Integritetspolicy

Introduktion

Detta dokument är ett uttalande om företagets integritetspolicy och tillhandahålls med avsikt att uppfylla din rätt att bli informerad enligt den allmänna dataskyddsförordningen. Denna policy gäller för alla vi interagerar med, inklusive anställda, kunder och potentiella kunder.

Vem är vi?

Vi handlar som The Masters Golf Company Limited och andra relaterade företag som vi hänvisar till som 'Masters' och av enkelhetsskäl, när denna policy hänvisar till 'företaget', 'vi' och 'oss', betyder detta: - Masters och dess varumärken.

Juridiska skyldigheter

Det finns flera skäl till varför vi kan samla in och behandla dina personuppgifter enligt dataskyddslagen.

Dessa inkluderar samtycke, avtalsenliga skyldigheter, juridisk efterlevnad och berättigat intresse.

Samtycke

Vid vissa tillfällen kan vi samla in och behandla dina uppgifter med ditt samtycke.

Till exempel kan du be oss att hålla dig informerad om eventuella specialerbjudanden osv.

Avtalsenliga skyldigheter

Under vissa omständigheter behöver vi dina personuppgifter för att uppfylla våra avtalsenliga skyldigheter.

Till exempel, när du lägger en beställning hos oss kommer vi att samla in dina adressuppgifter och vidarebefordra dem till vår kurir för att leverera ditt köp. Vi kommer också att vidarebefordra fakturan till dig, elektroniskt.

Juridisk efterlevnad

Om lagen kräver det, kan vi behöva samla in och behandla dina uppgifter

Till exempel kan vi vidarebefordra uppgifter om personer som är involverade i bedrägeri eller annan brottslig verksamhet a

Till exempel kan vi vidarebefordra uppgifter om personer som är involverade i bedrägeri eller annan brottslig verksamhet som påverkar företaget till brottsbekämpande myndigheter.

Berättigat intresse

I specifika situationer behöver vi dina uppgifter för att driva våra berättigade intressen på ett sätt som rimligen kan förväntas som en del av att driva vår verksamhet och som inte väsentligt påverkar dina rättigheter, friheter eller intressen.

Till exempel kan vi använda din köphistorik för att skicka dig eller göra tillgängliga personliga erbjudanden.
Vi kommer också att kombinera köphistoriken för många kunder för att identifiera trender och säkerställa att vi kan hålla jämna steg med efterfrågan eller utveckla nya produkter eller tjänster.

Denna policy gäller för lagring och behandling av personuppgifter i alla former, oavsett om det är manuellt eller elektroniskt och inkluderar all personalverksamhet och funktioner i företaget.

Den gäller för personuppgifter om nuvarande och tidigare anställda, lärlingar, heltids-, tillfälliga och tillfälliga arbetare, jobbsökande, praktikanter, volontärer och entreprenörer (individer).

Masters är engagerade i att säkerställa att personuppgifter, inklusive särskilda kategorier av personuppgifter och uppgifter om brottsliga handlingar, behandlas i enlighet med GDPR och eventuell relaterad brittisk lagstiftning, och att alla individer följer kraven i denna och andra relaterade policyer. Företaget förstår att det är ansvarigt för databehandlingen av personuppgifter och att alla tredje parter som behandlar personuppgifter på uppdrag av företaget vidtar de åtgärder som krävs för att uppfylla företagets skyldigheter och åtaganden för att skydda personuppgifter.

Företaget har utsett en dataskyddsombud som ansvarar för efterlevnaden av dataskydd inom företaget. Denna person har ansvar för behandlingen och kontrollen av personuppgifter som företaget innehar, granskning och översyn av dataskyddsprocesser, system och procedurer och säkerställande av att all data skyddas.
Dataskyddsombudet kan kontaktas genom att ringa 01275 815200 eller via e-post till dpo@masters.co.uk.

Definitioner

Personuppgifter: är all information som rör en individ som kan identifieras direkt eller indirekt från den informationen. Detta kan vara individens namn, något identifikationsnummer, kod eller information som kan leda till att de identifieras eller deras plats.

