Antecedentes
Newby Leisure Limited necesita recopilar información identificable sobre personas físicas para llevar a cabo sus funciones y cumplir sus objetivos. Los datos personales se definen como "información que se refiere a una persona viva y a partir de la cual puede ser identificada, directa o indirectamente".
Los datos personales en Newby Leisure Limited pueden incluir empleados (actuales, pasados y futuros), contratistas y terceros, información privada y confidencial, así como información sensible, ya sea en papel, electrónica o de otro tipo.
Independientemente de cómo se recopile, registre y procese la información, la información identificable de las personas debe tratarse adecuadamente para garantizar el cumplimiento de la Ley de Protección de Datos (LOPD) de 1998 y el próximo Reglamento General de Protección de Datos (RGPD).
La DPA exige que Newby Leisure Limited cumpla los ocho Principios de Protección de Datos (véase el Apéndice A más abajo) y que notifique al Comisario de Información los datos que poseemos y por qué los poseemos. Se trata de una notificación formal que se renueva anualmente.
La DPA otorga derechos a los interesados (personas sobre las que tenemos información) para acceder a su propia información personal, corregirla si es errónea, pedirnos que dejemos de utilizarla en determinadas circunstancias permitidas y reclamar daños y perjuicios si la utilizamos indebidamente.
El tratamiento legal y correcto de la información personal por parte de Newby Leisure Limited es primordial para el éxito de la organización y para mantener la confianza de sus usuarios y empleados. Esta política ayudará a Newby Leisure Limited a garantizar que toda la información personal sea tratada y procesada de forma legal y correcta.
Ley de protección de datos y principios del GDPR
Newby Leisure Limited tiene la obligación legal de cumplir toda la legislación pertinente en materia de protección de datos y seguridad de la información/TI. La organización también tiene el deber de cumplir con las directrices emitidas por los grupos consultivos y organismos profesionales.
Toda la legislación relativa al derecho de una persona a la confidencialidad de su información y las formas en que esto puede lograrse y mantenerse son primordiales para Newby Leisure Limited. En caso de incumplimiento, pueden imponerse sanciones importantes a la organización o a sus empleados.
El objetivo de esta política es describir cómo Newby Leisure Limited cumple con sus obligaciones legales para salvaguardar la confidencialidad y se adhiere a las normas de seguridad de la información. Las obligaciones de la política se basan principalmente en los requisitos de la Ley de Protección de Datos de 1998 y el próximo GDPR, como las disposiciones legislativas y reglamentarias clave que rigen la seguridad de la información personal identificable.
En el Apéndice B se incluye un breve resumen de otra legislación y orientaciones pertinentes a las que se hace referencia y que deben leerse junto con esta política.
1. Qué información está cubierta?
Los datos personales en el marco de la legislación y las disposiciones reglamentarias respectivas abarcan "cualquier dato que pueda utilizarse para identificar a una persona viva, ya sea directa o indirectamente". Las personas pueden ser identificadas por diversos medios, entre ellos su dirección, número de teléfono o dirección de correo electrónico. Los datos anonimizados o agregados no están regulados por las disposiciones, siempre que la anonimización o agregación de los datos sea irreversible.
2. Declaración política
El presente documento define la política de protección de datos de NEWBY LEISURE LIMITED. Se aplica a toda la información identificable obtenida y procesada por la organización y sus empleados.
Establece:
La política de la organización para la protección de toda la información identificable de las personas que se procesa
Establece las responsabilidades (y las mejores prácticas) para la protección de datos
Refiere los principios clave de la Ley de Protección de Datos de 1998 y el GDPR
Principios
.
El objetivo de esta política es garantizar la protección de la información de NEWBY LEISURE LIMITED de conformidad con la legislación pertinente, a saber:
3. Para garantizar la notificación;
Notificar anualmente al Comisionado de Información sobre el uso que NEWBY LEISURE LIMITED hace de la información personal identificable.
4. Garantizar la profesionalidad;
Toda la información se obtiene, conserva y procesa de manera profesional, de conformidad con los ocho principios de la Ley de Protección de Datos de 1998 y las disposiciones del GDPR.
5. Para preservar la seguridad;
Toda la información se obtiene, conserva, divulga y elimina de forma segura.
6. Garantizar la sensibilización;
Impartir formación adecuada y promover la sensibilización para informar a todos los empleados de sus responsabilidades.
