POLITIQUE DE CONFIDENTIALITÉ
Votre vie privée est importante pour nous et Bluefin prend cette question très au sérieux.
Déclaration de confidentialité des données
v2.0_14 / 05/18
Il s’engage à faire preuve de transparence quant à la manière dont il collecte et utilise les données personnelles.
et de respecter ses obligations en matière de protection des données. Cette déclaration expose son engagement à ce jour
protection. Cette déclaration s’applique aux données personnelles des clients, fournisseurs, contacts, tiers
parties ou d’autres données personnelles traitées à des fins commerciales. Les données personnelles du travail
candidats, employés, contractants, stagiaires, apprentis et anciens employés, ci-après dénommés
Les données personnelles relatives aux ressources humaines sont couvertes par notre politique de protection des données humaines. Le libellé de cette déclaration
reflète les exigences du règlement général sur la protection des données (GDPR), qui entre en vigueur
le 25 mai 2018.
Bluefin a désigné le responsable des données comme responsable de la protection des données
conformité. Les questions concernant cette déclaration ou les demandes d’informations complémentaires doivent être adressées
au gestionnaire de données, Bluefin Trading Ltd, Keelham Farm, Hebden Bridge, HX7 8TG.
1. interprétation
Prise de décision automatisée (ADM): lorsqu’une décision est prise qui repose uniquement sur
Traitement automatisé (y compris le profilage) produisant des effets juridiques ou des effets importants
un individu. Le GDPR interdit la prise de décision automatisée (sauf si certaines conditions sont remplies) mais
Traitement non automatisé.
Traitement automatisé: toute forme de traitement automatisé de données à caractère personnel
Données à caractère personnel pour évaluer certains aspects personnels liés aux personnes, en particulier:
analyser ou prédire des aspects concernant les performances de cette personne au travail, sa santé, ses préférences,
intérêts, fiabilité, comportement, emplacement ou mouvements. Le profilage est un exemple de système automatisé
Traitement.
Organisation Bluefin Trading Ltd
Consentement: accord qui doit être donné librement, spécifique, informé et sans ambiguïté
indication des souhaits de la personne concernée par lesquels, par une déclaration ou par un
action positive, signifient votre accord pour le traitement des données personnelles qui les concernent.
Contrôleur de données: la personne ou l’organisation qui détermine quand, pourquoi et comment
traiter les données personnelles. Il est responsable de la mise en œuvre des pratiques et des politiques conformément aux
le GDPR. Nous sommes le responsable du traitement des données personnelles utilisées dans notre entreprise pour notre propre entreprise.
fins.
Sujet de données: une personne vivante, identifiée ou identifiable à propos de laquelle nous détenons
Les personnes concernées peuvent être des nationaux ou des résidents de n’importe quel pays et avoir des droits légaux en matière de
leurs données personnelles.
Évaluation de la confidentialité des données (DPIA): évaluations utilisées pour identifier et réduire les risques liés aux données
activité de traitement. DPIA peut être réalisé dans le cadre de Privacy and Design
pour tous les principaux systèmes ou programmes de changement d’entreprise impliquant le traitement de données à caractère personnel.
EEE: les 28 pays de l’UE et l’Islande, le Liechtenstein et la Norvège.
Consentement explicite: permet une déclaration très claire et spécifique.
Règlement général sur la protection des données (GDPR): le règlement général sur la protection des données. Les données personnelles sont
soumis aux garanties juridiques précisées dans le RGPD.
Données à caractère personnel: toute information identifiant une personne concernée ou toute information relative à une personne concernée
que nous pouvons identifier (directement ou indirectement) à partir de cette date, seul ou en combinaison avec
autres identifiants que nous possédons ou auxquels nous pouvons avoir un accès raisonnable. Les données personnelles comprennent Sensitive
Données personnelles et données personnelles pseudonymisées, mais exclut les données anonymes ou la date ayant eu la
identité d’un individu retiré définitivement. Les données personnelles peuvent être factuelles (par exemple, une
nom, adresse e-mail, lieu ou date de naissance)
comportement.
Violation de données personnelles: tout acte ou omission qui compromet la sécurité,
confidentialité, intégrité ou disponibilité des données personnelles ou des données physiques, techniques,
sauvegardes administratives ou organisationnelles que nous ou nos fournisseurs de services tiers avons mis en
endroit pour le protéger. La perte, ou l’accès non autorisé, la divulgation ou l’acquisition, de
Les données personnelles sont une violation de données personnelles.
