SUOMEN VIPASSANA RY:N TIETOSUOJAKÄYTÄNTÖ  
 
 
Käytäntö, laajuus ja tavoitteet
 
 
 
Lausuma   Suomen Vipassana ry:n hallitus on sitoutunut noudattamaan kaikkia asiaankuuluvia EU-lakeja henkilötietojen suhteen sekä suojelemaan niiden yksilöiden "oikeuksia ja vapauksia", joiden tietoja yhdistys kerää tietoja yleisen tietosuojasäännöstön (GDPR) mukaisesti.
 
1.2 Sitoumus
Yhdistys on sitoutunut noudattamaan tietosuojalainsäädäntöä ja hyviä käytäntöjä, mukaan lukien:
 
A. henkilötietoja käsitellään vain silloin, kun se on ehdottoman välttämätöntä organisaation lainmukaisia tarkoituksia varten;
B. kerää vain näihin tarkoituksiin vaadittavat vähimmäishyödylliset tiedot eikä käsitellä liiallisia henkilökohtaisia ​​tietoja;
C. antamaan yksilöille selkeää tietoa siitä, miten heidän henkilökohtaisia ​​tietojaan käytetään ja kenen toimesta;
D. käsitellään vain asianmukaisia ​​ja riittäviä henkilötietoja;
E. henkilötietojen käsittely oikeudenmukaisesti ja laillisesti;
F. säilytetään luettelo yhdistyksen käsittelemistä henkilötiedoista;
G. henkilökohtaisten tietojen pitäminen ajan tasalla ja tarvittaessa ajan tasalla;
H. säilytetään henkilökohtaisia ​​tietoja vain niin kauan kuin se on tarpeen oikeudellisista tai lainsäädännöllisistä syistä tai laillisista organisatorisista syistä;
I. yksityishenkilöiden oikeuksien kunnioittaminen suhteessa heidän henkilötietoihinsa, mukaan lukien heidän oikeutensa saada haltuunsa tiedot, joita heistä on kerätty;
J. pitää kaikki henkilökohtaiset tiedot turvallisina; tietoja säilytetään niin lyhyen aikaa ja niin vähän, kuin mahdollista, ja niitä käsittelee pienin mahdollinen tarvittava määrä ihmisiä. Tietoja säilytetään vain silloin kun se on välttämätöntä.
K.  henkilötietoja siirretään EU: n ulkopuolelle vain tilanteissa, joissa ne voidaan suojata riittävästi;
L. tietosuojalainsäädännön sallimien poikkeusten soveltaminen;
 

1.3 Tietojen kerääminen ja tallentaminen
Yhdistys ja sen vapaaehtoistyöntekijät (avustajat, katso jäljempänä olevat määritelmät) keräävät ja arvioivat tietoja seuraaviin tarkoituksiin;
    1. avustavan opettajan tai hänen puolestaan toimivan avustajan suorittama arvio siitä, voidaanko oppilas  hyväksyä meditaatiokurssille
     2. jotta keskushallinto voi suunnitella majoitusta, ruokaa ja joskus opiskelijan kuljetusta;
    3. oppilaalle asianmukaisen ohjauksen ja avun antaminen ennen Vipassana-meditaatiokurssia, sen aikana ja sen jälkeen;
     4. oikeudelliset syyt tai sopimuksen täytäntöönpano, mikä tarkoittaa sitä, että käsitellään tietoja, joiden pohjalta tarjotaan apua, jota oppilas tai avustaja on pyytänyt;
    5. lmeditaatiokurssiin liittyvien lisäpalvelujen tarjoamiseksi sen jälkeen, kun kyseisille palveluille on annettu suostumus tai kun järjestön oikeutettu etu on osoitettu.
6. Jotta voitaisiin tarjota uutiskirjepalveluita tai pitää kirjaa taloudesta (mukaan lukien lahjoitukset)
 

Sikäli kuin henkilötietojen käyttö kuuluu Calm-ohjelmiston käyttöön, noudatetaan Calm-tietosuojakäytäntöä ja asiaa koskevia ohjeita.
 

Ilmoitus
Euroopan meditaatiokeskukset ovat päättäneet käyttää Calm-järjestelmää yleiseen rekisteröintiin. Calm on kursseille hakemisen, viittaus- ja erikoislistan sekä pitkien kurssien että lisäohjelmistojen käytön pääohjain. Calm on ilmoittanut Haagissa Alankomaissa toimivalle tietosuojaviranomaiselle (De Autoriteit Persoonsgegevens), että se on rekisterinpitäjä ja käsittelee tiettyjä tietoja rekisteröidyistä.
 
 
Calm on tunnistanut kaikki henkilökohtaiset tiedot, joita se käsittelee, ja niitä säilytetään tietokannan rekisterissä (DPA-ilmoitus). Calmille ja yhdistykselle on nimitetty tietosuojavastaava.
 
1.4 Tietosuojavastaavalle annetaan DPA-ilmoitus ja DPA-ilmoituksen käsikirjaa käytetään ilmoituksen ohjeena.   
 
1.5 DPA-ilmoitus uusitaan vuosittain
 
 
1.6 Tietosuojavastaava vastaa vuosittain ilmoituksen yksityiskohtien tarkastamisesta kaikkien yhdistyksen toimintojen muutosten valossa (joka on määritetty tietovarastojen rekisteriin ja hallintotarkistuksiin tehtyjen muutosten perusteella) ja minkä tahansa lisävaatimusten perusteella, jotka tulevat esiin tietosuojan vaikutusten arvioinnin avulla. Tämä käytäntö koskee kaikkia luottamuksen avustajia ja oppilaita sekä kaikkia kolmansia osapuolia ja yhteistyökumppaneita.
 