7. Acceso del interesado;
Respuestas rápidas y fundamentadas a las solicitudes de acceso de los interesados.
La política será revisada periódicamente por el equipo directivo de NEWBY LEISURE LIMITED. Cuando sea necesario revisar y actualizar la política debido a cambios legislativos, se hará inmediatamente.
De acuerdo con la declaración de política de igualdad y diversidad de NEWBY LEISURE LIMITED, este procedimiento no discriminará, ni directa ni indirectamente, por motivos de género, raza, color, origen étnico o nacional, orientación sexual, estado civil, religión o creencias, edad, afiliación sindical, discapacidad, antecedentes delictivos o cualquier otra característica personal.
2. Ámbito de aplicación de esta política
Esta política garantizará que la información personal sea procesada, tratada, transferida, divulgada y eliminada legalmente. La información personal debe ser tratada de la forma más segura posible, únicamente por personal autorizado y en función de la necesidad de conocerla.
Los procedimientos cubren toda la información personal identificable, ya sea electrónica o en papel, que pueda referirse a empleados, contratistas y terceros sobre los que tengamos información.
2. Política
NEWBY LEISURE LIMITED obtiene y procesa información de identificación personal para una variedad de propósitos diferentes, incluyendo pero no limitado a:
Registros de personal y registros administrativos
Asuntos relacionados con la prevención, detección e investigación del fraude y la corrupción en el Servicio Nacional de Salud y en el servicio sanitario en general
Quejas y solicitudes de información.
Asuntos relacionados con la prevención, detección e investigación del fraude y la corrupción en el Servicio Nacional de Salud y en el servicio sanitario en general.
Derechos individuales
Derecho a ser informado
Proporcionar "información sobre el tratamiento justo" y hacer hincapié en la necesidad de transparencia.
Derecho de acceso
Las personas tienen derecho a acceder a sus datos personales. El derecho de acceso permite a las personas conocer y comprobar la legitimidad del tratamiento de sus datos personales.
Derecho de rectificación
El RGPD otorga a las personas el derecho a modificar sus datos personales si éstos son inexactos o incompletos.
El derecho al borrado
Comúnmente conocido como "derecho al olvido". Permite a las personas solicitar la supresión o eliminación de datos personales cuando no hay razones de peso para seguir procesándolos.
Derecho a restringir el tratamiento
El derecho de una persona a bloquear el tratamiento de sus datos personales. Restringir el desarrollo de cualquier proceso: puede almacenar los datos, pero no puede continuar con el proceso.
Derecho de oposición
Las personas físicas tienen derecho a oponerse a : la venta directa y el tratamiento con fines de investigación científica/histórica y estadística. (incluida la elaboración de perfiles)
Dicha información podrá conservarse en registros informáticos o manuales. En el tratamiento de estos datos personales, NEWBY LEISURE LIMITED respetará los principios de protección de datos de la Ley de protección de datos de 1998.
3. Responsabilidades en materia de protección de datos
Responsabilidades generales
Los miembros del Consejo de Administración de NEWBY LEISURE LIMITED, denominados colectivamente "responsables del tratamiento de datos", permiten al personal de la organización utilizar ordenadores y sistemas de archivo pertinentes (registros manuales) en relación con sus funciones. Los miembros del Consejo de Administración de NEWBY LEISURE LIMITED son legalmente responsables del proceso de notificación y del cumplimiento de la Ley de Protección de Datos de 1998.
Los miembros del Consejo de Administración de NEWBY LEISURE LIMITED, aunque conservan sus responsabilidades legales, han delegado el cumplimiento de la protección de datos en el Responsable de Protección de Datos.
Las responsabilidades del Responsable de Protección de Datos se han asignado al Responsable de Gobernanza de la Información y Gestión de Riesgos de la organización. Responsabilidades del responsable de protección de datos (RPD)
Las responsabilidades del responsable de protección de datos incluyen:
Asegurarse de que la política se elabora y se mantiene actualizada
Asegurarse de que NEWBY LEISURE LIMITED adopta y sigue las prácticas y procedimientos adecuados.
Proporcionar asesoramiento y apoyo al Consejo sobre cuestiones de protección de datos dentro de la organización.
Trabajar en colaboración con Desarrollo Organizativo y Gobernanza y Aseguramiento para ayudar a establecer el estándar de formación sobre protección de datos para el personal.
