Неприкосновенность личной жизни посетителей нашего Веб-сайта («Пользователей») очень важна для IBA Group. Наша Политика организации в области защиты персональных данных ('Политика') разработана для того, чтобы помочь пользователю понять, как IBA Group собирает, использует, хранит и раскрывает личную информацию пользователя. Принимая данную Политику, пользователь дает согласие на сбор, хранение, использование и раскрытие IBA Group его личной информации как описано далее.
Настоящая политика защиты персональных данных (далее Политика) формулирует основные принципы обработки персональных данных потребителей, клиентов, поставщиков, деловых партнеров, сотрудников и других лиц, а также определяет основные действия по обработке персональных данных и меры по их защите для предприятий, работающих под руководством и контролем их головного офиса – IBA Group a.s.
Целями данной Политики являются обеспечение защиты прав и свобод человека при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну, и унификация порядка обработки персональных данных в организации с требованиями международного права и законодательства стран, где работает организация.
В своих повседневных деловых операциях IBA использует различные данные об идентифицируемых лицах, включая данные о:
- Нынешних, бывших и потенциальных будущих сотрудниках,
- Клиентах,
- Пользователях своих веб-сайтов,
- Других заинтересованных сторонах.
При сборе и использовании этих данных организация подпадает под действие ряда законодательных актов, регулирующих способы осуществления такой деятельности и меры безопасности, которые должны быть приняты для защиты этих данных.
IBA обязуется соблюдать законы и правила, касающиеся защиты персональных данных, действующие в странах, где работает организация.
Политика пересматривается ежегодно и при значительных изменениях в организации или в соответствующем законодательстве.
Политика обязательна для всех сотрудников IBA, как штатных, так и внештатных, и всех структурных подразделений организации, включая обособленные подразделения. Требования Политики применяются также в отношении иных лиц, если необходимо их участие в процессе обработки организацией персональных данных, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений и договоров.
Требования Политики распространяются на любые персональные данные, независимо от вида носителя, на котором они зафиксированы.
Политика является общедоступным документом IBA и предусматривает возможность ознакомления с ней любых лиц.
В настоящем документе применены следующие термины с соответствующими определениями:
Биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);
Блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
Генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;
Контролёр – смотри Оператор;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Обработка персональных данных – любое действие(операция) или совокупность действий(операций), совершаемые с персональными данными, включая сбор, запись, систематизацию, хранение, изменение, использование, группировка или комбинирование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
Обработчик – смотри Уполномоченное лицо;
Оператор – государственный орган, юридическое лицо, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, – физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных, определяющие цели и средства обработки персональных данных; в случаях, когда цели и средства такой обработки определяются законодательством страны местонахождения субъекта данных, оператор(контролёр), либо конкретные критерии для его определения, могут быть установлены законодательством страны местонахождения субъекта данных;
Персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
Предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
Распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
Специальные категории персональных данных (Специальные персональные данные) – персональные данные, касающиеся расовой, этнической либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, сексуальной ориентации, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
Субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
Удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
Уполномоченное лицо – преударственный орган, юридическое лицо, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором(контролёром), либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора(контролёра) или в его интересах;
Физическое лицо, которое может быть идентифицировано – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер, данные о местоположении, идентификатор в интернете (онлайн-идентификатор), либо через один или несколько признаков, характерных для его физической, физиологической, генетической, психологической, умственной, экономической, культурной или социальной идентичности.
Организация обязуется соблюдать следующие принципы при обработке персональных данных.
Персональные данные должны:
(a) обрабатываться на законных основаниях, справедливо и прозрачно в отношении субъекта данных («принцип законности, справедливости и прозрачности»);
(b) собираться для конкретных, явно выраженных и законных целей и не должны в дальнейшем обрабатываться способом, несовместимым с этими целями; дальнейшая обработка для целей архивирования в общественных интересах, для научных или исторических исследовательских целей или статистических целей не считается несовместимой с первоначальными целями («принцип ограничения целей»);
(c) быть отвечающими требованиям, относящимися к делу, и ограничиваться тем, что необходимо в отношении целей, для достижения которых они обрабатываются («принцип минимизации данных»);
(d) быть точными и, при необходимости, вовремя обновляться; должны быть предприняты все разумные меры, чтобы неточные персональные данные, в зависимости от целей их обработки, были удалены или исправлены без задержки («принцип точности»);
(e) храниться в форме, позволяющей идентифицировать субъекты данных, не дольше, чем этого требуют цели обработки персональных данных; персональные данные могут храниться в течение более длительных периодов времени, в той степени, в какой персональные данные будут обрабатываться исключительно для целей архивирования в общественных интересах, для научных или исторических исследовательских целей или статистических целей, при условии применения соответствующих технических и организационных мер в целях защиты прав и свобод субъекта данных («принцип ограничения срока хранения»);
(f) обрабатываться таким образом, который обеспечивает надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной утери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер («принцип целостности и конфиденциальности»).