 
Yhteistyökumppanit ja kolmannet osapuolet, jotka työskentelevät yhdistyksen kanssa tai yhdistykselle, ja joilla on tai voivat saada henkilökohtaisia ​​tietoja, oletetaan lukeneen, ymmärtäneen ja noudattavan tätä käytäntöä. Kolmas osapuoli ei saa käyttää yhdistyksen hallussa olevia henkilötietoja ilman, että hän on ensin tehnyt luottamuksellisuutta koskevan sopimuksen, jossa asetetaan kolmansille osapuolille vähintään yhtä suuret velvoitteet kuin joihin yhdistys on sitoutunut, ja joka antaa luottamukselle oikeuden tarkastaa sopimuksen noudattaminen.
 
2. Yleisen tietosuojadirektiivin ("GDPR") tausta
 
Yleinen tietosuojadirektiivi 2016 korvaa vuoden 1995 EU: n tietosuojadirektiivin ja kumoaa tietosuojadirektiivin 95/46 / EY mukaisesti kehitetyt yksittäisten jäsenvaltioiden lait. Sen tarkoituksena on suojella "elävien yksilöiden oikeuksia ja vapauksia" ja varmistaa, että henkilötietoja ei käsitellä ilman heidän tietämystään ja, aina kun mahdollista, että niitä käsitellään heidän suostumuksellaan.
 
 
Organisaation käyttämät määritelmät (GDPR:n mukaisesti)
 
Alueellinen soveltamisala - GDPR: tä sovelletaan kaikkiin EU: ssa (Euroopan unioni ja Euroopan talousalueen maissa) sijoittautuneisiin rekisterinpitäjiin, jotka käsittelevät rekisteröityjen henkilötietoja oman laitoksensa toiminnan yheydessä. Sitä sovelletaan myös EU: n ulkopuolisiin rekisterinpitäjiin, jotka käsittelevät henkilötietoja tavaroiden ja palveluiden tarjoamiseksi tai EU: ssa asuvien rekisteröityjen henkilöiden käyttäytymisen valvomiseksi
 

Päätoimipaikka - rekisterinpitäjän päätoimipaikka EU: ssa on paikka, jossa rekisterinpitäjä tekee tärkeimmät päätökset tietojenkäsittelytoiminnan tarkoituksesta. Prosessorin päätoimipaikka EU: ssa on sen hallinnollinen keskus. Jos rekisterinpitäjä toimii EU: n ulkopuolella, sen on nimettävä edustaja lainkäyttövaltaan, jossa rekisterinpitäjä toimii, toimimaan rekisterinpitäjän puolesta ja asioimaan valvontaviranomaisten kanssa.
 

Henkilötiedot - kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön ("rekisteröityyn") liittyvä tieto; tunnistettavissa oleva luonnollinen henkilö on sellainen, joka voidaan tunnistaa suoraan tai epäsuorasti erityisesti tunnisteen, kuten nimen, tunnistenumeron, sijaintitietojen, online-tunnisteen tai yhden tai useamman fyysisen, fysiologisen, geneettistä, henkistä, taloudellista, kulttuurista tai sosiaalista identiteettiä koskevan tekijän perusteella, jotka liittyvät juuri tiettyyn yksittäiseen luonnolliseen henkilöön.
 
Henkilötietojen erityisluokat - henkilötiedot, jotka paljastavat rodun tai etnisen alkuperän, poliittiset mielipiteet, uskonnolliset tai filosofiset vakaumukset tai ammattiyhdistysjäsenyydet ja geneettisten tietojen käsittely, biometriset tiedot yksiselitteisesti luonnollisen henkilön tunnistamiseksi, terveyttä koskevat tiedot tai tiedot luonnollisen henkilön seksielämästä tai seksuaalisesta suuntautumisesta.
 
Tiedon hallintataho - luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä muiden kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitus ja keinot määräytyvät unionin tai jäsenvaltion lainsäädännön mukaan, rekisterinpitäjä tai sen nimittämistä koskevat erityiset perusteet voidaan säätää unionin tai jäsenvaltioiden lainsäädännön mukaisesti.
 
Rekisteröity - jokainen elävä yksilö, joka on organisaation hallussa olevien henkilötietojen alainen.
Käsittely - kaikki henkilötietoihin tai henkilötietojen sarjoihin suoritetut toiminnot tai toimintamuodot riippumatta siitä, ovatko ne automaattisia välineitä, kuten kerääminen, tallennus, organisointi, jäsentäminen, tallennus, muokkaaminen tai muuttaminen, haku, kuuleminen, käyttö, levittäminen, levittäminen tai muuten saataville asettaminen, yhdenmukaistaminen tai yhdistäminen, rajoittaminen, poistaminen tai hävittäminen.
 
Profilointi - on henkilötietojen automatisoitu käsittely, jonka tarkoituksena on arvioida tiettyjä luonnollisen henkilön henkilökohtaisia näkökohtia tai analysoida tai ennustaa henkilön suorituskykyä työssä, taloudellinen tilanne, sijainti, terveys, henkilökohtaiset mieltymykset, luotettavuus tai käyttäytyminen. Tämä määritelmä on sidoksissa rekisteröidyn oikeuteen vastustaa profiilia ja oikeutta saada tietoa profiloinnin olemassaolosta, profiloitumiseen perustuvista toimenpiteistä ja profiloinnin suunnitelluista vaikutuksista yksilöön.
 