Asegurar que la notificación de protección de datos a la Oficina del Comisionado de Información se revise, mantenga y renueve anualmente para todo uso de información identificable de personas.
Asegurar el cumplimiento de los derechos individuales, incluidas las solicitudes de acceso de los sujetos.
Actuar como punto central de contacto en cuestiones de protección de datos dentro de la organización.
Implantar un marco eficaz para la gestión de la protección de datos.
Asegurar que el Consejo de Administración esté informado sobre la protección de datos dentro de la organización.
Responsabilidades de los jefes de línea
Todos los directivos de Newby Leisure Limited son directamente responsables de:
Asegurarse de que su personal conoce esta política y cualquier aviso
Asegurarse de que su personal conoce sus responsabilidades en materia de protección de datos
Asegurarse de que su personal recibe una formación adecuada en materia de protección de datos
.
Responsabilidades generales
Todos los empleados de NEWBY LEISURE LIMITED, incluido el personal temporal y contratado, están sujetos al cumplimiento de esta política. En virtud del GDPR, las personas pueden ser consideradas personalmente responsables de las infracciones en materia de protección de datos.
Todos los empleados de NEWBY LEISURE LIMITED tienen la responsabilidad de informar a los responsables de su unidad de negocio y al responsable de protección de datos de cualquier nuevo uso de datos personales, tan pronto como sea razonablemente posible después de que se haya identificado.
Todos los empleados de NEWBY LEISURE LIMITED, al recibir una solicitud de una persona sobre la información que poseen, conocida como solicitud de acceso de un sujeto o preocupaciones sobre el tratamiento de información personal, lo notificarán inmediatamente al Responsable de Gobernanza de la Información.
Los empleados deben seguir el procedimiento de solicitud de acceso (véase el Apéndice C).
4. Supervisión
El cumplimiento de esta política será supervisado por el equipo de Finanzas y Gobernanza Corporativa, junto con revisiones de auditoría interna cuando sea necesario.
El Responsable de Gobernanza de la Información y Gestión de Riesgos es responsable de la supervisión, revisión y actualización de este documento de política anualmente o antes, si fuera necesario.
5. Validez de la presente política.
Esta política se revisará al menos una vez al año bajo la autoridad de los miembros del Consejo de Administración de NEWBY LEISURE LIMITED. Las normas de protección de datos asociadas serán objeto de un programa continuo de desarrollo y revisión.
Apéndice A - Ley de protección de datos de 1998 - Principios de protección de datos
Los datos personales se tratarán de manera leal y lícita.
Los datos personales se obtendrán para uno o varios fines determinados y lícitos, y no se tratarán posteriormente de manera incompatible con ese fin o esos fines.
Los datos personales serán adecuados, pertinentes y no excesivos en relación con el fin o los fines para los que se traten.
Los datos personales serán exactos y, cuando sea necesario, se mantendrán actualizados.
Los datos personales tratados para cualquier fin o fines no se conservarán durante más tiempo del necesario para ese fin o esos fines.
Los datos personales se tratarán de conformidad con los derechos de los interesados en virtud de la presente Ley.
Se adoptarán medidas técnicas y organizativas apropiadas contra el tratamiento no autorizado o ilícito de datos personales y contra la pérdida o destrucción accidental de datos personales o los daños causados a los mismos.
Apéndice B - Resumen de la legislación y las orientaciones pertinentes
Reglamento General de Protección de Datos (RGPD)
Antes de poder procesar datos personales, debe identificarse y documentarse una base jurídica. Los "responsables del tratamiento" y los "encargados del tratamiento" deberán documentar las decisiones y mantener registros de las actividades de tratamiento.
Ley de Derechos Humanos de 1998
Esta ley obliga a las autoridades públicas, incluidas las autoridades sanitarias, los consorcios y los grupos de atención primaria, a respetar y proteger los derechos humanos de las personas. Esto incluye el derecho a la intimidad (artículo 8) y el derecho del usuario a la confidencialidad de su información en todo momento.
El artículo 8 de la ley establece que "toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia". Sin embargo, este artículo también establece que "no podrá haber injerencia de la autoridad pública en el ejercicio de este derecho, sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás".
Cada organización debe actuar de forma coherente con estos requisitos. Debe tener en cuenta los derechos de las personas a la hora de compartir información personal sobre ellas.