Databehandling: är all användning som görs av personuppgifterna, oavsett om det är insamling, lagring, ändring, registrering, utlämnande med något medel eller förstörelse av personuppgifterna. Att inneha data, i sig, är databehandling.

Särskilda kategorier av personuppgifter: betyder data om en individs hälsa, ras, etniskt ursprung, sexliv, sexuell läggning, religion, filosofiska övertygelser, politiska åsikter, fackligt medlemskap, genetiska och biometriska data.

Uppgifter om brottsliga handlingar: är data om en individs brottsliga fällande domar, brott, eventuella anklagelser eller rättsliga förfaranden.
 

Hur vi kommer att använda din personliga information för affärsaktiviteter: -

• att administrera och hantera vår relation med dig, inklusive att upprätta och underhålla din kontofacilitet;
• att behandla beställningar från dig för varor och tjänster;
• att hantera eventuella förfrågningar vi får från dig;
• för syftet med eventuell korrigerande åtgärd (inklusive en produktåterkallelse) som kan krävas avseende några av de produkter vi tillhandahåller till dig;
• att följa tillämpliga lagar, förordningar och regler;
• att ge dig detaljer om våra produktutbud, tjänster och kampanjer;
• att informera dig om förändringar i vad vi gör;
• att genomföra kontroller med kreditreferensbyråer från tid till annan (till exempel vid fullföljande av en handelskontots ansökningsformulär eller en begäran om att ändra en kreditgräns); och
• för syftet med att återvinna en skuld vid utebliven betalning.
   

 Vi är kontrollant och vi är också processor av denna information. Dessa uppgifter har samlats in med ditt samtycke från din tidigare givna information, din mottagning av marknadsföringskommunikation från oss och/eller ditt köp eller intresse för våra produkter och tjänster.

Du kan e-posta vårt dataskyddsombud på dpo@masters.co.uk eller ringa 01275 815200

Dina uppgifter kommer att användas för att fortsätta ge dig detaljer och information relaterad till de produkter och tjänster som erbjuds av Masters och dess varumärken. Detta görs på grundval av ditt fortsatta samtycke. Om du återkallar ditt samtycke kommer dina uppgifter att behållas och läggas till våra 'Avprenumererade användare'-listor så att vi är medvetna om att inte längre ge dig detaljer och information relaterad till våra produkter och tjänster.

Dina uppgifter kommer att sparas tills dess att du begär att vi inte längre ska ge dig detaljer och information relaterad till våra produkter och tjänster och under en ytterligare period därefter av 6 år. Denna period har fastställts för att skydda vår organisation i händelse av klagomål eller krav på avtalsbrott eller krav på professionell vårdslöshet. Om ett sådant krav har lämnats in kommer uppgifterna att behållas under en period av 6 år efter att kravet har lösts och i 6 år efter att eventuella ytterligare krav har lösts. Denna period har fastställts för att skydda organisationen i händelse av krav på professionell vårdslöshet eller avtalsbrott i händelse av att vi använder representation för att försvara eventuella krav.

Dataskyddsprinciper

Alla personuppgifter som erhållits och hålls av företaget kommer att behandlas enligt följande dataskyddsprinciper. Företaget kommer att:

• behandla personuppgifter rättvist, lagligt och på ett transparent sätt,
• erhålla personuppgifter endast för specifika, explicita och legitima syften,
• behandla personuppgifter endast där det är adekvat, relevant och begränsat till vad som är nödvändigt för syftet med behandlingen,
• hålla korrekta personuppgifter och vidta rimliga åtgärder för att korrigera felaktiga personuppgifter eller radera dem utan dröjsmål
• endast behålla personuppgifter under den tid som är nödvändig för behandlingen och inte längre än vad som är nödvändigt för det angivna syftet,
• säkerställa att personuppgifter hålls säkert och skyddas från obehörig eller olaglig behandling, oavsiktlig förlust, förstörelse eller skada,
• säkerställa att eventuella personuppgifter som överförs till något land utanför det europeiska ekonomiska området (EEA) kommer att baseras på de nödvändiga GDPR-förfarandena för internationell överföring av personuppgifter.

