Rozporządzenie o Ochronie Danych Osobowych
Yours Clothing Limited musi gromadzić i przetwarzać pewne dane na temat osób fizycznych. To obejmuje dane osobowe oraz dane klientów, dostawców, partnerów biznesowych, pracowników i innych osób, z którymi firma utrzymuje relacje biznesowe i musi się kontaktować.
Zapisy niniejszej Polityki ochrony danych osobowych określają sposób gromadzenia tych danych, ich przetwarzania oraz przechowywania zgodnie z obowiązującymi przepisami prawa oraz standardami ochrony danych osobowych.
Cel tej Polityki
Niniejsza Polityka ochrony danych osobowych gwarantuje, że Yours Clothing Limited:
Przestrzega o ochronie danych osobowych i postępuje zgodnie z dobrymi praktykami
Chroni prawa pracowników, klientów oraz partnerów biznesowych
Prowadzi politykę otwartości w kwestii sposobu przechowywania i przetwarzania danych osobowych
Stosuje środki zapobiegające ryzyku naruszenia danych osobowych
Przepisy O Ochronie Danych Osobowych
Brytyjska Ustawa o ochronie danych osobowych (Data Protection Act 1998) reguluje sposób, w jaki organizacje – w tym również Yours Clothing Limited – mogą gromadzić, przetwarzać i przechowywać dane osobowe.
Przepisów tych należy przestrzegać niezależnie od tego, czy dane są przechowywane elektronicznie, na papierze czy w jakimkolwiek innym formacie.
W świetle ustawy dane osobowe należy gromadzić i wykorzystywać rzetelnie, przechowywać bezpiecznie i nie ujawniać w sposób naruszający prawo.
Ludzie, Zagrożenia, Obowiązki
Zakres Polityki
Obowiązek przestrzegania niniejszej Polityki prywatności mają: siedziba główna, wszystkie sklepy, wszyscy pracownicy i wolontariusze oraz wszystkie osoby pracujące w imieniu Yours Clothing Limited.
Dotyczy ona wszystkich danych zgromadzonych przez firmę, na podstawie których można zidentyfikować konkretne osoby również w przypadku, gdy te dane nie są objęte brytyjską Ustawą o ochronie danych osobowych (Data Protection Act 1998), w tym także:
- Imion i nazwisk
- Adresów korespondencyjnych
- Adresów e-mail
- Numer telefonu stacjonarnego
- Danych do płatności
- Zdjęć
- Lokalizacji
- Adresów IP
- Zachowań online
- Danych specjalnych (np. wyznanie czy informacje dotyczące stanu zdrowia)
Zagrożenia dla ochrony danych osobowych
Niniejsza Polityka chroni dane przed realnymi zagrożeniami, w tym:
Naruszeniem poufności. (np. bezprawnym ujawnieniem danych).
Brakiem możliwości dokonania wyboru. (np. wszystkie osoby powinny móc zdecydować, jak firma przetwarza ich dane).
Narażeniem na szwank reputacji firmy. (np. w konsekwencji wycieku wrażliwych danych w wyniku ataku hakerskiego).
Obowiązki
Wszystkie osoby, które pracują dla firmy lub z nią, mają obowiązek upewniać się, że dane są odpowiednio gromadzone, przechowywane i przetwarzane.
Każdy zespół, który ma dostęp do danych osobowych, musi upewniać się, że przetwarza je zgodnie z zapisami niniejszej Polityki oraz przepisami o ochronie danych osobowych.
Jednak największa odpowiedzialność w tej kwestii spoczywa na:
Zarządzie który ponosi pełną odpowiedzialność za wypełnienie obowiązku ustawowego.
Specjaliście ds. zgodności który jest odpowiedzialny za:
- Przekazywanie Zarządowi aktualnych informacji o obowiązkach, zagrożeniach i kwestiach związanych z ochroną danych osobowych.
- Weryfikację wszystkich procedur i polityk dotyczących ochrony danych osobowych według ustalonego harmonogramu.
- Prowadzenie szkoleń dotyczących ochrony danych osobowych oraz udzielanie porad osobom chronionym zapisami niniejszej Polityki.
- Odpowiadanie na pytania dotyczące ochrony danych osobowych kierowane przez pracowników oraz osoby chronione zapisami niniejszej Polityki.
Sekretarzu firmy który jest odpowiedzialny za:
- Przyjmowanie wniosków osób fizycznych o wgląd do ich danych (tzw. „wnioski o dostęp”).
- Sprawdzanie i zatwierdzanie wszystkich umów ze stronami trzecimi, które przetwarzają jakiekolwiek dane wrażliwe firmy.
