Politika e mbrojtjes së të dhënave

Sky-tours.com (Emri ligjor: Big Sky Group S.A.) duhet të mbledhë dhe të përdorë informacione të caktuara rreth individëve.

Këto mund të përfshijnë klientët, furnizuesit, kontaktet e biznesit, punonjësit dhe njerëzit e tjerë që organizata ka një marrëdhënie me ose mund të ketë nevojë që të kontaktojë.

Kjo politikë përshkruan se si këto të dhëna personale duhet të mblidhen, trajtohen dhe ruhen për të përmbushur standardet e mbrojtjes së të dhënave të kompanisë - dhe për të qenë në përputhje me ligjin.

Pse ekziston kjo politikë?

Kjo politikë e mbrojtjes së të dhënave siguron Sky-tours.com:

  • Përputhet me ligjin për mbrojtjen e të dhënave dhe ndjek praktikat e mira
  • Mbron të drejtat e stafit, konsumatorëve dhe partnerëve
  • Është i hapur për mënyrën sesi ruan dhe përpunon të dhënat e individëve
  • Mbron veten nga rreziqet e shkeljes së të dhënave.

Ligji i mbrojtjes së të dhënave

Akti i Mbrojtjes së të Dhënave 1998 përshkruan sesi organizatat — duke përfshirë Sky-tours.com— duhet të mbledhë, trajtoj dhe ruaj informacione personale. 

Këto rregulla zbatohen pavarësisht nëse të dhënat ruhen në mënyrë elektronike, në letër ose në materiale të tjera.

Për të qenë në përputhje me ligjin, të dhënat personale duhet të mblidhen dhe të përdoren në mënyrë të drejtë, të ruhen në mënyrë të sigurt dhe të mos zbulohen në mënyrë të paligjshme.

Akti për Mbrojtjen e të Dhënave mbështetet nga tetë parime të rëndësishme. Këto thonë se të dhënat personale duhet:

  1.  Të jenë të përpunuara në mënyrë të drejtë dhe të ligjshme
  2. Të merret vetëm për qëllime specifike dhe të ligjshme
  3. Të jetë e përshtatshme, e rëndësishme dhe jo e tepërt
  4. Të jetë e saktë dhe e përditësuar
  5. Nuk duhet të mbahet për më shumë sesa është e nevojshme
  6. Përpunohet në përputhje me të drejtat e subjekteve të të dhënave
  7. Të mbrohet në mënyra të përshtatshme
  8. Nuk duhet të transferohet jashtë Zonës Ekonomike Evropiane (EEA), përveç nëse ai vend ose territori gjithashtu siguron një nivel të përshtatshëm mbrojtjeje.

Qëllimi i politikës

Kjo politikë aplikohet për:

  • Zyrën qëndrore të Sky-tours.com
  • Të gjitha degët e Sky-tours.com
  • Të gjithë stafin dhe vullnetarët e Sky-tours.com
  • Të gjithë kontraktorët, furnizuesit dhe njerëzit e tjerë që punojnë në emër të Sky-tours.com

Ai zbatohet për të gjitha të dhënat që mban kompania lidhur me individët e identifikueshëm, edhe nëse ky informacion teknikisht bie jashtë Ligjit për Mbrojtjen e të Dhënave 1998. Kjo mund të përfshijë:

  • Emrat e individëve
  • Adresat Postare
  • Adresat e Email
  • Numrat e Telefonit
  • plus çdo information tjetër që lidhet me individët.

Rreziqet e mbrojtjes së të dhënave

Kjo politikë ndihmon për të mbrojtur Sky-tours.com nga disa rreziqe të sigurisë reale të të dhënave, duke përfshirë:

  • Shkeljes së Konfidencialitetit. Për shembull, informacioni që jepet në mënyrë të papërshtatshme.
  • Dështimi për të ofruar zgjedhje. Për shembull, të gjithë individët duhet të jenë të lirë të zgjedhin se si kompania përdor të dhëna që kanë të bëjnë me to.
  • Dëmtimi i reputacionit. Për shembull, kompania mund të vuajë nëse hakerat arritën me sukses të kenë qasje në të dhëna të ndjeshme.

