Цель
Настоящая Политика является документом, регулирующим деятельность Softline в области соответствия актуальным и конкретным требованиям Регламента (ЕС) 2016/679 (Общий Регламент по защите персональных данных, «GDPR»).
Целью настоящей Политики является обеспечение защиты прав и интересов субъекта данных, что приведет к безопасности Компании перед лицом установленной законом ответственности и целостности коммерческих операций.
Общие положения
Настоящая Политика распространяется на все компании Softline и всех сотрудников.
Сотрудники обязаны:
- ознакомиться с настоящей Политикой и любыми другими документами, направленными на реализацию настоящей Политики, понять ее и следовать ей;
- пройти требуемый инструктаж, включая тренинги и обучения;
- уведомить о требованиях настоящей Политики Бизнес-партнеров.
Руководители обязаны:
- обеспечивать, чтобы Сотрудники и Бизнес-партнеры следовали требованиям и инструкциям настоящей Политики.
Служба Комплаенс/Директор по соответствию обязаны:
- обновлять настоящую Политику и любые другие документы, направленные на ее реализацию, по мере необходимости;
- предоставлять Сотрудникам, Бизнес-партнерам консультации и поддержку по вопросам соблюдения требований настоящей Политики и законодательства.
Настоящая Политика не заменяет существующие политики безопасности.
Термины и определения
Персональные данные – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных); идентифицируемое физическое лицо – это лицо, которое можно идентифицировать прямо или косвенно, в частности, посредством таких идентификаторов, как ФИО, идентификационный номер, данные о местоположении, онлайновый идентификатор, а также один или несколько признаков, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.
Контролёр данных – физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных.
Процессор данных – физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контролёра.
Принципы обработки персональных данных
Законность, справедливость и прозрачность – персональные данные должны обрабатываться законно, справедливо и прозрачно. Наилучшим способом соблюдения этого принципа является оценка действий по обработке данных с точки зрения субъекта данных и его ожиданий.
Ограничение цели – личные данные должны собираться для определенных, явных и законных целей. Лучший подход для соблюдения этого принципа – избегать общих категорий целей и определять цели как можно более конкретно.
Минимизация данных – обрабатываемые персональные данные должны быть адекватными, актуальными и ограниченными тем, что необходимо в отношении определенных целей, для которых они обрабатываются. По возможности, персональные данные должны быть обезличены или псевдонимизированы при первой же возможности. Каждый актив данных, обрабатываемый Компанией, должен оцениваться и сокращаться в объеме, строго необходимом для конкретной цели обработки. Когда данные больше не нужны для той цели, для которой они были собраны, и, если нет законных оснований для их сохранения, персональные данные должны быть либо полностью обезличены, либо удалены.
Точность – обрабатываемые персональные данные должны быть точными и при необходимости обновляться. Любые новые данные, касающиеся субъекта данных, должны регистрироваться таким образом, чтобы четко определить их точность и актуальность.
Целостность и конфиденциальность – персональные данные должны обрабатываться таким образом, чтобы обеспечить надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки и от случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер.
Принципы безопасности данных
Системный подход. Все активы Компании считаются взаимосвязанными и взаимно влияющими компонентами единой системы. В случае угрозы информационной безопасности, принимается во внимание максимально возможное количество сценариев поведения системы. Система защиты построена с учетом не только всех известных каналов получения несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых способов реализации угроз безопасности.
Комплексный подход. Для обеспечения информационной безопасности используется широкий спектр мер, методов и средств защиты информации. Их комплексное использование предполагает согласование разнородных средств при построении интегрированной системы защиты, которая блокирует все существующие каналы угроз и не содержит слабых мест на стыках отдельных ее компонентов. Компания принимает эффективные меры и процедуры для проверки безопасности данных как при электронных коммуникациях, так и при неавтоматизированных операциях с данными в физических помещениях Компании.