Henkilötietorikos - tietoturvarikos, joka johtaa henkilötietojen luovuttamiseen, tallentamiseen tai muuten käsittelemättömään tai laittomaan hävittämiseen, häviämiseen, muuttamiseen, luvattomaan paljastamiseen tai pääsyyn. Rekisterinpitäjä on velvollinen ilmoittamaan henkilötietojen rikkomuksista valvontaviranomaiselle ja jos rikos voi vaikuttaa haitallisesti rekisteröidyn henkilötietoihin tai yksityisyyteen.
 
Rekisteröintiin suostuminen - tarkoitetaan ilmaistua, täsmällistä, tietoista ja yksiselitteistä mainintaa rekisteröityjen toiveista, jolla hän ilmaisee lausuman tai selkeän myönteisen toimen avulla henkilötietojen käsittelyä koskevan sopimuksen.
Lapsi - GDPR määrittelee lapsen alle 16-vuotiaana. Alle 13-vuotiaan lapsen henkilötietojen käsittely on laillista vain, jos vanhempien tai säilytysyhteisön suostumus on saatu.
 
Kolmas osapuoli - luonnollinen henkilö tai oikeushenkilö, julkinen viranomainen, virasto tai elin, joka ei ole rekisteröity, rekisterinpitäjä, rekisterinpitäjä ja henkilöt, joilla on rekisterinpitäjän tai jalostajan välityksellä välitön oikeus käsitellä henkilötietoja.
Arkistointijärjestelmä - kaikki jäsennellyt henkilötietojoukot, jotka ovat saatavilla erityisten perusteiden mukaan, olivatpa ne sitten keskitettyjä, keskittämättömiä tai hajautettuja toiminnallisella tai maantieteellisellä pohjalla.
 
Erityiset lisämääritelmät
 
Oppilas: Henkilö, joka hakee tai osallistuu vipassanameditaatiokurssille, jota ohjaa S. N. Goenkaa avustava opettaja.
 
Avustava opettaja: S.N. Goenkan tai hänen edustajansa vipassanameditaatiokursseja ohjaamaan nimittämä henkilö. Tähän sisältyvät myös opettajat.
 
Vanha oppilas: Vipassanameditaatiokurssin suorittanut henkilö S.N. Goenkan tai hänen apulaisopettajansa ohjauksella.
 
Avustaja: vanha oppilas, joka avustaa vipassanameditaatiokurssien järjestämisessä, kurssipaikalla tai kurssikeskuksessa.
 
3. Yleisen tietosuojadirektiivin mukaiset velvoitteet
 
3.1 Calm toimii GDPR:n mukaisesti tarkastajana.
3.2 Ylimmän johdon ja kaikkien Calm hallinto- tai valvontatehtävissä olevien vastuulla on hyvien tietojenkäsittely käytäntöjen kehittäminen ja kannustaminen organisaation sisällä. Vastuut on jaettu yksilöllisissä tehtäväkuvauksissa.
3.3 Tietosuojavaltuutettu ja Calm -säätiön hallituksen jäsenet ovat vastuussa Calm-hallintoneuvostolle henkilökohtaisten tietojen hallinnoimisesta Calmissa ja vastuussa siitä, että tietosuojalainsäädännön ja hyvien käytäntöjen noudattaminen voidaan osoittaa. Tähän vastuuseen sisältyy:
3.3.1 PIMS:n kehittäminen ja toteuttaminen tämän käytännön edellyttämällä tavalla; ja
3.3.2 turvallisuus ja riskienhallinta käytännön noudattamisen suhteen.
3.4 DPO:ta ja Calm säätiön hallitusta pidetään asianmukaisesti pätevinä ja kokeneina, ja heidät on nimetty ottamaan vastuun siitä, että Calm noudattaa tätä käytäntöä käytännössä ja erityisesti heillä on välitön vastuu sen varmistamisesta, että Calm noudattaa GDPR:ää ja että hallintoneuvoston jäsenet noudattavat GDPR:ää oman tietojenkäsittely alueensa suhteen.
3.5 Tietosuojavastaavalla ja hänen paikallisilla edustajillaan on erityisiä velvollisuuksia sellaisten menettelytapojen osalta, jotka koskevat SUBJECT ACCESS REQUEST menettelyä, ja ovat oppilaiden ja avustajien ensimmäinen yhteyshenkilö, jolta he voivat hakea selvennystä tietosuojan noudattamisesta, mistä tahansa näkökulmasta.
3.6 Tietosuojalainsäädännön noudattaminen on kaikkien niiden avustajien vastuulla, jotka käsittelevät henkilötietoja.
3.7 Calmin koulutus käytäntö asettaa erityisiä koulutus- ja tiedostusvaatimuksia tiettyjen tehtävien suhteen ja yleisesti Calmin kanssa työskenteleville avustajille.
3.8 Calm-avustajat ovat vastuussa siitä, että heidän henkilökohtaiset tiedot, jotka liittyvät heihin ja jotka he ovat antaneet Calmille, ovat paikkansapitäviä ja ajantasaisia
 
4. Riskien arviointi
 
Tarkoitus: Varmistaakseen, että Calm on tietoinen tietyntyyppisten henkilötietojen käsittelyyn liittyvistä riskeistä, Calmilla on prosessi, jolla arvioidaan riskit yksilöille heidän henkilötietojensa käsittelyyn liittyen. Arvioinnit toteutetaan myös muiden organisaatioiden Calmin puolesta tekemän käsittelyn yhteydessä. Calm käsittelee riskinarvioinnissa havaitut riskit, jotta voidaan vähentää tämän käytännön noudattamatta jättämisen todennäköisyyttä.
 
