont utilisées à des fins de profilage, les dispositions suivantes s'appliquent:
22.2.1 Des informations claires expliquant le profilage doivent être fournies aux personnes concernées, y compris l'importance et les conséquences probables du profilage;
22.2.2 Des procédures mathématiques ou statistiques appropriées doivent être utilisées;
22.2.3 Des mesures techniques et organisationnelles doivent être mises en œuvre pour minimiser le risque d'erreurs. Si des erreurs se produisent, ces mesures doivent permettre de les corriger facilement; et
22.2.4 Toutes les données personnelles traitées à des fins de profilage doivent être sécurisées afin de prévenir les effets discriminatoires résultant du profilage (voir les parties 24 à 28 de la présente politique pour plus de détails sur la sécurité des données).
22.3 Si à tout moment une personne souhaite cesser d'être incluse dans l'activité de profilage, elle peut modifier ses préférences en matière de cookies sur notre site Web. Ils peuvent également choisir de consulter les paramètres avancés de leur moteur de recherche. Malheureusement, il n'est pas possible pour la Société de fournir des instructions détaillées sur la désactivation générale des autorisations car il existe plusieurs moteurs de recherche / systèmes d'exploitation. L'option générale pour bloquer les cookies se trouve généralement dans les paramètres avancés.

23. Données personnelles collectées, conservées et traitées
Les données personnelles suivantes sont collectées, conservées et traitées par la société (pour plus de détails sur la conservation des données, veuillez vous reporter à la politique de conservation des données de la société):

• nom - pour expédier les produits;
• confirmation d'âge de plus de 18 ans – pour les produits classés selon l'âge (le cas échéant) ;
• nom de l'entreprise / entreprise - à qui expédier les produits;
• informations de contact telles que adresses e-mail, adresses postales et numéros de téléphone - pour les demandes de commande;
• des informations démographiques telles que le code postal – profilage ;
• Adresse IP (collectée automatiquement);
• le type et la version du navigateur Web (collectés automatiquement);
• système d'exploitation (collecté automatiquement); et
• une liste d'URL commençant par un site référent, votre activité sur notre site et le site vers lequel vous quittez (collectées automatiquement et profilage);

Toutes les données personnelles collectées par la Société sont collectées afin de garantir que la Société peut fournir le meilleur service possible à ses clients, et peut travailler efficacement avec ses contacts commerciaux, etc. La Société peut également utiliser des données personnelles pour remplir certaines obligations. imposée par la loi. Cela comprend la conservation des informations aussi longtemps que nécessaire à des fins de comptabilité financière.
Certaines données collectées par la Société, telles que les adresses IP, certaines informations collectées par les cookies, les pseudonymes et autres informations non identifiables seront néanmoins collectées, conservées et traitées selon les mêmes normes que les données personnelles.
Les données personnelles peuvent être divulguées au sein de la Société et à des tiers de confiance; une telle divulgation est censée être conforme au RGPD et à la présente politique. Les données personnelles peuvent être transmises d'un département / partie à un autre conformément aux principes de protection des données et à la présente politique. En aucun cas, les données personnelles ne seront transmises à un service ou à une personne au sein ou à l'extérieur de la Société qui n'a pas raisonnablement besoin d'accéder à ces données personnelles en ce qui concerne le ou les objectifs pour lesquels elles ont été collectées et sont traitées. Un tel partage de données peut être nécessaire aux fins de l'exécution de la commande - par exemple, pour exécuter une commande personnalisée telle que des cordons. Cela peut inclure un client traitant directement avec un fournisseur tiers pour une preuve de produit et la livraison de sa commande.