Принцип разделения. Нельзя полагаться на одну защитную линию, какой бы безопасной она ни казалась. Система защиты данных построена таким образом, чтобы наиболее защищенная зона безопасности находилась внутри других защищенных зон. Данные хранятся и обрабатываются способом, который обеспечивает безопасность каждого актива данных в случае нарушения безопасности других активов данных.
Принцип равной силы. Эффективность механизмов защиты не сводится на нет слабым звеном, возникающим в результате недооценки реальных угроз или использования неадекватных мер защиты.
Принцип преемственности. Компания гарантирует, что защита информации является непрерывным и целенаправленным процессом, который подразумевает принятие соответствующих мер на всех этапах жизненного цикла активов данных.
Принцип разумной достаточности. Компания предполагает, что невозможно создать абсолютную защиту всех активов данных. Поэтому выбор средств защиты активов соответствует реальным существующим угрозам и чувствительности каждого конкретного актива данных.
Принцип управляемости. Все процессы управления и обеспечения безопасности данных в Компании контролируются, т. е. контролируются и измеряются процессы и компоненты, своевременно выявляются нарушения информационной безопасности и принимаются соответствующие меры.
Принцип личной ответственности. Каждый сотрудник несет ответственность за обеспечение сохранности активов, находящихся в его распоряжении.
Защита данных по определению и по умолчанию
Реализация этих принципов является обязанностью контролера. Тем не менее, процессор участвует в реализации в рамках политик и процедур соответствия контроллера.
Общее требование, вытекающее из этих принципов, состоит в том, чтобы учитывать защиту субъекта данных, интересы и ожидания обработки в течение всего жизненного цикла обработки. Субъекты данных могут свободно принимать решения по обработке своих данных. Эти принципы реализуются по умолчанию и не требуют от субъекта данных каких-либо дополнительных действий для их реализации.
В частности, действия по обработке данных организовываются таким образом, чтобы предотвратить публичное раскрытие либо по умолчанию, либо случайно, без единого намерения субъекта данных.
Клиентская база Компании хранится таким образом, что предотвращает доступ третьих лиц, данные о сотрудниках доступны только для персонала отдела кадров, программное обеспечение, которое содержит личные данные, защищено паролем. Лицо, ответственное за защиту данных в Компании, учитывает эти принципы при проведении аудита конкретной деятельности по обработке данных.
Права субъектов данных
Право отозвать согласие
Если персональные данные обрабатываются на основании согласия субъекта данных, то субъект данных может отозвать его в любое время, не влияя на законность обработки, осуществлявшейся на основании согласия субъекта данных до момента его отзыва.
Право на информацию
По запросу субъекта данных Контролер данных должен предоставить информацию по относящимся к нему данным, включая те, которые были обработаны процессором данных от его имени или в соответствии с его/ее уведомлением, источники, откуда они были получены, цель, основания и продолжительность обработки, имя и адрес процессора данных, а также информацию о его действиях, связанных с обработкой данных, а также об условиях и последствиях инцидента с данными и о мерах, принятых с целью их устранения, и – в случае передачи данных – правового основания и получателей.
Контроллер данных должен без промедления выполнять запросы субъекта данных и предоставлять запрашиваемую информацию в понятной форме в письменном виде в течение не более двадцати пяти дней с момента запроса субъекта данных.
Информация предоставляется бесплатно для любой категории данных один раз в год. За дополнительную информацию, относящуюся к той же категории данных, может взиматься плата. Если какой-либо платеж производится в связи с данными, которые были обработаны незаконно, или если запрос привел к исправлению, то такой платеж подлежит возврату.
Право на исправление
Субъект данных может потребовать исправить свои персональные данные, если они являются неточными, неполными или устаревшими. Если персональные данные не соответствуют действительности и данные, которые соответствуют действительности, доступны Контролеру Данных, персональные данные будут исправлены Контролером Данных.