IBA обязуется соблюдать вышеперечисленные принципы не только при обработке персональных данных в настоящее время, но и при внедрении новых методов и систем обработки.
Организация готова подтвердить надзорному органу по запросу соблюдение вышеперечисленных принципов обработки персональных данных, в части своей деятельности как контролёра («принцип подотчетности»).
Прежде чем начать обработку персональных данных в качестве контролёра, IBA определяет законное основание для обработки.
Если организация обрабатывает в качестве контролёра специальные категории персональных данных, или данные, связанные с уголовными приговорами и правонарушениями, то организация идентифицирует как законную основу для общей обработки, так и отдельные условия для обработки данных этих типов.
IBA сохраняет обоснованные, задокументированные доказательства правомерности обработки персональных данных, в части своей деятельности как контролёра, и предоставляет их там, где это необходимо.
Организация обрабатывает персональные данные в качестве обработчика только на основании документально подтвержденных распоряжений контролёра, определяемых договором, либо иным правовым актом, определяющим предмет и продолжительность обработки, характер и цель обработки, тип персональных данных и категории субъектов данных, а также обязанности и права контролёра. В этом случае, правомерность обработки определяет контролёр.
Существует шесть применимых правомерных оснований для общей обработки персональных данных. Существует десять отдельных условий для обработки специальных категорий персональных данных. Возможные варианты описаны в следующих разделах.
Если собранные и обработанные персональные данные необходимы для выполнения контракта с субъектом данных, явное согласие не требуется. Этот пункт применяется в тех случаях, когда контракт не может быть завершен без соответствующих персональных данных, например, доставка не может быть выполнена без адреса доставки.
Организация обрабатывает в качестве контролёра специальные категории персональных данных только если она определила одно из следующих условий для обработки:
(a) субъект данных дал прямое согласие на обработку указанных персональных данных для одной или нескольких обозначенных целей, кроме случаев, когда законодательство страны местонахождения субъекта данных не предусматривает права на отмену субъектом данных запрета на обработку;
(b) обработка необходима для выполнения обязательств и осуществления конкретных прав контролёра или субъекта данных в сфере занятости и социального обеспечения и законодательства о социальной защите, при условии обеспечения надлежащих мер безопасности для основных прав и интересов субъекта данных;
(c) обработка необходима для защиты жизненных интересов субъекта данных или иного физического лица, если субъект данных физически или юридически не способен дать свое согласие;
(d) обработка осуществляется с политическими, философскими, религиозными или профсоюзными целями фондом, ассоциацией или любым иным некоммерческим органом в рамках их законной деятельности и с надлежащими мерами безопасности, и при условии, что обработка относится исключительно к членам, бывшим членам органа или лицам, которые осуществляют постоянный контакт с нею в связи с ее целями, и что персональные данные не раскрываются третьим лицам без согласия на это субъекта персональных данных;
(e) обработка связана с персональными данными, которые субъект данных явным образом сделал общедоступными;
(f) обработка необходима для предъявления, исполнения или защиты судебных исков или в случаях, когда суды действуют в пределах своей судейской дееспособности;
(g) обработка необходима по соображениям существенного общественного интереса, при условии обеспечения подходящих и конкретных мер по защите основных прав и интересов субъекта данных;
(h) обработка необходима в целях профилактической или профессиональной медицины, для оценки трудоспособности работника, для диагностики медицинского состояния, предоставления медицинской или социальной помощи, или лечения, либо для управления системами и услугами здравоохранения и социального обеспечения;
(i) обработка необходима по причинам общественного интереса в сфере общественного здравоохранения, например, защиты от серьезных трансграничных угроз здоровью или для обеспечения высоких стандартов качества и надежности медицинского обслуживания и лекарственных средств или медицинской техники, при условии обеспечения подходящих и конкретных мер по защите прав и свобод субъекта данных, в частности, профессиональной тайны;
(j) обработка необходима для архивных целей в общественных интересах, научных или историко-исследовательских целей, либо для статистических целей, при условии обеспечения подходящих и конкретных мер по защите основных прав и интересов субъекта данных.
