Retningslinjer for databeskyttelse

CickSends retningslinjer for databeskyttelse

Hvorfor disse retningslinjene finnes

Disse retningslinjene for databeskyttelse sikrer ClickSend:

  • Samsvarer med loven om databeskyttelse og følger god praksis
  • Beskytter rettighetene til ansatte, kunder og partnere
  • Er åpen om hvordan det lagrer og behandler enkeltpersoners opplysninger
  • Beskytter seg selv mot databrudd

Lov om personvern

Personvernloven av 2018 beskriver hvordan organisasjoner - inkludert ClickSend - må samle inn, håndtere og lagre personlig informasjon.

Disse reglene gjelder uavhengig av om data lagres elektronisk, på papir eller på annet materiale.

For å overholde loven, må personopplysninger samles inn og brukes på en ordentlig måte, lagres trygt og ikke avsløres ulovlig.

Personvernloven understøttes av åtte viktige prinsipper. Disse sier at personopplysninger må:

  • Behandles rettferdig og i henhold til loven
  • Kun anskaffet for spesifikke, lovlige formål
  • Vær tilstrekkelig, relevant og ikke overdreven
  • Være nøyaktige og holdes oppdaterte
  • Ikke holdes lenger enn nødvendig
  • Behandles i samsvar med rettighetene til de registrerte
  • Bli beskyttet på passende måter

Personer, risiko og ansvar

Retningslinjer

Disse retningslinjene gjelder for:

  • ClickSends hovedkontor
  • Alle avdelinger av ClickSend
  • Alle ansatte og frivillige hos ClickSend
  • Alle entreprenører, leverandører og andre som jobber på vegne av ClickSend

Det gjelder alle data som selskapet har om identifiserbare personer, selv om den informasjonen teknisk faller utenfor databeskyttelsesloven av 2018. Dette kan omfatte:

  • Navn på enkeltpersoner
  • Postadresser
  • E-postadresser
  • Telefonnumre

Risiko ved databeskyttelse

Disse retningslinjene hjelper til med å beskytte ClickSend mot noen veldig reelle datasikkerhetsrisikoer, inkludert:

  • Brudd på taushetsplikten, for eksempel at informasjon blir gitt ut på en ukorrekt måte.
  • Unnlater å tilby alternativer. Alle enkeltpersoner bør, for eksempel, kunne velge hvordan selskapet bruker deres data.
  • <b> Skade på omdømme. Selskapet kan, for eksempel, lide hvis hackere med hell får tilgang til sensitive data.

Ansvar

Alle som jobber for eller med ClickSend har ansvar for å sikre at data blir samlet inn, lagret og håndtert på riktig måte.

Hvert team som håndterer personopplysninger, må sørge for at dette håndteres og behandles i tråd med disse retningslinjene og prinsippene for databeskyttelse.

Imidlertid har disse menneskene viktige ansvarsområder:

  • Styret er til syvende og sist ansvarlig for at ClickSend oppfyller sine juridiske forpliktelser.
  • Personvernombudet er ansvarlig for:
    • Hold styret oppdatert om ansvar, risikoer og problemer med databeskyttelse.
    • Gjennomgå alle prosedyrer for databeskyttelse og relaterte retningslinjer i tråd med en avtalt tidsplan.
    • Arranger opplæring og gi råd om databeskyttelse for de som omfattes av disse retningslinjene.
    • Håndtering av spørsmål om databeskyttelse fra ansatte og andre som dekkes av disse retningslinjene.
    • Håndterer forespørsler fra enkeltpersoner om å se dataene ClickSend har om dem (også kalt ‘emneinnkallinger’).
    • Kontrollere og godkjenne eventuelle kontrakter eller avtaler med tredjepart som kan håndtere selskapets sensitive data.
  • IT-sjefen er ansvarlig for:
    • Å sikre at alle systemer, tjenester og utstyr som brukes til lagring av data oppfyller akseptable sikkerhetsstandarder.
    • Utføre regelmessige kontroller og skanninger for å sikre at sikkerheten på maskinvare og programvare fungerer som de skal.
    • Evaluering av tredjepartstjenester selskapet vurderer å bruke til å lagre eller behandle data, som, for eksempel, skytjenester.
  • Markedsføringssjefen er ansvarlig for:
    • Godkjenne uttalelser om databeskyttelse vedlagt kommunikasjon som e-post og brev.
    • Adressering av eventuelle spørsmål om databeskyttelse fra journalister eller medier som aviser.
    • Arbeide med andre ansatte for å sikre at markedsføringstiltak overholder prinsippene for databeskyttelse når det er nødvendig.

