Polityka ochrony danych osobowych & data protection policies


Wstęp

Yours Clothing Limited musi gromadzić i przetwarzać pewne dane na temat osób fizycznych. To obejmuje dane osobowe oraz dane klientów, dostawców, partnerów biznesowych, pracowników i innych osób, z którymi firma utrzymuje relacje biznesowe i musi się kontaktować.

Zapisy niniejszej Polityki ochrony danych osobowych określają sposób gromadzenia tych danych, ich przetwarzania oraz przechowywania zgodnie z obowiązującymi przepisami prawa oraz standardami ochrony danych osobowych.

Cel tej Polityki

Niniejsza Polityka ochrony danych osobowych gwarantuje, że Yours Clothing Limited:

  • • przestrzega o ochronie danych osobowych i postępuje zgodnie z dobrymi praktykami;
  • • chroni prawa pracowników, klientów oraz partnerów biznesowych;
  • • prowadzi politykę otwartości w kwestii sposobu przechowywania i przetwarzania danych osobowych;
  • • stosuje środki zapobiegające ryzyku naruszenia danych osobowych.

Przepisy o ochronie danych osobowych

Brytyjska Ustawa o ochronie danych osobowych (Data Protection Act 1998) reguluje sposób, w jaki organizacje – w tym również Yours Clothing Limited – mogą gromadzić, przetwarzać i przechowywać dane osobowe.

Przepisów tych należy przestrzegać niezależnie od tego, czy dane są przechowywane elektronicznie, na papierze czy w jakimkolwiek innym formacie.

W świetle ustawy dane osobowe należy gromadzić i wykorzystywać rzetelnie, przechowywać bezpiecznie i nie ujawniać w sposób naruszający prawo.

Ludzie, zagrożenia, obowiązki

Zakres Polityki

Obowiązek przestrzegania niniejszej Polityki prywatności mają: siedziba główna, wszystkie sklepy, wszyscy pracownicy i wolontariusze oraz wszystkie osoby pracujące w imieniu Yours Clothing Limited.

Dotyczy ona wszystkich danych zgromadzonych przez firmę, na podstawie których można zidentyfikować konkretne osoby również w przypadku, gdy te dane nie są objęte brytyjską Ustawą o ochronie danych osobowych (Data Protection Act 1998), w tym także:

  • imion i nazwisk
  • adresów korespondencyjnych
  • adresów e-mail
  • numer telefonu stacjonarnego
  • danych do płatności
  • zdjęć
  • lokalizacji
  • adresów IP
  • zachowań online
  • danych specjalnych (np. wyznanie czy informacje dotyczące stanu zdrowia)

Zagrożenia dla ochrony danych osobowych

Niniejsza Polityka chroni dane przed realnymi zagrożeniami, w tym:

  • naruszeniem poufności. (np. bezprawnym ujawnieniem danych);
  • brakiem możliwości dokonania wyboru. (np. wszystkie osoby powinny móc zdecydować, jak firma przetwarza ich dane);
  • narażeniem na szwank reputacji firmy. (np. w konsekwencji wycieku wrażliwych danych w wyniku ataku hakerskiego).

Obowiązki

Wszystkie osoby, które pracują dla firmy lub z nią, mają obowiązek upewniać się, że dane są odpowiednio gromadzone, przechowywane i przetwarzane.

Każdy zespół, który ma dostęp do danych osobowych, musi upewniać się, że przetwarza je zgodnie z zapisami niniejszej Polityki oraz przepisami o ochronie danych osobowych.

Jednak największa odpowiedzialność w tej kwestii spoczywa na:

