Неприкосновенность личной жизни посетителей нашего веб-сайта («Пользователей») очень важна для ЗАО «Международный деловой альянс». Наша Политика организации в области защиты персональных данных (“Политика”) разработана для того, чтобы помочь пользователю понять, как ЗАО «Международный деловой альянс» собирает, использует, хранит и раскрывает личную информацию пользователя. Принимая данную Политику, пользователь дает согласие на сбор, хранение, использование и раскрытие компании «Международный деловой альянс» его личной информации как описано далее.
Настоящая политика защиты персональных данных (далее Политика) формулирует основные принципы обработки персональных данных потребителей, клиентов, поставщиков, деловых партнеров, сотрудников и других лиц, а также определяет основные действия по обработке персональных данных и меры по их защите для ЗАО «Международный деловой альянс».
Целями данной Политики являются обеспечение защиты прав и свобод человека при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну, и унификация порядка обработки персональных данных в организации с требованиями международного права и законодательства стран, где работает организация.
В своих повседневных деловых операциях компания «Международный деловой альянс» использует различные данные об идентифицируемых лицах, включая данные о:
При сборе и использовании этих данных организация подпадает под действие ряда законодательных актов, регулирующих способы осуществления такой деятельности и меры безопасности, которые должны быть приняты для защиты этих данных.
ЗАО «Международный деловой альянс» обязуется соблюдать законы и правила, касающиеся защиты персональных данных, действующие в странах, где работает организация.
Политика пересматривается ежегодно и при значительных изменениях в организации или в соответствующем законодательстве.
Политика обязательна для всех сотрудников ЗАО «Международный деловой альянс», как штатных, так и внештатных, и всех структурных подразделений организации, включая обособленные подразделения. Требования Политики применяются также в отношении иных лиц, если необходимо их участие в процессе обработки организацией персональных данных, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений и договоров.
Требования Политики распространяются на любые персональные данные, независимо от вида носителя, на котором они зафиксированы.
Политика является общедоступным документом ЗАО «Международный деловой альянс» и предусматривает возможность ознакомления с ней любых лиц.
В настоящем документе применены следующие термины с соответствующими определениями:
Персональные данные – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (“субъекту данных”); идентифицируемое физическое лицо является лицом, которое может быть идентифицировано прямо или косвенно, в частности, на основе идентификационной информации, такой как: имя, идентификационный номер, данные о местоположении, идентификатор в интернете (онлайн-идентификатор), или посредством одного или нескольких показателей, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности данного физического лица
Обработка персональных данных – любая операция или совокупность операций, которые совершаются с персональными данными или набором персональных данных, с использованием автоматизированных средств и без таковых, в числе которых — сбор, запись, упорядочивание, структурирование, хранение, переработка или изменение, поиск и выборка, экспертиза, использование, раскрытие посредством передачи, распространения или иного способа предоставления доступа, группировка или комбинирование, ограничение обработки, стирание или уничтожение
Контролёр – физическое или юридическое лицо, государственный орган, агентство или иной орган, который, самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных; в случае, когда цели и средства такой обработки устанавливаются правом страны местонахождения субъекта данных, контролёр, либо конкретные критерии для его выдвижения, могут быть обусловлены правом страны местонахождения субъекта данных
Обработчик – физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контролёра
Специальные категории персональных данных – персональные данные, показывающие расовую или этническую принадлежность, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, касающиеся состояния здоровья, интимной жизни, сексуальной ориентации, генетические данные или биометрические данные, при их использовании для идентификации физического лица.
Организация обязуется соблюдать следующие принципы при обработке персональных данных.
