Politique de protection des données – Yours Clothing Limited


Introduction

Yours Clothing Limited collecte et utilise certaines informations personnelles des usagers. Il s'agit des informations personnelles et des données des clients, des fournisseurs, des contacts professionnels, des employés et d'autres personnes avec lesquelles l'organisation peut avoir une relation et avoir besoin de contacter.

Cette politique de protection des données décrit comment ces données personnelles doivent être collectées, manipulées et stockées pour se conformer à la loi et répondre aux normes de protection des données.

Finalité de cette politique

Cette politique de protection des données garantit que Yours Clothing Limited:

  • est conforme à la loi sur la protection des données et suit les bonnes pratiques,
  • protège les droits du personnel, des clients et des partenaires commerciaux,
  • fait preuve de transparence quant à la façon dont il stocke et traite les données personnelles,
  • est protégé contre tout risque de violation de données.

Loi sur la protection des données

La loi de 1998 sur la protection des données décrit la façon dont les organisations, y compris Yours Clothing Limited, doivent procéder pour collecter, traiter et stocker les informations personnelles.

Ces règles s'appliquent indépendamment du fait que les données soient stockées électroniquement, sur support papier ou sur d'autres supports.

Pour se conformer à la loi, les informations personnelles doivent être recueillis et utilisés équitablement, conservés en toute sécurité et ne pas être divulgués illégalement.

Personnes, risques et responsabilités

Champ d’application de la politique

Cette politique s'applique au siège social, à tous les sites de magasins, à tous les employés et bénévoles, et à tous les entrepreneurs, fournisseurs et autres personnes travaillant pour le compte de Yours Clothing Limited.

Elle s'applique à toutes les données que la société détient concernant des personnes identifiables, même si ces informations ne relèvent pas de la loi de 1998 sur la protection des données, y compris mais sans s'y limiter:

  • nom et prénoms,
  • adresse postale,
  • courrier électronique,
  • numéro de téléphone,
  • informations de paiement,
  • photo,
  • lieux/emplacements,
  • adresse IP,
  • comportements en ligne,
  • toutes les données de catégories spéciales telles que la religion, les informations concernant la santé, etc.

Risques en matière de protection des données

Cette police aide à protéger les usagers de certains risques notoires en matière de sécurité des données, notamment:

  • Divulgation de renseignements confidentiels. Il s'agit par exemple de communiquer de façon inappropriée/sans autorisation préalable des informations personnelles.
  • Omission d'offrir le choix. Par exemple, chaque individu doit être libre de choisir la façon dont ses informations personnelles doivent être gérées par l'entreprise.
  • Atteinte à la réputation. Par exemple, la réputation de l'entreprise pourrait être menacée si les hackers accédaient avec succès à des données sensibles.

Responsabilités

Toute personne travaillant pour ou avec la société a la responsabilité de s'assurer que les données sont collectées, stockées et gérées de manière appropriée.

Chaque équipe qui gère les données personnelles doit s'assurer qu'elles sont manipulées et traitées conformément à cette politique et aux principes de protection des données.

Toutefois, ces personnes ont des responsabilités clés à exercer:

  • Le Conseil d'administration est responsable en dernier ressort de la conformité avec les obligations juridiques.
  • Il incombe à l'agent de conformité de :
    • tenir le conseil au courant des responsabilités, des risques et des problèmes liés à la protection des données ;
    • d'examiner toutes les procédures de protection des données et les politiques connexes, conformément à un calendrier convenu ;
    • d'organiser des formations et des conseils sur la protection des données pour les personnes couvertes par cette politique ;
    • traiter les questions de protection des données du personnel et de toute autre personne couverte par cette politique.
  • Il incombe au secrétaire exécutif de:
    • traiter les demandes de personnes de voir les données détenues à leur sujet (également appelé « demandes d'accès aux données ») ;
    • vérifier et d'approuver tout contrat ou accord avec des tiers susceptibles de gérer les données sensibles de l'entreprise.
  • Il incombe au directeur du service informatique de :
    • garantir que tous les systèmes, services et équipements utilisés pour stocker les données répondent à des normes de sécurité acceptables;
    • d'effectuer des vérifications et des analyses régulières pour s'assurer que le matériel et les logiciels de sécurité fonctionnent correctement ;
    • d'évaluer des services tiers que l'entreprise envisage d'utiliser pour stocker ou traiter des données ; Par exemple, les services d'informatique en nuage.
  • Il incombe au directeur général de:
    • d'approuver toute déclaration de protection des données jointe à des communications telles que des courriels et des lettres ;
    • répondre aux questions des journalistes ou des médias tels que les journaux concernant la protection des données ;
    • si nécessaire, travailler avec d'autres membres du personnel pour s'assurer que les initiatives de marketing respectent les principes de protection des données.