  • Zarządzie który ponosi pełną odpowiedzialność za wypełnienie obowiązku ustawowego;
  • specjaliście ds. zgodności który jest odpowiedzialny za:
    • przekazywanie Zarządowi aktualnych informacji o obowiązkach, zagrożeniach i kwestiach związanych z ochroną danych osobowych;
    • weryfikację wszystkich procedur i polityk dotyczących ochrony danych osobowych według ustalonego harmonogramu;
    • prowadzenie szkoleń dotyczących ochrony danych osobowych oraz udzielanie porad osobom chronionym zapisami niniejszej Polityki;
    • odpowiadanie na pytania dotyczące ochrony danych osobowych kierowane przez pracowników oraz osoby chronione zapisami niniejszej Polityki;
  • sekretarzu firmy który jest odpowiedzialny za:
    • przyjmowanie wniosków osób fizycznych o wgląd do ich danych (tzw. „wnioski o dostęp”);
    • sprawdzanie i zatwierdzanie wszystkich umów ze stronami trzecimi, które przetwarzają jakiekolwiek dane wrażliwe firmy;
  • Menedżerze IT który jest odpowiedzialny za:
    • upewnianie się, że wszystkie systemy, usługi i sprzęt wykorzystywane do przechowywania danych spełniają przyjęte standardy bezpieczeństwa;
    • przeprowadzanie regularnych kontroli sprzętu i oprogramowania zabezpieczających pod kątem ich poprawnego działania;
    • ocenianie wszystkich usług świadczonych przez strony trzecie w sytuacji, gdy firma rozważa korzystanie z ich usług przechowywania i przetwarzania danych (np. usług przetwarzania w chmurze);
  • Dyrektorze Zarządzającym który jest odpowiedzialny za:
    • zatwierdzanie oświadczeń dotyczących ochrony danych osobowych dołączanych do wiadomości (np. e-maili lub listów);
    • odpowiadanie na pytania dotyczące ochrony danych osobowych od dziennikarzy lub przedstawicieli środków masowego przekazu, np. gazet;
    • jeśli konieczne – współpracę z innymi pracownikami w zakresie zgodności prowadzonych akcji marketingowych z przepisami o ochronie danych osobowych.

Ogólne wytyczne dla pracowników

  • Dostęp do danych objętych niniejszą Polityką prywatności mają wyłącznie osoby, które potrzebują ich do wykonania swojej pracy.
  • Danych nie wolno udostępniać w sposób nieformalny. Gdy pracownicy potrzebują uzyskać dostęp do danych poufnych, mogą zgłosić się z tym do bezpośredniego przełożonego.
  • Wszyscy pracownicy przejdą szkolenia, aby poznać obowiązki związane z przetwarzaniem danych.
  • Pracownicy mają obowiązek dbać o bezpieczeństwo wszystkich danych, podejmować uzasadnione środki zapobiegawcze i przestrzegać poniższych wytycznych.
  • W szczególności muszą pamiętać o używaniu silnych haseł i nieudostępnianiu ich nikomu.
  • Danych osobowych nie wolno udostępniać osobom nieupoważnionym. Dotyczy to zarówno pracowników firmy, jak i osób spoza niej.
  • Dane należy regularnie sprawdzać i w razie potrzeby aktualizować. Jeśli dane są niepotrzebne, należy je usunąć i zniszczyć.
  • Jeśli jakiekolwiek zagadnienie dotyczące ochrony danych osobowych budzi wątpliwości, pracownicy powinni zgłosić się z nim do bezpośredniego przełożonego lub specjalisty ds. zgodności.

Przechowywanie danych

Poniższe zasady dotyczą sposobu i miejsca bezpiecznego przechowywania danych. Pytania dotyczące bezpiecznego przechowywania danych można kierować do Menedżera IT lub administratora danych.

Dane przechowywane w formie papierowej , zostaną umieszczone w bezpiecznym miejscu, do którego dostęp mają wyłącznie osoby upoważnione.

Te wytyczne dotyczą również danych, które zazwyczaj są przechowywane w formie elektronicznej, ale zostały wydrukowane:

  • Niewykorzystywane dokumenty należy przechowywać w miejscu zamykanym na klucz (szufladzie lub szafce na dokumenty).
  • Pracownicy mają obowiązek niepozostawiania wydruków i dokumentów zawierających dane osobowe bez nadzoru i w miejscach, gdzie dostęp do nich mogą zyskać osoby nieupoważnione (np. na drukarce).
  • Niepotrzebne wydruki zawierające dane osobowe należy zniszczyć i usunąć w bezpieczny sposób.

Dane przechowywane elektronicznie , należy chronić przed niepowołanym dostępem, przypadkowym usunięciem i złośliwą działalnością hakerską w następujący sposób:

  • Dane należy chronić poprzez stosowanie silnych haseł, które są regularnie zmieniane i nigdy nieudostępniane innym pracownikom.
  • Gdy dane przechowywane na nośnikach wymiennych nie są wykorzystywane, nośniki należy przechowywać w miejscach zamykanych na klucz.
  • Dane można przechowywać wyłącznie na przeznaczonych do tego celu dyskach i serwerach, a w przypadku usług przetwarzania w chmurze można korzystać wyłącznie z zatwierdzonych rozwiązań.
  • Serwery zawierające dane osobowe muszą być zlokalizowane w bezpiecznym miejscu z dala od siedziby biura głównego.
  • Należy często robić kopie zapasowe danych osobowych. Kopie zapasowe należy sprawdzać regularnie i zgodnie ze standardowymi procedurami obowiązującymi w firmie.
  • Danych nie wolno zapisywać bezpośrednio na laptopach ani innych urządzeniach przenośnych takich jak tablety lub smartfony.
  • Wszystkie serwery i komputery zawierające dane osobowe muszą być zabezpieczone zatwierdzonym oprogramowaniem zabezpieczającym i zaporą ogniową.