Персональные данные должны:
(a) обрабатываться на законных основаниях, справедливо и прозрачно в отношении субъекта данных («принцип законности, справедливости и прозрачности»)
(b) собираться для конкретных, явно выраженных и законных целей и не должны в дальнейшем обрабатываться способом, несовместимым с этими целями; дальнейшая обработка для целей архивирования в общественных интересах, для научных или исторических исследовательских целей или статистических целей не считается несовместимой с первоначальными целями («принцип ограничения целей»)
(c) быть отвечающими требованиям, относящимися к делу, и ограничиваться тем, что необходимо в отношении целей, для достижения которых они обрабатываются («принцип минимизации данных»)
(d) быть точными и, при необходимости, вовремя обновляться; должны быть предприняты все разумные меры, чтобы неточные персональные данные, в зависимости от целей их обработки, были удалены или исправлены без задержки («принцип точности»)
(e) храниться в форме, позволяющей идентифицировать субъекты данных, не дольше, чем этого требуют цели обработки персональных данных; персональные данные могут храниться в течение более длительных периодов времени, в той степени, в какой персональные данные будут обрабатываться исключительно для целей архивирования в общественных интересах, для научных или исторических исследовательских целей или статистических целей, при условии применения соответствующих технических и организационных мер в целях защиты прав и свобод субъекта данных («принцип ограничения срока хранения»)
(f) обрабатываться таким образом, который обеспечивает надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной утери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер («принцип целостности и конфиденциальности»).
ЗАО «Международный деловой альянс» обязуется соблюдать вышеперечисленные принципы не только при обработке персональных данных в настоящее время, но и при внедрении новых методов и систем обработки.
Организация готова подтвердить надзорному органу по запросу соблюдение вышеперечисленных принципов обработки персональных данных, в части своей деятельности как контролёра («принцип подотчетности»).
Прежде чем начать обработку персональных данных в качестве контролёра, ЗАО «Международный деловой альянс» определяет законное основание для обработки.
Если организация обрабатывает в качестве контролёра специальные категории персональных данных или данные, связанные с уголовными приговорами и правонарушениями, то организация идентифицирует как законную основу для общей обработки, так и отдельные условия для обработки данных этих типов.
ЗАО «Международный деловой альянс» сохраняет обоснованные, задокументированные доказательства правомерности обработки персональных данных, в части своей деятельности как контролёра, и предоставляет их там, где это необходимо.
Организация обрабатывает персональные данные в качестве обработчика только на основании документально подтвержденных распоряжений контролёра, определяемых договором, либо иным правовым актом, определяющим предмет и продолжительность обработки, характер и цель обработки, тип персональных данных и категории субъектов данных, а также обязанности и права контролёра. В этом случае правомерность обработки определяет контролёр.
Существует шесть применимых правомерных оснований для общей обработки персональных данных. Существует десять отдельных условий для обработки специальных категорий персональных данных. Возможные варианты описаны в следующих разделах.
Организация всегда будет получать явное согласие от субъекта на сбор и обработку его данных, за исключением случаев, когда согласие не требуется в соответствии с нормами законодательства.
В случае обработки персональных данных детей в возрасте до 16 лет (в отдельных странах может быть разрешен более низкий возраст) должно быть получено согласие лица, несущего родительскую ответственность в отношении ребенка.
При запросе согласия ЗАО «Международный деловой альянс» сообщает субъектам данных идентификационные данные организации, характер и цели обработки, перечень обрабатываемых категорий персональных данных и объясняет права физических лиц в отношении их персональных данных, в том числе право на отзыв согласия. Эта информация предоставляется в понятной и легкодоступной форме, с использованием ясного и простого языка.
ЗАО «Международный деловой альянс» запрашивает отдельно согласие для разных целей и типов обработки и не использует в запросах предварительно отмеченные поля или любое другое разрешение по умолчанию.
Если собранные и обработанные персональные данные необходимы для выполнения контракта с субъектом данных, явное согласие не требуется. Этот пункт применяется в тех случаях, когда контракт не может быть завершен без соответствующих персональных данных, например, доставка не может быть выполнена без адреса доставки.
Если персональные данные необходимо собрать и обработать для соблюдения норм законодательства, то явное согласие не требуется. Это может иметь место, например, при работе с некоторыми данными, касающимися занятости и налогообложения, и во многих областях, охватываемых государственным сектором.
В случае, когда персональные данные необходимы для защиты жизненно важных интересов субъекта данных или другого физического лица, тогда эта необходимость может быть использована в качестве законной основы для обработки. Например, это может быть использовано в сфере социальной помощи, особенно в государственном секторе.
В тех случаях, когда организация должна выполнить задачу, которая, по ее мнению, отвечает общественным интересам или осуществляется в рамках официальных полномочий, то согласие субъекта данных может не запрашиваться.