Directives du personnel en général

  • Les seules personnes pouvant accéder aux données couvertes par cette politique doivent être celles qui en ont besoin pour leur travail.
  • Les données ne doivent pas être partagées de manière informelle. Lorsque l'accès à des informations confidentielles est requis, les employés peuvent les demander à leurs supérieurs hiérarchiques.
  • Tous les employés recevront une formation pour les aider à comprendre leurs responsabilités lors du traitement des données.
  • Les employés doivent garder toutes les données en sécurité, en prenant des précautions raisonnables et en suivant les directives ci-dessous.
  • En particulier, les mots de passe difficile à décrypter doivent être utilisés et ne doivent jamais être partagés.
  • Les données personnelles ne doivent pas être divulguées à des personnes non autorisées, que ce soit au sein de l'entreprise ou à l'extérieur.
  • Les données devraient être régulièrement examinées et mises à jour si elles s'avèrent périmées. Si elle n'est plus nécessaire, elle doit être supprimée.
  • Les employés doivent solliciter l'aide de leur supérieur hiérarchique ou du responsable de la conformité s'ils ne sont pas certains de la protection des données.

Stockage de données

Ces règles décrivent comment et où les données doivent être stockées en toute sécurité. Les questions concernant le stockage sécurisé des données peuvent être adressées au responsable informatique ou au responsable du traitement des données.

Lorsque les données sont stockées sur papier, elles seront conservées dans un endroit sûr où les personnes non autorisées ne pourront pas les voir.

Ces directives s'appliquent également aux données qui sont généralement stockées électroniquement mais qui ont été imprimées pour une raison quelconque:

  • Lorsque cela n'est pas nécessaire, le papier ou les fichiers doivent être conservés dans un tiroir ou un classeur verrouillé.
  • Les employés doivent s'assurer que le papier et les impressions ne sont pas laissés là où des personnes non autorisées pourraient les voir, comme sur une imprimante.
  • Les impressions de données doivent être déchiquetées et éliminées de manière sécurisée lorsqu'elles ne sont plus nécessaires.

Lorsque les données sont stockées électroniquement, elles seront protégées contre les accès non autorisés, les suppressions accidentelles et les tentatives de piratage malveillant :

  • Les données doivent être protégées par des mots de passe difficiles à décrypter, modifiés régulièrement et jamais partagés entre les employés.
  • Si les données sont stockées sur un support amovible, celles-ci doivent être conservées en lieu sûr lorsqu'elles ne sont pas utilisées.
  • Les données ne doivent être stockées que sur des lecteurs et des serveurs désignés et ne doivent être téléchargées que vers des services d'informatique en nuage approuvés.
  • Les serveurs contenant des données personnelles doivent être situés dans un endroit sûr, loin des bureaux.
  • Les données doivent être sauvegardées fréquemment. Ces sauvegardes doivent être testées régulièrement, conformément aux procédures de sauvegarde standard de l'entreprise.
  • Les données ne doivent jamais être enregistrées directement sur des ordinateurs portables ou d'autres appareils mobiles tels que des tablettes ou des téléphones portables.
  • Tous les serveurs et ordinateurs contenant des données doivent être protégés par un logiciel de sécurité approuvé et un pare-feu.

