Datenschutzrichtlinie
Yours Clothing Limited muss bestimmte Informationen über Personen sammeln und verwenden. Dazu gehören personenbezogene Daten und Informationen von Kunden, Lieferanten, Geschäftskontakten, Mitarbeitern und anderen Personen, mit denen das Unternehmen in Beziehung steht und mit denen es Kontakt aufnehmen muss.
Die vorliegende Datenschutzrichtlinie legt fest, wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden müssen, damit die gesetzlichen Bestimmungen und Standards im Hinblick auf den Datenschutz erfüllt sind.
Gründe für diese Richtlinie
Diese Datenschutzrichtlinie stellt sicher, dass Yours Clothing Limited:
die Bestimmungen der Datenschutzgesetzgebung erfüllt und bewährte Verfahrensweisen befolgt.
die Rechte von Mitarbeitern, Kunden und Geschäftspartnern schützt.
die Art und Weise, wie das Unternehmen Daten von Einzelpersonen speichert und verarbeitet, offen darlegt.
sich vor den Risiken einer Datenschutzverletzung schützt.
Datenschutzgesetz
In Großbritannien schreibt der Data Protection Act 2018 (DPA 2018) vor, wie Unternehmen (einschließlich Yours Clothing Limited) bei der Erfassung, Verarbeitung und Speicherung personenbezogener Daten vorgehen müssen.
Diese Regeln gelten unabhängig davon, ob die Daten elektronisch, auf Papier oder auf anderen Medien gespeichert werden.
Personen, Risiken und Zuständigkeit
Geltungsbereich der Richtlinie
Diese Richtlinie gilt für die Firmenzentrale, alle Ladenfilialen, alle Mitarbeiter und Freiwilligen sowie alle Auftragnehmer, Lieferanten und andere Personen, die im Auftrag von Yours Clothing Limited tätig sind.
Sie gilt für alle Daten im Bestand des Unternehmens, die sich auf identifizierbare Personen beziehen, selbst wenn diese Daten nicht formal vom DPA 2018 abgedeckt werden, z. B.:
- name
- Anschriften
- E-Mail-Adressen
- Telefonnummern
- Zahlungsinformationen
- Fotos
- Standorte
- IP-Adressen
- Verhalten beim Surfen im Internet
- Daten der Sonderkategorie wie Religion, Informationen zur Gesundheit
Schutz vor Risiken im Zusammenhang mit dem Datenschutz
Die vorliegende Richtlinie trägt zum Schutz vor realen Datensicherheitsrisiken bei, z. B.:
Verletzung der Vertraulichkeit: beispielsweise die unangemessene Weitergabe von Daten
Fehlen einer Wahlmöglichkeit: Alle Personen müssen frei entscheiden können, wie das Unternehmen ihre Daten verwendet.
Rufschädigung: Beispielsweise kann das Renommee des Unternehmens Schaden nehmen, wenn Hacker Zugang zu sensiblen Daten erhalten.
Zuständigkeit
Jede Person, die für oder mit dem Unternehmen arbeitet, ist in einem bestimmten Maß dafür verantwortlich, dass Daten angemessen erhoben, gespeichert und verarbeitet werden.
Jedes Team, das mit personenbezogenen Daten umgeht, muss sicherstellen, dass diese in Übereinstimmung mit der vorliegenden Richtlinie und den Datenschutzgrundsätzen behandelt und verarbeitet werden.
Hauptverantwortlich sind folgende Personen:
Der Vorstand ist letztendlich für die Einhaltung der gesetzlichen Verpflichtungen verantwortlich. Der Compliance Officer ist für Folgendes verantwortlich:
- Informieren des Vorstands über Aufgaben, Risiken und Anliegen des Datenschutzes
- Überprüfen aller Datenschutzverfahren und der damit verbundenen Richtlinien gemäß einem vereinbarten Zeitplan
- Durchführen von Schulungen und Beratung zum Thema Datenschutz für die von dieser Richtlinie betroffenen Personen - Beantworten von Fragen zum Datenschutz von Mitarbeitern und anderen von dieser Richtlinie betroffenen Personen Der Company Secretary ist für Folgendes zuständig:
- Bearbeitung der Anträge von Einzelpersonen zur Einsichtnahme in die über sie gespeicherten Daten
- Überprüfung und Genehmigung sämtlicher Verträge oder Vereinbarungen mit Dritten, die sensible Daten des Unternehmens verarbeiten
Der IT-Manager ist für Folgendes zuständig:
- Sicherstellen, dass alle zur Datenspeicherung verwendeten Systeme, Dienste und Geräte ausreichende Sicherheitsstandards erfüllen
- Regelmäßige Überprüfung der ordnungsgemäßen Funktion von Sicherheitshardware und -software
- Bewertung der Dienstleistungen Dritter, deren Nutzung das Unternehmen zur Speicherung oder Verarbeitung von Daten in Betracht zieht (beispielsweise Cloud-Computing)
Der Geschäftsführer ist für Folgendes zuständig:
- Genehmigen aller Datenschutzerklärungen, die an Mitteilungen wie E-Mails und Briefe angehängt werden
- Beantworten der Anfragen zum Thema Datenschutz von Journalisten und Vertretern anderer Medien
- Erforderlichenfalls Zusammenarbeit mit anderen Mitarbeitern, um sicherzustellen, dass die Marketinginitiativen den Datenschutzgrundsätzen entsprechen
Allgemeine Richtlinien für das Personal
Auf die von dieser Richtlinie abgedeckten Daten dürfen nur Personen Zugang erhalten, welche die Daten für ihre Arbeit benötigen.