Kun tietyntyyppinen käsittelytapa, erityisesti uuden teknologian avulla ja huomioon ottaen käsittelyn luonne, laajuus, konteksti ja tarkoitukset, johtaa todennäköisesti suuriin riskeihin luonnollisten henkilöiden "oikeuksille ja vapauksille", Calm vaatii ennen käsittelyä suorittamaan arvion suunnitellun käsittelyn vaikutuksista henkilötietojen suojaan.
Yksittäisessä arvioinnissa voidaan käsitellä samankaltaisia ​​käsittelytapoja, jotka aiheuttavat samanlaisia ​​suuria riskejä
 
Jos tietosuojaa koskevan vaikutusten arvioinnin tuloksena on selvää, että Calm aikoo aloittaa henkilötietojen käsittelyn, joka voi aiheuttaa kohteelleen vahinkoa ja/tai ahdistusta, päätös siitä, voiko Calm jatkaa kyseistä käsittelyä, tulee tarkastaa tietosuojavastaavan kanssa. Jos on olemassa merkittäviä huolenaiheita mahdollisen vahingon tai ahdistuneisuuden tai kyseessä olevien tietojen määrästä, tietosuojavaltuutetun (DPO) tulee laajentaa asia Calm-säätiölle tai Calm-säätiön hallintoneuvostolle.
 
Asianmukaiset toimenpiteet valitaan ja toteutetaan yksittäisten tietojen käsittelyyn liittyvän riskin vähentämiseksi hyväksyttävälle tasolle Calmin dokumentoitujen riskinottokriteerien ja GDPR:n vaatimusten mukaisesti.
 
5. Tietosuojaperiaatteet
 
Kaikki henkilötietojen käsittely on suoritettava asetusta seuraavien tietosuojaperiaatteiden mukaisesti. Calmin käytännöt ja menettelyt on suunniteltu varmistamaan niiden noudattaminen.
5.1 Henkilötietoja on käsiteltävä laillisesti, oikeudenmukaisesti ja avoimesti.
GDPR:ssä otetaan käyttöön avoimuusvaatimus, jonka mukaan rekisterinpitäjällä on avoimet ja helposti saatavilla olevat henkilötietojen käsittelyyn ja ‘yksilön oikeuksien ja vapauksien’ toteuttamiseen liittyvät käytännöt. Tiedot on ilmoitettava rekisteröidylle järkevällä tavalla käyttäen yksinkertaista ja selkeää kieltä.
Tietojen, jotka annetaan rekisteröidylle, tulee sisältää vähintään seuraavat asiat:
5.1.1 rekisterinpitäjän ja mahdollisen rekisterinpitäjän edustajan henkilöllisyys ja yhteystiedot;
5.1.2 tietosuojavaltuutetun yhteystiedot;
5.1.3 käsittelyn, jota varten henkilötiedot on tarkoitettu, prosessoinnin tarkoitus sekä käsittelyn oikeusperusta;
5.1.4 ajanjakso, jona henkilötietoja säilytetään;
5.1.5 käsiteltävien tietojen saatavuuden, korjauksen, tuhoamisen tai käsittely prosessin vastustuksen oikeuden kertominen;
5.1.6 kyseisten henkilötietojen luokat;
5.1.7 henkilötietojen vastaanottajat tai vastaanottaja kategoriat;
5.1.8 tarvittaessa, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmannen maan vastaanottajalle. Lisäksi todetaan kyseisille tiedoille annettu tietosuoja taso;
5.1.9 kaikki muut tiedot, jotka ovat tarpeen oikeudenmukaisen käsittelyn takaamiseksi.


5.2 Henkilötietoja voidaan kerätä vain määrättyihin, selkeisiin ja laillisiin tarkoituksiin.
Tiettyyn tarkoitukseen saatuja tietoja ei saa käyttää sellaiseen tarkoitukseen, joka poikkeaa tietosuojaviranomaiselle (Autoriteit Persoonsgegevens) virallisesti ilmoitetuista tarkoituksista osana Calm rekisteröintiä.
 
5.3 Henkilötietojen on oltava käsittelyä vastaavia, sille olennaisia ja rajoitettu siihen, mikä on käsittelyn kannalta tarpeellista.
 
