Politique de confidentialité

Table des Matières




1. INTRODUCTION

1.1 La présente Politique en matière de Protection des Données (la «Politique») présente la politique que Dirham Express Ltd (dénommée «nous» dans le présent document) a adoptée en vue d’être conforme à la Loi sur la Protection des Données de 1998 ("DPA") lorsque nous établissons et gérons les relations avec les clients et effectuons des transactions.

1.2 Le DPA réglemente le «traitement» des «données personnelles». Sa définition de «données personnelles» englobe toutes les informations relatives aux éléments identifiables des personnes vivantes qui sont conservées sur ordinateur, sous autre forme traitable automatiquement ou dans un système de classement manuel qui est structuré de manière à faciliter l'accès à l'information relative à la personne. (Les informations relatives aux sociétés et autres personnes "morales" ne sont pas prises en compte). Sa définition de «traitement» englobe toute activité imaginable en relation aux données personnelles, y compris la collecte, l'analyse, le traitement au sens ordinaire du mot, le stockage, la divulgation, le transfert international et la suppression.

1.3 Nous traitons les données personnelles dans diverses circonstances et concernant différentes catégories de personne. La présente politique traite spécifiquement des données personnelles collectées dans le cadre de l’établissement et la gestion de nos relations avec la clientèle et l'exécution des transactions selon les ordres de nos clients ("Gestion des clients et / ou des transactions»). Elle ne traite pas, par exemple, des questions de protection des données qui pourraient survenir en relation avec nos ressources humaines ou activités de marketing direct.

1.4 Il faut garder à l'esprit le fait que la DPA réglemente le traitement des données personnelles relatives à tous les individus, pas seulement les clients. Les informations relatives aux différents représentants des entreprises clientes, ou à des individus (ou des représentants des entreprises clientes) se trouvant ailleurs dans une chaîne de paiement - par exemple, un bénéficiaire final ou un individu représentant un agrégateur - sont également protégées par la DPA.

1.5 Les personnes dont les données personnelles se rapportent, qu'il s'agisse de clients ou autre, sont définies en tant que "personnes concernées".

1.6 Le Commissaire de l'information du Royaume-Uni (le «commissaire») est responsable de l'application de la DPA et a publié une série d'orientations sur les questions relatives à la protection des données, qui sont disponibles sur le site Web du Commissaire : ico.org.uk.

1.7 Nos principales obligations en vertu de la DPA consistent à : (i) traiter les données personnelles de façon équitable, légitimement, légalement et proportionnellement; (ii) informer les personnes sur notre traitement de leurs données personnelles; (iii) respecter les restrictions relatives au transfert international des données personnelles; (iv) conserver les données personnelles en toute sécurité, en prenant des mesures pour s'assurer qu'elles sont exactes et à jour et les supprimer quand elles ne sont plus nécessaires; (v) être inscrit au bureau du commissaire, et (vi) répondre de manière appropriée lorsque les personnes concernées cherchent à exercer leurs droits statutaires d'accès, de rectification et d'objection.

1.8 Une copie de la présente politique sera fournie à chaque employé de Dirham Express Ltd. Les exigences énoncées dans la présente politique sont obligatoires, sauf indication contraire et doivent être respectées par tous nos employés et agents.

Il est de la responsabilité de chacune de ces personnes de se familiariser avec les exigences de cette politique. Le défaut de se conformer à la présente politique peut constituer une infraction disciplinaire grave et pourrait entraîner le licenciement.

1.9 La présente politique est complémentaire à nos autres politiques publiées, y compris nos politiques régissant l’exercice des activités, la lutte contre le blanchiment de capitaux, et les réclamations.

2. AGENT RESPONSABLE DE LA PROTECTION DES DONNÉES

Le vice-président, responsable des technologies de l’information, a été désigné comme agent responsable de la protection des données de Dirham Express (désigné le «responsable de la protection des données»). Si vous avez des questions concernant cette politique ou de son application dans des circonstances particulières, vous devriez consulter le responsable de la protection des données.

3. TRAITEMENT JUSTE ET PROPORTIONNEL

3.1 La DPA prévoit que l'ensemble de nos traitements de données personnelles soient équitables et licites et devraient répondre à l'une des diverses conditions spécifiées. En créant et mettant en place chaque procédure de gestion des clients et/ou des transactions impliquant le traitement de données personnelles, nous devons prendre en compte ces exigences et nous assurer qu'elles sont respectées.