- Daten dürfen nicht formlos weitergegeben werden. Ist Zugang zu vertraulichen Daten erforderlich, können die Mitarbeiter dies beim Vorgesetzten beantragen.
- Alle Mitarbeiter werden zum Thema Verantwortung im Umgang mit Daten geschult.
- Die Mitarbeiter müssen durch angemessene Vorsichtsmaßnahmen und Befolgung der nachfolgend aufgeführten Richtlinien für den Schutz von Daten sorgen.
- Es müssen starke Kennwörter verwendet werden, die auf keinen Fall weitergegeben werden dürfen.
- Personenbezogene Daten dürfen weder innerhalb noch außerhalb des Unternehmens an Unbefugte weitergegeben werden.
- Daten müssen regelmäßig überprüft und im Fall einer Veraltung aktualisiert werden. Werden Daten nicht mehr benötigt, müssen sie gelöscht bzw. beseitigt werden.
- Bei Fragen zu jeglichen Aspekten des Datenschutzes haben sich die Mitarbeiter an den Vorgesetzten oder den Compliance Officer zu wenden.
Datenspeicherung
Nachfolgend wird erläutert, wie und wo Daten sicher gespeichert werden müssen. Fragen zur sicheren Speicherung von Daten können an den IT-Manager oder den Datenverantwortlichen gerichtet werden.
Daten, die auf Papier vorliegen, sind an einem sicheren, Unbefugten unzugänglichen Ort aufzubewahren.
Diese Richtlinien gelten auch für elektronisch gespeicherte Daten, die ausgedruckt wurden:
- Papierdokumente mit Daten, die nicht in Verwendung oder erforderlich sind, sind in einer abgeschlossenen Schublade oder einem abgeschlossenen Aktenschrank aufzubewahren.
- Die Mitarbeiter müssen sicherstellen, dass Papierakten und Ausdrucke nicht an für Unbefugte einsehbaren Stellen (z. B. in einem Drucker) verbleiben.
- Nicht mehr benötigte Ausdrucke mit Daten müssen mit einem Aktenvernichter vernichtet und sicher entsorgt werden.
Elektronisch gespeicherte Daten sind folgendermaßen vor unbefugtem Zugriff, versehentlichem Löschen und bösartigen Hacking-Versuchen zu schützen:
- Daten müssen durch starke Kennwörter geschützt werden. Die Kennwörter müssen regelmäßig geändert werden und dürfen anderen Mitarbeitern nicht offengelegt werden.
- Wechseldatenträger, auf denen Daten gespeichert sind, müssen verschlossen aufbewahrt werden, wenn sie nicht in Verwendung sind.
- Daten dürfen nur auf dafür vorgesehenen Laufwerken und Servern gespeichert und nur an genehmigte Cloud-Computing-Dienste hochgeladen werden.
- Server, auf denen personenbezogene Daten gespeichert werden, müssen sich an einem gesicherten Ort abseits der allgemeinen Büroräume befinden.
- Daten müssen häufig gesichert werden. Die Backups sind regelmäßig gemäß dem im Unternehmen vorgeschriebenen Backupverfahren zu testen.
- Daten dürfen nie direkt auf Laptops, Tablets, Smartphones und anderen mobilen Geräten gespeichert werden.
- Alle Server und Computer, die Daten enthalten, müssen mit einer zugelassenen Sicherheitssoftware und einer Firewall geschützt werden.
Verwendung von Daten
Personenbezogene Daten sind für Yours Clothing nur dann von Wert, wenn das Unternehmen sie nutzen kann. Gerade bei Zugriff auf und Verwendung von personenbezogenen Daten ist jedoch das Risiko von Verlust, Beschädigung oder Diebstahl am größten:
- Bei der Arbeit mit personenbezogenen Daten müssen die Mitarbeiter dafür sorgen, dass der Bildschirm ihres Computers, wenn dieser unbeaufsichtigt ist, gesperrt ist.