Privacy by Design: mise en œuvre des mesures techniques et organisationnelles appropriées de manière efficace.
manière à assurer la conformité avec le GDPR.
Avis ou déclarations de confidentialité: des avis distincts indiquant les informations pouvant être fournies aux
Sujets de données lorsque l’organisation collecte des informations à leur sujet.
Traitement ou traitement: toute activité impliquant l’utilisation de données à caractère personnel. Cela comprend l’obtention,
l’enregistrement ou la conservation des données, ou l’exécution d’une opération ou d’un ensemble d’opérations sur les données
y compris son organisation, sa modification, son extraction, son utilisation, sa divulgation, son effacement ou sa destruction. traitement
comprend également la transmission ou le transfert de données personnelles à des tiers.
Pseudonymisation: remplacement des informations identifiant directement ou indirectement un individu
un ou plusieurs identifiants artificiels ou pseudonymes pour que la personne à qui les données sont destinées
ne peut pas être identifié sans l’utilisation d’informations supplémentaires censées être
gardé séparément et sécurisé.
Politiques connexes: les politiques, les procédures d’exploitation ou les processus de l’organisation liés à cette
Déclaration de confidentialité et conçu pour protéger
Données personnelles sensibles: informations révélant l’origine raciale ou ethnique, les
opinions, convictions religieuses ou similaires, appartenance à un syndicat, santé physique ou mentale
la vie sexuelle, l’orientation sexuelle, les données biométriques ou génétiques et les données personnelles
aux infractions pénales et aux condamnations.
organisation et assurera le succès des opérations commerciales. Protéger la confidentialité
et l’intégrité des données personnelles est une responsabilité essentielle que nous prenons au sérieux en tout temps.
Le responsable des données est chargé de superviser la présente déclaration de confidentialité et, le cas échéant,
élaborer des politiques et des directives connexes. Veuillez contacter le gestionnaire de données pour toute question.
Déclaration de confidentialité ou le RGPD ou si vous craignez que cela
La déclaration de confidentialité n’est pas ou n’a pas été suivie.
Les données personnelles énoncées dans le GDPR qui
exiger que les données personnelles soient:
a) traité légalement, équitablement et de manière transparente (légalité, équité et
Transparence).
(b) Collectées uniquement à des fins spécifiées, explicites et légitimes (limitation de la finalité).
c) Adéquates, pertinentes et limitées à ce qui est nécessaire en ce qui concerne les
fins pour lesquelles il est traité (minimisation des données).
d) Précis et, le cas échéant, mis à jour (exactitude).
e) Ne pas conserver sous une forme permettant l’identification des sujets de données plus longtemps que prévu
nécessaires aux fins pour lesquelles les données sont traitées (limitation de stockage).
f) traitées de manière à assurer sa sécurité en utilisant les moyens techniques et
mesures organisationnelles de protection contre les traitements non autorisés ou illégaux et contre
perte, destruction ou dommages accidentels (sécurité, intégrité et confidentialité).
g) Pas transféré dans un autre pays sans que des garanties appropriées soient en place
(Limite de transfert).
(h) mis à la disposition des personnes concernées autorisées à exercer certains droits en ce qui concerne:
leurs données personnelles (droits et demandes de la personne concernée).
Nous démontrerons le respect des principes de protection des données énumérés ci-dessus (responsabilité).
3. Légalité, équité, transparence
3.1 Légalité et équité
Les données personnelles seront traitées de manière licite, loyale et transparente en ce qui concerne les
Sujet de données. Nous collecterons, traiterons et partagerons vos données personnelles de manière loyale et licite et pour
fins spécifiées. Le GDPR limite nos actions concernant les données personnelles à des informations légales spécifiées.
fins. Ces restrictions ne visent pas à empêcher le traitement mais à garantir que nous traitons
Données personnelles équitablement et sans nuire à la personne concernée.
Le GDPR autorise le traitement à des fins spécifiques, dont certaines sont décrites ci-dessous:
a) lorsque la personne concernée a donné son consentement;
(b) si le traitement est nécessaire à l’exécution d’un contrat avec la personne concernée;
(c) respecter nos obligations légales en matière de conformité;
d) protéger les intérêts vitaux de la personne concernée;
(e) poursuivre nos intérêts légitimes à des fins où ils ne sont pas lésés
parce que le traitement porte atteinte aux intérêts ou aux libertés et droits fondamentaux des données
Les sujets. Les objectifs seront définis dans les avis de confidentialité applicables.
Nous identifions et documentons le fondement juridique.