3.2 Nous espérons que notre traitement de routine des données personnelles dans le cadre de la procédure de gestion des clients et / ou des transactions satisfera les conditions disponibles les plus générales, ce qui est connu comme les conditions d’"intérêts légitimes". La condition des intérêts légitimes sera applicable, et nous permettra de traiter des données personnelles, si:

3.2.1 A: le traitement est nécessaire à des fins d’intérêts légitimes que nous, ou une personne à qui nous communiquons les données, poursuivons (qui peuvent être des fins d’affaires, des fins de conformité ou d'autres fins), et

3.2.2 B: le traitement n'est pas "injustifié" parce qu'il porte atteinte aux droits, libertés ou intérêts légitimes des personnes concernées.

3.3 Chaque opération de traitement devrait donc être évalué afin de s'assurer que la partie A de cette condition est satisfaite - à savoir que nous avons une raison légitime d’affaire, de conformité, ou autre pour effectuer le traitement. Si la partie A est satisfaite, vous devez alors considérer si le traitement ne portera pas atteinte à la personne concernée en aucune manière - notre attente est que, sous réserve que d'autres dispositions de la présente politique soient respectées, notre traitement ordinaire pour des fins de gestion de clients et / ou transactions ne portera pas préjudice aux droits, libertés ou intérêts légitimes des personnes concernées. Si vous considérez qu'il ya un risque de préjudice qui peut avoir lieu dans un cas particulier, le préjudice doit être pondéré par rapport à nos intérêts et une décision doit être prise pour savoir si nos intérêts l'emportent sur le préjudice causé aux personnes concernées.

3.4 Si vous avez le moindre doute concernant la satisfaction de la condition d’intérêts légitimes, vous devriez considérer si le traitement peut être justifié sur la base du fait qu'il remplit l'une des autres conditions légales disponibles dans la DPA. Les autres conditions les plus susceptibles de s'appliquer sont les suivantes:

3.4.1 Le traitement est justifié s’il est nécessaire d’accomplir une obligation légale du Royaume-Uni. Il s'agira, par exemple, d’un traitement afin d’effectuer une vérification juridiquement nécessaire dans la lutte contre le blanchiment d'argent, ou en réponse à une ordonnance d'un tribunal du Royaume-Uni.

Les exigences légales étrangères ne sont pas automatiquement suffisante pour justifier la divulgation ou tout autre traitement de données personnelles.

3.4.2 Le traitement est justifié s’il est nécessaire pour l'exécution d'un contrat avec la personne concernée ou pour prendre des mesures à la demande de la personne concernée en vue de conclure un tel contrat. Cela justifiera un certain traitement des données personnelles relatives aux clients.

3.4.3 Le traitement peut être justifié sur la base du consentement de la personne concernée. Nos contrats avec les clients devraient donc inclure des consentements pour le traitement des données des clients qui seront nécessaires dans le cadre de nos procédures de gestion des clients et / ou des transactions.

3.5 L'exigence que les données personnelles soient traitées de manière légale peut ne pas être respectée dans un certain nombre de circonstances, pas couverts par cette politique, car en eux-mêmes ils ne relèvent pas du champ d'application de la DPA - par exemple, le traitement à des fins frauduleuses serait illégal et donc sera une violation de la DPA.

3.6 Le DPA interdit également le traitement de données personnelles excessives, sans importance ou inadéquates. Les systèmes et procédures devraient être conçues de manière à ne pas collecter des données personnelles qui soient excessives ou sans importance (en particulier: les données personnelles ne devraient pas être collectées sur une base «au cas ou») et, bien sûr, vous devez vous assurer que les données collectées sont adéquates pour les besoins en question.

3.7 Les données personnelles recueillies pour tout usage ne doivent donc pas être utilisées à une fin qui est incompatible avec cette finalité - nous ne croyons pas que cela soit un problème dans le cours normal de la gestion des clients et / ou des transactions, cependant.

3.8 Nous nous attendons à ce que l’obligation générale des traitements des données personnelles soit satisfaite si tous les exigences de cette politique sont respectées.

4. Transparence / information

4.1 Nous sommes tenus en vertu de la DPA de nous assurer que les personnes concernées ont accès facilement à diverses informations. Cette exigence est assortie d'exceptions, cependant, et ces exceptions sont des applications relativement large dans le contexte de la gestion des transactions des clients et / ou des transactions. En particulier, (a) l'information ne doit être mise à la disposition seulement dans un lieu approprié; (b) dans le cas de données personnelles qui ne sont pas recueillies directement auprès de la personne concernée (par exemple, les données du bénéficiaire recueillies du donneur d'ordre client ), nous ne sommes pas obligés de fournir des informations si cela entraîne des efforts disproportionnés, et (c) nous sommes d'avis que nous pouvons supposer que les personnes concernées ont, et n’ont pas besoin d’avoir à disposition, l'information qui devrait raisonnablement être évidente pour eux .