- Personenbezogene Daten dürfen nicht formlos weitergegeben werden. Insbesondere dürfen sie nicht per E-Mail versendet werden, da diese Form der Kommunikation nicht sicher ist.
- Daten müssen vor einer elektronischen Übertragung verschlüsselt werden. Informationen zum Versand von Daten an genehmigte externe Kontakte erteilt die Leitung der IT.
- Die Mitarbeiter dürfen keine Kopien personenbezogener Daten auf ihrem Computer speichern. Es ist immer die neueste Dokumentversion aus der Hauptdatei zu verwenden und zu aktualisieren.
Datengenauigkeit
Yours Clothing ist gesetzlich dazu verpflichtet, durch angemessene Schritte sicherzustellen, dass Daten korrekt und auf dem neuesten Stand sind.
Je wichtiger die Korrektheit personenbezogener Daten ist, desto größer muss der Aufwand zur Gewährleistung von deren Korrektheit sein.
Es liegt in der Verantwortung aller mit Daten befasster Mitarbeiter, Daten durch angemessene Maßnahmen so genau und aktuell wie möglich zu halten.
Daten werden an möglichst wenigen Stellen gespeichert. Es dürfen keine unnötigen zusätzlichen Datensätze erstellt werden.
Die Mitarbeiter müssen jede Gelegenheit wahrnehmen, um sicherzustellen, dass Daten aktualisiert werden, beispielsweise durch Rückversicherung über die Daten eines Kunden, wenn dieser anruft.
Den betroffenen Personen muss eine einfache Möglichkeit zur Aktualisierung der über sie gespeicherten Daten geboten werden, beispielsweise über ihr Onlinekonto.
Werden Ungenauigkeiten gefunden, müssen Daten aktualisiert werden. Ist ein Kunde beispielsweise nicht mehr über die für ihn gespeicherte Telefonnummer erreichbar, muss sie aus der Datenbank gelöscht werden.
Anträge auf Offenlegung gespeicherter Daten
Alle Personen, von denen personenbezogene Daten gespeichert werden, haben Anspruch auf Folgendes:
- Informationen über die Art der gespeicherten Daten und die Gründe für die Speicherung
- Informationen darüber, wie auf die Daten zugegriffen werden kann
- Informationen darüber, wie die Daten auf dem aktuellen Stand gehalten werden können
- Informationen darüber, wie das Unternehmen seinen Datenschutzverpflichtungen nachkommt
Eine Bitte um Offenlegung solcher Informationen beim Unternehmen wird als „Antrag auf Offenlegung gespeicherter Daten“ bezeichnet. Anträge auf Offenlegung gespeicherter Daten von Einzelpersonen sind per E-Mail zu stellen.
Für Anträge um Offenlegung gespeicherter Daten fallen keine Gebühren an. Gebühren können jedoch nach Ermessen des Unternehmens geltend gemacht werden, wenn ein Antrag als unverhältnismäßig angesehen wird. Der Datenverantwortliche stellt die angeforderten Daten nach Möglichkeit innerhalb von 14 Tagen, spätestens aber 30 Tage nach Eingang eines Antrags zur Verfügung.
Der Datenverantwortliche überprüft in jedem Fall vor Aushändigung von Daten die Identität von Personen, die einen Antrag auf Offenlegung gespeicherter Daten stellen.
Offenlegung von Daten aus anderen Gründen
Unter bestimmten Umständen ist gemäß Data Protection Act die Weitergabe personenbezogener Daten an Strafverfolgungsbehörden ohne Zustimmung der betroffenen Person gestattet.
Unter diesen Umständen legt Yours Clothing die angeforderten Daten offen. Der Datenverantwortliche vergewissert sich über die Rechtmäßigkeit eines solchen Antrags und nimmt bei Bedarf Hilfe durch den Vorstand und die Rechtsberater des Unternehmens in Anspruch.
Bereitstellung von Informationen
Yours Clothing setzt Einzelpersonen darüber in Kenntnis, dass ihre Daten verarbeitet werden, und unterrichtet sie über Folgendes:
- Art und Weise der Verwendung der Daten
- Möglichkeiten zur Ausübung ihrer Rechte
Zu diesem Zweck wird in der Datenschutzerklärung des Unternehmens erläutert, wie personenbezogene Daten vom Unternehmen verwendet werden. Die aktuelle Version dieser Erklärung steht auf der Website des Unternehmens unter www.yoursclothing.co.uk zur Verfügung.