Andmekaitse põhimõtted

Sky-tours.com (ärinimi: Big Sky Group S.A.) peab koguma ja kasutama teatud teavet üksikisikute kohta.

Nendeks võivad olla kliendid, tarnijad, ärikontaktid, töötajad ja teised inimesed, kellega organisatsioonil on seos või võib tekkida vajadus nendega ühendust võtta.

Käesolevad põhimõtted kirjeldavad, kuidas neid isikuandmeid ettevõtte andmekaitse standardite täitmiseks tuleb koguda, käidelda ja salvestada ning seadust järgida.

Miks need põhimõtted on olemas?

Käesolevad andmekaitse põhimõtted tagavad, et Sky-tours.com:

  • täidab andmekaitseseadust ja järgib häid tavasid 
  • kaitseb töötajate, klientide ja partnerite õigusi
  • on avatud selle kohta, kuidas üksikisikute andmeid talletatakse ja töödeldakse
  • kaitseb end andmetega seotud rikkumiste ohu eest.

Andmekaitseseadus

1998. aasta andmekaitseseaduses kirjeldatakse, kuidas organisatsioonid, sealhulgas Sky-tours.com, peavad koguma, käitlema ja säilitama isikuandmeid. 

Neid eeskirju kohaldatakse sõltumata sellest, kas andmeid säilitatakse elektrooniliselt, paberil või muudel materjalidel.

Seaduse järgimiseks tuleb isikuandmeid koguda ja kasutada õiglaselt, säilitada turvaliselt ja mitte õigusvastaselt avaldada.

Andmekaitse seadust toetavad kaheksa olulist põhimõtet. Need ütlevad, et isikuandmeid tuleb:

  1.  töödelda õiglaselt ja seaduslikult
  2. hankida ainult konkreetsetel, seaduslikel eesmärkidel
  3. andmed peavad olema piisavad, asjakohased ning ei tohi ületada piire
  4. andmed on õiged ja ajakohased
  5. andmeid ei säilitata kauem kui vaja
  6. töötlemisel lähtutakse andmesubjektide õigustest
  7. andmed on sobival viisil kaitstud
  8. andmeid ei tohi üle kanda väljaspool Euroopa Majanduspiirkonda, välja arvatud juhul, kui see riik või territoorium tagab ka piisava kaitse.

Põhimõtete kohaldamisala

Käesolevad põhimõtted kehtivad:

  • Sky-tours.com-i peakontorile
  • Sky-tours.com-i kõigile harudele
  • Sky-tours.com-i kõigile töötajatele ja vabatahtlikele
  • kõigile töövõtjatele, tarnijatele ja teistele, kes töötavad Sky-tours.com-i nimel

Need kehtivad kõigi andmete kohta, mida ettevõte omab seoses tuvastatavate üksikisikutega, isegi kui see teave ei kuulu tehniliselt 1998. aasta andmekaitseseaduse reguleerimisalasse. See hõlmab järgmist:

  • isikute nimed
  • postiaadressid
  • e-posti aadressid
  • telefoninumbrid
  • kõik muud üksikisikutega seotud andmed.

Andmekaitse riskid

Need põhimõtted aitavad kaitsta Sky-tours.com-i mõnede väga reaalsete andmete turvalisusriskide eest, sealhulgas:

  • konfidentsiaalsuse rikkumine. Näiteks antakse teavet ebaõigesti välja;
  • valiku mittepakkumine. Näiteks peaksid kõik inimesed saama vabalt valida, kuidas ettevõte kasutab nendega seotud andmeid;
  • mainekahju. Näiteks võib ettevõte kannatada, kui häkkerid pääsevad edukalt juurde tundlikele andmetele.

Vastutus

Igaüks, kes töötab Sky-tours.com-iga või selle juures, vastutab teatud andmete kogumise, säilitamise ja käsitsemise eest.

Iga isik, kes tegeleb isikuandmetega, peab tagama, et neid käideldakse ja töödeldakse kooskõlas käesolevate põhimõtetega ja andmekaitse põhimõtetega. 