4.2 L'information mise à disposition est (a) notre identité; (b) les raisons pour lesquels nous traitons les données, et (c) toute information supplémentaire qui doit être fournie pour s'assurer que notre traitement des données est juste.

4.3 Nous devons nous assurer que nos contrats avec les clients informent nos clients de ce qui suit:

4.3.1 notre identité;

4.3.2 les raisons pour lesquelles nous traitons leurs informations (y compris pour des fins de connaitre -votre-client et de conformité connexes, ainsi que l'exécution des transactions et la gestion de la clientèle en général), et

4.3.3 les informations supplémentaires suivantes, qui, nous considérons, doivent être fournies pour s'assurer que notre traitement des données des clients est juste:

(A) les catégories de personnes à qui nous pouvons divulguer les données des clients (y compris, par exemple, les payeurs et les bénéficiaires non-clients; agrégateurs; toute personne avec qui nous pourrions partager des données à des fins de prévention de fraude, et aux autorités de réglementation et judiciaires);

(B) le fait que, si les paiements sont effectués à des personnes hors de l'espace économique européen, ceci peut impliquer des transferts de données personnelles du client à des juridictions qui ne disposent pas de lois de protection des données aussi strictes que celles du Royaume-Uni (voir également le paragraphe 5 ci-dessous), et

(C) des informations sur les droits des clients d'accès et de rectification en vertu de la DPA (voir paragraphe 10 ci-dessous), et les coordonnées afin qu'ils puissent contacter l’agent responsable de la protection des données si ils veulent exercer ces droits

Nos contrats avec les clients devraient également obliger les clients à transmettre cette information à toute personne dont ils nous fournissent les données personnelles.

4.4 Nous estimons que nous n'avons pas besoin de fournir des informations aux personnes concernées autres que les clients individuels pour justifier notre traitement de leurs données personnelles à des fins de gestion des clients et / ou des transactions de routine. En particulier:

4.4.1 Nous sommes d'avis que l'effort nécessaire pour contacter un payeur ou bénéficiaire non client, dont les données personnelles nous sont données par un client, afin de lui fournir des informations sur notre traitement de ses données personnelles, serait disproportionné étant donné que nous traitons ses renseignements dans le seul but de faciliter une opération dont il ou elle sera en tout état de cause conscient.

4.4.2 Nous adoptons le même point de vue par rapport aux représentants de nos clients qui ont obligé nos clients à leur transmettre les informations requises, nous sommes d'avis que les efforts nécessaires pour contacter directement les représentants seraient disproportionnés.

5. TRANSFERT INTERNATIONAL

5.1 La DPA limite les transferts de données personnelles à la plupart des pays et autres territoires hors de l'espace économique européen (l'Union européenne plus l'Islande, le Liechtenstein et la Norvège).

5.2 Les transferts peuvent être fait au besoin pour faciliter une transaction, sur la base qu'elles sont nécessaires pour exécuter un contrat avec la personne concernée (lorsque les données se rapportent à un client) ou conclu dans l'intérêt de la personne concernée (lorsqu’ils se rapportent à un bénéficiaire à l'étranger).

5.3 Sauf pour les transferts nécessaires pour faciliter une transaction, les données personnelles ne devraient pas être transférées vers des pays ou territoires hors de l'espace économique européen, sauf si l’agent responsable de la protection des données a examiné le transfert proposé et a conclu, sur la base d'un avis juridique si nécessaire, qu'il peut être fait sans violation de la DPA.

6. Sécurité, exactitude et suppression des données

6.1 Nous devons avoir en place des mesures de sécurité techniques et organisationnelles pour protéger les données personnelles que nous traitons pour des fins de gestion des clients et / ou des transactions contre le traitement non autorisé ou illégal et la perte, destruction ou dommage accidentel.

6.2 Nous devons identifier les mesures de sécurité particulières qui sont «appropriées» dans le cadre de nos activités. Elles doivent fournir un niveau de sécurité qui est adapté à la nature des données et aux risques associés au traitement non autorisé ou illégal et de perte, destruction ou dommage accidentel. Nous devons, en particulier, prendre des mesures raisonnables pour assurer la fiabilité de nos employés qui ont accès aux données.

