Zásady ochrany dat

Sky-tours.com (Právní název: Big Sky Group S.A.) musí o osobách sbírat určité informace a používat je.

Mezi tyto osoby patří zákazníci, dodavatelé, obchodní kontakty, zaměstnanci a další lidé, se kterými má organizace nějaký vztah nebo je musí kontaktovat.

Tyto zásady popisují, jak musí tato osobní data být sbírána, zpracovávána a ukládána, aby byly splněny standardy ochrany dat společnosti — a aby společnost konala v souladu se zákonem.

Proč tyto zásady existují?

Tyto zásady ochrany dat zajišťují, že Sky-tours.com:

  • Jedná v souladu se zákony ochrany dat a postupuje podle osvědčených postupů 
  • Chrání práva zaměstnanců, zákazníků a partnerů
  • Jedná otevřeně o tom, jak ukládá a zpracovává data osob
  • Chrání se před rizikem narušení dat

Zákon o ochraně dat

Zákon o ochraně osobních údajů z roku 1998 popisuje, jak organizace — včetně Sky-tours.com — musí sbírat, zpracovávat a ukládat osobní informace. 

Tato pravidla platí bez ohledu na to, jestli jsou data ukládána elektronicky, na papíře nebo jakémkoli jiném materiálu.

Pro dodržení zákonů musí být osobní informace sbírány a používány spravedlivě, musí být bezpečně ukládány a nesmí být nezákonně zveřejňovány.

Zákon o ochraně osobních údajů je založen na osmi důležitých principech. Ty říkají, že osobní data musí být:

  1. Zpracována spravedlivě a zákonným způsobem
  2. Získána pro konkrétní a legální účely
  3. Adekvátní, relevantní a nesmí být v nadměrné míře
  4. Přesná a aktuální
  5. Osobní data nesmí být držena po dobu delší, než je nezbytné
  6. Zpracována v souladu s právy subjektů dat
  7. Ochráněna vhodnými způsoby
  8. Nesmí být převáděna mimo Evropský hospodářský prostor (EHP), může se tak stát pouze v případě, že země nebo územní celek také zajišťuje adekvátní úroveň ochrany.

Rozsah zásad

Tyto zásady platí pro:

  • Sídlo společnosti Sky-tours.com
  • Všechny pobočky Sky-tours.com
  • Všechny zaměstnance a dobrovolníky Sky-tours.com
  • Všechny dodavatele a další lidi, kteří pro Sky-tours.com pracují
Platí na všechna data, které společnosti má, a které se týkají identifikovatelných osob, i když jsou tyto informace technicky mimo zákon o ochraně osobních údajů z roku 1998. Jde o následující:
  • Jména osob
  • Poštovní adresy
  • E-mailové adresy
  • Telefonní čísla
  • plus jakékoli další informace, které se osob týkají.

Rizika ochrany dat

Tyto zásady pomáhají chránit Sky-tours.com před některými reálnými bezpečnostními riziky, včetně:

  • Porušení důvěrnosti. Například, když jsou informace předány nevhodným způsobem.
  • Selhání nabídnout možnost výběru. Každá osoba by například měla mít možnost zvolit si, jak bude společnost používat data, která se jí týkají.
  • Poškození pověsti. Společnost by například mohla utrpět škodu, pokud by hackeři úspěšně získali přístup k citlivým datům.

Odpovědnost

Každý, kdo pracuje pro nebo se Sky-tours.com má svou určitou odpovědnost zajistit, že data jsou sbírána, ukládána a zpracovávána vhodným způsobem.

Každý tým, který se stará o osobní data se musí postarat o to, že jsou data zpracována v souladu s těmito zásadami a splňují principy ochrany dat. 

Tito lidé mají klíčové oblasti odpovědnosti:

  • Představenstvo je v zásadě zodpovědné za zajištění, že Sky-tours.com splňuje své právní závazky.
  • Úřednice pro ochranu dat Elisabeth Quezada nese odpovědnost za:

          Informování představenstva o odpovědnostech týkajících se ochrany dat, rizicích a problémech.

          Přezkoumání všech procedur a zásad, která se týkají ochrany dat, a která jsou v souladu s dohodnutým plánem.

          Zprostředkování školení týkajícího se ochrany dat a za poskytování poradenství lidem, kterých se tyto zásady týkají.

