Назначение

Настоящая политика защиты персональных данных (далее Политика) формулирует основные принципы обработки персональных данных потребителей, клиентов, поставщиков, деловых партнеров, сотрудников и других лиц, а также определяет основные действия по обработке персональных данных и меры по их защите для предприятий.
Целями данной Политики являются обеспечение защиты прав и свобод человека при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну, и унификация порядка обработки персональных данных в организации с требованиями международного права и законодательства стран, где работает организация.
В своих повседневных деловых операциях ЗАО «Международный деловой альянс» использует различные данные об идентифицируемых лицах, включая данные о:
- Нынешних, бывших и потенциальных будущих сотрудниках,
- Клиентах,
- Пользователях своих веб-сайтов,
- Других заинтересованных сторонах.
При сборе и использовании этих данных организация подпадает под действие ряда законодательных актов, регулирующих способы осуществления такой деятельности и меры безопасности, которые должны быть приняты для защиты этих данных.
ЗАО «Международный деловой альянс» обязуется соблюдать законы и правила, касающиеся защиты персональных данных, действующие в странах, где работает организация.
Политика пересматривается ежегодно и при значительных изменениях в организации или в соответствующем законодательстве.

Область распространения

Политика обязательна для всех сотрудников ЗАО «Международный деловой альянс», как штатных, так и внештатных, и всех структурных подразделений организации, включая обособленные подразделения. Требования Политики применяются также в отношении иных лиц, если необходимо их участие в процессе обработки организацией персональных данных, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений и договоров.

Требования Политики распространяются на любые персональные данные, независимо от вида носителя, на котором они зафиксированы.

Политика является общедоступным документом ЗАО «Международный деловой альянс» и предусматривает возможность ознакомления с ней любых лиц.

Термины и определения

В настоящем документе применены следующие термины с соответствующими определениями:

Персональные данные – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (‘субъекту данных’); идентифицируемое физическое лицо является лицом, которое может быть идентифицировано прямо или косвенно, в частности, на основе идентификационной информации, такой как: имя, идентификационный номер, данные о местоположении, идентификатор в интернете (онлайн-идентификатор), или посредством одного или нескольких показателей, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности данного физического лица;

Обработка персональных данных –любая операция или совокупность операций, которые совершаются с персональными данными или набором персональных данных, с использованием автоматизированных средств и без таковых, в числе которых сбор, запись, упорядочивание, структурирование, хранение, переработка или изменение, поиск и выборка, экспертиза, использование, раскрытие посредством передачи, распространения или иного способа предоставления доступа, группировка или комбинирование, ограничение обработки, стирание или уничтожение;

Контролёр - физическое или юридическое лицо, государственный орган, агентство или иной орган, который, самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных; в случае, когда цели и средства такой обработки устанавливаются правом страны местонахождения субъекта данных, контролёр, либо конкретные критерии для его выдвижения, могут быть обусловлены правом страны местонахождения субъекта данных;

Обработчик – физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контролёра;

Специальные категории персональных данных - персональные данные, показывающие расовую или этническую принадлежность, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, касающиеся состояния здоровья, интимной жизни, сексуальной ориентации, генетические данные, или биометрические данные, при их использовании для идентификации физического лица.

Принципы обработки персональных данных

Организация обязуется соблюдать следующие принципы при обработке персональных данных.
Персональные данные должны:
(a) обрабатываться на законных основаниях, справедливо и прозрачно в отношении субъекта данных («принцип законности, справедливости и прозрачности»);
(b) собираться для конкретных, явно выраженных и законных целей и не должны в дальнейшем обрабатываться способом, несовместимым с этими целями; дальнейшая обработка для целей архивирования в общественных интересах, для научных или исторических исследовательских целей или статистических целей не считается несовместимой с первоначальными целями («принцип ограничения целей»);
(c) быть отвечающими требованиям, относящимися к делу, и ограничиваться тем, что необходимо в отношении целей, для достижения которых они обрабатываются («принцип минимизации данных»);
(d) быть точными и, при необходимости, вовремя обновляться; должны быть предприняты все разумные меры, чтобы неточные персональные данные, в зависимости от целей их обработки, были удалены или исправлены без задержки («принцип точности»);
(e) храниться в форме, позволяющей идентифицировать субъекты данных, не дольше, чем этого требуют цели обработки персональных данных; персональные данные могут храниться в течение более длительных периодов времени, в той степени, в какой персональные данные будут обрабатываться исключительно для целей архивирования в общественных интересах, для научных или исторических исследовательских целей или статистических целей, при условии применения соответствующих технических и организационных мер в целях защиты прав и свобод субъекта данных («принцип ограничения срока хранения»);
(f) обрабатываться таким образом, который обеспечивает надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной утери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер («принцип целостности и конфиденциальности»).