IBA обрабатывает персональные данные, связанные с уголовными приговорами и правонарушениями, только под контролем официального органа, либо когда обработка разрешена законодательством страны местонахождения субъекта данных, при выполнении условий обеспечения надлежащих мер безопасности для прав и свобод субъектов данных.
Субъект данных обладает следующими правами:
1. Право на получение информации.
Физические лица имеют право на информацию о сборе и использовании своих персональных данных.
2. Право на доступ к данным.
Физические лица имеют право доступа к своим персональным данным.
3. Право на исправление данных.
Физические лица имеют право требовать исправления своих персональных данных, если они неточны, или пополнения, если они неполны.
4. Право на удаление данных (“право быть забытым”).
Физические лица имеют право требовать удаления своих персональных данных.
5. Право на ограничение обработки.
Физические лица имеют право требовать ограничения или пресечения обработки своих персональных данных.
6. Право на перенесение данных.
Физические лица имеют право на получение своих персональных данных и повторное их использование для собственных целей в разных сервисах.
7. Право на возражение.
Физические лица имеют право возражать против обработки своих персональных данных.
8. Права в отношении автоматизированного принятия решений и профилирования.
Физические лица имеют право не подвергаться воздействию решений, основанных исключительно на автоматизированной обработке, включая профилирование, и оказывающих юридическое или подобное существенное воздействие на них.
Организация поддерживает каждое из этих прав соответствующими процедурами, которые позволяют принять необходимые меры в сроки, указанные в таблице 1.
Таблица 1 – Временные рамки для запросов субъекта данных.
Запрос субъекта данных | Временная шкала |
---|---|
Право на получение информации | Когда собираются данные (если они предоставлены субъектом данных) или в течение одного месяца (если они не предоставлены субъектом данных) |
Право на доступ | Один месяц |
Право на исправление | Один месяц |
Право на удаление | Без неоправданной задержки |
Право на ограничение обработки | Без неоправданной задержки |
Право на перенесение данных | Один месяц |
Право на возражение | При получении возражения |
Права в отношении автоматизированного принятия решений и профилирования | Не определено |
IBA в своей деловой деятельности принимает или может принимать в некоторых случаях, если потребуется, ряд организационных и технических мер для защиты персональных данных от несанкционированной или незаконной обработки, а также от случайной утери, уничтожения, повреждения или от иных неправомерных действий в отношении персональных данных. Эти меры включают в себя:
- принятие и внедрение регламентирующих документов в области обработки и защиты персональных данных - принятие подхода «защита данных по дизайну и по умолчанию»;
– внедрение соответствующих мер защиты данных на протяжении всего жизненного цикла процессов обработки;
- заключение письменных контрактов с обработчиками, которые обрабатывают персональные данные от имени организации;
- обеспечение должных гарантий при передаче персональных данных в третьи страны;
- документирование своей деятельности по обработке персональных данных;
- осуществление должных мер безопасности;
- запись и, при необходимости, сообщение о нарушениях, связанных с персональными данными;
- проведение оценки воздействия защиты данных для использования персональных данных, которые могут привести к высокому риску для интересов физических лиц;
- назначение Инспектора по защите данных (где это необходимо);
- соблюдение соответствующих кодексов поведения и соответствие системам сертификации (насколько это возможно).
IBA передает персональные данные в третью страну или международную организацию только если при этом полностью соблюдаются требования законодательства стран местонахождения субъектов данных, например, если передача персональных данных в эту третью страну или международную организацию разрешена регулирующим органом без дополнительного санкционирования надзорным органом, поскольку там обеспечивается достаточный уровень защиты, отвечающий требованиям законодательства, или если организация, получающая персональные данные, обеспечила должные защитные меры, соответствующие требованиям законодательства.
