ПОЛИТИКА И ПРОЦЕДУРИ ЗА ЗАЩИТА НА ДАННИТЕ


Палитри Интернешънъл ООД

ПОЛИТИКА И ПРОЦЕДУРИ ЗА ЗАЩИТА НА ДАННИТЕ

Палитри Интернешънъл ООД е официален  основен дистрибутор на Noble Manhattan Coaching, дружество, което извършва търговска дейност под името Noble Manhattan Europe-CE – Noble Manhattan Bulgaria.

Контекст и общ преглед

 

Ключови подробности

  • Политиката е изготвена от: Катрин Прентис
  • Одобрена от ръководството на:        04.2018 г.
  • Политиката влезе в сила на:             04.2018 г.
  • Следваща дата на прегледа:              04.2019 г.

Въведение

Палитри Интернешънъл ООД, официален мастър-дистрибутор на Noble Manhattan Coaching, дружество, което извършва търговска дейност под името Noble Manhattan Europe-CE, събира и използва определена информация за отделни лица, в процеса на извършване на своята фирмена дейност.

Те могат да включват: коучинг-студенти, преподаватели, клиенти, доставчици, контрагенти, служители и други хора, с които организацията има отношения или може да се наложи да се свърже.

Настоящата политика описва как тези лични данни трябва да се събират, обработват и съхраняват, за да се изпълнят стандартите на дружеството за защита на личните данни и за да се спази закона.

Защо съществува настоящата политика?

Настоящата политика за защита на личните данни гарантира, че Палитри Интернешънъл, официален мастър-дистрибутор на Noble Manhattan Coaching, дружество, което извършва търговска дейност под името Noble Manhattan Europe-CE:

  • спазва закона за защита на личните данни и добрата практика;
  • защитава правата на персонала, клиентите и партньорите;
  • знае как да съхранява и обработва данните на отделните лица;
  • защитава себе си от рисковете от злоупотреба с данните.

Закон за защита на личните данни

Законът за защита на личните данни от 1988 г. описва как организациите, включително Палитри Интернешънъл ООД, официален мастър-дистрибутор на Noble Manhattan Coaching, трябва да събират, обработват и съхраняват лични данни.

Тези правила се прилагат независимо от това дали данните се съхраняват по електронен път, на хартиен носител или на други носители.

За да се спази закона, личните данни трябва да се събират и използват по справедлив начин, да се съхраняват безопасно и да не се оповестяват, ако законът забранява това.

Законът за защита на личните данни е подкрепен от осем важни принципа.  Съгласно тях личните данни трябва:

  1. да се ​​обработват по справедлив и законен начин;
  2. да бъдат получавани само за конкретни, законни цели:
  3. да бъдат подходящи и уместни и да не бъдат прекалено излишни;
  4. да бъдат точни и да се поддържат актуални;
  5. да не се съхраняват за период, по-дълъг от необходимия;
  6. да се обработват в съответствие с правата на субектите на данни;
  7. да бъдат защитени по подходящ начин;
  8. да не се прехвърлят извън Европейското икономическо пространство (ЕИП), освен ако тази страна или територия не гарантира подходящо ниво на защита.

Хора, рискове и отговорности

 

Обхват на политиката

Настоящите правила се прилагат за:

  • Централното управление и всички бъдещи клонове на Палитри Интернешънъл оод;
  • местата, в които са постоянно базирани дистанционни работници;
  • всички служители и доброволци на Палитри Интернешънъл;
  • всички изпълнители, доставчици и други лица, работещи от името на Палитри Интернешънъл, официален мастър-дистрибутор на Noble Manhattan Coaching.

Те се прилагат и за всички данни, които дружеството притежава за лица, които могат да бъдат идентифицирани, дори ако тези данни технически попадат извън Закона за защита на личните данни от 1998 г.  Те могат да включват:

  • имената на лицата;
  • пощенски адреси;
  • имейл адреси;
  • телефонни номера;
  • и всяка друга информация, свързана с лицата и / или тяхната дейност.

Рискове за защитата на данните

Настоящата политика помага да предпазва Палитри Интернешънъл ООД, като официален мастър-дистрибутор на Noble Manhattan Coaching, от някои много реални рискове за сигурността на данните, включително:

Нарушения на поверителността.  Например, информацията е предоставена по неподходящ начин.

