Política de privacidad

Política de protección de datos
Contexto y visión general
Detalles clave
• Política elaborada por: Andrew Molloy
• Próxima fecha de revisión: 10/02/23
Introducción
MuuFotos necesita recopilar y utilizar cierta información sobre las personas.
Pueden ser clientes, proveedores, contactos comerciales, empleados y otras personas con las que la organización tiene relación o con las que puede necesitar contactar. También se incluyen los nombres de los estudiantes para poder crear fotografías de grupo con su nombre y tarjetas de identificación de estudiantes.
Esta política describe cómo deben recogerse, tratarse y almacenarse estos datos personales para cumplir con nuestras normas de protección de datos, y para cumplir con la ley.
Por qué existe esta política
Esta política de protección de datos garantiza que MuuFotos:
• Cumple la ley de protección de datos y sigue las buenas prácticas
• Protege los derechos del personal, los clientes y los socios
• Está abierto a la forma en que almacena y procesa los datos de los individuos
• Se protege de los riesgos de una violación de datos
Ley de protección de datos
El Reglamento General de Protección de Datos describe cómo las organizaciones -incluida MuuFotos- deben recoger, tratar y almacenar la información personal.
Estas normas se aplican independientemente de que los datos se almacenen en formato electrónico, en papel o en otros materiales.
Para cumplir con la ley, la información personal debe recogerse y utilizarse de forma justa, almacenarse de forma segura y no divulgarse de forma ilegal.
El Reglamento General de Protección de Datos de 2018 se sustenta en seis importantes principios. Estos dicen que los datos deben ser:
1. Procesamiento legal, justo y transparente en relación con las personas
2. Recogidos con fines específicos, explícitos y legítimos y no tratados posteriormente de forma incompatible con dichos fines. El tratamiento posterior con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos no se considerará incompatible con los fines iniciales
3. Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan
4. Ser exactos y, en caso necesario, estar actualizados. Deben tomarse todas las medidas razonables para garantizar que los datos personales que sean inexactos, teniendo en cuenta los fines para los que se tratan, se borren o rectifiquen sin demora
5. conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que se tratan los datos personales; los datos personales pueden conservarse durante períodos más largos en la medida en que los datos personales se traten únicamente con fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos, siempre que se apliquen las medidas técnicas y organizativas adecuadas exigidas por el RGPD para salvaguardar los derechos y las libertades de las personas.
6. tratados de forma que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidentales, utilizando medidas técnicas u organizativas apropiadas
Personas, riesgos y responsabilidades
Ámbito de aplicación de la política
Esta política se aplica a
• La sede de MuuFotos
• Todas las ramas de MuuFotos
• Todo el personal y los voluntarios de MuuFotos
• Todos los contratistas, proveedores y otras personas que trabajan en nombre de MuuFotos
Se aplica a todos los datos que la empresa tiene relacionados con personas identificables, incluso si esa información queda técnicamente fuera del Reglamento General de Protección de Datos. Esto puede incluir:
• Nombres de las personas
• Direcciones postales
• Direcciones de correo electrónico
• Números de teléfono
• cualquier otra información relativa a las personas
Riesgos para la protección de datos
Esta política ayuda a proteger a MuuFotos de algunos riesgos de seguridad de datos muy reales, entre ellos:
• Violación de la confidencialidad. Por ejemplo, la divulgación indebida de información
• No ofrecer opciones. Por ejemplo, todos los individuos deben ser libres de elegir cómo la empresa utiliza los datos relacionados con ellos.
• Daño a la reputación. Por ejemplo, la empresa podría sufrir si los hackers consiguen acceder a datos sensibles
Responsabilidades
Todas las personas que trabajan para o con MuuFotos tienen cierta responsabilidad para garantizar que los datos se recopilen, almacenen y traten adecuadamente.
Cada equipo que maneja datos personales debe garantizar que éstos se tratan y procesan de acuerdo con esta política y los principios de protección de datos. Sin embargo, estas personas tienen áreas clave de responsabilidad:
• El consejo de administración es el responsable último de que MuuFotos cumpla con sus obligaciones legales.
