Политика конфиденциальности
1. Введение
1.1 Для обслуживания клиентов компания производит сбор персональных данных клиентов, потенциальных клиентов и сотрудников.
Причины вышесказанного обусловлены тем, что компания хочет предоставить высокий уровень защиты клиентов, так как конфиденциальность является наиболее важным фактором обретения и сохранения доверия между Компанией и ее сотрудниками, поставщиками и клиентами.
Гарантии на обеспечение высокого уровня защиты персональных данных сопровождено соблюдением определенных организационных и технических мер. Поэтому Компания внедрила ряд внутренних и внешних политик защиты данных, которые являются обязательными для соблюдения сотрудниками компании.
Кроме того, в обязательства Компании входит документирование, проверка и отслеживание внутреннего соблюдения политики защиты данных и соответствующих установленных законом требований в области защиты данных, в который входит GDPR (Общий регламент в области защиты данных).
В обязательства компании входит принятие всех необходимых мер для полного соблюдениях всех требований связанных с защитой данных внутри самой Компании. Предпринимаемые меры включают в себя: распределение обязанностей, информирование и обучение персонала, который участвует в операциях по обработке данных. Обращаем внимание, что документ “Политика конфиденциальности” будет периодически пересматриваться в пользу учета новых обстоятельств, однако хранение и обработка персональных данных будет урегулирована последней версией документа.
Настоящая политика конфиденциальности совместно с рекомендациями по обработке персональных данных представляет собой общую структуру обработки персональных данных
1.2 Под “персональными данными” понимается любая информация, которая может иметь отношение к идентифицированному или идентифицируемому физическому лицу. Для общего понимания, идентифицированное физическое лицо - это то лицо, которое можно познавать напрямую или опосредованно, в частности, по идентификатору: имя, данные о местоположении, номер телефона, возраст, пол. Идентифицированными физическими лицами могут быть: клиенты, сотрудники, претенденты на должность, поставщики, деловые партнеры и другие. Ко всему можно добавить, что к документу относятся разные категории персональных данных и конфиденциальная информация, в которую входит: показатели состояния здоровья, номер счета, идентификационный номер, данные о местоположении, онлайн-идентификатор и один или несколько факторов, характерных для физической, физиологической, генетической, ментальной, экономической, культурной или социальной идентичности такого физического лица.
1.3 Информация о компаниях или деловых предприятиях не является персональными данными, однако, стоит обратить внимание, что контактные данные в таких компаниях или деловых предприятиях, например имя, должность, адрес рабочей электронной почты, номер рабочего телефона и другие, считаются персональными данными.
1.4 Компания собирает персональные данные исключительно в законных деловых целях, в которые входит установление и ведение взаимоотношений с клиентами и поставщиками, выполнение заявок на приобретение, прием на работу и управление всеми аспектами трудоустройства, обмен информацией, выполнение правовых обязательств и требований, исполнение договоров, предоставление услуг клиентам и другое.
1.5 Персональные данные будут:
- обрабатываться на законных основаниях, должным образом и прозрачно по отношению к субъекту данных;
- собираться в указанных явных и законных целях и не будут впоследствии обрабатываться в каких-либо иных целях, которые не соответствуют таковым;
- соответствовать целям обработки, иметь отношение к ним и использоваться только в той мере, в какой это необходимо для таковых;
- необходимо принять все возможные меры для того, чтобы персональные данные, которые являются неточными в отношении целей обработки, удалялись или исправлялись в разумные сроки;
- храниться в форме, обеспечивающей идентификацию субъектов данных только в течение срока, требуемого в целях, для которых выполняется обработка таких персональных данных;
- обрабатываться таким образом, который обеспечивает безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки и от случайной утери, разрушения или повреждения, с применением соответствующих технических и организационных мер.
1.6 В обязательства компании входит ответственность за соблюдение вышеуказанных пунктов.