ЗАО «Международный деловой альянс» обязуется соблюдать вышеперечисленные принципы не только при обработке персональных данных в настоящее время, но и при внедрении новых методов и систем обработки.
Организация готова подтвердить надзорному органу по запросу соблюдение вышеперечисленных принципов обработки персональных данных, в части своей деятельности как контролёра («принцип подотчетности»).

Правомерность обработки

Прежде чем начать обработку персональных данных в качестве контролёра, ЗАО «Международный деловой альянс» определяет законное основание для обработки.

Если организация обрабатывает в качестве контролёра специальные категории персональных данных, или данные, связанные с уголовными приговорами и правонарушениями, то организация идентифицирует как законную основу для общей обработки, так и отдельные условия для обработки данных этих типов.

ЗАО «Международный деловой альянс» сохраняет обоснованные, задокументированные доказательства правомерности обработки персональных данных, в части своей деятельности как контролёра, и предоставляет их там, где это необходимо.

Организация обрабатывает персональные данные в качестве обработчика только на основании документально подтвержденных распоряжений контролёра, определяемых договором, либо иным правовым актом, определяющим предмет и продолжительность обработки, характер и цель обработки, тип персональных данных и категории субъектов данных, а также обязанности и права контролёра. В этом случае, правомерность обработки определяет контролёр.

Существует шесть применимых правомерных оснований для общей обработки персональных данных. Существует десять отдельных условий для обработки специальных категорий персональных данных. Возможные варианты описаны в следующих разделах.

Согласие

Выполнение контракта

Если собранные и обработанные персональные данные необходимы для выполнения контракта с субъектом данных, явное согласие не требуется. Этот пункт применяется в тех случаях, когда контракт не может быть завершен без соответствующих персональных данных, например, доставка не может быть выполнена без адреса доставки.

Юридическая обязанность

Жизненные интересы субъекта данных

Задача, осуществляемая в интересах общества

Законные интересы

Условия для обработки специальных категорий персональных данных

Организация обрабатывает в качестве контролёра специальные категории персональных данных только если она определила одно из следующих условий для обработки:
(a) субъект данных дал прямое согласие на обработку указанных персональных данных для одной или нескольких обозначенных целей, кроме случаев, когда законодательство страны местонахождения субъекта данных не предусматривает права на отмену субъектом данных запрета на обработку;
(b) обработка необходима для выполнения обязательств и осуществления конкретных прав контролёра или субъекта данных в сфере занятости и социального обеспечения и законодательства о социальной защите, при условии обеспечения надлежащих мер безопасности для основных прав и интересов субъекта данных;
(c) обработка необходима для защиты жизненных интересов субъекта данных или иного физического лица, если субъект данных физически или юридически не способен дать свое согласие;
(d) обработка осуществляется с политическими, философскими, религиозными или профсоюзными целями фондом, ассоциацией или любым иным некоммерческим органом в рамках их законной деятельности и с надлежащими мерами безопасности, и при условии, что обработка относится исключительно к членам, бывшим членам органа или лицам, которые осуществляют постоянный контакт с нею в связи с ее целями, и что персональные данные не раскрываются третьим лицам без согласия на это субъекта персональных данных;
(e) обработка связана с персональными данными, которые субъект данных явным образом сделал общедоступными;
(f) обработка необходима для предъявления, исполнения или защиты судебных исков или в случаях, когда суды действуют в пределах своей судейской дееспособности;
(g) обработка необходима по соображениям существенного общественного интереса, при условии обеспечения подходящих и конкретных мер по защите основных прав и интересов субъекта данных;
(h) обработка необходима в целях профилактической или профессиональной медицины, для оценки трудоспособности работника, для диагностики медицинского состояния, предоставления медицинской или социальной помощи, или лечения, либо для управления системами и услугами здравоохранения и социального обеспечения;
(i) обработка необходима по причинам общественного интереса в сфере общественного здравоохранения, например, защиты от серьезных трансграничных угроз здоровью или для обеспечения высоких стандартов качества и надежности медицинского обслуживания и лекарственных средств или медицинской техники, при условии обеспечения подходящих и конкретных мер по защите прав и свобод субъекта данных, в частности, профессиональной тайны;
(j) обработка необходима для архивных целей в общественных интересах, научных или историко-исследовательских целей, либо для статистических целей, при условии обеспечения подходящих и конкретных мер по защите основных прав и интересов субъекта данных.