Individuella dataskyddsrättigheter

Företaget erkänner att individer har dataskyddsrättigheter och åtar sig att personuppgifter kommer att behandlas i enlighet med dessa rättigheter. Individer har rätt:

 

• att bli informerade om sina dataskyddsrättigheter
• att bli informerade om skälen för databehandling, den rättsliga grunden för vilken data behandlas, hur företaget använder och skyddar data, källan till informationen om den inte har tillhandahållits av individen och de tidsperioder som informationen kommer att hållas,
• att göra en begäran om tillgång till sina uppgifter,
• att få eventuella felaktigheter i informationen korrigerade (rättade) omedelbart,
• att få information raderad eller utplånad,
• att stoppa databehandlingen om individens intressen överväger företagets legitima grunder för att behandla data (där detta är/var skälet till att behandla data)
• att stoppa databehandlingen under en tidsperiod där data är felaktiga eller där det finns en tvist om huruvida individens intressen överväger företagets legitima grunder för att behandla data.
• att stoppa behandlingen eller kräva radering av data där behandlingen är olaglig
• att klaga till informationskommissionären om individen anser att företaget inte har efterlevt individens dataskyddsrättigheter
• att informeras om till vem individens data kan avslöjas, om sådana mottagare är belägna inom eller utanför EEA och de skyddsåtgärder som gäller för sådana överföringar,
• att veta om företaget använder någon automatiserad beslutsfattande eller profilering av personuppgifter och den logiska grunden för sådan beslutsfattande.

Företagets åtgärder för att genomföra dataskydd

Företaget har utsett en eller flera individer som ansvariga för att genomföra företagets skyldigheter och ansvar för dataskydd som beskrivs ovan.

Företaget kommer att hålla register över, och redovisaunt för, de personuppgifter som har samlats in och hålls, varifrån uppgifterna har erhållits, med vem de delas, eller kommer att delas, och behandlingen av personuppgifter som företaget genomför.

Företaget kommer att informera alla berörda individer om deras rättigheter till dataskydd enligt GDPR och denna policy som krävs och genom att tillhandahålla en Integritetsmeddelande om det är lämpligt.

Företaget kommer att utbilda individer om vikten av skydd av personuppgifter och hur man implementerar företagets skyldigheter och ansvar i sitt arbete och upprätthåller konfidentialiteten för personuppgifter.

Företaget kommer att granska sin hantering av personuppgifter, genomföra riskbedömningar och införa processer och procedurer för att minimera risken för dataintrång eller felaktig hantering av personuppgifter. För detta ändamål kommer företaget att införa relevanta interna policyer, procedurer, processer och kontroller för att skydda personuppgifter från förlust, oavsiktlig förstörelse, missbruk eller avslöjande. Detta kommer att inkludera policyer och procedurer för att säkerställa att personuppgifter inte får åtkomst av någon annan än de individer som har den nödvändiga tillåtelsen och befogenheten att göra det i korrekt utförande av sina plikter för företaget.

Om företaget beslutar att använda en tredje part eller organisation för att behandla personuppgifter å sina vägnar, kommer det att genomföra lämpliga standarder, policyer och procedurer för att göra det, vilket kommer att inkludera skriftliga avtal med den tredje parten som kommer att inkludera åtaganden om konfidentialitet och säkerhet samt kravet på att genomföra lämpliga tekniska och andra åtgärder för att säkerställa dataskyddet.

Företaget förstår och kommer att genomföra sina skyldigheter att erhålla samtycke från individer för att erhålla, hålla, använda och dela deras personuppgifter. Vidare förstår företaget att sådant samtycke måste ges fritt, informerat, specifikt och entydigt. Det erkänner också att individer har rätt att återkalla sådant samtycke när som helst.

