Politique de protection des données

Introduction

Dans le cadre de ses activités, Axiom doit rassembler et utiliser certaines informations sur les individus, y compris les clients, les fournisseurs, les contacts commerciaux, les employés et les autres personnes avec lesquelles l'organisation a des relations ou peuvent avoir besoin de contacter. Cette politique décrit comment ces données personnelles doivent être collectées, manipulées et stockées pour répondre aux normes internes de protection des données de l'Axiom et pour se conformer aux réglementations de protection des données externes.

Objectif de la politique

Cette politique est destinée à assurer que Axiom:

• Se conforme à la loi sur la protection des données et suivre les bonnes pratiques
• Protège les droits du personnel, des clients et des représentants
• Est ouvert sur la façon dont il stocke et traite les données personnelles
• Se protège des risques de violation de données

Loi sur la protection des données

La collecte et la gestion des informations personnelles - que ce soit par voie électronique ou autre - sont régies par la loi sur la protection des données (Data Protection Act) de 1998, et ses exigences sont précisées par le règlement général sur la protection des données (General Data Protection Regulation ou GDPR) de 2018.

En vertu de ces règlements, les données personnelles doivent être collectées et utilisées de manière équitable, stockées en toute sécurité et ne pas être divulguées illégalement. Les règlements sont soutenus par huit principes importants. Indiquer que les données personnelles doivent:

• Être traité équitablement et légalement
• Être obtenu uniquement à des fins spécifiques et licites
• Soyez adéquat, pertinent et pas excessif
• Soyez précis et tenu à jour
• Ne pas être détenu plus longtemps que nécessaire
• Traité conformément aux droits des personnes concernées
• Soyez protégé de manière appropriée
• Ne pas être transféré en dehors de l'Espace économique européen (EEE), sauf si ce pays ou territoire assure également un niveau de protection adéquat

Applicabilité

Cette politique s'applique à tout le personnel, les entrepreneurs, les fournisseurs et les autres personnes travaillant pour le compte d'Axiom Software. Il s'applique à toutes les données que la société détient concernant des personnes identifiables, même si ces informations ne relèvent pas de la loi sur la protection des données ou du GDPR. Cela peut inclure:

• Noms d'individus
• Adresses de contact
• Adresses e-mail
• Numéros de téléphone
• ... plus toute autre information relative aux individus

La nature des applications Axiom signifie que les données de ce type seront également sous le contrôle des clients (en particulier, les données candidates acquises au cours du processus de test). Axiom utilisera tous les moyens pour s'assurer que les clients et les candidats comprennent leurs responsabilités et leurs droits en vertu de cette politique et en vertu des règlements actuels sur la protection des données.

Responsabilités

Cette politique est conçue pour protéger Axiom, ses clients et autres associés contre les conséquences des risques de sécurité des données et le maintien de la confidentialité des données personnelles détenues.

Toute personne travaillant pour ou avec Axiom a sa propre responsabilité de s'assurer que les données sont collectées, stockées et gérées de manière appropriée. Chaque fois que des données personnelles sont traitées, le personnel doit s'assurer qu'il est géré et traité conformément à cette politique et aux principes de la protection des données.

En particulier, le personnel a les responsabilités suivantes, en ce qui concerne les détails de leur rôle particulier.

• Identifier et notifier au personnel concerné les responsabilités, risques et problèmes de protection des données qui peuvent survenir.
• Examiner toutes les procédures de protection des données et les politiques connexes, conformément à un calendrier convenu.
• Organiser une formation et des conseils en matière de protection des données, selon les besoins ou les besoins des personnes couvertes ou concernées par cette politique, et répondre à toute question ou question spécifique.
• Répondre aux demandes de personnes extérieures à l'organisation conformément aux réglementations en vigueur (telles que l'accès aux données personnelles conservées, la correction de ces informations ou l'effacement des données sur demande).
• S'assurer que les tiers qui pourraient être soumis à cette politique sont pleinement conscients de leurs droits et responsabilités.
• S'assurer que tous les systèmes, services et équipements utilisés pour stocker les données répondent à des normes de sécurité acceptables et que les données sont conservées sous forme cryptée dans la mesure du possible.
• Effectuer des vérifications et des analyses régulières pour s'assurer que le matériel et les logiciels de sécurité fonctionnent correctement.