Neil inimestel on siiski peamised vastutusvaldkonnad:

  • juhatus vastutab lõppkokkuvõttes selle eest, et Sky-tours.com täidaks oma juriidilisi kohustusi.
  • Andmekaitseametnik Elisabeth Quezada vastutab järgmise eest:

          juhatuse kursis hoidmine andmekaitsealaste kohustuste, riskide ja probleemide kohta;

          kõikide andmekaitsemenetluste ja nendega seotud põhimõtete läbivaatamine kooskõlas kokkulepitud ajakavaga;

          andmekaitsealase koolituse ja nõustamise korraldamine käesolevate põhimõtetega hõlmatud inimestele;

          töötajatelt ja teistelt, keda need põhimõtted hõlmavad, saadud andmekaitset puudutavate küsimuste käsitlemine;

          üksikisikute taotluste käsitlemine, kes soovivad näha Sky-tours.com-i valduses olevaid nende kohta käivaid andmeid (nimetatakse ka „andmesubjekti juurdepääsu taotlusteks”);

          kolmandate isikutega sõlmitud lepingute või kokkulepete, mis võivad ettevõtte tundlikke andmeid käsitleda, kontrollimine ja heakskiitmine.

  • IT-juht Raman Deep, vastutab järgmise eest:

          kõigi andmete salvestamiseks kasutatavate süsteemide, teenuste ja seadmete nõuetekohastele turvastandarditele vastavuse tagamine;

          regulaarsete kontrollide ja skannide teostamine, et tagada turvariist- ja tarkvara toimib nõuetekohaselt;

          kolmandate isikute teenuste hindamine, mille kasutamist andmete salvestamiseks või töötlemiseks ettevõte kaalub. Näiteks pilvandmetöötluse teenused.

  • Turundusjuht Elisabeth Cardús vastutab järgmise eest:

          teabevahetusele, näiteks e-kirjadele ja kirjadele, lisatud andmekaitset käsitlevate avalduste kinnitamine;

          ajakirjanikelt või meediaväljaannetelt (näiteks ajalehtedelt) saadud isikuandmeid käsitlevatele päringutele vastamine;

          vajaduse korral koostöö tegemineteiste töötajatega, et tagada turundusalgatuste järgimine andmekaitse põhimõtete kohaselt.

Üldised suunised personalile

  • Ainsad inimesed, kellel on juurdepääs käesolevate põhimõtetega hõlmatud andmetele, peaksid olema need, kes seda vajavad oma töö jaoks.
  • Andmeid ei tohiks mitteametlikult jagada. Kui juurdepääs konfidentsiaalsele teabele on vajalik, võivad töötajad seda taotleda oma valdkonnajuhtidelt.
  • Sky-tours.com pakub kõigile töötajatele koolitust, et aidata neil mõista oma vastutust andmete töötlemisel.
  • Töötajad peaksid hoidma kõiki andmeid turvaliselt, kasutades mõistlikke ettevaatusabinõusid ja järgides allpool toodud juhiseid.
  • Eelkõige tuleb kasutada tugevaid paroole ja neid ei tohiks kunagi jagada.
  • Isikuandmeid ei tohiks avaldada volitamata isikutele nii ettevõttes kui ka väljaspool seda.
  • Andmeid tuleks korrapäraselt üle vaadata ja ajakohastada, kui need on aegunud. Kui andmeid enam ei vajata, tuleb need kustutada ja kõrvaldada.
  • Töötajad peaksid küsima abi oma valdkonnajuhilt või andmekaitseametnikult, kui nad ei ole kindlad mõne andmekaitse aspekti osas.

Andmete salvestamine

Need reeglid kirjeldavad, kuidas ja kus andmeid tuleks turvaliselt säilitada. Küsimused andmete turvaliseks talletamiseks võib suunata IT-juhile või vastutavale töötlejale.

Kui andmeid säilitatakse paberil, tuleb neid hoida turvalises kohas, kus volitamata isikud neid ei näe.

Need juhised kehtivad ka andmete kohta, mida tavaliselt elektrooniliselt salvestatakse, kuid mis on mingil põhjusel välja trükitud:

  • kui neid vaja ei ole, tuleb pabereid või faile hoida lukustatud sahtlis või arhivaalis.
  • Töötajad peaksid veenduma, et paberid ja väljatrükid ei jääks sinna, kus volitamata inimesed neid näeksid, näiteks printerisse.
  • Andmete väljatrükid tuleks ribastada ja hävitada, kui neid enam ei vajata.