Если результат обработки или конкретные персональные данные находятся в сфере законных интересов организации и не влияют на права и свободы субъекта данных значительным образом, то это может быть определено как законная причина обработки данных.
ЗАО «Международный деловой альянс» выполняет оценку своих законных интересов, чтобы удостовериться в соблюдении принципа пропорциональности.
Организация обрабатывает в качестве контролёра специальные категории персональных данных, только если она определила одно из следующих условий для обработки:
(a) субъект данных дал прямое согласие на обработку указанных персональных данных для одной или нескольких обозначенных целей, кроме случаев, когда законодательство страны местонахождения субъекта данных не предусматривает права на отмену субъектом данных запрета на обработку
(b) обработка необходима для выполнения обязательств и осуществления конкретных прав контролёра или субъекта данных в сфере занятости и социального обеспечения и законодательства о социальной защите, при условии обеспечения надлежащих мер безопасности для основных прав и интересов субъекта данных
(c) обработка необходима для защиты жизненных интересов субъекта данных или иного физического лица, если субъект данных физически или юридически не способен дать свое согласие
(d) обработка осуществляется с политическими, философскими, религиозными или профсоюзными целями фондом, ассоциацией или любым иным некоммерческим органом в рамках их законной деятельности и с надлежащими мерами безопасности, и при условии, что обработка относится исключительно к членам, бывшим членам органа или лицам, которые осуществляют постоянный контакт с нею в связи с ее целями, и что персональные данные не раскрываются третьим лицам без согласия на это субъекта персональных данных
(e) обработка связана с персональными данными, которые субъект данных явным образом сделал общедоступными
(f) обработка необходима для предъявления, исполнения или защиты судебных исков или в случаях, когда суды действуют в пределах своей судейской дееспособности
(g) обработка необходима по соображениям существенного общественного интереса, при условии обеспечения подходящих и конкретных мер по защите основных прав и интересов субъекта данных
(h) обработка необходима в целях профилактической или профессиональной медицины, для оценки трудоспособности работника, для диагностики медицинского состояния, предоставления медицинской или социальной помощи или лечения, либо для управления системами и услугами здравоохранения и социального обеспечения
(i) обработка необходима по причинам общественного интереса в сфере общественного здравоохранения, например, защиты от серьезных трансграничных угроз здоровью или для обеспечения высоких стандартов качества и надежности медицинского обслуживания и лекарственных средств или медицинской техники, при условии обеспечения подходящих и конкретных мер по защите прав и свобод субъекта данных, в частности, профессиональной тайны
(j) обработка необходима для архивных целей в общественных интересах, научных или историко-исследовательских целей, либо для статистических целей, при условии обеспечения подходящих и конкретных мер по защите основных прав и интересов субъекта данных.
ЗАО «Международный деловой альянс» обрабатывает персональные данные, связанные с уголовными приговорами и правонарушениями, только под контролем официального органа, либо когда обработка разрешена законодательством страны местонахождения субъекта данных, при выполнении условий обеспечения надлежащих мер безопасности для прав и свобод субъектов данных.
Субъект данных обладает следующими правами:
Организация поддерживает каждое из этих прав соответствующими процедурами, которые позволяют принять необходимые меры в сроки, указанные в таблице 1.
Таблица 1 – Временные рамки для запросов субъекта данных.
Запрос субъекта данных | Временная шкала |
Право на получение информации | Когда собираются данные (если они предоставлены субъектом данных) или в течение одного месяца (если они не предоставлены субъектом данных) |
Право на доступ | Один месяц |
Право на исправление | Один месяц |
Право на удаление | Без неоправданной задержки |
Право на ограничение обработки | Без неоправданной задержки |
Право на перенесение данных | Один месяц |
Право на возражение | При получении возражения |
Права в отношении автоматизированного принятия решений и профилирования | Не определено |
ЗАО «Международный деловой альянс» в своей деловой деятельности принимает или может принимать в некоторых случаях, если потребуется, ряд организационных и технических мер для защиты персональных данных от несанкционированной или незаконной обработки, а также от случайной утери, уничтожения, повреждения или от иных неправомерных действий в отношении персональных данных. Эти меры включают в себя:
Организация принимает принцип «защита данных по дизайну и по умолчанию» и выполняет соответствующие технические и организационные меры для реализации принципов защиты данных и защиты индивидуальных прав.
