Data Protection Policy

Sky-tours.com (Juridisk navn: Big Sky Group S.A.) trenger å samle inn og bruke visse opplysninger om enkeltpersoner.

Disse kan inkludere kunder, leverandører, forretningskontakter, ansatte og andre personer organisasjonen har forhold til eller må kontakte.

Disse retningslinjer beskriver hvordan disse personopplysningene må samles inn, håndteres og lagres for å oppfylle selskapets databeskyttelsesstandarder – og for å overholde loven.

Hvorfor disse retningslinjer eksisterer

Disse retningslinjer for databeskyttelse sikrer at Sky-tours.com:

  • Overholder databeskyttelsesloven og følger god praksis
  • Beskytter rettighetene til ansatte, kunder og partnere
  • Er åpen om hvordan enkeltpersonens data lagres og behandles
  • Beskytter seg mot risikoen for misbruk av data

Databeskyttelseslov

Databeskyttelsesloven fra året 1998 beskriver hvordan organisasjoner - inkludert Sky-tours.com - må samle inn, håndtere og lagre personlig informasjon.

Disse reglene gjelder uansett om data lagres elektronisk, på papir eller på andre materialer.

For å overholde loven må personlige opplysninger samles inn og brukes rettferdig, lagres trygt og ikke avsløres ulovlig.

Databeskyttelsesloven er underbygget av åtte viktige prinsipper. Disse krever at personlige data må:

  1. Behandles rettferdig og lovlig
  2. Lagres kun for bestemte lovlige formål
  3. Være tilstrekkelig, relevant og ikke overdreven
  4. Være nøyaktig og oppdatert
  5. Ikke lagres lenger enn nødvendig
  6. Behandles i samsvar med rettigheter til datasubjekter
  7. Være beskyttet på passende måter
  8. Ikke overføres utenfor EØS-området, med mindre landet eller territoriet også sikrer et tilstrekkelig beskyttelsesnivå

              Omfang av retningslinjene

              Denne policyen gjelder for:

              • Hovedkontoret til Sky-tours.com
              • Alle filialer av Sky-tours.com
              • Alle ansatte og frivillige hos Sky-tours.com
              • Alle entreprenører, leverandører og andre som jobber på vegne av Sky-tours.com

              Det gjelder alle data som selskapet har om identifiserbare personer, selv om denne informasjonen teknisk sett faller utenfor databeskyttelsesloven fra 1998. Dette kan omfatte:

              • Navn på enkeltpersoner
              • Postadresser
              • E-postadresser
              • Telefonnumre
              • pluss annen informasjon knyttet til enkeltpersoner.

              Databeskyttelsesrisiko

              Denne policyen bidrar til å beskytte Sky-tours.com mot noen svært reelle datasikkerhetsrisikoer, inkludert:

              • Brudd på konfidensialitet. For eksempel informasjon som utleveres på en usikker måte.
              • Manglende valg. For eksempel bør alle enkeltpersoner være fri til å velge hvordan selskapet bruker data knyttet til dem.
              • Reputasjonsskade. For eksempel kan selskapet få skade hvis hackere får tilgang til sensitive data.

              Ansvar

              Alle som jobber for eller med Sky-tours.com har noe ansvar for at data samles inn, lagres og håndteres på riktig måte.

              Hvert team som håndterer personopplysninger, må sørge for at disse håndteres og behandles i tråd med retningslinjene og databeskyttelsesprinsippene.

              Men disse menneskene har viktige ansvarsområder:

              • Styret er i siste instans ansvarlig for at Sky-tours.com oppfyller sine rettslige forpliktelser.
              • Databeskyttelsesansvarlig Elisabeth Quezada er ansvarlig for:

                        Å holde styret oppdatert om databeskyttelsesansvar, risiko og problemer.

                       Gjennomgang av alle databeskyttelsesprosedyrer og tilhørende retningslinjer, i tråd med en avtalt tidsplan.

                       Arrangering av dataskyddstrening og råd for de som omfattes av denne politikken.

                       Håndtering av databeskyttelsesspørsmål fra ansatte og andre som er omfattet av denne policyen.