Përgjegjësitë

Gjithkush që punon për ose me Sky-tours.com ka disa përgjegjësi për të siguruar që të dhënat të mblidhen, ruhen dhe trajtohen në mënyrë të përshtatshme.

Çdo ekip që merret me të dhënat personale duhet të sigurojë që ajo të trajtohet dhe të përpunohet në përputhje me këtë politikë dhe parimet e mbrojtjes së të dhënave. 

Megjithatë, këta njerëz kanë fusha kyçe të përgjegjësisë:

  • Bordi i drejtorëve është përfundimisht përgjegjës për të siguruar që Sky-tours.com përmbush detyrimet e tij ligjore.
  • Zyrtari për mbrojtjen e të dhënave, Elisabeth Quezada, është përgjegjës për:

         Mbajtja e bordit të përditësuar në lidhje me përgjegjësitë, rreziqet dhe çështjet e mbrojtjes së të dhënave.

          Rishikimi i të gjitha procedurave të mbrojtjes së të dhënave dhe politikave përkatëse, në përputhje me një orar të rënë dakord.

          Rregullimi i trajnimeve për mbrojtjen e të dhënave dhe këshillave për njerëzit që mbulohen nga kjo politikë.

          Trajtimi i pyetjeve të mbrojtjes së të dhënave nga stafi dhe kushdo tjetër që mbulohet nga kjo politikë.

          Ballafaqimi me kërkesat e individëve për të parë të dhënat që Sky-tours.com mban për to (i quajtur gjithashtu edhe 'kërkesat për qasje në subjekt')

          Kontrollimi dhe miratimi i çdo kontrate ose marrëveshje me palët e treta që mund të trajtojë të dhënat e ndjeshme të kompanisë.

  • Manaxheri i IT, Raman Deep, është përgjegjës për:

          Për sigurimin e të gjitha sistemeve, shërbimeve dhe pajisjeve të përdorura për ruajtjen e të dhënave që plotësojnë standardet e pranueshme të sigurisë.

          Kryerjen e kontrolleve dhe skanimeve të rregullta për të siguruar që hardware dhe programimi i sigurisë funksionon siç duhet.

         Vlerësimi i shërbimeve të palëve të treta që kompania po shqyrton duke përdorur për të ruajtur ose përpunuar të dhënat. Për shembull, shërbimet kompjuterike cloud

  • Manaxheri i Marketingut, Elisabeth Cardús, është përgjegjës për:

          Miratimi i çdo deklarate për mbrojtjen e të dhënave bashkangjitur komunikimeve të tilla si email dhe letra.

          Adresimi i çdo kërkese për mbrojtjen e të dhënave nga gazetarët ose mediat si gazetat.

          Aty ku është e nevojshme, duke punuar me stafin tjetër për të siguruar që iniciativat e marketingut të respektojnë parimet e mbrojtjes së të dhënave.

Udhëzime e përgjithshme të stafit

  • Të vetmit njerëz të aftë për të hyrë në të dhënat e mbuluara nga kjo politikë duhet të jenë ata që kanë nevojë për punën e tyre.
  • Të dhënat nuk duhet të ndahen joformalisht. Kur kërkohet qasje në informata konfidenciale, punonjësit mund ta kërkojnë atë nga drejtuesit e tyre të linjës.
  • Sky-tours.com do të ofrojë trajnime për të gjithë punonjësit për t'i ndihmuar ata të kuptojnë përgjegjësitë e tyre gjatë trajtimit të të dhënave. 
  • Punonjësit duhet të mbajnë të gjitha të dhënat e sigurta, duke marrë masa paraprake të arsyeshme dhe duke ndjekur udhëzimet e mëposhtme.
  • Në veçanti, duhet të përdoren fjalëkalime të forta dhe ato kurrë nuk duhet të ndahen. 
  • Të dhënat personale nuk duhet të zbulohen tek njerëzit e paautorizuar, brënda kompanisë ose jashtë.
  • Të dhënat duhen të rishikohen dhe përditësohen rregullisht nëse zbulohen se janë vjetëruar. Nëse nuk kërkohen më, duhet të fshihen dhe të hiqen.
  • Punonjësit duhet të kërkojnë ndihmë nga drejtuesit e tyre të linjës ose zyrtari për mbrojtjen e të dhënave nëse nuk janë të sigurt për ndonjë aspekt të mbrojtjes së të dhënave.

