Dataskyddspolicy

Sky-tours.com (juridiskt namn: Big Sky Group S.A.) behöver samla in och använda viss information om enskilda personer.

Dessa kan inkludera kunder, leverantörer, affärskontakter, anställda och andra personer som organisationen har en relation till eller behöver ha en relation till.

Denna policy beskriver hur personuppgifter måste samlas in, hanteras och lagras för att bemöta företagets dataskyddsstandarder — och överensstämma med lagen.

Varför denna policy existerar?

Denna dataskyddspolicy säkerställer att Sky-tours.com:

  • Efterlever dataskyddslagen och följer god praxis 
  • Skyddar alla rättigheter för sin personal, sina kunder och partnerföretag
  • Är öppen med hur man lagrar och bearbetar personuppgifter
  • Skyddar sig själva från risker med databrott

Dataskyddslag

The Data Protection Act från 1998 beskriver hur organisationer — inklusive Sky-tours.com— måste göra när man samlar in, hanterar och lagrar personuppgifter. 

Dessa regler tillämpas oberoende av om dessa data lagras elektroniskt, på papper eller på annat medium.

För att leva upp till lagen om skydd av personuppgifter, måste dessa data samlas in och användas på rätt sätt, lagras på ett säkert sätt och får inte yppas utan juridiskt tillstånd,

Denna lag, The Data Protection Act, består av åtta underliggande pelare eller viktiga principer som säger att personuppgifterna måste:

  1. Bearbetas på rätt sätt och enligt lagen
  2. Får endast samlas in för specifika, juridiska syften
  3. Måste vara adekvata, relevanta och inte innehålla mer än nödvändigt
  4. Måste samlas in omsorgsfullt och vara aktuella
  5. Inte behållas längre än vad som är nödvändigt
  6. Bearbetas enligt reglerna om datasubjekt
  7. Skyddas på tillämpligt sätt
  8. Inte överföras utanför European Economic Area (EEA), såvida inte länderna eller området också kan säkerställa en adekvat skyddsnivå

Policyns syfte

This policy applies to:

  • Huvudkontoret för Sky-tours.com
  • Alla dotterbolag inom Sky-tours.com
  • All personal och frivilligarbetare vid Sky-tours.com
  • Alla konsulter, leverantörer och andra personer som arbetar på uppdrag av Sky-tours.com

Detta gäller för alla dessa data som företaget innehar som är relaterad till identifierbara personer, även om denna information tekniskt sett faller utanför själva lagen, Data Protection Act 1998. Detta kan innefatta:

  • Namn på enskilda personer
  • Postadresser
  • E-postadresser
  • Telefonnummer
  • plus övrig information som kan relateras till enskilda personer.

Dataskyddsrisker

Denna policy hjälper oss att skydda Sky-tours.com från verkligt allvarliga säkerhetsrisker som:

  • Brott mot sekretessen. Till exempel att information delats på olämpligt sätt.
  • Misslyckande att kunna erbjuda valfrihet. Till exempel, ska alla enskilda personer vara fria att välja hur de vill att företaget använder data som kan relateras till just dem.
  • Ryktesskador. Till exempel kan företaget drabbas av hackningsförsök som lyckas med risk att få åtkomst till känsliga data.

Ansvar

Alla som arbetar vid Sky-tours.com har visst ansvar för att säkerställa att alla personuppgifter samlas in, lagras och hanteras på ett lämpligt sätt.

Alla team som hanterar personuppgifter måste säkerställa att hantering och bearbetning sker i linje med denna policy och gällande principer för dataskydd. 

Emellertid har nedanstående personer ett nyckelansvar:

  • Företagets styrelse är ytterst ansvariga för att säkerställa att Sky-tours.com lever upp till alla juridiska krav.
  • Företagets dataskyddschef, Elisabeth Quezada, är ansvarig för att:

          Hålla styrelsen uppdaterad om allt ansvar för dataskydd, risker och eventuella tillbud.

          Se över alla dataskyddsprocesser och därtill relaterad policy, i linje med överenskommen tidsplan.

          Arrangera övningar om dataskydd och ge råd om till dem som täcks av denna policy.

          Hantera dataskyddsfrågor från personalen och alla andra som täcks av denna policy.