3.2 Consentement
Nous ne traiterons les données personnelles que sur la base d’une ou plusieurs
GDPR, qui comprend le consentement. Un consentement des personnes concernées au traitement de leurs données personnelles s’ils
indiquez clairement votre accord par une déclaration ou par une action positive. Le consentement nécessite une affirmation
Il est donc peu probable que le silence, les cases pré-cochées ou l’inactivité soient suffisants. Si le consentement est
dans un document traitant d’autres questions, le consentement sera alors séparé de celui qui a été signé.
ces autres questions. Les personnes concernées peuvent retirer leur consentement au traitement à tout moment
le retrait sera promptement respecté. Le consentement devra peut-être être actualisé si nous avons l’intention de
traiter des données à caractère personnel dans un but différent et incompatible qui n’a pas été divulgué
la personne concernée a d’abord consenti.
Si nous ne pouvons pas compter sur une autre base légale de traitement, le consentement explicite sera
nécessaires au traitement des données à caractère personnel sensibles, à la prise de décision automatisée et au
transferts de données transfrontaliers. Nous nous appuierons généralement sur une autre base juridique (et non
consentement explicite) pour traiter les données sensibles. Lorsque le consentement explicite est requis, nous allons
émettre un avis à la personne concernée.
Nous allons garder des traces de tous les consentements
exigences.
3.3 Transparence (notification des personnes concernées)
Le GDPR exige que les contrôleurs de données fournissent des informations détaillées et spécifiques aux
Les sujets. Chaque fois que nous collectons des données personnelles sur des sujets de données, y compris pour
ressources ou à des fins d’emploi, nous fournirons à la personne concernée toutes les informations
requis par le GDPR, y compris l’identité du contrôleur de données, comment et pourquoi nous allons utiliser,
traiter, divulguer, protéger et conserver ces données personnelles.
Lorsque des données personnelles sont collectées indirectement (par exemple, auprès d’un tiers ou de sources accessibles au public)
source), nous fournirons au sujet des données les informations requises par le GDPR dès que
possible après la collecte / la réception des données. Nous vérifierons que les données personnelles ont été collectées par
tiers en conformité avec le RGPD et sur une base qui envisage notre proposition
traitement de ces données personnelles.
4. Limitation de la finalité
Les données personnelles ne seront collectées qu’à des fins spécifiées, explicites et légitimes. Ça ne va pas
faire l’objet d’un traitement ultérieur incompatible avec ces finalités. Nous n’utiliserons pas
Données personnelles pour des raisons nouvelles, différentes ou incompatibles avec celles qui ont été divulguées
premier arrivé à moins que nous ayons informé le sujet des données des nouvelles fins et qu’il ait consenti
si nécessaire.
5. Minimisation des données
Les données personnelles seront adéquates, pertinentes et limitées à ce qui est nécessaire pour
à la fin pour laquelle il est traité. Notre personnel ne traitera les données personnelles pour aucun
raison non liée à leurs tâches. Lorsque les données personnelles ne sont plus nécessaires pour des
il sera supprimé ou anonymisé conformément à nos consignes de conservation des données.
6. Précision
Les données personnelles seront exactes et, si nécessaire, mises à jour. Ce sera
corrigées ou supprimées sans délai lorsqu’elles sont inexactes. Nous veillerons à ce que les données personnelles que nous avons
utiliser et conserver est précis, complet, mis à jour et pertinent par rapport au but pour lequel nous
recueilli. Nous prendrons toutes les mesures raisonnables pour détruire ou modifier les informations inexactes ou obsolètes.
Données personnelles
7. Limite de stockage
Les données personnelles seront conservées sous une forme identifiable plus longtemps qu’il n’est nécessaire pour
fins pour lesquelles les données sont traitées. Nous ne conserverons pas les données personnelles sous une forme qui permette
l’identification du sujet de données plus longtemps que nécessaire pour l’entreprise légitime
fins pour lesquelles nous avons initialement recueilli dans le but de satisfaire
toute exigence légale, comptable ou de reporting. Nous prendrons toutes les mesures raisonnables pour détruire ou
effacer de nos systèmes les données personnelles dont nous n’avons plus besoin conformément à nos dossiers
politiques de rétention. Cela implique de demander à des tiers de supprimer ces données, le cas échéant. nous
informera les personnes concernées que les données de la période sont stockées et comment cette période est déterminée.