• El responsable de la protección de datos, es responsable de:
o Mantener al consejo de administración al día sobre las responsabilidades, los riesgos y los problemas relacionados con la protección de datos.
o Revisar todos los procedimientos de protección de datos y las políticas relacionadas, de acuerdo con un calendario acordado.
o Organizar la formación y el asesoramiento en materia de protección de datos para las personas cubiertas por esta política.
o Tratar las cuestiones relativas a la protección de datos del personal y de cualquier otra persona contemplada en esta política.
o Atender las solicitudes de los particulares para ver los datos que MuuFotos tiene sobre ellos (también llamadas "solicitudes de acceso del sujeto").
o Comprobar y aprobar cualquier contrato o acuerdo con terceros que puedan manejar los datos sensibles de la empresa.
o Atender las consultas sobre protección de datos de periodistas o medios de comunicación como los periódicos.
o En caso necesario, colaborar con otros miembros del personal para garantizar que las iniciativas de marketing respeten los principios de protección de datos.
• El director de informática, es responsable de:
o Garantizar que todos los sistemas, servicios y equipos utilizados para el almacenamiento de datos cumplen unas normas de seguridad aceptables.
o Realización de comprobaciones y escaneos periódicos para garantizar el correcto funcionamiento del hardware y el software de seguridad.
o Evaluar cualquier servicio de terceros que la empresa esté considerando utilizar para almacenar o procesar datos. Por ejemplo, los servicios de computación en la nube.
• El director de la oficina, es responsable de:
o Aprobar las declaraciones de protección de datos que se adjuntan a las comunicaciones, como correos electrónicos y cartas.
Directrices generales para el personal
• Las únicas personas que pueden acceder a los datos cubiertos por esta política deben ser aquellas que los necesitan para su trabajo
• Los datos no deben compartirse de manera informal. Cuando sea necesario acceder a información confidencial, los empleados pueden solicitarlo a sus superiores jerárquicos
• MuuFotos proporcionará formación a todos los empleados para ayudarles a comprender sus responsabilidades en el tratamiento de datos
• Los empleados deben mantener la seguridad de todos los datos, tomando precauciones razonables y siguiendo las siguientes directrices
• En particular, deben utilizarse contraseñas seguras y nunca deben compartirse
• Los datos personales no deben ser revelados a personas no autorizadas, ni dentro de la empresa ni fuera de ella
• Los datos deben revisarse periódicamente y actualizarse si se comprueba que están obsoletos. Si ya no se necesitan, deben borrarse y eliminarse
• Los empleados deben pedir ayuda a su superior jerárquico o al responsable de la protección de datos si no están seguros de algún aspecto de la protección de datos
Almacenamiento de datos
Estas normas describen cómo y dónde deben almacenarse los datos de forma segura. Las preguntas sobre el almacenamiento seguro de los datos pueden dirigirse al responsable informático o al controlador de datos.
Cuando los datos se almacenan en papel, deben guardarse en un lugar seguro donde las personas no autorizadas no puedan verlos.
Estas directrices también se aplican a los datos que normalmente se almacenan electrónicamente pero que se han impreso por alguna razón:
• Cuando no sea necesario, el papel o los archivos deben guardarse en un cajón o archivador cerrado con llave
• Los empleados deben asegurarse de que el papel y las impresiones no se dejan en lugares donde personas no autorizadas puedan verlos, como en una impresora
• Las impresiones de datos deben ser destruidas y eliminadas de forma segura cuando ya no sean necesarias
Cuando los datos se almacenan electrónicamente, deben estar protegidos contra el acceso no autorizado, el borrado accidental y los intentos de piratería maliciosa:
• Los datos deben estar protegidos por contraseñas seguras que se cambien regularmente
• Si los datos se almacenan en soportes extraíbles (como un CD o un DVD), deben guardarse bajo llave cuando no se utilicen
• Los datos sólo deben almacenarse en unidades y servidores designados, y sólo deben cargarse en un servicio de computación en la nube aprobado
• Los servidores que contengan datos personales deben estar ubicados en un lugar seguro, lejos del espacio general de las oficinas
• Hay que hacer copias de seguridad de los datos con frecuencia. Estas copias de seguridad deben ser probadas regularmente, de acuerdo con los procedimientos de copia de seguridad estándar de la empresa
• Los datos nunca deben guardarse directamente en ordenadores portátiles u otros dispositivos móviles como tabletas o teléfonos inteligentes
• Todos los servidores y ordenadores que contengan datos deben estar protegidos por un software de seguridad aprobado y un cortafuegos
Uso de datos
Los datos personales no tienen valor para MuuFotos a menos que la empresa pueda hacer uso de ellos. Sin embargo, es cuando se accede a los datos personales y se utilizan cuando pueden correr el mayor riesgo de pérdida, corrupción o robo:
• Cuando trabajen con datos personales, los empleados deben asegurarse de que las pantallas de sus ordenadores están siempre bloqueadas cuando se dejan sin vigilancia
• Los datos personales no deben compartirse de manera informal. En particular, nunca deben enviarse por correo electrónico, ya que esta forma de comunicación no es segura
• Los datos deben ser encriptados antes de ser transferidos electrónicamente. El responsable informático puede explicar cómo enviar los datos a los contactos externos autorizados
• Los datos personales nunca deben transferirse fuera del Espacio Económico Europeo
• Los empleados no deben guardar copias de datos personales en sus propios ordenadores. Acceder siempre a la copia central de cualquier dato y actualizarla.