         Ta tag vid förfrågningar från enskilda personer för att se till att de data som Sky-tours.com innehar om dem (även kallade ‘subjekt vid åtkomstförfrågningar’).

          Kontrollera och godkänna alla kontrakt eller överenskommelser med tredje part som kan komma att hantera företagets mer känsliga data.

  • IT manager, Raman Deep, är ansvarig för att:

          Säkerställa att alla system, tjänster och utrustning som har använts vid lagring av data lever upp till acceptabel säkerhetsstandard.

          Genomför regelbundna controller och skannar för att säkerställa att säkerheten vad det gäller hårdvaran och mjukvaran fungerar riktigt 

          Utvärdera alla tjänster från tredje part om företaget överväger att använda denne för att lagra eller bearbeta data. Till exempel olika s.k. molntjänster.

  • Marknadsföringschefen, Elisabeth Cardus, är ansvarig för att:

          Godkänna alla dataskyddsuttalanden som lämnas i samband med all kommunikation i form av e-post och brev.

          Tar hand om alla dataskyddsförfrågningar från journalister och media, som olika tidningar.

          Om så är nödvändigt, ska den personal som arbetar med marknadsföring kunna säkerställa att de hållit sig till alla påbud angående dataskyddsprinciperna vid alla sina reklamutskick.

Allmänna riktlinjer för personal

  • Endast de personer som behöver ha åtkomst till personuppgifterna som täcks av denna policy och som behöver använda dessa data i sitt arbete.
  • Data ska inte delas ut informellt. Vid åtkomst av konfidentiell information krävs att anställda blir tillfrågade av sina överordnade om att dela dessa data.
  • Sky-tours.com kommer att genomföra övningar för alla anställda som hjälper dem att förstå sitt ansvar när de hanterar dessa data.
  • Anställda ska säkra alla data på ett säkert sätt genom att vidta känsliga skydd och följa nedanstående riktlinjer.
  • I synnerhet måste svårgissade lösenord användas och dessa får man aldrig dela ut till någon annan kollega.
  • Personuppgifter ska inte yppas till icke-auktoriserade personer vare sig inom eller utom företaget.
  • Dessa data ska regelbundet ses över och uppdateras om man finner att de är inaktuella och inte längre behövs, ska de raderas och slängas bort.
  • Anställda ska be om hjälp från sin arbetsledare eller dataskyddschefen om de är osäkra om hur de ska göra i något avseende vad det gäller dataskyddet. 

Datalagring

Dessa regler beskriver hur och var data ska lagras på säkert sätt. Frågor om säker lagring av data kan skickas till IT chefen eller datakontrollörerna.

Om dessa data skulle lagras på papper, måste dessa dokument förvaras på en säker plats som icke-auktoriserade personer inte har någon åtkomst till.

Dessa riktlinjer tillämpas i första hand på sådana data som lagras elektroniskt men har skrivits ut av någon anledning:

  • Om dokumentet ifråga inte behövs, ska papper eller akter förvaras i ett låst skåp eller låda, gärna ett arkivskåp.
  • Anställda ska säkerställa att papper och utskriver inte lämnas kvar där icke-auktoriserade personer kan komma åt att läsa dem, till exempel i skrivaren.
  • Datautskrifter ska strimlas och omhändertas på säkert sätt när de inte längre behövs.

Om dessa data sparas elektroniskt, måste de skyddas från otillåten åtkomst, oavsiktlig radering och illasinnade hackares försök att komma åt informationen:

  • Dessa data ska skyddas av svårgissade lösenord och ska ändras regelbundet, anställda får inte ha gemensamma lösenord eller tala om dessa för varandra.
  • Om dessa data sparas på flyttbara media (som CD eller DVD), ska dessa förvaras inlåsta på säkert sätt när de inte måste användas.
  • Dessa data får endast sparas på avsedda hårddiskar och servrar och får inte laddas upp till något godkänt molntjänstföretag.
  • Servrar som innehåller personuppgifter måste vara placerade på en säker plats, avskilt från vanliga kontorsytor.
  • Dessa data måste man ta back-up på frekvent. Dessa back-up-filer ska kontrolleras regelbundet enligt företagets standard för back-up-processer.
  • Dessa data får aldrig sparas ner direkt till laptoppar eller annan mobil enhet så som läsplattor eller smartphones.
  • Alla servrar och datorer som innehåller personuppgifter måste skyddas av godkända säkerhetsprogram och en brandvägg.