2. Правовые основания для обработки персональных данных
2.1 Правовые основания, на которых базируется принцип обработки персональных данных:
- правовое обязательство или требование;
- исполнение условий контракта, стороной которого является субъект данных;
- согласие субъекта данных для одной или нескольких конкретных целей;
- законные интересы, преследуемые Компанией.
2.2 Соглашение
2.2.1 Сбор, регистрация и дальнейшая обработка персональных данных клиентов, поставщиков, деловых партнеров и сотрудников основана на согласии идентифицированного физического лица на обработку его персональных данных для одной или нескольких конкретных целей. В свою очередь, компания должна иметь возможность подтвердить, что субъект данных дал согласие на обработку таких персональных данных.
2.2.2 Согласие на обработку персональных данных со стороны идентифицированного физического лица должно быть конкретным, недвусмысленным и предоставленным добровольно после получения необходимых разъяснений. Поэтому субъект должен оперативно предоставить личное согласие на обработку его персональных данных посредством заявления или явного подтверждающего действия.
2.2.3 Запрос со стороны Компании на соглашение со стороны субъекта данных должен быть предоставлен в четкой и понятной для всех форме с использованием простого грамотного языка.
2.2.4 Для того, чтобы Компания могла обрабатывать категории персональных данных, имеются в виду данные личного характера, согласие со стороны Клиента должно быть выражено структурировано.
2.2.5 Субъект имеет право отказаться от предоставления личных данных в любой момент. После того, как последует отказ, Компания обязуется прекратить сбор и обработку любых персональных данных субъекта, при условии, что Компания не обязана или не имеет права это делать на законном основании.
2.3 Исполнение условий контракта:
2.3.1 Сбор и обработка персональных данных в связи с исполнением условий контракта, стороной которого является субъект данных, или для выполнения действий по запросу субъекта данных до подписания контракта являются законными. Данное утверждение имеет отношение ко всем контрактным обязательствам и соглашениям, подписанным компанией, включая таковые в ходе предконтрактного периода, независимо от результата переговоров по подписанию контракта.
2.4 Выполнение правовых обязательств со стороны Компании и Клиента
2.4.1 В обязанности компании входит выполнение всевозможных правовых обязательств, которые основаны на требованиях и законодательстве Европейского Союза или его стран-участниц. Схожие правовые обстоятельства, которые имеют отношение к Компании, могут выступать законным обоснованием для обработки персональных данных Клиента.
2.4.2 Правовые договоренности включают в себя обязательства сбора, регистрации и (или) предоставления определенных типов информации о сотрудниках, клиентах и др. Аналогичные правовые требования являются правовым основанием для обработки персональных данных.
2.5 Интересы компании
2.5.1 Все данные будут обрабатываться в случае законных интересов преследуемых компанией, такие интересы или фундаментальные права имеют преимущественное юридическое действие по отношению к правам субъекта данных. Во время принятия решения в отношении обработки данных, Компания сначала убедится в том, что законные интересы имеют преимущественное юридическое действие по отношению к правам и свободам физического лица и что обработка не причинит незаконного ущерба.
Обработка персональных данных потенциального клиента в целях расширения бизнеса и развития новых деловых отношений относится к законным интересам компании и является конкретным правовым примером. В обязанности субъекта входит предоставление информации о конкретном законном интересе, если обработка основывается на текущем положении Политики конфиденциальности.
3. Принцип обработки и передачи персональных данных
3.1 Компания как основной регулятор обработки персональных данных
3.1.1 Когда субъект данных подписывает соглашение с компанией, она начинает считаться контролирующей организацией обрабатывающей персональные данные в полной мере. Такие положения позволяют Компании принимать определенные решения по тому, каким образом будут обрабатываться персональные данные субъекта.