Företaget har infört och kommer att upprätthålla de nödvändiga processerna och procedurerna för att upptäcka, undersöka och rapportera misstänkta eller faktiska dataintrång och att det måste rapportera allvarliga intrång som kan eller kommer att orsaka betydande skada för berörda individer till Informationskommissionären. Företaget förstår konsekvenserna av sådana dataintrång.

Ämnesåtkomstförfrågningar

Individer har rätt att göra en ämnesåtkomstförfrågan, vilket är en begäran om att få tillgång till de uppgifter som företaget har om den individen. Om en individ gör en ämnesåtkomstförfrågan kommer företaget att tillhandahålla följande information:

• En kopia av de personuppgifter som företaget har och behandlar,
• De kategorier av personuppgifter som behandlas och varför de behandlas,
• Källan till personuppgifterna om de inte har tillhandahållits av individen
• Den tidsperiod som personuppgifterna lagras eller kommer att lagras,
• Individens rätt att korrigera eventuella felaktigheter (rättelse) eller radera någon av uppgifterna (radering) eller att begränsa eller motsätta sig behandlingen,
• Rätten att klaga till Informationskommissionären om individen anser att företaget har misslyckats med att följa deras rättigheter till dataskydd,
• Huruvida företaget använder automatiserat beslutsfattande i behandlingen av uppgifterna och i så fall, logiken bakom sådant automatiserat beslutsfattande.

För att göra en ämnesåtkomstförfrågan bör individen kontakta dataskyddsombudet genom att ringa 01275 815200 eller skicka e-post till dpo@masters.co.uk och tillhandahålla fullständiga detaljer om begäran. I vissa fall kan företaget begära bevis på identitet innan en begäran behandlas. Om så är fallet kommer individen att informeras om detaljerna för de dokument som krävs.

Företaget kommer att svara på en begäran utan dröjsmål. Med förbehåll för eventuella lagligt tillåtna undantag kommer företaget att svara inom en månad efter en begäran, men detta kan förlängas till tre månader totalt om det finns flera begärningar eller om de är komplexa. Om så är fallet kommer företaget att skriva till individen inom en månad efter att ha mottagit begäran för att informera dem om att svaret kommer att ges inom en maximal period av tre månader.

Företaget kommer inte att ta betalt för att svara på en ämnesåtkomstförfrågan om inte begäran är uppenbart ogrundad eller överdriven eller det finns en begäran om ytterligare, duplicerade kopior som ska skickas till personer utanför den individ som gör begäran. Vidare, där en begäran är uppenbart ogrundad eller överdriven, är företaget inte skyldigt att svara på den, eller kan svara på den men ta ut en avgift relaterad till de administrativa kostnaderna för att svara på begäran. Där så är fallet kommer företaget att informera individen som gör begäran om den metod det avser att använda angående begäran.

Där en individ anser att de uppgifter som företaget har och behandlar är felaktiga, måste de informera företaget så snart som möjligt. Företaget kommer att rätta informationen utan dröjsmål.

Dataintrång

Om företaget upptäcker att ett dataintrång har inträffat och intrånget är sådant att det sannolikt riskerar rättigheterna och friheterna för individer, kommer sådant intrång att rapporteras till Informationskommissionären inom 72 timmar efter att företaget blivit medvetet om intrånget. Det kan vara nödvändigt att rapportera något sådant intrång i flera steg eller avbetalningar. En registrering av alla intrång kommer att upprätthållas.

Om ett dataintrång sannolikt kommer att resultera i en hög risk för rättigheterna och friheterna för individer, kommer företaget att informera de berörda individerna.

Internationell datatransfer

Personuppgifter överförs också till länder utanför EES för behandling av löner till individer baserade inom det relevanta landet. Eftersom vi också handlar med kunder utanför EES kommer vi att hålla och behandla data, med samma skyddsprinciper som beskrivits ovan.