Directives générales du personnel

• L'accès aux données personnelles couvertes par cette politique devrait être limité à ceux qui en ont besoin pour leur travail. Les données personnelles confidentielles ne doivent pas être partagées de manière informelle.
• Le personnel doit tout mettre en œuvre pour assurer la sécurité des données, en prenant des précautions raisonnables et en suivant les directives décrites ci-dessous.
• Les données personnelles ne doivent jamais être divulguées à des personnes non autorisées.
• Les données devraient être régulièrement examinées et mises à jour pour s'assurer qu'elles restent exactes et pertinentes. S'il n'est plus nécessaire, il doit être supprimé et éliminé.
• Les employés doivent demander de l'aide s'ils ne sont pas certains de la protection des données.

Stockage de données

Lorsque les données sont stockées électroniquement, elles doivent être protégées contre les accès non autorisés, les suppressions accidentelles et les tentatives de piratage malveillantes. En particulier, ces directives devraient être suivies.

• Les données doivent être protégées par des mots de passe forts, modifiés régulièrement et jamais partagés entre les employés.
• Les données ne doivent être stockées que sur des disques et serveurs désignés, et ne doivent être téléchargées que vers des services de cloud computing approuvés ou maintenus sur des services de bases de données cloud approuvés.
• Les données doivent être sauvegardées fréquemment et maintenues en conformité avec les processus de sauvegarde standard de l'entreprise.
• Les données personnelles ne devraient jamais être sauvegardées directement sur un support ou un appareil externe, sauf si elles sont essentielles à des fins opérationnelles.
• Tous les serveurs et ordinateurs contenant des données doivent être protégés par un logiciel de sécurité approuvé et un pare-feu.

En de rares occasions où les données sont imprimées, la sécurité de ces documents imprimés devrait être assurée. Lorsque cela n'est pas nécessaire, ce matériel doit être conservé dans un endroit fermé à clé et non accessible à des personnes non autorisées. Les documents imprimés doivent être déchiquetés ou détruits de façon sécuritaire lorsqu'ils ne sont plus requis.

Utilisation des données

Lorsque vous travaillez avec des données personnelles, le personnel doit tout mettre en œuvre pour garantir leur sécurité. Les données ne doivent pas être laissées dans un état visible lorsqu'elles ne sont pas surveillées et ne doivent pas non plus être partagées de manière informelle.

Les données doivent être cryptées avant d'être transférées électroniquement et ne doivent être transférées que sur des canaux sécurisés approuvés. En particulier, les données personnelles ne doivent jamais être envoyées par e-mail, ou par le biais d'autres formes de communication non sécurisées non sécurisées.

Précision des données

La loi exige que des mesures raisonnables soient prises pour s'assurer que les données sont exactes et à jour en tout temps. Il est de la responsabilité de tous les employés qui travaillent avec des données de prendre des mesures raisonnables pour s'assurer qu'ils sont aussi précis et à jour que possible.

• À l'exception des sauvegardes essentielles, la redondance et la duplication des données seront réduites au minimum. Le personnel ne devrait pas créer d'autres ensembles de données à moins que cela ne soit absolument nécessaire pour son travail.
• Le personnel devrait saisir toutes les occasions pour s'assurer que les données sont confirmées et mises à jour chaque fois que possible.
• Les données doivent être mises à jour et corrigées chaque fois qu'une inexactitude est découverte.

Demandes d'accès sujet

Toutes les personnes faisant l'objet de données personnelles ont le droit:

• Demandez quelles sont les informations que l'entreprise détient à leur sujet et pourquoi.
• Demandez comment y accéder.
• Soyez informé de la façon de le tenir à jour.
• Soyez informé de la manière dont l'entreprise respecte ses obligations en matière de protection des données.

Une demande d'accès à un sujet décrit l'action d'un individu contactant Axiom demandant des informations de ce type. Les demandes de ce type doivent être envoyées par e-mail, adressées à toute adresse standard du Axiom Software. Il est de la responsabilité du personnel recevant la demande d'accès sujet de s'assurer qu'ils sont acheminés à la personne ou au département approprié pour traiter efficacement la demande. Pour les informations sur les candidats, cela peut impliquer une liaison avec le client responsable du maintien de ces données.

Le contrôleur de données vérifiera toujours l'identité de toute personne effectuant une demande d'accès avant de transmettre toute information. Les individus seront facturés £10 par demande d'accès. Le responsable du traitement s'efforcera de fournir les données pertinentes dans un délai de 14 jours.

Dans certaines circonstances, la loi sur la protection des données (Data Protection Act) autorise la divulgation de données personnelles à des autorités de police sans le consentement de la personne concernée. Dans ces circonstances, après s'être assuré qu'une telle demande est légitime, les données demandées seront divulguées.

Vous trouverez plus de détails sur nos obligations et obligations légales sur le site Web du Commissaire à l'information. http://ico.org.uk.