Generelle retningslinjer for personalet

  • De eneste som kan få tilgang til data som dekkes av disse retningslinjene, bør være de som trenger det i arbeidet sitt.
  • Data skal ikke deles uformelt. Når det kreves tilgang til konfidensiell informasjon, kan de ansatte be om det fra sine linjeledere.
  • ClickSend vil gi opplæring til alle ansatte for å hjelpe dem med å forstå hvilket ansvar de har når de håndterer data.
  • Ansatte bør holde all data sikker ved å ta fornuftige forholdsregler og følge retningslinjene nedenfor.
  • Spesielt må det brukes sterke passord, og de må aldri deles med andre.
  • Personopplysninger skal ikke utleveres til uvedkommende, verken i selskapet eller eksternt.
  • Data bør gjennomgås regelmessig, og oppdateres hvis de viser seg å være utdatert. Hvis de ikke lenger er nødvendige, bør de slettes.
  • Ansatte bør be om hjelp fra linjeleder eller databeskyttelsesansvarlig hvis de er usikre på noe av aspektene rundt databeskyttelse.

Datalagring

Disse reglene beskriver hvordan og hvor data skal lagres trygt. Spørsmål om trygg lagring av data kan rettes til IT-sjefen eller datakontrolleren.

Når opplysninger lagres i papirformat, må det oppbevares på et sikkert sted der uautoriserte personer ikke kan se det.

Disse retningslinjene gjelder også for data som vanligvis lagres elektronisk, men som av en eller annen grunn har blitt skrevet ut:

  • Når det ikke er nødvendig, bør dokumentene eller filene oppbevares i en låst skuff eller i et arkivskap.
  • Ansatte bør sørge for at papir og utskrifter ikke blir liggende der uvedkommende kunne se dem, som på en skriver.
  • Datautskrifter skal makuleres og kastes forsvarlig når de ikke lenger er nødvendige.

Når data lagres elektronisk, må de beskyttes mot uautorisert tilgang, utilsiktet sletting og ondsinnede hackingforsøk:

  • Opplysninger bør beskyttes av sterke passord, som endres ofte og som aldri deles mellom de ansatte.
  • Hvis data er lagret på flyttbare medier (som en CD eller DVD), bør disse oppbevares på en trygg måte når de ikke brukes.
  • Data skal bare lagres på angitte stasjoner og servere, og skal bare lastes opp til en godkjent skytjeneste.
  • Servere som inneholder personlige opplysninger bør befinne seg på et sikkert sted, vekk fra det vanlige kontorområdet.
  • Data bør sikkerhetskopieres ofte. Disse sikkerhetskopiene bør testes regelmessig i tråd med selskapets standardprosedyrer for sikkerhetskopiering.
  • Data skal aldri lagres direkte på bærbare datamaskiner eller andre mobile enheter, som nettbrett eller smarttelefoner.
  • Alle servere og datamaskiner som inneholder data, bør beskyttes av godkjent sikkerhetsprogramvare og en brannmur.

Databruk

Personopplysninger har ingen verdi for ClickSend med mindre virksomheten kan benytte seg av dem. Imidlertid er det når man får tilgang til personopplysninger og bruker disse at det oppstår størst risiko for tap, korrupsjon eller tyveri:

  • Når de arbeider med personopplysninger, skal de ansatte sørge for at skjermene på datamaskinene alltid er låst når de selv ikke er i nærheten.
  • Personopplysninger skal ikke deles uformelt. Spesielt bør den aldri sendes via e-post, da denne formen for kommunikasjon ikke er sikker.
  • Data må krypteres før det overføres elektronisk. IT-sjefen kan forklare hvordan du kan sende data til autoriserte, eksterne kontakter.
  • Ansatte skal ikke lagre kopier av personopplysninger på egne datamaskiner. Få alltid tilgang til og oppdater den sentrale kopien.

Datanøyaktighet

I henhold til lovverket må ClickSend ta rimelige steg for å sikre at data holdes nøyaktig og oppdatert.

Jo viktigere det er at personopplysningene er nøyaktige, desto større innsats skal ClickSend legge ned for å sikre at de er nøyaktige.

Alle medarbeidere som jobber med data er ansvarlige for å ta rimelige steg for å sikre at den er så nøyaktig og oppdatert som mulig.

  • Data blir lagret på så få steder som nødvendig. Ansatte skal ikke opprette unødvendige tilleggsdatasett.
  • Personalet bør benytte enhver anledning til å sikre at data blir oppdatert. Dette kan, for eksempel, gjøres ved å bekrefte kundens detaljer når de ringer.
  • ClickSend vil gjøre det enkelt for registrerte å oppdatere informasjonen ClickSend har om dem, for eksempel via selskapets nettsted.
  • Data skal oppdateres etter hvert som unøyaktigheter oppdages. Hvis, for eksempel, en kunde ikke lenger kan nås på sitt lagrede telefonnummer, bør det fjernes fra databasen.
  • Det er markedssjefens ansvar å sikre at databasene sjekkes mot bransjens undertrykkelsesfiler hver sjette måned.