24. Sécurité des données - Transfert de données personnelles et de communications
La Société veille à ce que les mesures suivantes soient prises pour toutes les communications et autres transferts impliquant des données à caractère personnel:
24.1 Tous les e-mails contenant des données personnelles doivent être cryptés;
24.2 Les données personnelles ne peuvent être transmises que sur des réseaux sécurisés;
24.3 Les données personnelles ne peuvent pas être transmises sur un réseau sans fil s'il existe une alternative filaire raisonnablement possible;
24.4 Les données personnelles contenues dans le corps d'un e-mail, qu'elles soient envoyées ou reçues, sont stockées en toute sécurité;
24.5 Lorsque des données à caractère personnel doivent être envoyées par télécopie, le destinataire doit être informé à l'avance de la transmission et doit attendre par télécopieur pour recevoir les données;
24.6 Lorsque des données personnelles doivent être transférées sur papier, elles doivent être transmises directement au destinataire ou envoyées en utilisant un mode de livraison sécurisé; et
24.7 Toutes les données personnelles à transférer physiquement, sur support papier ou sur support électronique amovible, doivent être transférées dans un conteneur approprié portant la mention «confidentiel».

25. Sécurité des données - Stockage
La société veille à ce que les mesures suivantes soient prises en ce qui concerne le stockage de données à caractère personnel:
25.1 Toutes les copies électroniques des données personnelles doivent être stockées en toute sécurité à l'aide de mots de passe et du cryptage des données;
25.2 Toutes les copies papier des données personnelles, ainsi que toutes les copies électroniques stockées sur des supports physiques amovibles doivent être stockées en toute sécurité dans une boîte, un tiroir, une armoire verrouillée ou similaire;
25.3 Toutes les données personnelles stockées électroniquement doivent être sauvegardées régulièrement avec des sauvegardes stockées hors site. Toutes les sauvegardes doivent être cryptées;
25.4 Aucune donnée personnelle ne doit être stockée sur un appareil mobile (y compris, mais sans s'y limiter, les ordinateurs portables, tablettes et smartphones), que cet appareil appartienne à la Société ou autrement sans l'approbation écrite formelle du Directeur de la Société et, dans le cas d'une telle approbation, strictement en conformité avec toutes les instructions et limitations décrites au moment de l'approbation (par exemple, les codes d'accès pour déverrouiller les appareils), et pour une durée qui n'est pas absolument nécessaire; et
25.5 Aucune donnée personnelle ne doit être transférée à un appareil appartenant personnellement à un employé à moins que l'approbation appropriée du directeur de l'entreprise n'ait été donnée conformément à la politique d'utilisation de votre appareil au travail de l'entreprise. Les données personnelles transférées vers des appareils appartenant à d'autres parties travaillant pour le compte de la société sont censées être pleinement conformes au RGPD / à la présente politique (cela peut inclure la démonstration à la société que toutes les mesures techniques et organisationnelles appropriées ont été prises).

26. Sécurité des données - Élimination
26.1 Lorsque des données personnelles doivent être effacées ou autrement éliminées pour une raison quelconque (y compris lorsque des copies ont été faites et ne sont plus nécessaires), elles doivent être supprimées et éliminées en toute sécurité. Les copies papier des données doivent être déchiquetées en toute sécurité et les copies électroniques des données doivent être supprimées en toute sécurité. Pour plus d'informations sur la suppression et l'élimination des données personnelles, veuillez vous référer à la politique de conservation des données de la société.

27. Sécurité des données - Utilisation des données personnelles
La société veille à ce que les mesures suivantes soient prises en ce qui concerne l'utilisation de données à caractère personnel:
27.1 Aucune donnée personnelle ne peut être partagée de manière informelle et si un employé ou une partie travaillant pour le compte de la société a besoin d'accéder à des données personnelles auxquelles il n'a pas déjà accès, cet accès doit être formellement demandé au directeur de la société;
27.2 Aucune donnée personnelle ne peut être transférée à des employés ou à d'autres parties, que ces parties travaillent pour le compte de la société ou non, sans l'autorisation du directeur de la société;
27.3 Les données personnelles doivent être traitées avec soin à tout moment et ne doivent pas être laissées sans surveillance ou à la vue des employés non autorisés ou d'autres parties à tout moment; et
27.4 Si des données personnelles sont affichées sur un écran d'ordinateur et que l'ordinateur en question doit être laissé sans surveillance pendant une période de temps, l'utilisateur doit verrouiller l'ordinateur et l'écran avant de le quitter.