                       Håndtering av forespørsler fra enkeltpersoner for å se dataene som Sky-tours.com har om dem (også kalt "forespørsler om tilgang til data").

                       Kontroll og godkjenning av eventuelle kontrakter eller avtaler med tredjeparter som kan håndtere selskapets sensitive data.

              • IT-sjefen, Raman Deep, er ansvarlig for:

                        Å sikre at alle systemer, tjenester og utstyr som brukes til lagring av data, oppfyller forsvarlige sikkerhetsstandarder.

                        Gjennomføring av regelmessig kontroll og skanninger for å sikre at sikkerhetsmaskinvare og programvare fungerer som det skal.

                        Evaluering av tredjepartstjenester som selskapet vurderer å bruke til å lagre eller behandle data. For eksempel, cloud computing-tjenester.

              • Markedsføreren, Elisabeth Cardus, er ansvarlig for:

                        Godkjenning av eventuelle databeskyttelsesopplysninger knyttet til kommunikasjon som e-post og brev.

                        Adressering av databeskyttelsesforespørsler fra journalister eller medier som f.eks. aviser.

                        Om nødvendig, samarbeide med andre ansatte for å sikre at markedsføringsinitiativer overholder prinsippene for databeskyttelse.

              Generelle retningslinjer for personalet

              • De eneste som har tilgang til data som omfattes av disse retningslinjene, bør være de som trenger det for sitt arbeid.
              • Data bør ikke deles uformelt. Når det kreves tilgang til konfidensiell informasjon, kan ansatte be om det fra sine ledere.
              • Sky-tours.com vil gi opplæring til alle ansatte for å hjelpe dem å forstå sitt ansvar når de håndterer data.
              • Ansatte bør holde alle data sikre, ved å behandle dem med forsiktighet og følge retningslinjene nedenfor.
              • Spesielt må sterke passord brukes, og de skal aldri deles.
              • Personlige data bør ikke gis til uautoriserte personer, enten i bedriften eller eksternt.
              • Data bør regelmessig vurderes og oppdateres dersom de viser seg å være utdatert. Hvis det ikke lenger er nødvendig, skal de slettes og bortskaffes.
              • Ansatte bør be om hjelp fra deres linjeleder eller databeskyttelsesansvarlig hvis de er usikre på hvilket som helst aspekt av databeskyttelse.

              Datalagring

              Disse reglene beskriver hvordan og hvor data skal lagres trygt. Spørsmål om trygg lagring av data kan rettes til IT-leder eller dataleder.

              Når data lagres på papir, bør det holdes på et sikkert sted der uvedkommende ikke kan se det.

              Disse retningslinjene gjelder også for data som vanligvis lagres elektronisk, men har blitt skrevet ut av en eller annen grunn:

              • Når de ikke er nødvendig, skal papiret eller filene holdes i en låst skuffe eller arkivskap.
              • Ansatte bør sørge for at papir og utskrifter ikke blir igjen der uvedkommende kunne se dem, som på en skriver.
              • Datautskrifter skal rives og kasseres forsvarlig når de ikke lenger er nødvendig.

              Når data lagres elektronisk, må disse beskyttes mot uautorisert tilgang, utilsiktet sletting og ondsinnede hackingforsøk:

              • Data bør beskyttes med sterke passord som endres regelmessig og aldri deles mellom ansatte.
              • Hvis data lagres på flyttbare medier (som en CD eller DVD), bør disse holdes låst sikkert når de ikke brukes.
              • Data skal bare lagres på bestemte stasjoner og servere, og må kun lastes opp til en godkjent cloud computing-tjeneste.
              • Servere som inneholder personopplysninger bør være plassert på et sikkert sted, vekk fra det generelle kontorområdet.
              • Data bør sikkerhetskopieres ofte. Disse sikkerhetskopiene bør testes jevnlig, i tråd med selskapets standard backup prosedyrer.
              • Data må aldri lagres direkte til bærbare datamaskiner eller andre mobile enheter som tablets eller smarttelefoner.
              • Alle servere og datamaskiner som inneholder data, bør beskyttes av godkjent sikkerhetsprogramvare og en brannmur.