Непредоставяне на възможност на избор.  Например, всички лица трябва да могат свободно да избират как дружеството да използва данните, свързани с тях.

Накърняване на репутацията.  Например, репутацията на дружеството може да бъде накърнена, ако хакери са получили  успешно достъп до чувствителни данни.

Отговорности

Всеки, който работи за или с Палитри Интернешънъл, официален мастър-дистрибутор на Noble Manhattan Coaching, трябва да гарантира, че данните се събират, съхраняват и обработват по подходящ начин в съответствие с настоящата политика и принципите на защита на данните.

Тези хора обаче имат ключови области на отговорност:

Директорите на дружеството Катрин Прентис и Брайън Прентис трябва да гарантират, че Палитри Интернешънъл, официален дистрибутор на Noble Manhattan Coaching, дружество, което извършва търговска дейност под името Noble Manhattan Europe-CE, изпълнява своите правни задължения.

Отговорникът по защита на данните Катрин Прентис:

  • предоставя регулярно на директора и екипа за управление на дружеството информация за отговорностите, рисковете и проблемите, свързани със защитата на данните;
  • преглежда всички процедури за защита на данните и свързаните с тях политики в съответствие с договорения график;
  • организира обучение и консултация относно защитата на данните за хората, попадащи в обхвата на настоящата политика;
  • обработва въпросите за защита на данните, отправени от персонала и от други лица, попадащи в обхвата на настоящата политика;
  • разглежда исканията на конкретни лица да видят данните, които Палитри Интернешънъл притежава за тях (наричани още „искания на субекта за достъп“);
  • проверява и одобрява договори или споразумения с трети страни, които могат да обработват чувствителните данни на дружеството.

ИТ мениджърът Брайън Прентис:

  • гарантира, че всички системи, услуги и оборудване, използвани за съхраняване на данни, отговарят на признатите стандарти за сигурност;
  • извършва редовни проверки и сканиране, за да се гарантира, че хардуерът и софтуерът за сигурност функционират правилно;
  • извършва оценка на услугите на трети страни, които дружеството планира да използва, за да съхранява или обработва данни. Например услуги за изчисление в облак.

Маркетинговият директор Катрин Прентис, Президентите на различни групи за коучинг подкрепа (т.нар.Коучинг Съпорт Групи) и Стратегическите и Териториалните дистрибутори на компанията:

  • одобряват всички изявления за защита на данните, приложени към съобщения като имейли и писма;
  • отговарят на всякакви запитвания за защита на данните от журналисти или медии, като например вестниците;
  • когато е необходимо, работят с други служители, за да се гарантира, че маркетинговите инициативи спазват принципите за защита на данните.

Общи насоки за персонала

  • Единствените лица, които имат достъп до данните, предмет на настоящата политика, са тези, които се нуждаят от тях в процеса на работа.
  • Данните не трябва да се споделят неофициално. Когато се изисква достъп до поверителна информация, искане за достъп се отправя до Катрин Прентис.
  • Палитри Интернешънъл оод, официален мастър-дистрибутор на Noble Manhattan Coaching, осигурява обучение за всички служители, за да им помогне да разберат своите отговорности при обработката на данни.
  • Служителите трябва да гарантират сигурността на всички данни, като вземат разумни предпазни мерки и следват насоките, дадени по-долу.
    • По-специално трябва да се използват сигурни пароли, които никога не се споделят.
    • Лични данни не трябва да се разкриват на неупълномощени лица нито в рамките на дружеството, нито извън него.
    • Данните трябва редовно да се преглеждат и актуализират, ако се установи, че са остарели. Ако вече не се изискват, те трябва да бъдат изтрити и унищожени.
    • Служителите трябва да поискат помощ от своя пряк ръководител или от служителя по защита на данните, ако не са сигурни за определен аспект на защитата на данни.

Съхранение на данни

Настоящите правила описват как и къде трябва да се съхраняват данните по безопасен начин.  Въпросите за безопасното съхранение на данни могат да бъдат отправяни към ИТ мениджъра или администратора на данни.