5.3.1 Tietosuojavaltuutettu vastaa siitä, että tietoja, jotka eivät ole todella tarkoituksenmukaisia sille tarkoitukselle, johon niitä kerätään, ei kerätä.
5.3.2 Tietosuojavaltuutetun on hyväksyttävä kaikki tietojenkeruulomakkeet (sähköiset ja paperipohjaiset) mukaan lukien tietojenkeruuvaatimukset uusissa tietojärjestelmissä.
5.3.3 Tietosuojavaltuutettu huolehtii siitä, että sisäinen tarkastus suoritetaan vuosittain kaikkia tiedonkeruumenetelmiä koskien sen varmistamiseksi, että kerätyt tiedot ovat edelleen riittävät, asianmukaiset, mutta eivät liialliset.
5.3.4 Jos tietoja on annettu tai hankittu liikaa tai niitä ei vaadita Calmin kirjattuihin toimenpiteisiin, tietosuojavastaava / GDPR-omistaja on vastuussa sen varmistamisesta, että tiedot poistetaan tai tuhotaan turvallisesti poistokäytännön mukaisesti.
5.4 Henkilötietojen on oltava tarkkoja ja ajan tasalla.
5.4.1 Pitkään säilytettäviä tietoja on tarkistettava ja päivitettävä tarvittaessa. Tietoja ei tule säilyttää, ellei ole kohtuullista olettaa, että ne ovat paikkansa pitäviä.
5.4.2 Paikalliset säätiöt/hallitukset ja CALM ovat vastuussa sen varmistamisesta, että kaikki avustajat on koulutettu tärkeän tiedon keräämiseen ja sen ylläpitoon.
5.4.3 Yksilöiden vastuulla on myös varmistaa, että Calmin hallussa olevat tiedot ovat tarkkoja ja ajantasaisia. Asianmukaisen rekisteröinti- tai hakemuslomakkeen täyttäminen on merkkinä siitä, että siinä olevat tiedot ovat oikeita lähetyspäivänä.
5.4.4 Avustajien ja opiskelijoiden on ilmoitettava Calmille mahdollisista olosuhteiden muutoksista, jotta henkilökohtaiset tietueet voidaan päivittää vastaavasti. Tietojen päivittämistä koskevat ohjeet sisällytetään järjestelmään. Calmin vastuulla on varmistaa, että olosuhteiden muutoksen ilmoittaminen huomioidaan ja että sen perusteella toimitaan.
5.4.5 Tietosuojavaltuutettu on vastuussa siitä, että henkilötietojen pitämiseen ja ajantasaistamiseen on ryhdytty asianmukaisin lisätoimenpiteiden avulla ottaen huomioon kerättyjen tietojen määrä, nopeus, jolla se voi muuttua ja muut asiaankuuluvat tekijät.
5.4.6 Tietosuojavaltuutettu tarkastelee vähintään kerran vuodessa kaikkia Calmin ylläpitämiä henkilötietoja tietovarasto-rekisterin (Data Inventory Register, DIR) perusteella ja tunnistaa kaikki tiedot, joita ei enää tarvita rekisteröidyn tarkoituksen yhteydessä, ja järjestää näiden tietojen turvallisen poistamisen / tuhoamisen.
5.4.7 Tietosuojavaltuutettu on vastuussa asianmukaisista järjestelyistä, kun kolmannen osapuolen organisaatioille on saatettu antaa virheellisiä tai vanhentuneita henkilötietoja. Kolmatta osapuolta tulee tiedottaa siitä, että tiedot ovat epätarkkoja ja / tai vanhentuneita ja että niitä ei tule käyttää tietolähteenä kyseisiä henkilöitä koskevassa päätöksessä. Lisäksi tulee toimittaa mahdolliset korjaukset henkilökohtaisiin tietoihin kolmannelle osapuolelle, jos se on tarpeen.
5.5 Henkilötiedot on pidettävä sellaisessa muodossa, että rekisteröity voidaan tunnistaa vain niin kauan kuin käsittely on tarpeen.
 
5.5.1 Jos henkilötietoja säilytetään käsittelypäivämäärän jälkeen, se minimoidaan, jotta mahdollisen tietosuojamurron sattuessa, kohteen identiteetti on suojeltuna.
5.5.2 Henkilötiedot säilytetään tietojensäilytyskäytännön mukaisesti ja säilyttämispäivän jälkeen ne on hävitettävä turvallisesti tämän menettelyn mukaisesti.
5.5.3 Tietosuojavaltuutetun on erityisesti hyväksyttävä sellaisten tietojen säilyttäminen, jotka ylittävät säilytysaikoja, ja hänen on varmistettava, että perustelut on selkeästi yksilöity ja että ne vastaavat tietosuojalainsäädännön vaatimuksia. Tämän hyväksynnän on oltava kirjoitetussa muodossa (jollaisena sähköpostiviesti nähdään).
5.6 Henkilötietoja on käsiteltävä tavalla, joka takaa niiden turvallisuuden.
5.7 Asianmukaiset tekniset ja organisatoriset toimenpiteet on toteutettava henkilötietojen luvattoman tai laittoman käsittelyn sekä henkilökohtaisten tietojen vahingossa tapahtuvan menettämisen, tuhoutumisen tai vahingoittumisen varalta.
 