Forespørsler om emnetilgang

Alle personer som ClickSend har personalopplysninger på har rett til:

  • Spør hvilke opplysninger selskaper har om dem og hvorfor.
  • Spør hvordan du kan få tilgang til det.
  • Bli informert om hvordan du holder det oppdatert.
  • Bli informert om hvordan selskapet oppfyller sine forpliktelser til databeskyttelse.

Hvis en enkeltperson kontakter selskapet og ber om denne informasjonen, kalles dette en forespørsel om tilgang.

Forespørsler om emnetilgang fra enkeltpersoner skal gjøres via e-post og adresseres til datakontrolløren. Databehandleren kan levere et standard forespørselsskjema, selv om enkeltpersoner ikke trenger å bruke dette.

Personer belastes £ 10 per forespørsel om tilgang til emne. Databehandleren vil ta sikte på å levere relevant data innen 14 dager.

Databehandleren vil alltid verifisere identiteten til alle som fremsetter en anmodning før han overleverer informasjon.

Avsløre data av andre grunner

Under visse omstendigheter tillater loven om databeskyttelse at personopplysninger blir gitt ut til politimyndigheter uten samtykke fra den registrerte.

I disse situasjonene vil ClickSend gi fra seg forespurte data. Databehandleren vil imidlertid sikre at forespørselen er legitim, og søke assistanse fra styret og fra selskapets juridiske rådgivere der det er nødvendig.

Gi informasjon

ClickSend har som mål å sikre at enkeltpersoner er klar over at dataene deres blir behandlet, og at de forstår:

  • Hvordan opplysningene blir brukt
  • Hvordan utøve rettighetene deres

For å oppnå dette har selskapet en personvernerklæring som angir hvordan data relatert til enkeltpersoner brukes av selskapet.


System for varsling av dataovertredelser (NDB)

Systemet om varsling av data (NDB) under del IIIC av personvernloven 1988 (personvernloven) fastsatte krav til enheter om å svare på brudd på data. Enheter har forpliktelser om varsling av data når dataovertredelse sannsynligvis vil føre til alvorlig skade på personer som har personopplysninger involvert i bruddet.


Hva vil ClickSend gjøre for å minimere risikoen for datainnbrudd?

Sikkerhet

ClickSend følger bransjens standarder for sikring av sensitive data. Dette inkluderer, men er ikke begrenset til:

  • Plattform sikkerhet
  • Nettverkssikkerhet
  • Overvåking og logging
  • Streng adgangskontroll

Se ClickSends side om sikkerhet og samsvar for mer informasjon. (link to / api-docs / safety-compliance /)

Personvern

All privat informasjon vil forbli konfidensiell, slik det er beskrevet i våre retningslinjer for personvern. (link to/legal/privacy-policy/)


Hvilke datainnbrudd krever varsling?

NDB-ordningen gjelder bare for brudd på data som involverer personlig informasjon som sannsynligvis vil føre til alvorlig skade på enhver berørt person. Disse blir referert til som "kvalifiserte datainnbrudd". Det er noen få unntak som kan bety at varsling ikke er nødvendig for visse kvalifiserte datainnbrudd. For mer informasjon, besøkhttps://www.oaic.gov.au/privacy-law/privacy-act/notifiable-data-breaches-scheme


Hva vil ClickSend gjøre i tilfelle datainnbrudd?

  1. ClickSend vil foreta en rimelig og hurtig vurdering for å avgjøre om det er sannsynlig at datainnbruddet vil føre til alvorlig skade for de personer som er berørt.
  2. I tilfelle av en kvalifisert dataovertredelse vil ClickSend varsle enkeltpersoner hvis personlige opplysninger er involvert i et datainnbrudd som sannsynligvis vil føre til alvorlig skade. Varslingen vil inneholde anbefalinger om trinnene enkeltpersoner bør ta som svar på bruddet. ClickSend vil også varsle den australske informasjonskommissæren om kvalifiserte datainnbrudd.

Hvordan vil ClickSend varsle deg?

ClickSend vil først forsøke å varsle direkte berørte kunder. Dette vil bli gjort ved å bruke en hvilken som helst kanal tilgjengelig for oss (telefon, e-post, SMS). Det vil være opp til vår klient å varsle de berørte personene. Hvis vi ikke får svar innen rimelig tid, vil vi prøve å kontakte personene som er berørt direkte.

Varselet til berørte personer og kommissæren vil inneholde følgende informasjon:

  • organisasjonens identifikasjons- og kontaktdetaljer
  • en beskrivelse av datainnbruddet
  • hva slags informasjon det gjelder og;
  • anbefalinger om trinnene enkeltpersoner bør ta ved et datainnbrudd.

Spørsmål?

Gratis kontoer og gratis råd. Vårt juridiske team er klare til å hjelpe deg.

Personvern og juridisk© 2020 ClickSend