6.3 Si n'importe quel aspect de notre traitement des données personnelles pour des fins de gestion des clients et / ou des transactions est confié à un prestataire de services tiers, y compris l'externalisation de toute fonction plus large qui comprend le traitement de données personnelles, nous devons:

6.3.1 nous assurer que le prestataire de services aura des mesures de sécurité techniques et organisationnelles en place comme indiqué aux paragraphes 6.1 et 6.2;

6.3.2 veiller à ce que l'accord est régi par un accord écrit qui exige que le fournisseur de service traite les données uniquement suivant nos instructions et impose des obligations au fournisseur de services équivalentes aux nôtres énoncées aux paragraphes 6.1 et 6.2, et

6.3.3 tant que l'arrangement est en place, prenez des mesures raisonnables de temps en temps pour vous assurer que le prestataire de services respecte ses obligations de sécurité dans la pratique.

6.4 Nous devons prendre des mesures raisonnables pour s'assurer que les données personnelles que nous traitons sont exactes et, le cas échéant, à jour.

6.5 Nous devons supprimer les données personnelles lorsque nous n'en avons plus besoin, étant donné les raisons pour lesquelles elles sont traitées. Cela ne nous empêche pas, par exemple, de tenir des registres contenant des données personnelles qui peuvent être utiles en cas de litige ultérieur avec un client ou une autre personne, mais nous devons supprimer ces dossiers lorsqu’un litige n'est plus une possibilité réelle sauf si nous avons un autre but légitime de continuer à conserver les données personnelles.

7. Données personnelles sensibles

7.1 Nous ne cherchons pas à collecter ou traiter des données personnelles identifiées par le DPA comme «sensibles» pour des fins de gestion des clients et / ou des transactions. Vous ne devez pas collecter ou traiter des données personnelles sensibles à ces fins et devez les supprimer si vous vous rendez compte que nous les avons recueillies, sauf si l'agent responsable de la protection des données l’a approuvé suite à une évaluation des exigences de la DPA.

7.2 La définition par la DPA des «données personnelles sensibles» couvre les données personnelles consistant en des informations telles que: l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou autres croyances similaires; appartenance à un syndicat, la santé physique ou mentale ou leur état, la vie sexuelle, la perpétration ou prétendue perpétration d'une infraction, ou toute procédure pour toute infraction commise ou présumée avoir été commise, la nullité d'une telle procédure ou la condamnation d'un tribunal dans cette procédure.

8. Prise de décision automatisée

8.1 Nous n'utilisons pas les dénommés techniques «de prise de décision automatisée" pour des fins de gestion des clients et / ou des transactions. Vous ne devez pas utiliser de telles techniques, sauf avec l'approbation de l'agent responsable de la protection des données fournie sur la base d'une évaluation des exigences de la DPA.

8.2 Les restrictions de la DPA concernant l'utilisation de systèmes de prise de décision automatisée concernent les systèmes qui prennent des décisions qui affectent considérablement les individus sur la seule base du traitement automatisé des données personnelles, sans aucune intervention humaine. Les exemples pourraient être l'utilisation de systèmes automatisés de notation de crédit pour filtrer les demandes de crédit et l'utilisation d'outils automatisés pour filtrer les demandes d'emploi. Les systèmes semi-automatiques, où la décision finale est prise ou revue par un être humain, ne sont pas concernés par ces règles.

9. INSCRIPTION

9.1 Nous conservons une inscription au bureau du commissaire qui couvre notre traitement des données personnelles pour des fins de gestion (ou autre) des clients et / ou des transactions.

9.2 Vous devez informer l’agent responsable de la protection des données des changements importants des buts pour lesquels nous traitons les données personnelles ou, dans un but donné, les catégories de données personnelles que nous traitons, les catégories de personnes concernées auxquelles se rapportent les données, les catégories de personnes à qui nous communiquons les données ou les pays ou territoires hors de l'espace économique européen à qui nous transférons les données, de sorte à ce qu'il ou elle puisse s'assurer que l'inscription est modifiée en conséquence.

10. Droits d’accès, rectification et objection

10.1 Les personnes concernées ont des droits légaux d'accès et de rectification des données personnelles que nous détenons à leur sujet. Ils ont également un droit légal de s'opposer au traitement de leurs données personnelles – c’est-à-dire, de nous demander d'arrêter le traitement de leurs données – bien que dans des circonstances très limitées.

10.2 Si une personne concernée tente d’exercer un de ces droits légaux, vous devez immédiatement transmettre sa requête à l'agent responsable de la protection des données afin qu'il ou elle puisse s’assurer que nous répondions de manière appropriée et dans les délais fixés dans la DPA.

10.3 En enregistrant et traitant les données personnelles pour des fins de gestion des clients et / ou des transactions, vous devrez garder à l'esprit les droits d'accès des personnes concernées.

Vous ne devrez pas enregistrer des données personnelles que vous ne voudriez pas que la personne concernée voit.