Travelex Richtlinien zum Datenschutz, Schutz des Persönlichkeitsrechts und Informationssicherheit

Transkript

1 Während Ihrer Beschäftigung bei Travelex werden Sie in der Regel mit Informationen über unsere Kunden, Geschäftspartner sowie Mitarbeiter in Kontakt kommen. Die Stufen und Sensibilität der Information hängt von Ihrer Position ab. Jedes Land, in dem Travelex vertreten ist, hat in irgendeiner Form ein Gesetz zum Datenschutz oder Schutz des Persönlichkeitsrechtes. Die Komplexität und die Anforderungen dieser Gesetze variieren von Land zu Land einige sind sehr strikt, andere weniger. Um die Einhaltung der Anforderungen auf globaler Ebene einfacher zu regeln, hat Travelex verschiedene Richtlinien und Standards entwickelt, die für alle zu verarbeitenden personenbezogenen Informationen gelten. Hierbei gibt es aufgrund der länderbezogenen Vorgaben natürlich einige Ausnahmen, die in den Ausnahmeregeln festgelegt werden. Sie werden eine Ihrer Position entsprechende Schulung zum Datenschutz und Schutz des Persönlichkeitsrechtes erhalten. Im Folgenden finden Sie einige Grundregeln, die Sie beachten müssen: Was sind personenbezogene Informationen? Personenbezogene Informationen sind jede Art von Daten, anhand derer eine natürliche Person identifiziert werden kann, oder auch Daten, die zu anderen Daten hinzugefügt werden, um damit eine natürliche Person zu ermitteln. Dies beinhaltet Audio Dateien, Aufnahmen von Überwachungskameras (CCTV), Kundendatenbanken und Personalakten. Personenbezogene Informationen sind auch als Persönliche Daten und Informationen zur Identität einer Person bekannt. Wer ist verantwortlich für die Einhaltung der Gesetze zum Datenschutz und Schutz der Persönlichkeitsrechte? Als Verwalter oder Besitzer von personenbezogenen Daten hat Travelex die gesetzliche Pflicht als datenverarbeitende Stelle, sich an entsprechende Gesetze zu halten. Diese gesetzliche Pflicht gilt für jeden Travelex Mitarbeiter, der im Rahmen seiner Arbeit mit personenbezogenen Daten in Kontakt kommt. Was sind Gesetze zum Datenschutz und Schutz der Persönlichkeitsrechte? Die meisten Gesetze sind eine Zusammenstellung von Grundsätzen, die festlegen, wie personenbezogene Daten verarbeitet werden dürfen. Die Verarbeitung beinhaltet die Erhebung, Nutzung, Aufbewahrung, Offenlegung und Vernichtung von personenbezogenen Informationen. 20 February 2013 Page 1

2 Was sind die Travelex Grundsätze? Personenbezogene Informationen müssen: Gerecht und gesetzesgemäß verarbeitet werden In Übereinstimmung mit Datenschutzhinweisen, Arbeitsverträgen oder Geschäftsbedingungen. Angemessen, relevant und nicht übertrieben sein Es dürfen nur Informationen gesammelt werden, die wir für den vom Kunden gewünschten Service benötigen oder um den Arbeitsprozess zu ermöglichen. Korrekt und angemessen aktualisiert sein Wir müssen sicherstellen, dass wir Informationen korrekt aufnehmen und aktuell halten. Nur für den Zweck genutzt werden, für den sie ursprünglich erhoben worden sind Informationen, die für Kundentransaktionen erhoben worden sind, dürfen nicht für andere Zwecke genutzt werden, es sei denn, der Kunde bzw. Mitarbeiter hat seine Einwilligung gegeben. Nur so lange aufbewahrt werden, wie es notwendig ist Informationen sollten nur für geschäftliche Zwecke und gemäß den gesetzlichen Anforderungen aufbewahrt werden. Sicher aufbewahrt werden Nur Personen mit Berechtigung sollten Zugang zu den Informationen haben. Während eines Transfers von Kunden oder Mitarbeiterdaten müssen diese geschützt sein. Dies gilt auch, wenn wir Daten an einen Dritten transferieren. In Übereinstimmung mit den Persönlichkeitsrechten behandelt werden Zum Beispiel: Zugang zu den Informationen, die Travelex hat; das Recht, ungenaue oder fehlerhafte Informationen korrigieren zu lassen. Dürfen nur Personen mitgeteilt werden, die berechtigt sind, sie zu erhalten Zum Beispiel: Drittparteien, die uns helfen, Bestellungen durchzuführen und andere Travelex Mitarbeiter, die Zugang benötigen, um ihre Arbeit zu erledigen. In Europa gibt es strenge Vorschriften zum Datentransfer in andere Länder. 20 February 2013 Page 2