Menedżerze IT który jest odpowiedzialny za:
- Upewnianie się, że wszystkie systemy, usługi i sprzęt wykorzystywane do przechowywania danych spełniają przyjęte standardy bezpieczeństwa.
- Przeprowadzanie regularnych kontroli sprzętu i oprogramowania zabezpieczających pod kątem ich poprawnego działania.
- Ocenianie wszystkich usług świadczonych przez strony trzecie w sytuacji, gdy firma rozważa korzystanie z ich usług przechowywania i przetwarzania danych (np. usług przetwarzania w chmurze).
Dyrektorze Zarządzającym który jest odpowiedzialny za:
- Zatwierdzanie oświadczeń dotyczących ochrony danych osobowych dołączanych do wiadomości (np. e-maili lub listów).
- Odpowiadanie na pytania dotyczące ochrony danych osobowych od dziennikarzy lub przedstawicieli środków masowego przekazu, np. gazet.
- Jeśli konieczne – współpracę z innymi pracownikami w zakresie zgodności prowadzonych akcji marketingowych z przepisami o ochronie danych osobowych.
Ogólne wytyczne dla pracowników
- Dostęp do danych objętych niniejszą Polityką prywatności mają wyłącznie osoby, które potrzebują ich do wykonania swojej pracy.
- Danych nie wolno udostępniać w sposób nieformalny. Gdy pracownicy potrzebują uzyskać dostęp do danych poufnych, mogą zgłosić się z tym do bezpośredniego przełożonego.
- Wszyscy pracownicy przejdą szkolenia, aby poznać obowiązki związane z przetwarzaniem danych.
- Pracownicy mają obowiązek dbać o bezpieczeństwo wszystkich danych, podejmować uzasadnione środki zapobiegawcze i przestrzegać poniższych wytycznych.
- W szczególności muszą pamiętać o używaniu silnych haseł i nieudostępnianiu ich nikomu.
- Danych osobowych nie wolno udostępniać osobom nieupoważnionym. Dotyczy to zarówno pracowników firmy, jak i osób spoza niej.
- Dane należy regularnie sprawdzać i w razie potrzeby aktualizować. Jeśli dane są niepotrzebne, należy je usunąć i zniszczyć.
- Jeśli jakiekolwiek zagadnienie dotyczące ochrony danych osobowych budzi wątpliwości, pracownicy powinni zgłosić się z nim do bezpośredniego przełożonego lub specjalisty ds. zgodności.
Przechowywanie Danych
Poniższe zasady dotyczą sposobu i miejsca bezpiecznego przechowywania danych. Pytania dotyczące bezpiecznego przechowywania danych można kierować do Menedżera IT lub administratora danych.
Dane przechowywane w formie papierowej, zostaną umieszczone w bezpiecznym miejscu, do którego dostęp mają wyłącznie osoby upoważnione.
Te wytyczne dotyczą również danych, które zazwyczaj są przechowywane w formie elektronicznej, ale zostały wydrukowane:
- Niewykorzystywane dokumenty należy przechowywać w miejscu zamykanym na klucz (szufladzie lub szafce na dokumenty).
- Pracownicy mają obowiązek niepozostawiania wydruków i dokumentów zawierających dane osobowe bez nadzoru i w miejscach, gdzie dostęp do nich mogą zyskać osoby nieupoważnione (np. na drukarce).
- Niepotrzebne wydruki zawierające dane osobowe należy zniszczyć i usunąć w bezpieczny sposób.
Dane przechowywane elektronicznie, należy chronić przed niepowołanym dostępem, przypadkowym usunięciem i złośliwą działalnością hakerską w następujący sposób:
- Dane należy chronić poprzez stosowanie silnych haseł, które są regularnie zmieniane i nigdy nieudostępniane innym pracownikom.
- Gdy dane przechowywane na nośnikach wymiennych nie są wykorzystywane, nośniki należy przechowywać w miejscach zamykanych na klucz.
- Dane można przechowywać wyłącznie na przeznaczonych do tego celu dyskach i serwerach, a w przypadku usług przetwarzania w chmurze można korzystać wyłącznie z zatwierdzonych rozwiązań.
- Serwery zawierające dane osobowe muszą być zlokalizowane w bezpiecznym miejscu z dala od siedziby biura głównego.
- Należy często robić kopie zapasowe danych osobowych. Kopie zapasowe należy sprawdzać regularnie i zgodnie ze standardowymi procedurami obowiązującymi w firmie.