Nämä valvontatoimet on valittu henkilötietojen tunnistettujen riskien ja mahdollisten vahinkojen tai ahdingon varalta henkilöille, joiden tietoja käsitellään.
Calmin tämän periaatteen noudattaminen sisältyy sen tietoturvallisuuden hallintajärjestelmään (ISMS), joka on kehitetty ISO / IEC 27001: 2013 -standardin mukaisesti. Turvatarkastukset tehdään tarkastetaan ja arvioidaan.
5.8 Henkilötietoja ei saa siirtää Euroopan unionin ulkopuoliseen maahan tai alueelle, ellei kyseinen maa tai alue takaa riittävää suojana rekisteröityjen henkilöiden "oikeuksille ja vapauksille" henkilötietojen käsittelyssä.
Henkilötietojen siirto EU:n ulkopuolelle on kiellettyä, jollei yksi tai useampi määritelty suojatoimenpide tai poikkeus sovellu tilanteeseen.
5.8.1 Suojatoimenpiteet
Rekisterinpitäjän arvio riittävyydestä huomioon ottaen seuraavat tekijät:
· siirrettävien tietojen luonne;
· tietojen alkuperämaa tai -alue ja lopullisen määränpään tiedot;
· miten tietoja käytetään ja kuinka kauan;
· kohteen, jonka tietoja siirretään, maan lait ja käytännöt, mukaan lukien asiaa koskevat käytännesäännöt ja kansainväliset velvoitteet; ja
5.8.2 Yhteen sitovat yrityssäännöt
Calm ottaa käyttöön Yhteen sitovat yrityssäännöt (BCR) tietojen siirtämiseen EU:n ulkopuolelle ja muille toimenpiteille, kuten Privacy Shield-tietosuojajärjestely, kun tietoja siirretään Yhdysvaltoihin.
5.8.3 Mallisopimuslausekkeet
Calm voi ottaa käyttöön hyväksyttyjä mallisopimuslausekkeita tietojen siirtämiseksi EU:n ulkopuolelle. Jos Calm hyväksyy tietosuojaviranomaisen hyväksymät mallisopimuslausekkeet, riittävyyden tunnistaminen tapahtuu automaattisesti.
5.8.4 Poikkeukset
Tietosuojan riittävyyspäätöksen puuttuessa, mukaan lukien sitovat yrityssäännöt, henkilötietojen siirtäminen kolmanteen maahan tai kansainväliseen organisaatioon tapahtuu vain jollakin seuraavista ehdoista:
· rekisteröity on nimenomaisesti suostunut ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu mahdollisista tällaisten siirtojen mahdollisista riskeistä riittävyyspäätöksen ja asianmukaisten suojatoimien puutteiden vuoksi;
· Siirto on välttämätöntä rekisteröidyn ja rekisterinpitäjän välisen sopimuksen toteuttamiseksi tai rekisteröidyn pyynnöstä toteutettujen sopimusta edeltävien toimenpiteiden vuoksi;
· siirto on välttämätöntä rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välisen, rekisteröidyn edun vuoksi tehdyn sopimuksen tekemiseksi tai toteuttamiseksi;
· siirto on välttämätön tärkeiden yleistä etua koskevien syiden vuoksi;
· siirto on välttämätöntä oikeudellisten vaatimusten laatimiseksi, toteuttamiseksi tai puolustamiseksi;
· siirto on välttämätöntä rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojelemiseksi, jos rekisteröity ei ole fyysisesti tai laillisesti kykenevä antamaan suostumusta;
· siirto tehdään rekisteristä, joka unionin tai jäsenvaltion lainsäädännön mukaan on tarkoitettu yleisölle tiedottamiseen ja joka on avoin konsultaatiolle joko yleisön keskuudessa tai sellaisen henkilön kanssa, joka voi osoittaa oikeutetun kiinnostuksen, mutta ainoastaan siinä määrin, että unionin tai jäsenvaltioiden lainsäädännössä säädetyt edellytykset konsultaatiolle ovat täyttyneet kyseisessä tapauksessa.
Luettelo maista, jotka täyttävät komission riittävyysvaatimukset, julkaistaan Euroopan Unionin virallisessa lehdessä.
 
5.9 Vastuullisuus
GDPR:ssä otetaan käyttöön vastuuvelvollisuuden periaate, jonka mukaan rekisterinpitäjä ei vastaa ainoastaan vaatimustenmukaisuuden varmistamisesta vaan myös osoittaa, että kukin käsittelytoimi täyttää GDPR:n vaatimukset.
 
Erityisesti rekisterinpitäjien on ylläpidettävä tarvittavaa dokumentaatiota kaikista käsittelytoimista, toteutettava asianmukaiset turvatoimet, suoritettava tietojenkäsittelyn vaikutusten arviointeja (Data Processing Impact Assessment), noudatettava ennakkoilmoituksiin liittyviä vaatimuksia tai valvontaviranomaisten hyväksyntää, ja nimettävä tietosuojavaltuutettu. Alankomaiden tietosuojavastaava nimitetään keskeiseksi tietosuojavaltuutetuksi Calm organisaatioon.


6. Rekisteröidyn oikeudet
Rekisteröidyillä on seuraavat oikeudet tietojenkäsittelyyn ja heistä kirjattuun tietoon liittyen:
7.1 Tehdä rekisteröidyn tietoihinpääsypyyntö liittyen säilytetyn tiedon luonteeseen ja siihen, kenelle se on paljastettu.
7.2 Estää todennäköisesti vahinkoa tai ahdinkoa aiheuttava käsittely.
7.3 Estää suoramarkkinointia varten tehty käsittely.
7.4 Saada tietoa sellaisesta automaattisen päätöksentekoprosessin mekaniikasta, joka vaikuttaa niihin merkittävästi.
7.5 Merkittäviä päätöksiä, jotka vaikuttavat heihin, ei voi tehdä automaattisella prosessilla yksin.
7.6 Haastaa oikeuteen korvauksen saamiseksi, jos he kärsivät vahinkoa mistä tahansa GDPR rikkomuksesta.
7.7 Oikeus ryhtyä toimenpiteisiin korjata, estää, poistaa, mukaan lukien oikeus tulla unohdetuksi, tai tuhota epätarkkoja tietoja.
7.8 Pyytää tietosuojaviranomaista (Autoriteit Persoonsgegevens) arvioimaan, onko GDPR:n määräyksiä rikottu.
7.9 Oikeus saada henkiökohtainen tieto jäsennelty, yleisesti käytetyssä ja koneellisesti luettavissa olevassa muodossa ja oikeus siirtää kyseiset tiedot toiselle tarkastajalle.
7.10 Oikeus vastustaa kaikkea ilman suostumusta tehtyä automaattista profilointia.
Rekisteröidyt voivat tehdä tietoihin pääsypyynnön. Menettelyssä kuvataan myös, kuinka Calm varmistaa, että sen vastaus tietojen saantipyyntöön täyttää asetuksen vaatimukset.
Valitukset
Rekisteröidyt, jotka haluavat valittaa Calm:lle siitä, miten heidän henkilökohtaisia tietojaan on käsitelty, voivat tehdä valituksensa suoraan tietosuojavaltuutetulle.
Rekisteröidyt voivat myös valittaa suoraan tietosuojaviranomaiselle (de Autoriteit Persoonsgegevens).
Jos rekisteröidyt haluavat valittaa siitä, miten heidän valituksensa on hoidettu, tai valittaa valituksen johdosta tehdyistä päätöksistä, he voivat jättää tietosuojavaltuutetulle uuden valituksen. Oikeus tehdä tämä tulee sisällyttää valitusmenettelyyn ja on ilmoitettava opiskelijoille ja avustajille.
7. Suostumus
Calm ymmärtää "suostumuksen" niin, että se on nimenomaisesti ja vapaasti annettu, täsmällinen, tietoinen ja yksiselitteinen rekisteröidyn toiveista tehty maininta, jolla hän ilmoittaa, tai ilmaisee selkeällä myöntyvällä toimenpiteellä, suostumuksensa hänen henkilötietojen käsittelyyn. Rekisteröidyn suostumus voidaan milloin tahansa peruuttaa.
 