ЗАО «Международный деловой альянс» обрабатывает персональные данные, связанные с уголовными приговорами и правонарушениями, только под контролем официального органа, либо когда обработка разрешена законодательством страны местонахождения субъекта данных, при выполнении условий обеспечения надлежащих мер безопасности для прав и свобод субъектов данных.

Права субъекта персональных данных

Субъект данных обладает следующими правами:

1. Право на получение информации.
Физические лица имеют право на информацию о сборе и использовании своих персональных данных.
2. Право на доступ к данным.
Физические лица имеют право доступа к своим персональным данным.
3. Право на исправление данных.
Физические лица имеют право требовать исправления своих персональных данных, если они неточны, или пополнения, если они неполны.
4. Право на удаление данных (“право быть забытым”).
Физические лица имеют право требовать удаления своих персональных данных.
5. Право на ограничение обработки.
Физические лица имеют право требовать ограничения или пресечения обработки своих персональных данных.
6. Право на перенесение данных.
Физические лица имеют право на получение своих персональных данных и повторное их использование для собственных целей в разных сервисах.
7. Право на возражение.
Физические лица имеют право возражать против обработки своих персональных данных.
8. Права в отношении автоматизированного принятия решений и профилирования.
Физические лица имеют право не подвергаться воздействию решений, основанных исключительно на автоматизированной обработке, включая профилирование, и оказывающих юридическое или подобное существенное воздействие на них.

Организация поддерживает каждое из этих прав соответствующими процедурами, которые позволяют принять необходимые меры в сроки, указанные в таблице 1.

Таблица 1 – Временные рамки для запросов субъекта данных.

Защита персональных данных в деловой деятельности организации

ЗАО «Международный деловой альянс» в своей деловой деятельности принимает или может принимать в некоторых случаях, если потребуется, ряд организационных и технических мер для защиты персональных данных от несанкционированной или незаконной обработки, а также от случайной утери, уничтожения, повреждения или от иных неправомерных действий в отношении персональных данных. Эти меры включают в себя:

- принятие и внедрение регламентирующих документов в области обработки и защиты персональных данных;
- принятие подхода «защита данных по дизайну и по умолчанию»;
– внедрение соответствующих мер защиты данных на протяжении всего жизненного цикла процессов обработки;
- заключение письменных контрактов с обработчиками, которые обрабатывают персональные данные от имени организации;
- обеспечение должных гарантий при передаче персональных данных в третьи страны;
- документирование своей деятельности по обработке персональных данных;
- осуществление должных мер безопасности;
- запись и, при необходимости, сообщение о нарушениях, связанных с персональными данными;
- проведение оценки воздействия защиты данных для использования персональных данных, которые могут привести к высокому риску для интересов физических лиц;
- назначение Инспектора по защите данных (где это необходимо);
- соблюдение соответствующих кодексов поведения и соответствие системам сертификации (насколько это возможно).

Защита данных по дизайну и по умолчанию

Организация принимает принцип «защита данных по дизайну и по умолчанию» и выполняет соответствующие технические и организационные меры для реализации принципов защиты данных и защиты индивидуальных прав.

По сути, «защита данных по дизайну» означает, что ЗАО «Международный деловой альянс» интегрировала защиту данных в свои системы, услуги, продукты и бизнес-практики, начиная от этапа проектирования, а затем на весь жизненный цикл. Организация использует только тех обработчиков данных, которые обеспечивают достаточные гарантии их технических и организационных мер для защиты данных по дизайну. Организация учитывает защиту данных по дизайну при покупке продуктов для использования в своих процессах обработки данных.