Право на удаление
Субъект данных может потребовать удалить свои персональные данные, если:
- персональные данные более не требуются для целей их обработки данных;
- субъект данных отозвал свое согласие на обработку данных, обрабатываемых исключительно на основании такого согласия;
- субъект данных выразил несогласие с обработкой данных;
- обработка персональных данных является незаконной;
- персональные данные необходимо удалить для выполнения юридических обязательств, принятых на себя Компанией;
- Компания предпримет разумные шаги для информирования других лиц, которым были переданы персональные данные, о факте удаления персональных данных.
Право на ограничение обработки
Субъект данных может потребовать ограничить обработку в случае, если:
- корректность персональных данных оспаривается;
- субъект данных хочет ограничить доступ к своим персональным данным, а не удалять их несмотря на то, что что их обработка является незаконной;
- субъект данных хочет, чтобы Компания сохранила его персональные данные, потому что субъекту данных это нужно для его защиты в рамках каких-либо юридических требований;
- если субъект данных возражал против обработки персональных данных, а Компания проводит проверку, чтобы установить наличие законных оснований, достаточных для того, чтобы не принимать во внимание собственные права субъекта данных с учетом того, что обработка данных основана на законных интересах Компании.
Право на перемещение
Субъект данных может потребовать перемещения своих персональных данных, при условии, что обработка персональных данных основана на его согласии или исполнении контракта и выполняется при помощи автоматических средств (то есть, без использования письменных (бумажных) документов).
Право на возражение против обработки
Если субъект данных возражает против обработки относящихся к нему данных, то Контроллер должен исследовать причину возражения в возможно короткий срок в течение пятнадцати дней, принять решение по существу и уведомить субъекта данных в письменном виде о своем решении.
Если, согласно выводам Контроллера, возражение субъекта данных является обоснованным, Контроллер должен прекратить все операции обработки (включая сбор и передачу данных), заблокировать соответствующие данные и уведомить всех получателей, которым ранее была передана любая из этих данных, относительно возражения и последующие меры, на основании которых такие получатели должны также принять меры в отношении исполнения возражения.
Если субъект данных не согласен с решением Контроллера Данных или если Контроллер Данных не соблюдает крайний срок для принятия решения, соответствующее лицо может передать дело в суд в течение 30 дней с момента уведомления о решении или с последнего дня крайнего срока.
Право на компенсацию и возмещение ущерба
Если Контроллер Данных причиняет ущерб, связанный с незаконной обработкой персональных данных или нарушением требований безопасности данных, он обязан возместить его.
Если Контроллер Данных нарушает право личности субъекта данных в результате незаконной обработки его персональных данных или нарушает требования безопасности данных, субъект данных может потребовать возмещения ущерба.
Контроллер Данных также несет ответственность перед субъектом данных за ущерб, причиненный Процессором. Контролер данных освобождается от ответственности за ущерб и убытки, если он докажет, что ущерб или нарушение права личности субъекта данных вызваны неизбежной причиной, выходящей за рамки обработки данных.
Компенсация не требуется и ущерб не может быть заявлен, когда ущерб, причиненный потерпевшей стороне или нарушение права на неприкосновенность частной жизни, был вызван преднамеренным или грубым небрежным поведением соответствующего субъекта данных.
Право на судебную защиту
Заинтересованное лицо может подать иск в суд за нарушение своих прав. Контроллер Данных должен продемонстрировать, что обработка данных осуществляется в соответствии с законодательством. Иск может быть заявлен заинтересованным лицом по его выбору в компетентный суд по месту жительства или проживания.
Если суд удовлетворяет ходатайство субъекта данных, Контроллер Данных обязан предоставить информацию, исправить, заблокировать, удалить, расшифровать автоматизированную обработку данных с учетом права на возражение соответствующего лица.
Право на обращение в Орган по защите данных
В случае наличия каких-либо проблем, связанных с условиями обработки персональных данных, субъект данных также может подать жалобу в надзорный орган по защите данных.
Глобальный генеральный директор Softline
С.В. Черноволенко
Скачать политику в формате PDF