По сути, «защита данных по дизайну» означает, что ЗАО «Международный деловой альянс» интегрировало защиту данных в свои системы, услуги, продукты и бизнес-практики, начиная от этапа проектирования, а затем на весь жизненный цикл. Организация использует только тех обработчиков данных, которые обеспечивают достаточные гарантии их технических и организационных мер для защиты данных по дизайну. Организация учитывает защиту данных по дизайну при покупке продуктов для использования в своих процессах обработки данных.
По сути, «защита данных по умолчанию» означает, что ЗАО «Международный деловой альянс» в части своей деятельности как контролёра:
Организация учитывает использование таких методов, как псевдонимизация, там, где это применимо и уместно.
ЗАО «Международный деловой альянс» обеспечивает, чтобы все взаимоотношения, касающиеся обработки персональных данных, в которые вовлекается организация, регулировались документированными контрактами, которые включают в себя определённую информацию и условия, требуемые законодательством.
Контракты организации включают следующую обязательную информацию:
Контракты организации включают следующие обязательные условия:
ЗАО «Международный деловой альянс» как контролёр назначает на обработку только тех обработчиков, которые могут предоставить «достаточные гарантии», что требования законодательства стран местонахождения субъектов данных будут соблюдены, а права субъектов данных будут защищены.
ЗАО «Международный деловой альянс» передает персональные данные в третью страну или международную организацию, только если при этом полностью соблюдаются требования законодательства стран местонахождения субъектов данных, например, если передача персональных данных в эту третью страну или международную организацию разрешена регулирующим органом без дополнительного санкционирования надзорным органом, поскольку там обеспечивается достаточный уровень защиты, отвечающий требованиям законодательства, или если организация, получающая персональные данные, обеспечила должные защитные меры, соответствующие требованиям законодательства.
ЗАО «Международный деловой альянс» удостоверяется перед такой передачей, что по ее завершению уровень защиты субъектов данных, гарантированный законодательством, не ослабится, в том числе в случаях последующей передачи персональных данных из третьей страны или международной организации контролёрам, обработчикам в той же или другой третьей стране или международной организации.
После такой передачи права физических лиц должны оставаться в законной силе и должны оставаться доступными эффективные средства правовой защиты для физических лиц.
ЗАО «Международный деловой альянс» в части своей деятельности как контролёра поддерживает записи следующих категорий с целью документирования своей деятельности по обработке:
ЗАО «Международный деловой альянс» в части своей деятельности как обработчика поддерживает записи следующих категорий с целью документирования своей деятельности по обработке:
ЗАО «Международный деловой альянс» не хранит учетные записи обработки данных, кроме случаев, когда осуществляемая обработка может привести к возникновению возможных рисков для прав и свобод субъектов данных, когда такая обработка является регулярной, либо, когда обработка охватывает специальные категории персональных данных или персональные данные, касающиеся судимостей и правонарушений.
Записи хранятся в письменной форме. Записи постоянно обновляются и отражают текущую обработку.
Организация делает записи доступными надзорному органу по запросу.
ЗАО «Международный деловой альянс» определило и регулярно актуализирует угрозы безопасности персональных данных, по мере необходимости выполняет анализ рисков, связанных с обработкой персональных данных, документирует выводы и использует их для оценки должного уровня безопасности, который необходимо внедрить.
Под угрозой безопасности персональных данных понимается фактор, создающий опасность несанкционированной, в том числе случайной, обработки персональных данных, а также случайной или намеренной утери, уничтожения или повреждения персональных данных.
ЗАО «Международный деловой альянс» распределило ответственность за обеспечение информационной безопасности на определённых лиц и команды и обеспечило их соответствующими ресурсами и полномочиями. Лица, уполномоченные организацией обрабатывать персональные данные, до начала работы с персональными данными берут на себя обязательство соблюдать конфиденциальность и другие требования Политики.
В ЗАО «Международный деловой альянс» работают правила информационной безопасности и предпринимаются необходимые шаги по их исполнению. Там, где это требуется, ЗАО «Международный деловой альянс» принимает дополнительные регламентирующие документы и обеспечивает механизмы для их исполнения.