Precisión de los datos
La ley obliga a MuuFotos a tomar medidas razonables para garantizar que los datos sean exactos y estén actualizados.
Cuanto más importante sea que los datos personales sean exactos, mayor será el esfuerzo que MuuFotos deberá realizar para garantizar su exactitud.
Es responsabilidad de todos los empleados que trabajan con datos tomar medidas razonables para garantizar que se mantengan lo más precisos y actualizados posible.
• Los datos se conservarán en el menor número posible de lugares. El personal no debe crear conjuntos de datos adicionales innecesarios.
• El personal debe aprovechar cualquier oportunidad para asegurarse de que los datos están actualizados. Por ejemplo, confirmando los datos de un cliente cuando llama.
• MuuFotos facilitará a los interesados la actualización de la información que MuuFotos tiene sobre ellos. Por ejemplo, a través del sitio web de la empresa.
• Los datos deben actualizarse a medida que se descubran inexactitudes. Por ejemplo, si un cliente ya no puede ser localizado en su número de teléfono almacenado, debe ser eliminado de la base de datos.
• Las bases de datos de marketing deben cotejarse con los archivos de supresión de la industria cada seis meses.
Pedidos en línea
MuuFotos utiliza un sistema de pedidos en línea proporcionado por un tercero. El sitio web cuenta con un certificado SSL SHA-256. Todos los pagos se procesan a distancia. MuuFotos no procesa ni almacena la información de las tarjetas de crédito.
Los pedidos que se envían a domicilio no llevan más datos personales que el nombre y la dirección a la que se debe entregar el pedido.
Solicitudes de acceso del sujeto
Todas las personas físicas que son objeto de datos personales en posesión de MuuFotos tienen derecho a:
• Pregunte qué información tiene la empresa sobre ellos y por qué.
• Pregunte cómo se puede acceder a ella.
• Infórmese de cómo mantenerlo al día.
• Estar informado de cómo la empresa cumple con sus obligaciones de protección de datos.
Si un individuo se pone en contacto con la empresa para solicitar esta información, se denomina solicitud de acceso del sujeto.
Las solicitudes de acceso de los particulares deben hacerse por correo electrónico, dirigido al responsable del tratamiento de datos en info@bentleyphoto.com. El responsable del tratamiento puede proporcionar un formulario de solicitud estándar, aunque los particulares no están obligados a utilizarlo.
El responsable del tratamiento intentará proporcionar los datos pertinentes en un plazo de 14 días.
El responsable del tratamiento de datos siempre verificará la identidad de cualquier persona que presente una solicitud de acceso al sujeto antes de entregar cualquier información.
Divulgación de datos por otros motivos
En determinadas circunstancias, el Reglamento General de Protección de Datos permite revelar datos personales a las fuerzas del orden sin el consentimiento del interesado.
En estas circunstancias, MuuFotos revelará los datos solicitados. No obstante, el responsable del tratamiento se asegurará de que la solicitud es legítima, solicitando la ayuda del consejo de administración y de los asesores jurídicos de la empresa cuando sea necesario.
Proporcionar información
MuuFotos pretende garantizar que las personas sean conscientes de que sus datos están siendo tratados, y que lo entiendan:
• Cómo se utilizan los datos
• Cómo ejercer sus derechos