8. Intégrité de la sécurité et confidentialité
8.1 Protection des données personnelles
Les données personnelles seront protégées par des mesures techniques et organisationnelles appropriées
traitement non autorisé ou illégal, et contre la perte, la destruction ou les dommages accidentels. Nous allons
élaborer, mettre en œuvre et maintenir des protections appropriées à notre taille, à notre portée et à nos activités, disponibles
ressources, quantité de données personnelles
les risques (y compris le cryptage et la pseudonymisation, le cas échéant). Nous allons
évaluer et tester régulièrement l’efficacité de ces garanties
traitement des données personnelles.
Nous maintiendrons la sécurité des données en protégeant la confidentialité, l’intégrité et la disponibilité du
Données personnelles, définies comme suit:
(a) La confidentialité signifie que seules les personnes ayant besoin de savoir
Autorisé à utiliser les données personnelles peut y accéder.
(b) Intégrité signifie que les données à caractère personnel sont exactes et adaptées aux fins pour lesquelles elles sont utilisées.
est traité.
(c) La disponibilité signifie que les utilisateurs autorisés ne peuvent accéder au compte personnel.
Données quand ils en ont besoin à des fins autorisées.
8.2 Signaler une violation de données personnelles
Le GDPR exige des contrôleurs de données qu’ils notifient toute donnée personnelle
l’organisme de réglementation compétent et, dans certains cas, la personne concernée. Nous avons mis en place
procédures en cas de suspicion d’atteinte à la confidentialité des données à caractère personnel et notifiera les personnes concernées
l’organisme de réglementation compétent où nous sommes légalement tenus de le faire.
9. Limite de transfert
Le GDPR limite les transferts de données vers des pays extérieurs à l’EEE afin de garantir
que le niveau de protection des données accordé aux individus ne soit pas compromis. Nous ne ferons que
transférer des données à caractère personnel en dehors de l’EEE si l’une des conditions suivantes est remplie:
a) la Commission européenne a rendu une décision confirmant que le pays à
que nous transférons aux données
Droits et libertés des sujets;
b) des garanties appropriées sont en place;
c) la personne concernée a donné son consentement explicite au transfert proposé après avoir été
informé de tout risque potentiel, ou
d) le transfert est nécessaire pour l’une des autres raisons énoncées dans le RGPP, y compris la
exécution d’un contrat entre nous et la personne concernée; intérêt public; pour établir, exercer
ou défendre des revendications juridiques, ou pour protéger les intérêts vitaux des données
Personne concernée est physiquement ou juridiquement incapable de donner. Consentement, et dans certains
cas, pour notre intérêt légitime.
10. Droits de la personne concernée
Les sujets de données ont des droits quant à la manière dont nous traitons leurs données personnelles. Ceux-ci incluent des droits
tO:
a) retirer le consentement au traitement à tout moment;
(b) recevoir certaines informations sur les activités de traitement du contrôleur de données;
(c) demander l’accès à leurs données personnelles que nous détenons;
(d) empêcher l’utilisation de leurs données personnelles à des fins de marketing direct;
(e) nous demander d’effacer les données personnelles si cela n’est plus nécessaire par rapport à la finalité
pour lequel il a été collecté ou traité ou pour rectifier une date inexacte / complète incomplète;
f) restreindre le traitement dans des circonstances spécifiques;
(g) contester un traitement qui a été justifié sur la base de nos intérêts légitimes
ou dans l’intérêt public;
h) demande de copie d’un accord en vertu duquel
EEE;
(i) contester les décisions fondées sur le traitement automatisé, y compris le profilage (ADM);
(j) empêcher tout traitement susceptible de causer des dommages ou une détresse à la personne concernée ou
quelqu’un d’autre;
(k) être informé d’une violation de données personnelles
droits et libertés;
l) adresser une plainte à l’autorité de surveillance, et
(m) dans des circonstances limitées, recevoir ou demander que leurs données personnelles soient
transféré à un tiers dans un format structuré, couramment utilisé et lisible par machine.
Nous vérifierons l’identité des droits individuels demandés ci-dessus.
11. Responsabilité
11.1 Nous mettrons en œuvre les mesures techniques et organisationnelles appropriées
efficace, afin de garantir le respect des principes de protection des données. Nous avons adéquat
ressources et contrôles en place pour assurer et documenter la conformité au GDPR, notamment:
(a) nommer un responsable dûment qualifié responsable de la confidentialité des données;
(b) la mise en œuvre de la protection de la vie privée dès la conception lors du traitement.