3.2 Использование компаний-обработчиков данных
3.2.1 Внешние обработчики данных - это те компании, которые занимаются обработкой персональных данных от имени компании и в соответствии с указаниями. В пример можно поставить контроль Компании над системами учета кадров, сторонних поставщиков информационных технологий и другими. Если Компания для обработки персональных данных привлекает участие третьих сторон, компания требует, чтобы они обеспечивали высокий уровень конфиденциальности. Если данное условие не гарантировано, Компания обязуется выбрать другого обработчика данных.
3.3 Соглашения на обработку данных
3.3.1 Перед тем, как произвести передачу персональных данных компания обязуется заключить письменное соглашение об обработке данных с обработчиком данных. Соглашение позволяет производить контроль со стороны Компании в отношении обработки персональных данных, которая осуществляется за пределами Компании и за которую Компания несет ответственность.
3.3.2 Если обработчик или сообработчик данных территориально находится за пределами ЕС/ЕЭЗ, будут использованы условия пункта 3.4.4, приведенного ниже.
3.4 Положение о разглашении персональных данных
3.4.1 Перед тем, как разглашать персональные данные доверенным лицам, в обязательства Компании входит проверка того, связан ли получатель с нами соглашениями о сотрудничестве. Обратите внимание, Компания имеет право передавать персональную информацию внутри системы при условии, что разглашение будет обосновано законной деловой целью.
3.4.2 Компания обязана уточнить у получателя наличие законной цели для получения персональных данных и требовать, чтобы передача персональных данных была ограничена и сведена к необходимому минимуму.
3.4.3 Компания должна учитывать все риски связанные с передачей персональных данных физическим лицам, субъектам данных или юридическим лицам за пределами структуры организации. Если имеется законная цель передачи данных, передачу данных разрешено разглашать третьим лицам, которые выступают в качестве отдельных контролирующих организаций, обрабатывающих персональные данные.
3.4.4 В ситуации, когда сторонний получатель находится за пределами ЕС/ЕЭЗ в стране, в которой не обеспечивается соответствующий уровень защиты данных, передача информации разрешается только при условии заключения соглашения о передаче данных между Компанией и третьей стороной. Обращаем внимание, что соглашение о передаче данных обязуется быть основанным на Типовых договорных пунктах ЕС.
4. Права субъектов данных
4.1 Обязательства в отношении информации
4.1.1 В ситуации, когда Компания выполняет сбор и регистрацию персональных данных субъектов, Компания обязуется информировать таких лиц о:
- целях обработки, для которых предназначены персональные данные, а также о правовом основании для обработки;
- затрагиваемых категориях персональных данных;
- законных интересах, преследуемых Компанией если обработка основана на балансе интересов;
- о получателях или категориях получателей персональных данных при наличии таковых;
- если применимо, что Компания намерена передать персональные данные в третью страну, и о правовых основаниях для такой передачи;
- периоде, в течение которого будут сохраняться персональные данные, или, если это невозможно, критерий, используемый для определения такого периода;
- наличии права запросить у Компании доступ к персональным данным, исправление или удаление таковых, ограничить обработку в отношении субъекта данных или опротестовать обработку, а также права на перенос данных;
- в случаях, когда обработка основана на согласии субъекта данных, о наличии права отозвать согласие в любой момент времени, не затрагивая законность обработки на основании согласия до отзыва такового;
- праве на подачу жалобы в Компанию посредством надлежащей процедуры или в орган надзора;
- является ли предоставление персональных данных установленным законом или договорным требованием или требованием для заключения контракта, а также о том, обязан ли субъект данных предоставлять персональные данные, и о возможных последствиях отказа от предоставления таковых;
- наличии автоматического процесса принятия решений, включая профилирование, и предоставить содержательную информацию о применяемой логике, а также о важности и возможных последствиях такой обработки для субъекта данных.
4.2 Контроль доступа
4.2.1 Компания обрабатывает персональные данные любого лица, включая сотрудников организации, претендентов на должность, внешних поставщиков, потенциальных клиентов, деловых партнеров и других, которые имеют право запросить доступ к своим персональным данным, что обрабатывает и хранит Компания.