Ruajtja e të dhënave

Këto rregulla përshkruajnë se si dhe ku të dhënat duhet të ruhen në mënyrë të sigurtë. Pyetjet rreth ruajtjes së të dhënave në mënyrë të sigurt mund t'i drejtohen menaxhuesit të IT-së ose kontrolluesit të të dhënave.

Kur të dhënat ruhen në letër, ato duhet të mbahen në një vend të sigurt ku njerëzit e paautorizuar nuk mund ta shohin atë.

Këto udhëzime gjithashtu zbatohen për të dhënat që zakonisht ruhen në mënyrë elektronike, por janë shtypur për ndonjë arsye:

  • Kur nuk kërkohet, letra ose skedarët duhet të mbahen në një sirtar të mbyllur ose në kabinet arkivimi.
  • Punonjësit duhet të sigurohen që letrat dhe printimet të mos mbeten aty ku njerëzit e paautorizuar mund t'i shohin, si mbi një printer.
  • Printimet e të dhënave duhet të shndërrohen dhe të hidhen në mënyrë të sigurt kur nuk kërkohen më.

Kur të dhënat ruhen në mënyrë elektronike, ato duhet të mbrohen nga aksesi i paautorizuar, fshirja aksidentale dhe përpjekjet e dëmtimit me qëllim të keq:

  • Të dhënat duhet të mbrohen nga fjalëkalime të forta që ndryshohen rregullisht dhe nuk ndahen kurrë midis punonjësve.
  • Nëse të dhënat ruhen në media të lëvizshme (si CD ose DVD), këto duhet të mbahen të mbyllura mirë kur nuk përdoren.
  • Të dhënat duhet të ruhen vetëm në disqet dhe serverët e caktuar dhe duhet të ngarkohen vetëm në një shërbim të miratuar cloud.
  • Serverat që përmbajnë të dhëna personale duhet të vendosen në një vend të sigurt, larg hapësirës së përgjithshme të zyrës.
  • Të dhënat duhet të ruhen shpesh. Këto kopje rezervë duhet të testohen rregullisht, në përputhje me proçedurat standarde të rezervimit të kompanisë.
  • Të dhënat nuk duhet të ruhen drejtpërdrejtë në laptopë ose në pajisje të tjera të lëvizshme, si tabletat apo telefonat.
  • Të gjithë serverat dhe kompjuterët që përmbajnë të dhëna duhet të mbrohen nga programi i miratuar i sigurisë dhe firewall.

Përdorimi i të dhënave

Të dhënat personale nuk kanë vlerë për Sky-tours.com përveç nëse biznesi mund ta përdorë atë. Sidoqoftë, është qasja dhe përdorimi i të dhënave personale që mund të jetë në rrezik më të madh të humbjes, korrupsionit ose vjedhjes:

  • Kur punoni me të dhëna personale, punonjësit duhet të sigurojnë që ekranet e kompjuterëve të tyre të jenë gjithmonë të mbyllura kur mbeten të pambikqyrur
  • Të dhënat personale nuk duhet të ndahen joformalisht. Në veçanti, ato kurrë nuk duhet të dërgohen me email, pasi kjo formë e komunikimit nuk është e sigurtë.
  • Të dhënat duhet të jenë të koduara para se të transferohen në mënyrë elektronike. Manaxheri i IT-së mund të shpjegojë se si të dërgoni të dhëna në kontaktet e jashtme të autorizuara.
  • Të dhënat personale kurrë nuk duhet të transferohen jashtë Zonës Ekonomike Evropiane.
  • Punonjësit nuk duhet të ruajnë kopjet e të dhënave personale në kompjuterët e tyre. Gjithmonë qasni dhe përditësoni kopjen qëndrore të të dhënave.