Calm ymmärtää "suostumuksen" tarkoittavan sitä, että rekisteröidylle on ilmoitettu suunnitellusta käsittelystä kokonaisuudessaan ja että rekisteröity on ilmaissut suostumuksensa sopivassa mielentilanteessa ja ilman painostusta. Pakotettu tai harhaanjohtavien tietojen perusteella saatu suostumus ei ole kelvollinen perusta käsittelylle. Osapuolten välillä on oltava aktiivinen yhteys, joka osoittaa aktiivisen suostumuksen. Suostumusta ei voida päätellä siitä, että viestintään ei ole vastattu. Arkaluonteisten tietojen osalta rekisteröidyn on annettava asiaakoskeva kirjallinen suostumus, jollei ole olemassa vaihtoehtoista oikeutettua käsittelyperustetta.
 
Useimmissa tapauksissa suostumus käsitellä henkilökohtaisia ja arkaluonteisia tietoja hankitaan rutiininomaisesti Calm:lla käyttäen tavanomaisia suostumusasiakirjoja, esim. kun opiskelija hakee kursslle tai avustaja hakee avustamaan. Kun Calm tarjoaa verkkopalveluja lapsille, vanhempien tai huoltajan suostumus on saatava. Tämä vaatimus koskee alle 16-vuotiaita lapsia (jollei jäsenvaltio ole säätänyt alhaisemmasta ikärajasta - joka ei voi olla alle 13).
 
8. Tietojen turvallisuus
Kaikki avustajat ovat vastuussa sen varmistamisesta, että kaikki Calmin ylläpitämät ja heidän (kyseisten avustajien) vastuulla olevat henkilötiedot säilytetään turvallisesti eikä niitä missään tilanteessa luovuteta kolmannelle osapuolelle, ellei kyseinen kolmas osapuoli ole nimenomaisesti saanut Calmilta lupaa vastaanottaa kyseisiä tietoja ja astunut salassapitosopimuksen.
 
Kaikkien henkilötietojen olisi oltava saatavilla vain niille, jotka tarvitsevat niitä, ja käyttöoikeudet voidaan myöntää vain Access Control Policy -sääntöjen mukaisesti. Henkilötietoja on säilytettävä:
 
● lukittavassa huoneessa, jonne pääsy on säädeltyä; ja tai
● lukitussa laatikossa tai arkistokaapissa; ja tai
● jos se on tietokoneistettu, salasanalla suojattu yritysvaatimusten mukaisesti Access Control Policy -sovelluksessa; ja tai
● Tallennettuna (irrotettavassa) tietovälineessä salatusti ja aina kun mahdollista, nimettömästi tai salanimellä
 
Tietokoneen näytöt ja päätelaitteet eivät saa olla muiden kuin valtuutettujen avustajien nähtävillä. Fyysisiä tietoja ei saa jättää paikkoihin, joissa niihin pääsee valtuuttamattomia henkilöitä ja niitä ei saa poistaa työpaikalta ilman nimenomaista lupaa. Heti, kun manuaalisia tietueita ei enää tarvita päivittäiseen asiakastukeen, ne on poistettava turvallisesta arkistoinnista.
 
Henkilötietoja voidaan poistaa tai hävittää vain tietojen säilyttämismenettelyn mukaisesti. Fyysiset asiakirjat, joiden säilytysaika loppuu, on silputtava ja hävitettävä luottamukselliseksi luokitellun jätteen hävitystavan mukaisesti. Tyhjien tietokoneiden kovalevyt on poistettava ja tuhottava välittömästi ennen hävittämistä.
 
Henkilötietojen käsitteleminen "off-site" aiheuttaa mahdollisesti suuremman riskin henkilötietojen menetyksestä, varastamisesta tai vahingoittumisesta. Avustajilla on oltava erityinen valtuutus käsitellä tietoja ”off site”, olla tietoinen toimintakäytännöstä henkilötietorikoksen sattuessa ja soveltaa sitä tarvittaessa.
 