ЗАО «Международный деловой альянс» регулярно пересматривает свои документы по информационной безопасности и, при необходимости, улучшает их. ЗАО «Международный деловой альянс» проводит регулярные проверки и анализ своих мер информационной безопасности, чтобы убедиться, что они остаются эффективными, и принимает необходимые действия по результатам этих проверок, в тех случаях, когда выявлены области для улучшения.
ЗАО «Международный деловой альянс» ведет учет активов, задействованных в процессе обработки персональных данных (приложений, систем, персонала, носителей информации).
ЗАО «Международный деловой альянс» использует шифрование и/или псевдонимизацию, где это целесообразно.
ЗАО «Международный деловой альянс» в обязательном порядке применяет средства криптографической защиты при передаче персональных данных по открытым каналам связи.
ЗАО «Международный деловой альянс» имеет надлежащие процессы резервного копирования, чтобы в случае возникновения каких-либо инцидентов, они могли восстановить целостность и доступ к персональным данным в разумно возможные сроки.
ЗАО «Международный деловой альянс» удостоверяется, что любой обработчик данных, которого оно использует, также реализует соответствующие технические и организационные меры.
ЗАО «Международный деловой альянс» обеспечивает необходимые меры физической безопасности для защиты помещений, оборудования и информации от несанкционированного доступа.
ЗАО «Международный деловой альянс» определило меры обеспечения непрерывности бизнеса, которые защищают и восстанавливают любые персональные данные, которые хранит организация.
ЗАО «Международный деловой альянс» проводит соответствующее начальное и повторное обучение по защите данных персонала, занятого в обработке данных, и включающее, в том числе, обязанности персонала по обработке персональных данных, ответственность персонала за защиту персональных данных, правила и ограничения для персонала на использование систем и сервисов (например, чтобы избежать заражения вирусом или спама).
Организация подготовила план реагирования для устранения любых нарушений, связанных с персональными данными, которые могут случиться. ЗАО «Международный деловой альянс» распределило ответственность за управление нарушениями на определённых лиц и команды. Сотрудники организации знают, как довести до сведения надлежащего ответственного лица или команды в ЗАО «Международный деловой альянс» информацию об инциденте информационной безопасности, чтобы определить, произошло ли нарушение.
ЗАО «Международный деловой альянс» приняло процедуру уведомления надзорного органа о нарушении в течение 72 часов после того, как стало известно об этом, даже если еще нет всех подробностей. Организация приняла процедуру по информированию без неоправданной задержки затронутых физических лиц о нарушении, когда оно может привести к высокому риску для их прав и свобод.
ЗАО «Международный деловой альянс» документирует все нарушения, даже если не обо всех из них необходимо сообщать.
ЗАО «Международный деловой альянс», выступая в роли контролёра, выполняет DPIA, когда обработка персональных данных может привести к высокому риску для физических лиц.
Организация рассматривает целесообразность проведения DPIA в любом крупном проекте с использованием персональных данных, выполняемом в качестве контролёра. Если ЗАО «Международный деловой альянс» решает не проводить DPIA, то оно документирует причины своего решения.
DPIA должна:
Если организация определит при выполнении DPIA высокий риск, который она не может смягчить, то перед началом обработки она проконсультируется с надзорным органом.
Профессиональные ассоциации и представительные органы могут составлять кодексы поведения, охватывающие такие темы, как справедливая и прозрачная обработка, законные интересы, преследуемые контролёрами, псевдонимизация, осуществление прав людей и другие.
Кроме того, надзорные органы или аккредитованные органы по сертификации могут выдавать сертификаты соответствия законодательным требованиям процессов обработки данных.
Соблюдение кодекса поведения и сертификация являются добровольными, но организация рассматривает их как отличный способ контроля и демонстрации соблюдения требований по защите персональных данных.
ЗАО «Международный деловой альянс» является главным учреждением (main establishment) для организации и принимает основные решения относительно целей и средств обработки, выполняемых организацией в качестве контролёра. Таким образом, надзорный орган ЗАО «Международный деловой альянс» действует как руководящий надзорный орган для трансграничной обработки, выполняемой организацией.
DPO главного учреждения действует в качестве контактного лица для руководящего надзорного органа по вопросам, относящимся к обработке персональных данных.