Data accuracy

Ligji kërkon që Sky-tours.com të ndërmarrë hapa të arsyeshëm për të siguruar që të dhënat të mbahen të sakta dhe të azhornuara.

Më e rëndësishme është që të dhënat personale të jenë të sakta, dhe aq më e madhe është edhe përpjekja që Sky-tours.com duhet të bëjë për të siguruar saktësinë e saj.

Është përgjegjësi e të gjithë punonjësve që punojnë me të dhëna për të ndërmarrë hapa të arsyeshëm për të siguruar që ato të mbahen sa më të sakta dhe të azhornuara.

  • Të dhënat do të mbahen në po aq vende sa të jetë e nevojshme. Stafi nuk duhet të krijojë asnjë grup shtesë të të dhënave të panevojshme.
  • Stafi duhet të marrë çdo mundësi për të siguruar që të dhënat të përditësohen. Për shembull, duke konfirmuar detajet e një klienti kur telefonon.
  • Sky-tours.com do ta lehtësojë subjektin e të dhënave për të rinovuar informacionin që Sky-TOURS.com mban për to. Për shembull, nëpërmjet faqes së internetit të kompanisë.
  • Të dhënat duhet të përditësohen pasi janë zbuluar pasaktësi. Për shembull, nëse një klient nuk mund të arrihet më numrin e telefonit të tyre të depozituar, ajo duhet të hiqet nga baza e të dhënave.
  • Është përgjegjësia e menaxherit të marketingut për të siguruar që baza e të dhënave të marketingut të kontrollohen me skedarët e industrisë çdo gjashtë muaj.

Kërkesat e aksesit të subjektit

Të gjithë individët që janë subjekt i të dhënave personale të mbajtura nga Sky-tours.com kanë të drejtë të:

  • Pyesin çfarë informacioni mban kompania rreth tyre dhe pse.
  • Pyesin se si të fitojnë qasje në të.
  • Informohen sesi ta mbajnë atë të përditësuar. 
  • Informohen sesi kompania po përmbush detyrimet e saj për mbrojtjen e të dhënave.

Nëse një individ kontakton kompaninë që kërkon këtë informacion, kjo quhet një kërkesë për qasje në subjekt.

Kërkesat për aksesin e subjektit nga individët duhet të bëhen me email, drejtuar kontrollorit të të dhënave në eliq@sky-tours.com. Kontrolluesi i të dhënave mund të sigurojë një formë standarde të kërkesës, edhe pse individët nuk duhet ta përdorin këtë.

Individët do të paguajnë 10 euro për kërkesë për qasje në subjekt. Kontrolluesi i të dhënave do të synojë të sigurojë të dhënat përkatëse brënda 14 ditëve.

Kontrolluesi i të dhënave gjithmonë do të verifikojë identitetin e kujtdo që bën një kërkesë për qasje në subjekt para se të dorëzojë ndonjë informacion.

Shpalosja e të dhënave për arsye të tjera

Në rrethana të caktuara, Akti i Mbrojtjes së të Dhënave lejon që të dhënat personale t'u zbulohen agjencive të zbatimit të ligjit pa pëlqimin e subjektit të të dhënave.

Nën këto rrethana, Sky-tours.com do të zbulojë të dhënat e kërkuara. Megjithatë, kontrolluesi i të dhënave do të sigurojë që kërkesa është e ligjshme, duke kërkuar ndihmë nga bordi dhe nga këshilltarët ligjorë të kompanisë kur është e nevojshme.

Sigurimi i informacionit

Sky-tours.com synon të sigurojë që individët janë të vetëdijshëm se të dhënat e tyre po përpunohen dhe se ato kuptojnë:

  • Sesi po përdoren të dhënat
  • Sesi të ushtrojnë të drejtat e tyre

TPër këto qëllime, kompania ka një deklaratë të privatësisë, duke përcaktuar se si përdoren të dhënat në lidhje me individët nga kompania.