28. Sécurité des données - Sécurité informatique
La Société exige que les mesures suivantes soient prises en matière de sécurité informatique et de l'information:
28.1 Tous les mots de passe utilisés pour protéger les données personnelles doivent être modifiés régulièrement et ne doivent pas utiliser de mots ou de phrases qui peuvent être facilement devinés ou autrement compromis. Tous les mots de passe doivent contenir une combinaison de lettres majuscules et minuscules, de chiffres et de symboles;
28.2 En aucun cas, aucun mot de passe ne doit être écrit ou partagé entre des employés ou d'autres parties travaillant pour le compte de la Société, indépendamment de l'ancienneté ou du service.
28.3 Tous les logiciels (y compris, mais sans s'y limiter, les applications et les systèmes d'exploitation) doivent être tenus à jour. Les mises à jour doivent être installées dès que raisonnablement et pratiquement possible, sauf s'il existe des raisons techniques valables de ne pas le faire; et
28.4 Aucun nouveau logiciel ne peut être installé sur un ordinateur ou un appareil appartenant à la Société sans l'approbation préalable du Directeur de la Société.

29. Mesures organisationnelles
La Société veille à ce que les mesures suivantes soient prises en ce qui concerne la collecte, la conservation et le traitement des données à caractère personnel:
29.1 Tous les employés ou autres parties concernées travaillant pour le compte de la société peuvent voir leurs responsabilités individuelles et les responsabilités de la société en vertu du RGPD dans cette politique;
29.2 Seuls les employés ou autres parties travaillant pour le compte de la société qui ont besoin d'accéder aux données personnelles et de les utiliser pour exécuter correctement les tâches qui leur sont attribuées ont accès aux données personnelles détenues par la société;
29.3 Tous les employés manipulant des données personnelles recevront une formation appropriée pour le faire;
29.4 Tous les employés manipulant des données personnelles seront supervisés de manière appropriée;
29.5 Tous les employés ou autres parties travaillant pour le compte de la société traitant des données personnelles doivent être encouragés et encouragés à faire preuve de prudence, de prudence et de discrétion lorsqu'ils discutent de questions liées au travail liées aux données personnelles, que ce soit sur le lieu de travail ou autrement;
29.6 Les méthodes de collecte, de conservation et de traitement des données personnelles doivent être régulièrement révisées;
29.7 Toutes les données personnelles détenues par la Société seront examinées périodiquement, comme indiqué dans la Politique de conservation des données de la Société;
29.8 La performance de ceux qui travaillent pour le compte de la Société traitant des données personnelles sera soumise à révision;
29.9 Tous les employés ou autres parties concernées travaillant pour le compte de la Société traitant des données personnelles devront le faire conformément aux principes du RGPD et de la présente Politique;
29.10 Toutes les parties travaillant au nom de la Société qui traitent des données personnelles doivent s'assurer que tous leurs employés impliqués dans le traitement des données personnelles sont tenus aux mêmes conditions que celles décrites dans la présente partie 29; et
29.11 Lorsqu'une partie travaillant pour le compte de la Société traitant des données personnelles manque à ses obligations en vertu du RGPD et / ou de la présente Politique, cette partie indemnisera et dégagera la Société de tous les frais, responsabilités, dommages, pertes, réclamations ou procédures qui pourraient découler de cet échec.