3 Was ist Ihre Verantwortung als Mitarbeiter? Sie dürfen im Rahmen Ihrer Arbeitstätigkeit und in Übereinstimmung mit den Richtlinien und Vorschriften Ihrer Abteilung personenbezogene Daten erheben, verarbeiten und nutzen. Personenbezogene Informationen dürfen nur zur Unterstützung Ihrer Arbeit genutzt werden. Sie dürfen nicht an Personen übermittelt werden, die sie nicht zu sehen brauchen oder keinen Zugang benötigen. Dies beinhaltet auch, Kundendaten nicht an öffentlichen Plätzen wie der Firmenkantine oder bei Feiern zu besprechen. Anfragen von Dritten, z.b. Behörden, Polizei, Verwandten oder Kunden müssen an den lokalen Compliance Officer oder an den Head of Data Protection weitergeleitet werden. Mitarbeiter, bei denen festgestellt wird, dass sie vorsätzlich oder fahrlässig einen Verstoß gegen das Datenschutzgesetz oder das Gesetz zum Schutz des Persönlichkeitsrechts verursacht haben, müssen mit disziplinarischen Maßnahmen durch Travelex rechnen. Einfach zu befolgende Regeln: Stellen Sie sicher, dass jegliche personenbezogene Information auf Papier sicher und verschlossen aufbewahrt wird, wenn sie nicht in Gebrauch ist. Lassen Sie keine vertraulichen Informationen auf Ihrem Tisch, auf Schränken, in Druckern/Faxgeräten oder auf den Schalterflächen in Sichtweite von Unbefugten liegen. Stellen Sie sicher, dass Sie an Ihrem PC den Bildschirmschoner nutzen und ihn mit einem Passwort versehen (Strg+Alt+Entf. und Enter), wenn Sie Ihren Arbeitsplatz verlassen. Zusätzlich gibt es einen automatischen Bildschirmschoner, der Ihren PC nach 15 Min. Inaktivität sichert. Auf letztere Methode sollten Sie sich aber nicht verlassen, um Ihre Daten zu schützen. Vernichtung von vertraulichen Informationen muss sicher sein, d.h. schreddern Sie diese oder entsorgen Sie sie in speziell gesicherten Abfallbehältern. Machen Sie keine unangemessenen Notizen im System. Jede Information sollte genau und sachlich sein. Besprechen Sie nie Kunden oder Mitarbeiterdaten mit irgend jemandem, der diese Informationen nicht benötigt. Dies beinhaltet Kollegen, Familie und Freunde. Benutzen Sie Kunden oder Mitarbeiterdaten nur für angemessene Zwecke. Personenbezogene Daten dürfen niemals ohne vorherige Genehmigung des nächsten Vorgesetzten aus dem Arbeitsbereich entfernt werden. 20 February 2013 Page 3

4 Kreditkartendaten Kreditkartendaten sind Teil eines zusätzlichen Regelwerkes, auch bekannt als PCI DSS (Payment Card Industry Data Security Standard). Dies beinhaltet sehr strenge Standards zum Schutz der Karteninhaberdaten und zur Verhinderung von betrügerischen Aktivitäten mit den Karten. Travelex muss diese Standards befolgen, ansonsten drohen hohe Strafen der Kartenanbieter wie Visa und MasterCard. Im Rahmen unserer Geschäftstätigkeit sammeln wir Informationen von Kunden, um Zahlungen für Fremdwährungen oder Reiseschecks durchzuführen, sowie Daten zu unseren Pre Paid Zahlungskarten. Die 15 oder 16 stellige Zahlenreihe auf einer Kreditkarte (aufgedruckt in großen Ziffern auf der Vorderseite der Karte) ist die sogeannte PAN (Primary Account Number). Es ist Teil der Travelex Richtlinie, dass wir PAN Daten einzig und allein zur Durchführung von Zahlungsvorgängen nutzen und PAN Daten niemals speichern, weitergeben oder bekannt geben. Dies beinhaltet sowohl das Notieren der PAN als auch irgendeine andere Art von Aufzeichnung. Zur Durchführung von Zahlungsvorgängen kann es vorkommen, dass wir das Gültigkeitsdatum und den dreistelligen Sicherheitscode (den CVV Kode) ermitteln. Dies sind sog. sensible Authentifizierungsdaten (Sensitive authentication data (SAD)). Travelex zeichnet diese SAD Daten niemals auf, noch werden sie in Systemen, auf Papier oder anderweitig gespeichert. Ihrer Position entsprechend werden Sie zusätzliche Informationen zur Befolgung dieser Standards erhalten. Außer mit personenbezogenen Informationen können Sie auch mit Travelex Geschäftsinformationen in Berührung kommen (auch bekannt als geistiges Eigentum). Diese Informationen sind vertraulich und dürfen weder außerhalb von Travelex, noch bei Mitarbeitern, die diese Informationen nicht für ihre Tätigkeit benötigen, bekannt gemacht werden. Für das Travelex Netzwerk sind verschiedene Kontrollen eingerichtet, um es vor Gefahren zu schützen, um die enthaltenen Informationen vertraulich zu halten, ihre Integrität zu sichern, und um dafür zu sorgen, daß die Informationen verfügbar sind, wenn sie benötigt werden. Diese Schutzmaßnahmen beinhalten u.a.: Überprüfung eingehender Anhänge und URLs um sicherzustellen, dass keine schadhafte Software (wie z.b. Viren, Trojaner etc) in das Netzwerk eindringen. Überprüfung ausgehender s um sicherzustellen, dass keine Kreditkartennummern im Text oder Anhang enthalten sind. Es findet eine Aufzeichnung jeglicher Internetnutzung statt, um die Travelex Richtlinien zur Nutzung der Internetangebote durchzusetzen. Sie dürfen keinerlei unanständige, kriminelle oder andere Gruppen oder 20 February 2013 Page 4