              Bruk av data

              Personlige data har ingen verdi for Sky-tours.com med mindre virksomheten kan benytte seg av den. Det er imidlertid når personopplysninger blir åpnet og brukt at det oppstår størst risiko for tap, ødeleggelse eller tyveri:

              • Ved arbeid med personlige data, bør ansatte sørge for at skjermene på datamaskinene alltid er låst når de ikke er overvåket.
              • Personlige data skal ikke deles uformelt. F.eks. bør disse aldri sendes via e-post, da denne form for kommunikasjon ikke er sikker.
              • Dataene må krypteres før de overføres elektronisk. IT-lederen kan forklare hvordan du sender data til autoriserte eksterne kontakter.
              • Personlige data skal aldri overføres utenfor EØS.
              • Ansatte bør ikke lagre kopier av personlige data til egne datamaskiner. Alltid åpne og oppdatere sentralkopien av data.

              Data nøyaktighet

              Loven krever at Sky-tours.com tar rimelige skritt for å sikre at dataene holdes nøyaktige og oppdatert.

              Jo viktigere det er at personopplysningene er nøyaktige, desto større innsats må Sky-tours.com gjøre for å sikre nøyaktigheten.

              Det er alle ansattes ansvar å ta rimelige skritt for å sikre at data de jobber med holdes så nøyaktige og oppdaterte som mulig.

              • Data vil bli holdt på så få steder som nødvendig. Personalet bør ikke skape noen unødvendige tilleggsdatasett.
              • Ansatte bør bruke alle muligheter for å sikre at dataene blir oppdatert. For eksempel ved å bekrefte kundens detaljer når de ringer.
              • Sky-tours.com gjør det enkelt for registrerte brukere å oppdatere informasjonen Sky-tours.com har om dem. For eksempel via selskapets nettside.
              • Dataene skal oppdateres ettersom unøyaktigheter oppdages. For eksempel, hvis en kunde ikke lenger kan nås på sitt lagrede telefonnummer, bør nummeret fjernes fra databasen.
              • Det er markedsføringslederens ansvar å sikre at markedsføringsdatabaser blir sjekket mot industriens nullundertrykkingsfiler hvert halvår.

              Forespørsler om tilgang til data

              Alle personer hvis personopplysninger beholdes av Sky-tours.com har krav på:

              • Spørre hvilken informasjon selskapet har om dem og hvorfor.
              • Spørre hvordan å få tilgang til det.
              • Være informert om hvordan å holde informasjonen oppdatert.
              • Bli informert om hvordan selskapet oppfyller sine databeskyttelsesforpliktelser.

              Hvis en person kontakter selskapet og ber om denne informasjonen, kalles dette en forespørsel om tilgang til data.

              Forespørsler fra enkeltpersoner skal sendes via e-post, adressert til datakontrollanten på eliq@sky-tours.com. Datakontrollanten kan levere et standardforespørselsskjema, selv om enkeltpersoner ikke trenger å bruke dette.

              Personer vil måtte betale EUR 10 per tilgangsforespørsel. Datakontrollanten vil forsøke å levere de relevante dataene innen 14 dager.

              Datakontrolleren vil alltid verifisere identiteten til alle som foretar et tilgangsforespørsel før informasjonen overleveres.

              Avgi data av andre grunner

              I enkelte tilfeller tillater personvernloven at personopplysninger blir offentliggjort til rettshåndhevende organer uten samtykke fra vedkommende.

              Under disse omstendighetene vil Sky-tours.com avsløre ønskede data. Datakontrolleren vil imidlertid sikre at forespørselen er legitim, og skal få godkjenning fra styret og fra selskapets juridiske rådgivere der det er nødvendig.

              Forsyne informasjon

              Sky-tours.com har til hensikt å sikre at enkeltpersoner er klar over at deres data blir behandlet, og at de forstår:

              • Hvordan dataene blir brukt
              • Hvordan utøve sine rettigheter

              For dette formål har selskapet en personvernerklæring som beskriver hvordan data knyttet til enkeltpersoner blir brukt av selskapet.