30. Transfert de données personnelles vers un pays hors du Royaume-Uni
30.1 La Société peut de temps à autre transférer (« transfert » comprend la mise à disposition à distance) des données personnelles vers des pays en dehors du Royaume-Uni. Le UK-GDPR limite ces transferts pour garantir que le niveau de protection accordé aux personnes concernées n'est pas compromis.
30.2 Le transfert de données personnelles vers un pays en dehors du Royaume-Uni n'aura lieu que si l'un des cas suivants s'applique :
30.2.1 Le Royaume-Uni a publié des réglementations confirmant que le pays en question garantit un niveau de protection adéquat (appelé « décisions d'adéquation » ou « réglementations d'adéquation »). À partir du 1er janvier 2021, les transferts de données personnelles du Royaume-Uni vers les pays de l'EEE continueront d'être autorisés. Des dispositions transitoires sont également en place pour reconnaître les décisions d'adéquation préexistantes de l'UE au Royaume-Uni.
30.2.2 Des garanties appropriées sont en place, notamment des règles d'entreprise contraignantes, des clauses contractuelles types approuvées pour une utilisation au Royaume-Uni (y compris celles adoptées par la Commission européenne avant le 1er janvier 2021), un code de conduite approuvé ou un mécanisme de certification approuvé.
30.2.3 Le transfert est effectué avec le consentement éclairé de la ou des personnes concernées;
30.2.4 Le transfert est nécessaire pour l'une des autres raisons énoncées dans le UK-GDPR, y compris l'exécution d'un contrat entre la personne concernée et la Société (ou pour des mesures précontractuelles prises à la demande de la personne concernée) ; raisons d'intérêt public; pour l'établissement, l'exercice ou la défense de droits en justice ; protéger les intérêts vitaux de la personne concernée lorsque la personne concernée est physiquement ou légalement incapable de donner son consentement ; ou pour les intérêts légitimes de la Société.

31. Notification de violation de données
31.1 Toutes les violations de données personnelles doivent être signalées immédiatement au délégué à la protection des données de la société.
31.2 Si une violation des données personnelles se produit et que cette violation est susceptible d'entraîner un risque pour les droits et libertés des personnes concernées (par exemple, perte financière, violation de la confidentialité, discrimination, atteinte à la réputation ou autre préjudice social ou économique significatif), les Données Le responsable de la protection doit veiller à ce que le Commissariat à l'information soit informé de la violation sans délai et, en tout état de cause, dans les 72 heures après en avoir pris connaissance.
31.3 Dans le cas où une violation des données personnelles est susceptible d'entraîner un risque élevé (c'est-à-dire un risque plus élevé que celui décrit à la partie 31.2) pour les droits et libertés des personnes concernées, le délégué à la protection des données doit prendre des dispositions pour toutes les données concernées. les sujets doivent être informés de la violation directement et sans retard excessif.
31.4 Les notifications de violation de données doivent inclure les informations suivantes:
31.4.1 Les catégories et le nombre approximatif de personnes concernées concernées;
31.4.2 Les catégories et le nombre approximatif d'enregistrements de données personnelles concernés;
31.4.3 Le nom et les coordonnées du délégué à la protection des données de la Société (ou de tout autre point de contact où obtenir plus d'informations);
31.4.4 Les conséquences probables de la violation;
31.4.5 Détails des mesures prises ou proposées par la Société pour remédier à la violation, y compris, le cas échéant, des mesures pour atténuer ses éventuels effets négatifs.

32. Notification au Bureau du commissaire à l'information (ICO)
32.1 En tant que responsable du traitement des données, la Société est tenue d'informer l'ICO qu'elle traite des données personnelles. La Société est inscrite au registre des contrôleurs de données sous le numéro d'enregistrement ZA185276.

33. Mise en œuvre de la politique
33.1 La présente politique sera réputée entrer en vigueur le 1er décembre 2021. Aucune partie de cette politique n'aura d'effet rétroactif et ne s'appliquera donc qu'aux questions survenant à compter de cette date.

Politique de protection des données de V9 CKB Ltd - entrée en vigueur le 1er décembre 2021

Panier
Il n'y a aucun produit dans le panier!
Continuer mes achats
0