- Danych nie wolno zapisywać bezpośrednio na laptopach ani innych urządzeniach przenośnych takich jak tablety lub smartfony.
- Wszystkie serwery i komputery zawierające dane osobowe muszą być zabezpieczone zatwierdzonym oprogramowaniem zabezpieczającym i zaporą ogniową.
Wykorzystywanie Danych
Dane osobowe nie mają żadnej wartości dla firmy Yours Clothing, chyba że może ona je wykorzystywać. Jednak największe ryzyko utraty, uszkodzenia lub kradzieży danych osobowych zachodzi w momencie, gdy ktoś z nich korzysta, dlatego:
- Podczas pracy z danymi osobowymi pracownicy powinni zawsze blokować komputer, gdy się od niego oddalają.
- Danych osobowych nie wolno udostępniać w sposób nieformalny, a w szczególności nie wolno przesyłać ich e-mailem, ponieważ taka forma komunikacji nie gwarantuje pełnego bezpieczeństwa.
- Dane można przesyłać elektronicznie wyłącznie po ich zaszyfrowaniu. Menedżer IT udziela instrukcji dotyczących przesyłania danych do upoważnionych osób zewnętrznych.
- Pracownikom zabrania się tworzenia kopii danych osobowych na prywatnych komputerach. Należy zawsze korzystać z najnowszej wersji dokumentu znajdującej się w dokumentacji głównej i tę wersję aktualizować.
Poprawność Danych
W świetle obowiązujących przepisów firma Yours Clothing ma obowiązek dbania o poprawność i aktualność przechowywanych danych.
Im ważniejsza jest kwestia poprawności danych osobowych, tym więcej wysiłku należy włożyć w jej zapewnienie.
Wszyscy pracownicy mają obowiązek podejmowania uzasadnionych kroków w kierunku zapewnienia poprawności i aktualności przechowywanych danych.
- Dane będą przechowywane w jak najmniejszej liczbie miejsc. Pracownicy nie powinni tworzyć dodatkowych kopii, jeśli nie jest to potrzebne.
- Pracownicy powinni zawsze dbać o to, aby przechowywane dane były aktualne (np. potwierdzać je podczas rozmowy telefonicznej z klientem).
- Osoby, których dotyczą przechowywane dane, powinny mieć możliwość ich łatwej aktualizacji (np. za pośrednictwem konta online).
- Jeśli wykryto nieścisłości, dane należy zaktualizować (np. jeśli klient zmienił numer telefonu, należy usunąć numer z bazy danych).
Wniosek O Dostęp Do Danych
Wszystkie osoby, których dane są przechowywane, mają prawo dowiedzieć się:
- Jakie ich dane przechowuje firma i dlaczego.
- Jak zyskać dostęp do swoich danych.
- Jak aktualizować dane.
- Jak firma spełnia wymogi przewidziane przepisami o ochronie danych osobowych.
Takie zgłoszenie nazywane jest Wnioskiem o dostęp do danych. Wniosek o dostęp do danych należy złożyć e-mailem.
Udzielenie informacji jest nieodpłatne, choć firma może wedle uznania naliczyć drobną opłatę w sytuacji, gdy wniosek zostanie uznany za nadmierny. Administrator danych dołoży wszelkich starań, żeby udostępnić odpowiednie dane w ciągu 14 dni, ale nie później niż w ciągu 30 dni od daty otrzymania pierwszego wniosku.
Administrator danych zawsze weryfikuje tożsamość osoby składającej wniosek o dostęp do danych przed przekazaniem jakichkolwiek danych.
Ujawnianie Danych Na Innej Podstawie
W pewnych okolicznościach ustawa o ochronie danych osobowych dopuszcza możliwość ujawnienia danych osobowych organom ścigania bez uzyskania zgody osoby, której dane dotyczą.
W takiej sytuacji firma Yours Clothing ujawni żądane informacje. Jednak administrator danych sprawdzi zasadność takiego żądania, skonsultuje się z Zarządem oraz doradcami prawnymi firmy, jeśli sytuacja będzie tego wymagać.
Przekazywanie Danych
Yours Clothing dąży do tego, aby osoby, których dane dotyczą, wiedziały, że ich dane są przetwarzane oraz:
- W jaki sposób są przetwarzane
- Jak mogą skorzystać z przysługujących im praw
W związku z tym firma wdrożyła Politykę prywatności, która przedstawia sposób, w jaki dane osób fizycznych są wykorzystywane przez firmę. Najnowsza wersja niniejszego dokumentu jest dostępna na stronie internetowej firmy pod adresem www.yoursclothing.co.uk