4.2.2 Субъект данных имеет право доступа к персональным данным и право знать причины обработки данных в соответствии с критериями, при условии, что Компания имеет доступ к хранению и обработке персональных данных субъекта.
4.3 Компания обязуется исправлять точные персональные данные субъекта по первому требованию и без неоправданных задержек.
4.4 Субъект данных наделен правом требовать от Компании полного удаления персональных данных. В свою очередь Компания обязуется удалить персональные данные без неоправданных задержек, если не обязан сохранять какую-либо информацию в течение указанного периода времени согласно требованиям законодательства (имеются в виду требования финансовой инспекции или налоговых органов).
4.5 Если запрос применим, субъект данных имеет право требовать от Компании ограничения по обработке личных данных.
4.6 Субъект имеет право получить зарегистрированные персональные данные, которые будут оформлены в считывающем машинном формате и преподнесены в общепринятом и структурированном виде.
4.7 С учетом конкретной персональной ситуации, субъект данных имеет право в любое время опротестовать обработку персональных данных в отношении такого субъекта, если обработка основана на балансе интересов, включая профилирование.
4.8 Любые запросы, которые получает Компания со стороны субъекта данных в отношении реализации прав, описываемых в данном пункте, Компания обязуется реагировать оперативно, но не позже 30 дней с момента получения запроса. Обращение будет немедленно перенаправлено в Центр обслуживания. Специалист Компании, который является ответственным за защиту данных конкретного субъекта, обязан оказывать содействие Центру обслуживания в обработке запроса для соблюдения крайнего срока реагирования.
5. Предпринимаемые методы для защиты данных
5.1 Компания обязуется разрабатывать новые продукты, услуги, технические решения и другое разрабатывать таким образом, чтобы они были безопасными для использования и соответствовали принципам специальной защиты данных и защиты данных по умолчанию.
5.1.1 Под специальными методами защиты данных понимается то, что во время разработки новых услуг или продуктов особое внимание стоит обратить на защиту данных.
- Компания со своей стороны обязуется принимать технический уровень, стоимость внедрения и характер, масштабы, контекст и цели обработки, а также риски различной степени вероятности и критичности в отношении прав и свобод физических лиц, обуславливающих обработкой;
- Компания обязуется как в момент определения способов обработки, так и в ходе собственно обработки применять соответствующие технические и организационные меры, например перевод в анонимную форму, которые предназначены для внедрения эффективным образом принципов защиты данных, таких как минимизация данных, и интеграции необходимых мер предосторожности в процесс обработки данных в целях соответствия требованиям защиты данных и защиты прав субъектов данных.
5.1.2 Защита конфиденциальности данных по умолчанию требует внедрения инновационных техник минимизации данных.
- Компания обязуется применять соответствующие технические и организационные меры для того, чтобы по умолчанию обрабатывались только такие персональные данные, которые требуются для каждой конкретной цели обработки.
- Подобное требование минимизации относится к объемам собираемых персональных данных, степени обработки, срокам хранения и доступности таковых.
- Подобные меры призваны обеспечить предоставление доступа к персональным данным по умолчанию только после тщательного рассмотрения.
6. Этапы процессов обработки персональных данных
6.1 Компания выступает в роли контролирующей организации обрабатывающей персональные данные. В обязанности Компании входит сохранение полной конфиденциальности во время записи процессов обработки. В записях следует зафиксировать следующую информацию:
- имя и контактные данные;
- цели обработки;
- описание категорий субъектов данных и категорий персональных данных;
- получателей, которым были или будут разглашены персональные данные, включая получателей в третьих странах или международных организациях;
- если применимо, сведения о передачах персональных данных в третьи страны, включая указание такой третьей страны, и, если это относится к данному случаю, данные о соответствующих мерах предосторожности;
- если применимо, предусмотренные временные ограничения по удалению различных категорий данных;
- если применимо, общее описание применяемых технических и организационных мер безопасности.