          Zpracování otázek týkajících se ochrany dat, které mohou mít zaměstnanci nebo osoba, které se tyto zásady týkají.

          Řešení požadavků jednotlivců, kteří chtějí vidět data, která o nich Sky-tours.com má (nebo také „požadavky přístupu subjektu“). 

          Kontrolování a schvalování jakýchkoli smluv a dohod se třetími stranami, které mohou zpracovávat citlivá data společnosti.

  • IT manažer Raman Deep nese odpovědnost za:

          Zajištění, že všechny systémy, služby a vybavení použité pro ukládání dat splňují přijatelné bezpečnostní standardy.

          Pravidelnou kontrolu a skeny, které zajišťují bezpečnost a správné fungování hardwaru a softwaru.

          Vyhodnocení služeb třetích stran, u kterých společnost zvažuje ukládání a zpracování dat. Například cloudové výpočetní služby.

  • Marketingová manažerka Elisabeth Cardus nese odpovědnost za:

         Schvalování jakýchkoli prohlášení o ochraně dat, která jsou připojována ke komunikaci jako jsou e-maily a dopisy.

         Adresování dotazů o ochraně dat od novinářů nebo medií jako jsou tištěné noviny.

        Tam kde je to nutné musí pracovat s ostatními zaměstnanci, aby bylo zajištěno, že marketingové iniciativy jsou v souladu s principy ochrany dat.

Obecné pokyny pro zaměstnance

  • Jediní lidé, kteří by měli mít přístup k datům, která jsou popsána v těchto zásadách, by měli být ti, kteří je potřebují pro svou práci.
  • Data by neměla být neformálně sdílena. Pokud je nutné získat přístup k důvěrným informacím, zaměstnanci o ně mohou požádat u svých nadřízených.
  • Sky-tours.com poskytne školení všem zaměstnancům, aby jim pomohla pochopit jejich zodpovědnost při zpracovávání dat.
  • Zaměstnanci by měli držet všechna data v bezpečí a měli by se držet rozumných opatření a pokynů uvedených níže.
  • Konkrétně musí být použita silná hesla, která by neměla být nikdy sdílena.
  • Osobní data by neměla být vyzrazována nepovolaným lidem, ať už v rámci společnosti nebo externě.
  • Data by měla být pravidelně kontrolována a aktualizována, pokud se zjistí, že jsou zastaralá. Pokud již nejsou data potřebná, měla by být smazána.
  • Zaměstnanci by měli vyžádat pomoc od svých nadřízených nebo úředníka pro ochranu dat, pokud si nejsou jistí jakýmkoli aspektem ochrany dat. 

Ukládán dat

Tato pravidla popisují, jak a kde by měla být data bezpečně ukládána. Otázky týkající se bezpečného ukládání dat mohou být mířeny na IT manažera nebo na správce dat.

Pokud jsou data uložena na papíře, tak by tyto listy měly být uloženy na bezpečném místě, kde je neoprávněné osoby nemohou vidět.

Tyto pokyny se také vztahují na data, která jsou obvykle ukládána elektronicky, ale musela být z nějakého důvodu vytištěna:

  • Pokud nejsou požadovaná, papír nebo složky by měly být v zamčené zásuvce nebo skříňce. 
  • Zaměstnanci by se měli postarat o to, aby papír a vytisknuté dokumenty nebyly na místě, kde je mohou vidět neoprávněné osoby, jako například na tiskárně.
  • Vytisknutá data by v případě, že již nejsou potřebná, měla být skartována a zničena bezpečným způsobem.

Pokud jsou data uložena elektronicky, musí být chráněna před neoprávněným přístupem, neúmyslným smazáním a před pokusy o hacknutí:

  • Data by měla být chráněna silnými hesly, která by měla být pravidelně měněna a nikdy by neměla být mezi zaměstnanci sdílena.
  • Pokud jsou data uložena na vyměnitelném médiu (jako je CD nebo DVD) a nejsou používána, měla by být uzamčena.
  • Data by měla být ukládána pouze na určených discích a serverech a měla by být nahrávána pouze na schválené cloudové služby.
  • Servery obsahující osobní data by měly být umístěny na bezpečném místě, mimo běžné kancelářské prostory
  • Data by měla být pravidelně zálohována. Tyto zálohy by měly být pravidelně testovány a měly by být v souladu se standardními procedurami společnosti.
  • Data by nikdy neměla být ukládána přímo na laptopy nebo jiná mobilní zařízení jako jsou tablety nebo chytré telefony.
  • Všechny servery a počítače, které obsahují data, by měly být chráněny schváleným bezpečnostním softwarem a firewallem.