Ley de libertad de información de 2000
Esta ley otorga a los particulares derechos de acceso a la información en poder de las autoridades públicas.
Ley de Regulación de los Poderes de Investigación de 2000
Esta ley combina normas relativas al acceso a información electrónica protegida y revisa la "Ley de interceptación de comunicaciones de 1985". El objetivo de la ley era modernizar la regulación jurídica de la interceptación de las comunicaciones, a la luz de la legislación sobre derechos humanos y de la rápida evolución de la tecnología.
Ley de delincuencia y desórdenes de 1998
Esta ley introduce medidas para reducir la delincuencia y los desórdenes, incluida la introducción de asociaciones locales contra la delincuencia en torno a los límites de las autoridades locales para formular y aplicar estrategias de reducción de la delincuencia y los desórdenes en esa zona local.
La Ley permite la divulgación de información identificable a la policía, las autoridades locales, el servicio de libertad condicional o el servicio de salud, pero sólo si los fines se definen en la Ley sobre delincuencia y desórdenes. La Ley no impone la obligación legal de divulgar información identificable y la responsabilidad de la divulgación recae en la organización que posee la información.
Ley de uso indebido de ordenadores de 1990
Esta Ley tipifica como delito el acceso a cualquier parte de un sistema informático, programas y/o datos a los que un usuario no tenga derecho a acceder. NEWBY LEISURE LIMITED asigna a cada empleado un identificador de usuario y una contraseña individuales que sólo serán conocidos por el individuo y no deben ser divulgados a otros miembros del personal. Con ello se pretende proteger al empleado de la posibilidad de que infrinja inadvertidamente esta Ley.
NEWBY LEISURE LIMITED cumplirá los requisitos de la Ley de Uso Indebido de Ordenadores de 1990, asegurándose de que su personal es consciente de sus responsabilidades en relación con el uso indebido de ordenadores para actividades fraudulentas u otros beneficios personales. Se considerará que cualquier miembro del personal que haya contravenido esta Ley ha cometido una falta disciplinaria y será tratado en consecuencia.
Reglamento sobre telecomunicaciones (prácticas comerciales lícitas) (interceptación de comunicaciones) de 2000
Esta ley permite a los empresarios interceptar y grabar comunicaciones en determinadas circunstancias prescritas con fines de control legítimo, sin necesidad de obtener el consentimiento de las partes en la comunicación.
Gestión de la seguridad de la información: Código de buenas prácticas de NEWBY LEISURE LIMITED
Las directrices proporcionan un marco para una gestión coherente y eficaz de la seguridad de la información que se basa tanto en los riesgos como en las normas y está plenamente integrada con otras áreas clave de la gobernanza de la información de NEWBY LEISURE LIMITED. Sin una seguridad eficaz, los activos de información de NEWBY LEISURE LIMITED pueden dejar de ser fiables y dignos de confianza, pueden no ser accesibles donde o cuando se necesiten, o pueden verse comprometidos por terceros no autorizados.
Confidencialidad: Código de Buenas Prácticas de NEWBY LEISURE LIMITED
Proporciona a los organismos de NEWBY LEISURE LIMITED orientaciones sobre las prácticas que deben seguir las personas que trabajan en las organizaciones de NEWBY LEISURE LIMITED o contratadas por éstas en relación con la confidencialidad y el consentimiento para el uso de sus datos personales.
Manual de Caldicott Guardian 2017
Proporciona directrices relativas a la puesta en común de información identificable por la persona y aboga por el nombramiento de miembros de alto nivel de la organización para esta función, con el fin de garantizar la adhesión a los principios.
Gestión de registros: Código de Buenas Prácticas de NEWBY LEISURE LIMITED
El código actúa como guía de los estándares de práctica requeridos en la gestión de registros para aquellos que trabajan dentro o bajo contrato con organizaciones de NEWBY LEISURE LIMITED en Inglaterra. Se basa en los requisitos legales vigentes y en las mejores prácticas profesionales.
Orientaciones del Comisario de Información - Uso y divulgación de datos sanitarios
Estas orientaciones se refieren a la aplicación de la Ley en relación con el tratamiento de la información contenida en los "historiales médicos".
Apéndice C - Proceso de solicitud de acceso del sujeto
Las solicitudes de acceso son gratuitas. El procedimiento a seguir para las solicitudes se detalla en el Apéndice C.