Kui andmeid salvestatakse elektrooniliselt, peavad need olema kaitstud volitamata juurdepääsu, juhusliku kustutamise ja pahatahtlike häkkimise katsete eest:

  • andmeid peaks kaitsma tugevad paroolid, mida regulaarselt muudetakse ja mida töötajad kunagi kellelegi ei jaga.
  • Kui andmed on salvestatud teisaldatavale andmekandjale (näiteks CD-le või DVD-le), tuleb need turvaliselt lukustada, kui neid ei kasutata.
  • Andmeid tuleks salvestada ainult ettenähtud draividel ja serveritel ning need tuleks üles laadida ainult heakskiidetud pilvandmetöötlusteenustesse.
  • Isikuandmeid sisaldavad serverid tuleks paigutada kindlasse asukohta, eemal üldisest bürooruumist.
  • Andmeid tuleks sageli varundada. Neid varukoopiaid tuleb regulaarselt testida kooskõlas ettevõtte standardsete varundusmenetlustega.
  • Andmeid ei tohiks kunagi salvestada otse sülearvutisse või muudesse mobiilseadmetesse, nagu tahvelarvutid või nutitelefonid.
  • Kõiki andmeid sisaldavaid servereid ja arvuteid peaks kaitsma heakskiidetud turvatarkvara ja tulemüür.

Andmete kasutamine

Isikuandmed ei ole Sky-tours.com-i jaoks väärtuslikud, kui ettevõte ei saa neid kasutada. Isikuandmetele ligipääsemisel ja nende kasutamisel tekib suurim kadumise, väärtarvitamise või varguse oht.

  • Isikuandmetega töötades peaksid töötajad tagama, et nende arvutite ekraanid oleksid alati järelevalveta jäämisel lukustatud.
  • Andmeid ei tohiks mitteametlikult jagada. Eelkõige ei tohiks neid kunagi e-posti teel saata, kuna selline suhtlusvorm ei ole turvaline.
  • Enne elektroonilist edastamist peavad andmed olema krüpteeritud. IT-haldur saab selgitada, kuidas andmeid volitatud välistele kontaktidele saata.
  • Isikuandmeid ei tohiks kunagi edastada väljaspool Euroopa Majanduspiirkonda.
  • Töötajad ei tohiks isikuandmete koopiaid oma arvutisse salvestada. Mis tahes andmete kesksele koopiale peab alati juurde pääsema ja seda tuleb uuendada.

Andmete täpsus

Seadus nõuab, et Sky-tours.com võtaks mõistlikke meetmeid, et tagada andmete täpsus ja ajakohasus.

Mida olulisem on see, et isikuandmed on täpsed, seda suuremad peaksid olema Sky-tours.com-i jõupingutused.

Kõigi andmetega töötavate töötajate ülesanne on võtta mõistlikke samme, et tagada andmete võimalikult täpne ja ajakohane säilitamine. 

  • Andmeid hoitakse nii vähestes kohtades kui vaja. Töötajad ei tohiks luua tarbetuid täiendavaid andmekogumeid.
  • Töötajad peaksid kasutama kõiki võimalusi, et tagada andmete ajakohastamine. Näiteks kinnitades kliendi andmeid, kui ta ettevõttesse helistab.
  • Sky-tours.com võimaldab andmesubjektidel lihtsustada Sky-tours.com-il nende kohta käiva teabe värskendamist. Näiteks ettevõtte veebisaidi kaudu.
  • Andmeid tuleks ebatäpsuste avastamisel värskendada. Näiteks kui klienti ei saa enam salvestatud telefoninumbril kätte, tuleb see andmebaasist eemaldada.
  • Turundusjuht on kohustatud tagama, et turunduse andmebaase kontrollitakse iga kuue kuu tagant tööstusharu survestamise failide vastu.

Andmesubjekti juurdepääsu taotlused

Kõigil isikutel, kes on Sky-tours.com-i valduses olevate isikuandmete subjektid, on õigus:

  • küsida, millist teavet ettevõte omab ja miks;
  • küsida, kuidas sellele juurde pääseda;
  • saada teavet, kuidas seda ajakohastada; 
  • saada teavet selle kohta, kuidas ettevõte oma andmekaitsekohustusi täidab.

Kui üksikisik võtab ühendust teavet taotleva ettevõttega, nimetatakse seda teema juurdepääsu taotluseks. 

Üksikisikute juurdepääsutaotlused tuleks saata e-posti teel, mis on adresseeritud vastutavale töötlejale aadressil eliq@sky-tours.com. Vastutav töötleja võib esitada standardvormi, kuigi üksikisikud ei pea seda kasutama.