Použití dat

Osobní data nemají pro Sky-tours.com žádnou hodnotu, pokud je nemůže společnost nějak použít. Právě když je k osobním datům přistupováno a jsou používána, tak tato data čelí největším rizikům ztráty, poškození a krádeže:

  • Při práci s osobními daty by se měli zaměstnanci postarat o to, aby při jejich absenci byly obrazovky jejich počítačů vždy uzamčené.
  • Osobní data by neměla být neformálně sdílena. Konkrétně by neměla být nikdy odesílána e-mailem, protože nejde o bezpečnou formu komunikace.
  • Data musí být před elektronický posláním zašifrována. IT manažer může vysvětlit, jak data oprávněným externím kontaktům odeslat.
  • Osobní data by nikdy neměla být přenesena mimo Evropský hospodářský prostor.
  • Zaměstnanci by neměli ukládat kopie osobních dat na své vlastní počítače. Vždy přistupujte k centrální kopii dat a tu také aktualizujte.

Přesnost dat

Zákon vyžaduje, aby Sky-tours.com prováděla vhodné kroky pro zajištění bezpečnosti a přesnosti dat.

Čím důležitější je přesnost osobních dat, tím větší by měla být snaha Sky-tours.com zajistit jejich přesnost.

Je odpovědností všech zaměstnanců, kteří s daty pracují, aby prováděli vhodné kroky k zajištění toho, že data jsou přesná a co možná nejaktuálnější. 

  • Data budou držena na co nejmenším počtu míst. Zaměstnanci by neměli vytvářet jakékoli nadbytečné datové sady.
  • Zaměstnanci by měli využít každé příležitosti k aktualizaci dat. Při hovoru například potvrdit u zákazníka detaily.
  • Sky-tours.com provede kroky, které pomůžou subjektům dat provést jednoduchou aktualizaci informací, které ohledně jejich osoby Sky-tours.com drží. Například pomocí webové stránky společnosti.
  • Data by měla být při zjištěných nepřesnostech aktualizována. Pokud již například zákazník není na uloženém telefonním čísle k zastižení, mělo by být takové telefonní číslo odstraněno z databáze.
  • Je odpovědností marketingového manažera, aby zajistil, že jsou marketingové databáze každých šest měsíců kontrolovány se zamlčenými soubory.

Požadavky přístupu subjektu

Všechny osoby, které jsou subjektem osobních dat, která drží Sky-tours.com mají právo:

  • Zeptat se, jaké informace o nich společnost má a proč je má.
  • Zeptat se, jak k nim získat přístup.
  • Být informováni o tom, jak je udržet aktuální. 
  • Být informováni o tom, jak společnost splňuje své povinnosti týkající se ochrany dat.

Pokud osoba kontaktujte společnost a tuto informaci požádá, jde o požadavek přístupu subjektu. 

Požadavky přístupu subjektu od osob by měly být prováděny e-mailem a měly by směřovat k správci dat na adresu eliq@sky-tours.com. Správce dat může poskytnout standardní formulář požadavku, ale osoby jej nemusí použít.

Osobám bude za požadavek přístupu subjektu účtován poplatek 10 euro. Správce dat se bude snažit poskytnout relevantní data během 14 dní.

Správce dat vždy před předáním informací ověří identitu osoby, která požadavek přístupu subjektu provádí.

Zveřejnění dat z jiných důvodů

Za určitých podmínek umožňuje zákon o ochraně osobních dat zveřejnit osobní data donucovacím orgánům bez souhlasu subjektu dat.

Za těchto okolností požadovaná data Sky-tours.com poskytne. Správce dat nicméně zajistí, že takový požadavek je legitimní a pokud je to nutné, kontaktuje s žádostí o asistenci představenstvo a právní poradce společnosti.

Poskytování informací

Sky-tours.com se snaží zajistit, aby si osoby byly vědomi, že jejich data jsou zpracovávána, a že chápou:

Jak jsou data používána

Jak mohou využít svých práv 

Pro takové případy má společnost zásady o ochraně soukromí, které stanovují, jak společnost data osob používá.

Verze těchto zásad o ochraně soukromí je také dostupná na webové stránce společnosti.