5 Personen schädigende Informationen inkl. Abbildungen suchen, abrufen, anzeigen, herunterladen oder verteilen. Umfangreiche Kontrollwege wurden in allen Systemen und Anwendungen eingerichtet um Eingriffe und Änderungen der Informationen nachzuverfolgen. Positionsabhängige Zugangskontrollen Zugangserlaubnis wird nur an Mitarbeiter erteilt, die die betreffenden Daten für ihre Tätigkeit benötigen. Umfangreiche Geschäftsnotfallpläne (Business Continuity Management Plans) stellen sicher, dass Travelex seine Geschäfte auch im Fall einer Natur oder anderen Katastrophe fortführen, sowie Kunden bedienen und seine Mitarbeiter schützen kann. Sie erhalten entsprechend Ihrer Position Informationen über Ihre Verantwortung im Falle eines ernsten Vorfalls. Die Verwendung des CCTV (Überwachungskameras) zur Verhinderung und Aufdeckung von Kriminalität und der Verfolgung von Straftätern. Die Stufen der CCTV Nutzung variieren je nach Land und Umständen. Zum Beispiel gibt es weit mehr CCTV Überwachung an Standorten, an denen Werte lagern, als in normaler Büro Umgebung. Zugangskontrollen Je nach Position können Sie mit einer Zugangskarte ausgestattet sein, die Ihnen Zugang zu bestimmten Büros oder Standorten gewährt. sregeln, die zu befolgen sind: Teilen Sie niemals jemandem Ihr Passwort mit, selbst wenn Sie dazu aufgefordert werden. Die einzige Ausnahme könnte sein, falls der IT Service Desk Zugang zu Ihrem PC benötigt um ein Problem zu beheben oder eine Installation durchzuführen. In diesem Fall dürfen Sie Ihr Passwort mitteilen; müssen aber danach unverzüglich Ihr Passwort ändern. Schreiben Sie Ihr Passwort nicht auf. Versuchen Sie, ein Passwort zu wählen, dass Sie selbst sich einfach merken können, dass aber für jemand anderen nur schwer zu erraten wäre. Benutzen Sie keine Namen als Passwörter, da diese einfach zu knacken sind. Sperren Sie Ihren Computer, wenn Sie ihn verlassen. Sie sind verantwortlich für jegliche Aktivitäten, die unter Ihrer Nutzer ID und Passwort stattfinden. Falls Sie annehmen, dass Ihr Passwort jemand anderem bekannt ist, wechseln Sie es sofort und informieren Sie Ihren nächsten Vorgesetzten oder den IT Service Desk. Installieren Sie keine Spiele oder Daten auf Ihrem Laptop oder PC. Dieses Verbot beinhaltet auch itunes und alle Anwendungen, die nicht von Travelex genehmigt wurden. Im Zweifelsfall kontaktieren Sie den IT Service Desk. 20 February 2013 Page 5

6 Melden Sie den Verlust Ihrer Zugangskarte, Ihres Laptops, Telefons oder anderer Travelex Ausstattung so schnell wie möglich dem IT Service Desk. Dieser wird nach Möglichkeit das Gerät außer Betrieb setzen und verhindern, dass persönliche oder vertrauliche Daten bekannt werden. Stellen Sie sicher, dass jeder Besucher in Travelex Einrichtungen begleitet wird. Erlauben Sie unerwarteten, unbekannten Besuchern keinen Zutritt zu Travelex Einrichtungen ohne Ihre Identität und den Grund für den Besuch zu prüfen. Mitarbeiter, die dem Travelex Netzwerk vorsätzlich oder fahrlässig Schaden (oder möglichen Schaden) durch Nichteinhaltung der Richtlinien zufügen, müssen mit disziplinarischen Maßnahmen durch Travelex rechnen. 20 February 2013 Page 6