По сути, «защита данных по умолчанию» означает, что ЗАО «Международный деловой альянс», в части своей деятельности как контролёра:

- до начала обработки определяет минимальный набор персональных данных, необходимых для достижения конкретных целей обработки;
- соответствующим образом информирует субъектов данных;
- обрабатывает только данные, необходимые для целей обработки;
- не обрабатывает дополнительные персональные данные, пока субъект данных не разрешит делать это;
- обеспечивает, чтобы персональные данные не становились доступными другим лицам автоматически, пока субъект данных не разрешит сделать это;
- обеспечивает автоматическую защиту персональных данных в любой ИТ-системе, услуге, продуктах и / или деловой практике, чтобы физические лица не должны были предпринимать какие-либо конкретные действия для защиты своей конфиденциальности;
- предлагает сильные настройки конфиденциальности, удобные для пользователя параметры и элементы управления, а также соблюдение предпочтений пользователей.

Организация учитывает использование таких методов, как псевдонимизация, там, где это применимо и уместно.

Контракты, связанные с обработкой персональных данных

ЗАО «Международный деловой альянс» обеспечивает, чтобы все взаимоотношения, касающиеся обработки персональных данных, в которые вовлекается организация, регулировались документированными контрактами, которые включают в себя определённую информацию и условия, требуемые законодательством.
Контракты организации включают следующую обязательную информацию:

- предмет и продолжительность обработки;
- характер и цель обработки;
- типы персональных данных и категории субъектов данных;
- обязательства и права контролёра.

Контракты организации включают следующие обязательные условия:

- обработчик должен действовать только в соответствии с письменными инструкциями контролёра (за исключением случаев, когда в силу закона требуется действовать без таких инструкций);
- обработчик должен обеспечить, чтобы лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательство соблюдать конфиденциальность или находились под действием соответствующего установленного законом обязательства о конфиденциальности;
- обработчик должен принять должные меры для обеспечения безопасности обработки;
- обработчик может задействовать со-обработчика только с предварительного согласия контролёра данных и подписания письменного контракта;
- обработчик должен содействовать контролёру данных в обеспечении субъектам данных их прав в соответствии с законодательством страны местонахождения субъекта;
- обработчик должен содействовать контролёру данных в выполнении его обязательств в отношении безопасности обработки, уведомлений о нарушениях, связанных с персональными данными, и оценок воздействия защиты данных;
- обработчик должен удалить или вернуть все персональные данные контролёру в соответствии с запросом по завершению контракта;
- обработчик должен содействовать проведению аудитов и инспекционных проверок, предоставлять контролёру любую информацию, необходимую для того, чтобы подтвердить соблюдение обработчиком своих обязательств, и немедленно сообщать контролёру, если обработчика попросят сделать что-то, нарушающее законодательство о защите данных.

ЗАО «Международный деловой альянс» как контролёр назначает на обработку только тех обработчиков, которые могут предоставить «достаточные гарантии», что требования законодательства стран местонахождения субъектов данных будут соблюдены, а права субъектов данных будут защищены.

Международная передача персональных данных

ЗАО «Международный деловой альянс» передает персональные данные в третью страну или международную организацию только если при этом полностью соблюдаются требования законодательства стран местонахождения субъектов данных, например, если передача персональных данных в эту третью страну или международную организацию разрешена регулирующим органом без дополнительного санкционирования надзорным органом, поскольку там обеспечивается достаточный уровень защиты, отвечающий требованиям законодательства, или если организация, получающая персональные данные, обеспечила должные защитные меры, соответствующие требованиям законодательства.

ЗАО «Международный деловой альянс» удостоверяется перед такой передачей, что по ее завершению уровень защиты субъектов данных, гарантированный законодательством, не ослабится, в том числе в случаях последующей передачи персональных данных из третьей страны или международной организации контролёрам, обработчикам в той же или другой третьей стране или международной организации.

После такой передачи права физических лиц должны оставаться в законной силе и должны оставаться доступными эффективные средства правовой защиты для физических лиц.

Документирование деятельности по обработке

Применение должных мер безопасности

Нарушения, связанные с персональными данными

Оценка воздействия защиты данных

Соблюдение кодексов поведения и систем сертификации