Когато данните се предоставят на хартиен носител, те трябва да се съхраняват на сигурно място, където неоторизирани лица не могат да имат достъп до тях.

Настоящите насоки  важат и за данни, които обикновено се съхраняват по електронен път, но са отпечатани по някаква причина:

  • Когато не се изисква, хартиеният носител или файловете трябва да се съхраняват в заключено чекмедже или шкаф за документи;
  • Служителите трябва да се уверят, че хартиеният носител и разпечатките не са оставени там, където неоторизирани лица могат имат достъп до тях, например върху принтера;
  • Разпечатките на данните трябва да бъдат нарязани и унищожени, когато вече не са необходими.

Когато данните се съхраняват по електронен път, те трябва да бъдат защитени от недостъп, случайно изтриване и злонамерени опити за хакерство:

  • Данните трябва да бъдат защитени със сигурни пароли, които се променят редовно и никога не се споделят между служителите;
  • Ако данните се съхраняват на сменяеми носители, те трябва да се държат заключени на сигурно място, когато не се използват;
  • Данните трябва да се съхраняват само на определени устройства и сървъри и трябва да се качват само на одобрени „облачни“ услуги („cloud services“).
  • Данните трябва да се архивират често. Тези резервни копия трябва да се тестват редовно в съответствие със стандартните процедури за архивиране на дружеството;
  • Данните никога не трябва да се съхраняват директно в лаптопи или на други мобилни устройства като таблети или смартфони;
  • Всички сървъри и компютри, съдържащи данни, трябва да бъдат защитени от одобрен софтуер и защитна стена.

Използване на данни и процеси

Палитри Интернешънъл, официален дистрибутор на Noble Manhattan Coaching, дружество, което извършва търговска дейност под името Noble Manhattan Europe-CE, трябва да гарантира, че лицата са наясно, че данните им се обработват и че те разбират:

  • как се използват данните;
  • как да упражняват правата си.

Личните данни не са от значение за Палитри Интернешънъл, освен във връзка с изпълнението на търговската дейност на дружеството. Въпреки това, в момента на отваряне на лични данни за достър за работа с тях, може да има най-голям риск от загуба, корупция или кражба:

  • Когато работят с лични данни, служителите трябва да гарантират, че екранът на техните компютри винаги е заключен, когато е оставен без надзор;
  • Личните данни не трябва да се споделят неофициално. По-специално, те никога не трябва да се изпращат по електронна поща, тъй като тази форма на комуникация не е сигурна;
  • Данните трябва да бъдат шифровани, преди да бъдат прехвърлени по електронен път. ИТ мениджърът може да обясни как се изпращат данни до оторизирани външни лица за контакт;
  • Личните данни никога не трябва да се прехвърлят извън Европейското икономическо пространство;
  • Служителите не трябва да съхраняват копия на лични данни на собствените си компютри; Винаги достъпвайте и актуализирайте централното копие на всички данни.

Видът и количеството на обработваните лични данни зависи от причината, поради която Палитри Интернешънъл ги обработва (използвана правна причина) и какво желае да направи с тях. Ние спазваме няколко ключови правила, включително:

  • Личните данни трябва да се обработват по законосъобразен и прозрачен начин, като се гарантира справедливост спрямо лицата, чиито лични данни обработваме („законност, справедливост и прозрачност“).
  • Трябва да имаме конкретни цели за обработка на данните и трябва да посочваме тези цели на лицата при събиране на техните лични данни. Ние не събираме лични данни за неопределени цели („ограничаване на целта“).
  • Ние събираме и обработваме само личните данни, които са необходими за постигане на конкретната цел („минимизиране на данните“).
  • Ние гарантираме, че личните данни са точни и актуални, като се вземат предвид целите, за които те се обработват, и коригираме същите, ако не са актуални („точност“).
  • Ние не използваме допълнително личните данни за други цели, които не са съвместими с първоначалната цел на събирането.
  • Ние гарантираме, че личните данни се съхраняват само за периода, необходим за постигане на целите, за които са събрани („ограничаване на съхранението“).
  • Ние сме взели подходящи технически и организационни мерки, които гарантират сигурността на личните данни, включително защита срещу неразрешена или незаконна обработка и срещу случайна загуба, унищожаване или повреда, като използваме подходяща технология („цялост и поверителност“).