IBA удостоверяется перед такой передачей, что по ее завершению уровень защиты субъектов данных, гарантированный законодательством, не ослабится, в том числе в случаях последующей передачи персональных данных из третьей страны или международной организации контролёрам, обработчикам в той же или другой третьей стране или международной организации.
После такой передачи права физических лиц должны оставаться в законной силе и должны оставаться доступными эффективные средства правовой защиты для физических лиц.
IBA обеспечивает, чтобы все взаимоотношения, касающиеся обработки персональных данных, в которые вовлекается организация, регулировались документированными контрактами, которые включают в себя определённую информацию и условия, требуемые законодательством.
Контракты организации включают следующую обязательную информацию:
- предмет и продолжительность обработки;
- характер и цель обработки;
- типы персональных данных и категории субъектов данных;
- обязательства и права контролёра.
Контракты организации включают следующие обязательные условия:
- обработчик должен действовать только в соответствии с письменными инструкциями контролёра (за исключением случаев, когда в силу закона требуется действовать без таких инструкций);
- обработчик должен обеспечить, чтобы лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательство соблюдать конфиденциальность или находились под действием соответствующего установленного законом обязательства о конфиденциальности;
- обработчик должен принять должные меры для обеспечения безопасности обработки;
- обработчик может задействовать со-обработчика только с предварительного согласия контролёра данных и подписания письменного контракта;
- обработчик должен содействовать контролёру данных в обеспечении субъектам данных их прав в соответствии с законодательством страны местонахождения субъекта;
- обработчик должен содействовать контролёру данных в выполнении его обязательств в отношении безопасности обработки, уведомлений о нарушениях, связанных с персональными данными, и оценок воздействия защиты данных;
- обработчик должен удалить или вернуть все персональные данные контролёру в соответствии с запросом по завершению контракта;
- обработчик должен содействовать проведению аудитов и инспекционных проверок, предоставлять контролёру любую информацию, необходимую для того, чтобы подтвердить соблюдение обработчиком своих обязательств, и немедленно сообщать контролёру, если обработчика попросят сделать что-то, нарушающее законодательство о защите данных.
IBA как контролёр назначает на обработку только тех обработчиков, которые могут предоставить «достаточные гарантии», что требования законодательства стран местонахождения субъектов данных будут соблюдены, а права субъектов данных будут защищены.
Организация принимает принцип «защита данных по дизайну и по умолчанию» и выполняет соответствующие технические и организационные меры для реализации принципов защиты данных и защиты индивидуальных прав.
По сути, «защита данных по дизайну» означает, что IBA интегрировала защиту данных в свои системы, услуги, продукты и бизнес-практики, начиная от этапа проектирования, а затем на весь жизненный цикл. Организация использует только тех обработчиков данных, которые обеспечивают достаточные гарантии их технических и организационных мер для защиты данных по дизайну. Организация учитывает защиту данных по дизайну при покупке продуктов для использования в своих процессах обработки данных.
По сути, «защита данных по умолчанию» означает, что IBA, в части своей деятельности как контролёра:
- до начала обработки определяет минимальный набор персональных данных, необходимых для достижения конкретных целей обработки;
- соответствующим образом информирует субъектов данных;
- обрабатывает только данные, необходимые для целей обработки;
- не обрабатывает дополнительные персональные данные, пока субъект данных не разрешит делать это;
- обеспечивает, чтобы персональные данные не становились доступными другим лицам автоматически, пока субъект данных не разрешит сделать это;
- обеспечивает автоматическую защиту персональных данных в любой ИТ-системе, услуге, продуктах и / или деловой практике, чтобы физические лица не должны были предпринимать какие-либо конкретные действия для защиты своей конфиденциальности;
- предлагает сильные настройки конфиденциальности, удобные для пользователя параметры и элементы управления, а также соблюдение предпочтений пользователей.
Организация учитывает использование таких методов, как псевдонимизация, там, где это применимо и уместно.
IBA Group a.s. является главным учреждением (main establishment) для организации и принимает основные решения относительно целей и средств обработки, выполняемой организацией в качестве контролёра. Таким образом, надзорный орган IBA Group a.s. действует как руководящий надзорный орган для трансграничной обработки, выполняемой организацией.
DPO главного учреждения действует в качестве контактного лица для руководящего надзорного органа по вопросам, относящимся к обработке персональных данных.