Avslöjande av data

Från tid till annan kan det vara nödvändigt för företaget att avslöja personuppgifter till andra personer eller organisationer. Sådant avslöjande kommer endast att göras där detta måste göras för det nödvändiga syftet. Sådant avslöjande kan göras av olika skäl som kan inkludera:

• Lagstadgade lönekrav
• HR-hantering och administration
• Administrering av anställdas förmåner där denna tjänst tillhandahålls av en tredje part
• Fastställande av var rimliga justeringar krävs för en anställd med funktionsnedsättning
• Pensions- och försäkringsplanadministration
• Anställdas hälsodata för att uppfylla företagets skyldigheter angående hälsa och säkerhet

Utbildning

Företaget kommer att ge individer utbildning om dataskydd, konfidentialitet och eventuella åtgärder de bör vidta i händelse av ett dataintrång. Denna information kommer att ges till individer under företagets introduktion och utbildningssessioner.

Alla individer som är skyldiga att använda företagets datorsystem, för att genomföra denna policy, svara på ämnesåtkomstförfrågningar eller har tillgång till konfidentiella och personuppgifter kommer att utbildas för att skydda personuppgifter för att säkerställa att de förstår sina skyldigheter och ansvar. De kommer att utbildas om sina personliga ansvar och konsekvenserna för dem och företaget för eventuella dataintrång eller personliga misslyckanden att upprätthålla företagets policyer och procedurer.

Anställdas ansvar för dataskydd

Varje anställd har ett personligt ansvar att hjälpa till att hålla personuppgifter säkra och skyddade och att följa kraven i GDPR. Alla anställda måste upprätthålla de krav som ställs på företaget för dataskydd. Det är varje anställds ansvar att skydda alla personuppgifter som de kommer i kontakt med, de håller, eller för vilka de är ansvariga å företagets vägnar. I synnerhet måste du följa och genomföra bestämmelserna i företagets integritetsmeddelanden och dataskyddspolicy tillsammans med eventuella andra policyer och procedurer som företaget kan införa för att skydda data och personuppgifter i synnerhet.

Där en individ har tillgång till personuppgifter, måste de:

• Hålla data säkra genom att använda lösenordsskydd och den säkra fillagring som tillhandahålls av företaget hela tiden,
• Aldrig missbruka lösenord genom att avslöja lösenord för andra, särskilt för dem som inte är auktoriserade att ha tillgång till sådana lösenord eller den information som kan nås med hjälp av lösenordet,
• Endast få åtkomst till sådan information som de är auktoriserade att få åtkomst till och endast för det syfte för vilket sådan auktoriserad åtkomst beviljades,
• Aldrig avslöja personuppgifter för andra som inte är auktoriserade att få tillgång till sådana uppgifter,
• Säkerställa att all skriftlig information eller filer (oavsett om de är elektroniska eller pappersbaserade) som innehåller konfidentiell information hålls säkert och inte kan ses eller nås av individer som inte har befogenhet att läsa eller få tillgång till dem,
• Säkerställa att alla personuppgifter som registreras i företagets register är korrekta,
• Aldrig hålla personuppgifter på transportabla datalagringsenheter, såsom bärbara datorer, USB-minnen, bärbara säkerhetskopieringsdiskar eller i "moln"-baserad lagring utan uttrycklig tillåtelse från företaget. När sådan tillåtelse beviljas, måste sådana data lagras på ett säkert sätt, som föreskrivs av företaget men i alla fall måste de vara krypterade. Den fysiska säkerheten för de bärbara enheterna måste också skyddas för att säkerställa att de inte kan stjälas.
• Aldrig ta bort personuppgifter eller någon bärbar enhet som innehåller personuppgifter från företagets lokaler utan uttrycklig tillåtelse från företaget och om så är auktoriserat, säkerställa att alla data lagras säkert som föreskrivs av företaget och är krypterade.

 

Eventuell anställd som befinns ha misslyckats med att tillämpa företagets dataskyddspolicy eller på något sätt skadat, förlorat, avslöjat eller avslöjat några personuppgifter för någon obehörig person eller organisation kommer att vara i brottav företagets policy och kommer att vara föremål för disciplinära åtgärder, vilket, beroende på brottets art, kan betraktas som grov misskötsel och leda till avsked utan uppsägning. Sådan avslöjande kan också behandlas som ett brott.