6.1.1 В обязательства Компании входит предоставление записей данных по запросу соответствующих органов в области защиты данных.
7. Ликвидация персональных данных
7.1 Компания обязуется ликвидировать персональные данные, при условии, что для продолжения обработки или хранения персональных данных не будет законных оснований.
7.2 В политике сохранения и совместного использования данных Компании указано подробное описание периодов хранения в отношении различных категорий персональных данных.
7.3 По завершению сотрудничества с Компанией клиенты или потенциальные клиенты имеют право потребовать полного удаления и анонимизации персональных данных по их счету.
7.4 Перед началом сотрудничества будет проводить анализ и оценку права на защиту данных своих клиентов (потенциальных клиентов) с требованиями других соответствующих нормативных документов. Обратите внимание, что при регистрации персональных данных, любое действие регулируется законодательными актами о финансовых операциях, правилах бухгалтерского учета, стандарты защиты клиентов и других.
7.5 Компании предупреждает, что личные данные будут удалены в том случае, если для их дальнейшего хранения не будет необходимых законных оснований. Стандартным сроком для удаления информации о клиентах считается текущий год плюс пять лет после окончания отношений с клиентом.
7.6 Правила Компании предусматривают, что персональные данные потенциальных клиентов будут удалены или анонимизированы по их запросу в краткие сроки, однако процедура может занять до одного месяца.
7.7 Данные тех клиентов, которые стали причиной убытков Компании, могут храниться более длительное время в целях защиты от дальнейших убытков или в целях удовлетворения законных финансовых требований.
7.8 В положении выше указано, что по окончанию любого периода сотрудничества, Компания окончательно удалит или анонимизирует все персональные данные.
8. Вероятные риски
8.1 Если обработка персональных данных подвергает высокой степени риска тех лиц, чьи персональные данные обрабатываются, следует провести оценку воздействия на конфиденциальность (DPIA).
8.1.1 Проведение оценки воздействия на конфиденциальность предполагает, что Компания учитывает весь масштаб, контекст, характер, цели обработки, риски различной степени вероятности и критичности в отношении прав и свобод физических лиц, применит соответствующие технические и организационные меры для проведения обработки в соответствии с требованиями защиты данных и будет в состоянии продемонстрировать таковое.
8.2 Технические и организационные меры должны пересматриваться и обновляться не реже, чем один раз в шесть месяцев.
8.2.1 В качестве элемента демонстрации соблюдения соответствующих технических и организационных мер, необходимо соблюдение правил поведения или утвержденных механизмов сертификации с обеих юридических сторон.
9. Профилирование
9.1 В контексте этой политики конфиденциальности “Профилирование” понимается как автоматический процесс анализа персональных данных с целью оценки или прогнозирования дальнейшего поведения человека в условиях сотрудничества. Компания может использовать профилирование при следующих обстоятельствах:
- для оценки кредитоспособности;
- для предоставления клиентам и потенциальным клиентам информации о продуктах Компании и услугах, которые могут их заинтересовать;
- для оказания помощи в выявлении потенциальных случаев финансовых преступлений.
10. Международные требования
10.1 Компания со своей стороны обязуется соблюдать Общий регламент по защите данных и законы о защите данных на уровне отдельных стран.
10.2 Если национальное законодательство конкретной страны требует более высокого уровня защиты персональных данных, чем может предоставить Компания, она обязуется соблюдать указанные требования. Если политики или рекомендации более строгие, чем местное законодательство, то необходимо соблюдать политики или рекомендации Компании.
11. Контактные данные
11.1 Если у клиентов или потенциальных клиентов возникнут какие-либо вопросы в отношении содержимого настоящей политики, необходимо связаться со специалистом Компании, который является ответственным за защиту данных, по адресу [email protected].