Политика защиты данных компании


Введение

Компании Yours Clothing Limited необходимо собирать и использовать определенную информацию о физических лицах. Это предполагает, в частности, персональную информацию и данные покупателей, поставщиков, деловых контактов, сотрудников и других лиц, с которыми организация может устанавливать отношения и нуждаться в поддержании контакта.

Настоящая Политика защиты данных определяет порядок сбора, использования и хранения персональных данных для обеспечения соответствия законодательству и стандартам защиты данных.

Зачем нужна эта политика

Эта Политика защиты данных обеспечивает компании Yours Clothing Limited:

  • Соответствие законодательству о защите данных и применение оптимальных практик.
  • Защиту прав персонала, покупателей и деловых партнеров.
  • Открытость в отношении порядка хранения и обработки компанией данных физических лиц.
  • Защиту от рисков утечки данных.

Закон о защите данных

Закон о защите данных от 1998 г. (Data Protection Act 1998) определяет порядок сбора, использования и хранения персональной информации организациями, включая Yours Clothing Limited.

Эти правила применяются независимо от того, в каком виде хранятся данные: в электронном виде, на бумаге или на других носителях.

Соответствие закону обеспечивается при условии надлежащего сбора и использования, безопасного хранения и недопущения незаконного раскрытия персональной информации.

Люди, риски и обязанности

Область действия политики

Эта политика распространяется на головной офис, все магазины, всех сотрудников и волонтеров, а также на всех подрядчиков, поставщиков и других лиц, действующих от имени компании Yours Clothing Limited.

Она применяется ко всем хранящимся в компании данным идентифицируемых физических лиц, даже если эта информация технически выходит за рамки Закона о защите данных 1998 г., включая, в частности, следующие данные физических лиц:

  • имя, фамилия
  • почтовый адрес
  • адрес электронной почты;
  • номера телефонов;
  • платежные данные;
  • фотографии;
  • местоположения
  • IP-адрес
  • поведение онлайн;
  • какие-либо данные особой категории, например, вероисповедание, информация о состоянии здоровья.

Риски в области защиты данных

Эта политика содействует защите от некоторых очень реальных рисков безопасности данных, в том числе:

  • • Нарушение конфиденциальности. Например, раскрытие информации ненадлежащим образом.
  • • Непредоставление выбора. Например, все физические лица должны иметь возможность выбирать, как компания использует данные, имеющие отношение к ним.
  • • Репутационный ущерб. Например, компания могла бы пострадать, если бы хакеры успешно получили доступ к конфиденциальным данным.

Обязанности

Каждый, кто работает в компании или сотрудничает с ней, несет определенную ответственность за обеспечение сбора, использования и хранения данных надлежащим образом.

Каждый отдел, который использует персональные данные, должен обеспечить их использование и обработку в соответствии с настоящей политикой и принципами защиты данных.

Однако эти лица имеют ключевые сферы ответственности:

  • Совет директоров несет основную ответственность за обеспечение выполнения правовых обязательств.
  • Специалист по внутреннему контролю несет ответственность за следующее:
    • Обеспечение информированности совета директоров по вопросам обязанностей, рисков и проблем в сфере защиты данных.
    • Пересмотр всех процедур защиты данных и соответствующих политик в соответствии с согласованным графиком.
    • Организация обучения и консультаций в сфере защиты данных для лиц, на которых распространяется данная политика.
    • Обработка вопросов в сфере защиты данных от персонала и иных лиц, на которых распространяется данная политика.
  • • Секретарь компании несет ответственность за следующее:
    • Работа с запросами от физических лиц об ознакомлении с данными о них, которые хранятся в компании (также называемыми «запросами субъектов о предоставлении доступа»).
    • Проверка и утверждение любых договоров или соглашений с третьими лицами, которые могут использовать конфиденциальные данные компании.
  • Руководитель отдела ИТ несет ответственность за следующее:
    • Обеспечение соответствия всех систем, служб и оборудования, которые используются для хранения данных, приемлемым стандартам безопасности.
    • Выполнение регулярных проверок и сканирований для обеспечения правильной работы аппаратных и программных средств систем безопасности.
    • Оценка услуг третьих сторон, использование которых компания рассматривает для хранения или обработки данных. Например, службы «облачных» вычислений.
  • Генеральный директор несет ответственность за следующее:
    • Утверждение всех заявлений в сфере защиты данных, используемых в таких сообщениях, как письма и корреспонденция по электронной почте.
    • Реагирование на запросы в отношении защиты данных полученные от журналистов или таких СМИ, как газеты
    • При необходимости – совместно с другими сотрудниками – приведение маркетинговых мероприятий в соответствие с принципами защиты данных.

Общие указания для персонала

  • Доступ к данным, на которые распространяется настоящая политика, предоставляется только лицам, имеющим необходимость в нем для выполнения служебных обязанностей.
  • Неофициальная передача данных не допускается. При необходимости доступа к конфиденциальной информации сотрудники могут запросить допуск у своих линейных руководителей.
  • Все сотрудники проходят обучение для содействия пониманию ими своих обязанностей при использовании данных.
  • Сотрудники обязаны обеспечивать безопасность всех данных, принимая разумные меры предосторожности и следуя приведенным ниже рекомендациям.
  • В частности, следует использовать надежные пароли, передача которых другим лицам не допускается.
  • Раскрытие персональных данных неуполномоченным лицам ни в рамках компании, ни за ее пределами, не допускается.
  • Данные должны регулярно пересматриваться и обновляться, если будет установлено, что они устарели. Если необходимость в них отпала, данные подлежат уничтожению и ликвидации.
  • В случае неуверенности относительно каких-либо аспектов защиты данных, сотрудникам следует обратиться за помощью к своему линейному руководителю или специалисту по внутреннему контролю.