Точност на данните

Законът изисква от Палитри Интернешънъл, да вземе разумни мерки, за да гарантира, че данните се поддържат точни и актуални.

Всички служители, които работят с данни, трябва да вземат разумни мерки, за да се гарантира, че те се поддържат възможно най-точни и актуални.

  • Данните се съхраняват на толкова малко на брой места, колкото е необходимо. Персоналът не трябва да създава ненужни допълнителни набори от данни.
  • Персоналът трябва да използва всяка възможност, за да гарантира актуализирането на данните. Например, като потвърждава данните на клиента по време на обаждане.
  • Палитри Интернешънъл, ще улесни субектите на данни да актуализират информацията, която дружеството притежава за тях. Например, чрез уеб сайта на дружеството.
  • Данните трябва да бъдат актуализирани, когато са открити неточности. Например, ако клиентът вече не може да бъде открит на предоставения от него телефонен номер, тази информация трябва да бъде премахната от базата данни.
  • Ръководителят на отдел „Маркетинг “ трябва да гарантира, че маркетинговите бази данни се сверяват на всеки 6 месеца със списъците на отписалите се, за да се подсигури, че отписаните остават отстранени

Искания на субекта за достъп

Право на достъп: Лицата имат право да поискат – и ще получат отговор от Палитри Интернешънъл.

Всички лица, чиито лични данни се притежават от Палитри Интернешънъл, имат право:

  • да попитат каква информация притежава за тях дружеството и защо;
  • да попитат как да получат достъп до нея;
  • да бъдат информирани как да я актуализират;
  • да бъдат информирани как дружеството изпълнява задълженията си за защита на данните.

Ако дадено лице се свърже с дружеството и изиска тази информация, това се нарича искане на субекта за достъп.

Исканията на субекта за достъп трябва да бъдат изпратени по електронна поща и адресирани до администратора на данни на palitri@europ-ce.net. Администраторът на данни може да предостави стандартен формуляр на искане, въпреки че лицата не са длъжни да го използват.

Лицата няма да бъдат таксувани за искания на субекта за достъп.  Администраторът на данните полага оптимални усилия да предостави съответните данни в срок от 14 дни.

Администраторът на данни проверява винаги самоличността на всеки, който е представил искане на субекта за достъп, преди да предаде каквато и да е информация.

Разкриване на данни по други причини

При определени обстоятелства Законът за защита на личните данни позволява личните данни да бъдат разкривани на правоприлагащите органи без съгласието на субекта на данните.

При подобни обстоятелства, Палитри Интернешънъл ще разкрие исканите данни.  Администраторът на данни обаче гарантира, че искането е легитимно, като  търси помощ от съвета и от юрисконсултите на дружеството, когато това е необходимо.

Съответствие с Общия регламент относно защитата на данните

Общият регламент относно защитата на данните предоставя на гражданите на ЕС повече права и защита на личните им данни. Те включват:

  • Право на информация: Палитри Интернешънъл трябва да предостави определена информация, като например уведомление за поверителност, и да наблегне на прозрачността по отношение на начина, по който дружествата използват лични данни.
  • Право на достъп: Лицата имат право да поискат – и да получат отговор – ако дадена организация обработва техните данни. Тази информация трябва да бъде предоставена до голяма степен безплатно в рамките на един месец от датата на искането.
  • Правото на коригиране: Ако данните на дадено лице са неправилни или непълни, то има право да коригира същите.
  • Право „да бъде забравен“: Лицето има право да изиска премахването на личните му данни при конкретни обстоятелства.
  • Право на ограничаване на обработването: При определени обстоятелства дадено лице може да блокира обработката на неговите лични данни.
  • Право на преносимост на данните: Лицето може да получи данните си за собствена употреба когато пожелае.
  • Право на възражение: Лицето може да възрази срещу използването на личните му данни за повечето цели.

За тази цел дружеството е изготвило декларация за поверителност, в която се посочва как се използват данните на лицата.  Тя е достъпна на уеб сайта на дружеството – ТУК.