Exploitation des données

Les données personnelles n'ont aucune valeur pour Yours Clothing, sauf si l'entreprise peut les exploiter. Cependant, c'est lorsque les données personnelles sont consultées et utilisées qu'elles peuvent présenter le plus grand risque de perte, de corruption ou de vol:

  • Lorsque vous travaillez avec des données personnelles, les employés doivent s'assurer que les écrans de leurs ordinateurs sont toujours verrouillés lorsqu'ils sont laissés sans surveillance.
  • Les données personnelles ne doivent pas être partagées de manière informelle. En particulier, elle ne doit jamais être envoyée par courrier électronique, car cette forme de communication n'est pas sécurisée.
  • Les données doivent être cryptées avant d'être transférées électroniquement. Le directeur des services informatiques peut expliquer comment envoyer des données à des contacts externes autorisés.
  • Les employés ne doivent pas enregistrer des copies de données personnelles sur leur propre ordinateur. Il est nécessaire de toujours accéder et de mettre à jour la version la plus récente du document à partir du fichier principal, et mettre à jour la version.

Exactitude des données

La loi exige que Yours Clothing prenne des mesures raisonnables pour s'assurer que les données sont exactes et à jour.

Plus il est important que les données personnelles soient exactes, plus il faudra s'efforcer d'en assurer l'exactitude.

Il est de la responsabilité de tous les employés qui travaillent avec des données de prendre des mesures raisonnables pour s'assurer qu'ils sont aussi précis et à jour que possible.

  • Les données seront conservées dans moins d'endroits qu'il est nécessaire. Le personnel ne doit pas créer des ensembles de données supplémentaires inutiles.
  • Le personnel devrait saisir toutes les occasions pour s'assurer que les données sont mises à jour. En confirmant, par exemple, les détails d'un client lors de son appel.
  • Facilitez la mise à jour des informations détenues par les personnes concernées. Par exemple, via leur compte en ligne.
  • Les données doivent être mises à jour lorsque des inexactitudes sont découvertes. Par exemple, si un client ne peut plus être joint à son numéro de téléphone enregistré, il doit être supprimé de la base de données.

Demandes d'accès aux données

Toutes les personnes dont les données confidentielles ont été collectées sont dans leur droit :

  • de demander quelles informations l'entreprise détient à leur sujet et dans quel but ;
  • de demander comment y accéder ;
  • d'être informés de la façon de les tenir à jour.
  • d'être informés de la manière dont l'entreprise respecte ses obligations en matière de protection des données.

Si une personne contacte l'entreprise pour demander cette information, il s'agit d'une demande d'accès aux données. Les demandes d'accès aux données émanant des individus doivent être envoyées par courrier électronique.

Aucun frais ne s'applique en cas de demande d'accès aux données, mais peut être appliqué à la discrétion de l'entreprise si une demande est jugée excessive. Le responsable du traitement des données s'efforcera de fournir les données pertinentes dans les 14 jours, mais au plus tard 30 jours après la réception de la demande initiale.

Le contrôleur de données vérifiera toujours l'identité de toute personne effectuant une demande d'accès aux avant de lui transmettre toute information.

Divulgation des données pour d'autres raisons

Dans certaines circonstances, la loi sur la protection des données autorise la divulgation de données personnelles à des autorités de police sans le consentement de la personne concernée.

Dans pareilles circonstances, Yours Clothing divulguera les données demandées. Toutefois, le responsable du traitement des données veillera à ce que la demande soit légitime, en sollicitant l'assistance du conseil d'administration et des conseillers juridiques de l'entreprise si nécessaire.

Collecte des informations

Yours Clothing vise à s'assurer que les individus sont conscients de ce que leurs données sont traitées et qu'ils comprennent:

  • comment les données sont utilisées,
  • Comment exercer leurs droits,

À ces fins, la société dispose d'une politique de confidentialité, exposant comment les données relatives aux individus sont utilisés par l'entreprise. La dernière version de cette politique est disponible sur le site internet de la société www.yoursclothing.co.uk

Sign Up for Exclusive News and Offers >Close