Хранение данных

Эти правила описывают, как и где должно осуществляться безопасное хранение данных. Вопросы о безопасном хранении данных могут направляться руководителю отдела ИТ или контроллеру данных.

В случаях хранения данных на бумаге, они содержатся в надежном месте, в котором неуполномоченные лица не смогут их увидеть.

Эти рекомендации также относятся к данным, которые обычно хранятся в электронном виде, но были распечатаны по какой-либо причине:

  • Когда в них нет необходимости, бумаги и папки следует хранить в запертом ящике или шкафу для хранения документов.
  • Сотрудники должны обеспечить, чтобы бумаги и распечатки не оставлялись в местах, где их могут увидеть неуполномоченные лица – например, на принтере.
  • Если необходимость в них отпала, распечатки данных подлежат уничтожению с использованием бумагорезательной машины и ликвидации безопасным способом.

Если данные хранятся в электронном виде, обеспечивается их защита от несанкционированного доступа, случайного уничтожения и попыток злонамеренного взлома:

  • Данные должны быть защищены надежными паролями, которые регулярно меняются и никогда не передаются другим сотрудникам.
  • Если данные хранятся на съемных носителях, им обеспечивается надежное хранение под замком, когда они не используются.
  • Данные должны храниться только на определенных дисках и серверах, и загружаться только в утвержденные службы «облачных» вычислений.
  • Серверы, которые содержат персональные данные, должны располагаться в безопасном месте, вдали от офисных помещений.
  • Необходимо часто производить резервное копирование данных. Эти резервные копии должны регулярно проверяться в соответствии с принятыми в компании стандартными процедурами резервного копирования.
  • Не допускается сохранение данных непосредственно на портативные компьютеры или другие мобильные устройства, такие как планшеты или смартфоны.
  • Все серверы и компьютеры, на которых содержатся данные, должны быть защищены утвержденными программными средствами безопасности и межсетевым экраном.

Использование данных

Персональные данные не имеют иной ценности для Yours Clothing, помимо их использования для бизнеса. Однако они имеют ценность, когда персональные данные находятся в доступе и используются способами, подвергающими их наибольшему риску потери, искажения или кражи:

  • При работе с персональными данными сотрудники должны обеспечить, чтобы экраны их компьютеров всегда блокировались, когда они остаются без присмотра.
  • Неофициальная передача персональных данных не допускается. В частности, запрещается их отправка по электронной почте, поскольку эта форма коммуникации не является безопасной.
  • Перед передачей в электронной форме данные должны быть зашифрованы. Разъяснения по поводу способов отправки данных уполномоченным внешним контактам можно получить у руководителя отдела ИТ.
  • Сотрудники не вправе сохранять копии персональных данных на свои собственные компьютеры. Всегда открывайте и обновляйте самую последнюю версию документа из главного файла и обновляйте версию.

Точность данных

Закон обязывает компанию Yours Clothing предпринимать разумные меры для обеспечения точности и актуальности данных.

Чем большее значение имеет точность персональных данных, тем больших усилий требует обеспечение их точности.

Все сотрудники, работающие с данными, обязаны принимать разумные меры для обеспечения максимально возможной точности и актуальности данных.

  • Данные хранятся в нескольких местах, по мере необходимости. Персоналу не следует создавать ненужные дополнительные наборы данных.
  • Персонал должен использовать все возможности для обновления данных. Например, подтверждая данные покупателя во время его/ее звонка.
  • Сделайте так, чтобы субъектам данных было просто обновить их информацию, хранящуюся в компании. Например, через их учетную запись онлайн.
  • Данные должны обновляться по мере выявления неточностей. Например, если к покупателю больше невозможно дозвониться по его/ее сохраненному номеру телефона, этот номер следует удалить из базы данных.

Запросы субъектов о предоставлении доступа

Все лица, являющиеся субъектом персональных данных, имеют право:

  • запрашивать, какую информацию о них хранит компания и в каких целях;
  • запрашивать, как получить к ней доступ;
  • получать информацию о том, как поддерживать актуальность данных;
  • получать информацию о том, как компания выполняет свои обязательства по защите данных.

Если физическое лицо обращается в компанию и запрашивает такую информацию, это называется «запросом субъекта о предоставлении доступа». Запросы субъектов о предоставлении доступа от физических лиц должны подаваться по электронной почте.

Запросы субъектов о предоставлении доступа оплате не подлежат, однако может взиматься плата на усмотрение компании, если считается, что в запросе предъявлены чрезмерные требования. Контроллер данных будет стремиться предоставить соответствующие данные в течение 14 дней, но не позднее, чем через 30 дней после получения первоначального запроса.

Контроллер данных всегда проводит проверку личности каждого, кто делает запрос субъекта о предоставлении доступа, прежде чем передать ему какую-либо информацию.

Раскрытие данных по другим причинам

В определенных обстоятельствах Закон о защите данных позволяет раскрывать персональные данные правоохранительным органам без согласия субъекта данных.

В таких обстоятельствах компания Yours Clothing раскрывает запрашиваемые данные. Тем не менее, контроллер данных удостоверяется в законности запроса, и в случае необходимости обращается за содействием к совету директоров и юрисконсультам компании.

Предоставление информации

Компания Yours Clothing стремится обеспечить, чтобы физические лица знали, что их данные обрабатываются, и чтобы они понимали:

  • • как используются данные;
  • • как реализовать свои права.

В этих целях компания внедрила Политику конфиденциальности, которая определяет, как компания использует данные, имеющие отношение к физическим лицам. Последняя версия этой политики доступна на веб-сайте компании www.yoursclothing.co.uk