Dataanvändning

Personuppgifter är inte av något värde för Sky-tours.com såvida man inte kan göra affärer med dessa data. Emellertid vid åtkomst av personuppgifter kan dessa lätt förloras, korrumperas eller stjälas:

  • När man hanterar personuppgifter, ska de anställda säkerställa att skärmarna är låsta så snart de lämnar sin arbetsplats obevakad.
  • Personuppgifter ska inte delas informellt. I synnerhet ska dessa data aldrig sändas via e-post eftersom denna form av kommunikation inte är säker.
  • Dessa data måste krypteras innan de överförs elektroniskt. IT-chefen kan förklara hur du ska sända dess data till auktoriserade externa kontakter.
  • Personuppgifter ska aldrig överföras utanför European Economic Area.
  • Anställda ska inte ha kopior av personuppgifter sparade på sina egna datorer. All åtkomst och uppdatering ska ske central utan andra kopior av personuppgifter.

Datakorrekthet

Lagen kräver av Sky-tours.com att ta sitt ansvar för att vidta lämpliga steg och mått så att all data bibehålls korrekt och uppdaterad.

Ju viktigare det är att personuppgifterna är korrekta, desto mer måste Sky-tours.com anstränga sig för att säkerställa att dessa är korrekta.

All personal är ansvarig för att arbeta med denna typ av data att vidta lämpliga steg och mått för att säkerställa att dessa data bibehålls korrekta och uppdaterade i möjligaste mån.

  • Dessa data kommer att innehas av så få personer som möjligt. Personalen ska inte skapa ytterligare datauppsättningar.
  • Personalen ska ta varje tillfälle I akt att säkerställa att all data är uppdaterad, genom att kontrollera varje kunds personuppgifter när de ringer oss.
  • Sky-tours.com kommer att underlätta för att enkelt uppdatera den information kunden gett Sky-tours.com vid behov. Till exempel via företagshemsidan.
  • Dessa data ska kunna uppdateras när felaktigheter upptäcks. Till exempel om en kund inte längre kan nås på angivet telefonnummer, ska detta tas bort från databasen.
  • Det är marknadsföringsansvarigs ansvar att säkerställa att marknadsförings-databaserna kontrolleras mot företagets sparade kundfiler var sjätte månad.

Förfrågningar från enskilda personer

Alla enskilda personer som är föremål för inhämtade personuppgifter hos Sky-tours.com har rätt att:

  • Efterfråga vilken information som företaget innehar om denne och varför.
  • Efterfråga hur denne kan få åtkomst till denna personliga information.
  • Bli informerade om hur man uppdaterar dessa data. 
  • Bli informerade om hur företaget bemöter kraven på dataskydd.

Om en enskild person kontaktar företaget med denna information, kallas detta en förfrågan från enskild om åtkomst. 

Enskilds förfrågan om åtkomst ska göras per e-post, adresserad till datakontrollanten vid eliq@sky-tours.com. Datakontrollanten kan tillhandahålla kunden ett frågeformulär, fastän den enskilde måste inte tvunget använda sig av denna.

Från enskilda personer tas det ut en avgift om 10 EUR per person som önskar begära åtkomst till dataregistret. Datakontrollanten ska ha för avsikt att tillhandahålla alla relevanta data inom 14 dagar.

Datakontrollanten kommer alltid att verfiera identiteten för den som önskar få åtkomst till sina personuppgifter innan man överräcker den begärda informationen.

Yppande av data av andra skäl

Under vissa omständigheter tillåter Data Protection Act att personuppgifter får yppas för myndighetsutövande utan medgivande av vederbörande enskild person.

Under dessa omständigheter kommer Sky-tours.com att yppa efterfrågade personuppgifter, emellertid får datakontrollanten säkerställa att förfrågan är juridisk riktig och be om assistans av styrelsen och företagets juridiska rådgivare vid behov.

Tillhandahålla information

Sky-tours.com syftar till att säkerställa att alla enskilda personer är medvetna om att deras personuppgifter bearbetas och att de förstår:

  • Hur deras personuppgifter används
  • Hur de kan utöva sina rättigheter 

För detta ändamål har företaget en policy som talar om hur personuppgifter används av företaget.