Wykorzystywanie danych

Dane osobowe nie mają żadnej wartości dla firmy Yours Clothing, chyba że może ona je wykorzystywać. Jednak największe ryzyko utraty, uszkodzenia lub kradzieży danych osobowych zachodzi w momencie, gdy ktoś z nich korzysta, dlatego:

  • podczas pracy z danymi osobowymi pracownicy powinni zawsze blokować komputer, gdy się od niego oddalają;
  • danych osobowych nie wolno udostępniać w sposób nieformalny, a w szczególności nie wolno przesyłać ich e-mailem, ponieważ taka forma komunikacji nie gwarantuje pełnego bezpieczeństwa;
  • dane można przesyłać elektronicznie wyłącznie po ich zaszyfrowaniu. Menedżer IT udziela instrukcji dotyczących przesyłania danych do upoważnionych osób zewnętrznych;
  • pracownikom zabrania się tworzenia kopii danych osobowych na prywatnych komputerach. Należy zawsze korzystać z najnowszej wersji dokumentu znajdującej się w dokumentacji głównej i tę wersję aktualizować.

Poprawność danych

W świetle obowiązujących przepisów firma Yours Clothing ma obowiązek dbania o poprawność i aktualność przechowywanych danych.

Im ważniejsza jest kwestia poprawności danych osobowych, tym więcej wysiłku należy włożyć w jej zapewnienie.

Wszyscy pracownicy mają obowiązek podejmowania uzasadnionych kroków w kierunku zapewnienia poprawności i aktualności przechowywanych danych.

  • Dane będą przechowywane w jak najmniejszej liczbie miejsc. Pracownicy nie powinni tworzyć dodatkowych kopii, jeśli nie jest to potrzebne.
  • Pracownicy powinni zawsze dbać o to, aby przechowywane dane były aktualne (np. potwierdzać je podczas rozmowy telefonicznej z klientem).
  • Osoby, których dotyczą przechowywane dane, powinny mieć możliwość ich łatwej aktualizacji (np. za pośrednictwem konta online).
  • Jeśli wykryto nieścisłości, dane należy zaktualizować (np. jeśli klient zmienił numer telefonu, należy usunąć numer z bazy danych).

Wniosek o dostęp do danych

Wszystkie osoby, których dane są przechowywane, mają prawo dowiedzieć się:

  • jakie ich dane przechowuje firma i dlaczego;
  • jak zyskać dostęp do swoich danych;
  • jak aktualizować dane;
  • jak firma spełnia wymogi przewidziane przepisami o ochronie danych osobowych.

Takie zgłoszenie nazywane jest Wnioskiem o dostęp do danych. Wniosek o dostęp do danych należy złożyć e-mailem.

Udzielenie informacji jest nieodpłatne, choć firma może wedle uznania naliczyć drobną opłatę w sytuacji, gdy wniosek zostanie uznany za nadmierny. Administrator danych dołoży wszelkich starań, żeby udostępnić odpowiednie dane w ciągu 14 dni, ale nie później niż w ciągu 30 dni od daty otrzymania pierwszego wniosku.

Administrator danych zawsze weryfikuje tożsamość osoby składającej wniosek o dostęp do danych przed przekazaniem jakichkolwiek danych.

Ujawnianie danych na innej podstawie

W pewnych okolicznościach ustawa o ochronie danych osobowych dopuszcza możliwość ujawnienia danych osobowych organom ścigania bez uzyskania zgody osoby, której dane dotyczą.

W takiej sytuacji firma Yours Clothing ujawni żądane informacje. Jednak administrator danych sprawdzi zasadność takiego żądania, skonsultuje się z Zarządem oraz doradcami prawnymi firmy, jeśli sytuacja będzie tego wymagać.

Przekazywanie danych

Yours Clothing dąży do tego, aby osoby, których dane dotyczą, wiedziały, że ich dane są przetwarzane oraz:

  • • w jaki sposób są przetwarzane,
  • • jak mogą skorzystać z przysługujących im praw.

W związku z tym firma wdrożyła Politykę prywatności, która przedstawia sposób, w jaki dane osób fizycznych są wykorzystywane przez firmę. Najnowsza wersja niniejszego dokumentu jest dostępna na stronie internetowej firmy pod adresem www.yoursclothing.co.uk

Sign Up for Exclusive News and Offers >Close