9. Tietojen saatavuus
Rekisteröidyt henkilöt ovat oikeutettuja saamaan kaikki henkilökohtaiset tiedot (eli tiedot heistä), jotka pidetään Calmissa sähköisessä muodossa ja manuaaliset tietueet, jotka ovat osa asiaankuuluvaa arkistointijärjestelmää. Tämä sisältää oikeuden tarkastaa luottamukselliset henkilökohtaiset viitteet, jotka Calm vastaanottaa, ja kolmannelta osapuolelta saadut tiedot kyseisestä henkilöstä.
 
Opiskelijoilla on myös oikeus saada  ne tiedot itsestään, jotka ovat Vipassana Finlandin hallussa. Tähän sisältyvät tiedot  vapaaehtoisesta avustamisesta, lahjoituksista, uutiskirjeet, löytötavarat, kimppakyydit, lasten kurssit, valitukset tai muut yhdistyksen Calmin ulkopuolelle tallentamat tiedot. Calmiin tallennetun tiedon saamiseksi voidaan ottaa yhteys yksityisyysyhteyshenkillöön ja tietosuojavaltuutettuun.
 
10. Tietojen luovuttaminen
Vipassana Finland varmistaa, että henkilötietoja ei luovuteta luvattomille kolmansille osapuolille, joihin lasketaan perheenjäsenet, ystävät, hallituksen elimet ja tietyissä olosuhteissa poliisi. Kaikkien avustajien tulee olla varovaisia, kun heitä pyydetään luovuttamaan toiselle henkilölle kuuluvia henkilökohtaisia tietoja kolmannelle osapuolelle, ja heidän on osallistuttava erityiseen koulutukseen, jonka avulla he voivat käsitellä tehokkaasti tällaisia riskejä. On tärkeää pitää mielessä, onko tietojen luovuttaminen merkityksellistä ja tarpeellista meditaatiokurssien suorittamisen kannalta
GDPR sallii tiettyjen tietojen luovutuksen ilman suostumusta niin kauan kuin tietoja pyydetään yhteen tai useampaan seuraavista tarkoituksista:
 
● kansallisen turvallisuuden turvaaminen;
● rikosten ehkäiseminen tai havaitseminen, mukaan lukien rikoksentekijöiden uhkaaminen tai syytteeseen asettaminen;
● verotuksen arviointi tai keruu;
● sääntelytehtävien hoitaminen (sisältää työntekijöiden terveyteen, turvallisuuteen ja hyvinvointiin liittyvät tekijät);
● estää vakava haitta kolmannelle osapuolelle;
● suojella yksilön elintärkeitä etuja, tämä viittaa elämän ja kuoleman tilanteisiin.
 
Kaikki pyynnöt tietojen toimittamisesta jollakin näistä syistä on tuettava asianmukaisella paperityöllä ja tietosuojavaltuutetun on nimenomaisesti annettava kaikki tällaiset tiedot.
 
11. Tietojen säilyttäminen ja luovuttaminen
Henkilötietoja ei saa säilyttää pidempään kuin on tarpeellista. Kun avustaja ei ole enää aktiivinen tai opiskelija on lakannut hakemaan kursseille, ei välttämättä tarvitse säilyttää kaikkia heitä koskevia tietoja. Joitakin tietoja pidetään pidempään kuin toisia. Calmin tietojen säilyttämis- ja tiedonhankintamenettelytapoja sovelletaan kaikissa tapauksissa, joissa Calmia käytetään. Lisäksi fyysisten hakemusten säilytysaika on enintään 10 vuotta, ellei ole selviä viitteitä mahdollisista oikeudenkäynneistä.
 
Tietojen hävittäminen
Henkilötietoja on hävitettävä siten, että niillä suojellaan rekisteröityjen henkilöiden ”oikeuksia ja vapauksia" (esim. silppuaminen, luottamuksellisen jätteen hävittäminen, turvallinen elektroninen poisto) ja turvallisen hävittämismenettelyn mukaisesti.
 
12. Tietosuojarikkomusmenettely
Vipassana Finland on integroinut tietosuojarikkomusmenettelyn. Kaikki rikkomukset on raportoitava yksityisyysyhteyshenkilölle tai tietosuojavaltuutetulle hyväksytyn käytännön mukaisesti.
 
13. Voimaantulo
Tämä yksityisyydensuojakäytäntö on voimassa 26.5.2018 alkaen. Suomen Vipassana ry pidättää itsellään oikeuden muuttaa ja / tai laatia uudelleen käytäntöä. Kaikki yhdistyksen avustajat noudattavat käytäntöä. Tähän kuuluvat hallituksen jäsenet, yhdistyksen jäsenet, lyhytaikaiset avustajat, pitkäaikaiset avustajat, avustavat opettajat ja vierailevat avustavat opettajat.
 
14. Tiedonanto
Käytännöstä tiedotetaan myös kursseille hakeville oppilaille ja avustajille ymmärrettävällä ja kattavalla tavalla. Tämä käytäntö on kaikkien opiskelijoiden ja palvelimien saatavilla pyynnöstä sekä Suomen Vipassana ry:n verkkosivulla.
 
15. Vakuutukset
Suomen Vipassana ry tarkistaa, kattavatko avustajille sovitut vakuutukset asianmukaisesti henkilötietojen väärinkäytön. Tarvittaessa käytäntöjä muutetaan.
 
16. Käyttöohjeet
Vipassana Finland tarkistaa kaikki sovellettavat käsikirjat ja tiedottaa asiasta vastaaville valiokunnille ja opettajille muutoksista.