Les DPIA dont le traitement présente un risque élevé pour les droits et libertés des personnes concernées;
(c) intégrer la protection des données dans les documents internes;
(d) formation régulière de notre personnel sur le GDPR et les questions de protection des données
y compris les droits de la personne concernée,
Consentement, bases légales, DPIA et violations de données personnelles, et
(e) tester régulièrement les mesures de protection de la vie privée et mener des examens pour évaluer la conformité.
11.2 Tenue de registres
Le GDPR nous oblige à conserver des enregistrements complets et précis de nos traitements de données
activités. Ces enregistrements incluent le nom et les coordonnées du contrôleur de données,
description claire des types de données personnelles, des types de sujets de données, des activités de traitement,
destinataires tiers des données à caractère personnel, emplacements de stockage,
transferts, les périodes de conservation et une description des mesures de sécurité en place.
11.3 Entraînement
Nous veillerons à ce que tout le personnel ait suivi une formation adéquate lui permettant de se conformer aux données.
lois sur la vie privée.
6
11.4 Analyse d’impact sur la protection des données et la protection des données (DPIA)
Nous sommes tenus de mettre en œuvre des mesures de confidentialité dès la conception lors du traitement
Données personnelles en mettant en œuvre des mesures techniques et organisationnelles appropriées
pseudonymisation) de manière efficace, afin de garantir le respect des données
principes de confidentialité. Nous prendrons en compte les éléments suivants:
a) l’état de la technique;
b) le coût de la mise en œuvre;
c) la nature, la portée, le contexte et les finalités du traitement, et
(d) les risques, la probabilité et la gravité des droits et libertés des personnes concernées par le
traitement.
Nous mènerons également des EPD en ce qui concerne le traitement des risques élevés.
11.5 Traitement automatisé (y compris le profilage) et prise de décision automatisée
En règle générale, ADM est interdit lorsqu’une décision a un effet significatif juridique ou similaire sur
individuel sauf:
a) une personne concernée a explicitement consenti;
(b) le traitement est autorisé par la loi, ou
c) le traitement est nécessaire à l’exécution d’un contrat ou à la conclusion d’un contrat.
Si certains types de données sensibles sont en cours de traitement, les motifs (b) ou (c) ne seront pas autorisés.
mais ces données sensibles peuvent être traitées lorsque cela est nécessaire pour un intérêt public important tel que
prévention de la fraude. Si une décision doit être basée sur le traitement automatisé (y compris
profilage), les personnes concernées seront informées de leur droit de faire objection. approprié
des mesures seront mises en place pour protéger les droits, les libertés et les droits légitimes de la personne concernée.
intérêts. Nous informerons la personne concernée de la logique impliquée dans la prise de décision
profilage, l’importance et les conséquences envisagées et donnent à la personne concernée la
droit de demander une intervention humaine, d’exprimer son point de vue ou de contester la
décision. Une DPIA sera effectuée avant tout traitement automatisé (y compris
profilage) ou des activités ADM sont entreprises.
11.6 Marketing direct
Nous offrirons spécifiquement le droit de s’opposer au marketing direct. L’objection d’une personne concernée à
le marketing direct sera rapidement honoré. Si un client se désiste à tout moment, leurs détails seront
supprimé le plus tôt possible. Suppression et conservation d’informations suffisantes pour assurer
que les préférences marketing soient respectées à l’avenir.
11.7 Partage des données personnelles
En règle générale, nous ne sommes pas autorisés à partager des données personnelles avec des tiers, sauf si
des sauvegardes et des arrangements contractuels ont été mis en place. Nous ne partagerons que le personnel
Les données que nous détenons si le destinataire a un besoin lié à l’emploi de connaître les informations et le transfert
restrictions relatives aux transferts transfrontaliers. Nous ne partagerons que le personnel
Les données que nous détenons avec des tiers, tels que nos fournisseurs de services, si:
(a) ils doivent fournir le contrat
services;
(b) le partage des données à caractère personnel est conforme à une déclaration de confidentialité fournie à la personne concernée
et, si nécessaire, le consentement de la personne concernée a été obtenu;
(c) le tiers a accepté de respecter la sécurité des données requise;
restrictions de transfert transfrontalier, et
e) un contrat écrit entièrement signé contenant des clauses de tiers approuvées par le GDPR a
été obtenu.
12. Modifications de cette déclaration de confidentialité
revenez régulièrement pour obtenir les dernières nouvelles.
copie de cette déclaration. Cette déclaration de confidentialité ne remplace aucune loi applicable en matière de confidentialité des données et règlements.