Политика организации в области защиты персональных данных

Неприкосновенность личной жизни посетителей нашего Веб-сайта («Пользователей») очень важна для IBA Group. Наша Политика организации в области защиты персональных данных ('Политика') разработана для того, чтобы помочь пользователю понять, как IBA Group собирает, использует, хранит и раскрывает личную информацию пользователя. Принимая данную Политику, пользователь дает согласие на сбор, хранение, использование и раскрытие IBA Group его личной информации как описано далее.

Назначение

Настоящая политика защиты персональных данных (далее Политика) формулирует основные принципы обработки персональных данных потребителей, клиентов, поставщиков, деловых партнеров, сотрудников и других лиц, а также определяет основные действия по обработке персональных данных и меры по их защите для предприятий, работающих под руководством и контролем их головного офиса – IBA Group a.s.
Целями данной Политики являются обеспечение защиты прав и свобод человека при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну, и унификация порядка обработки персональных данных в организации с требованиями международного права и законодательства стран, где работает организация.
В своих повседневных деловых операциях IBA использует различные данные об идентифицируемых лицах, включая данные о:
- Нынешних, бывших и потенциальных будущих сотрудниках,
- Клиентах,
- Пользователях своих веб-сайтов,
- Других заинтересованных сторонах.
При сборе и использовании этих данных организация подпадает под действие ряда законодательных актов, регулирующих способы осуществления такой деятельности и меры безопасности, которые должны быть приняты для защиты этих данных.
IBA обязуется соблюдать законы и правила, касающиеся защиты персональных данных, действующие в странах, где работает организация.
Политика пересматривается ежегодно и при значительных изменениях в организации или в соответствующем законодательстве.

Область распространения

Политика обязательна для всех сотрудников IBA, как штатных, так и внештатных, и всех структурных подразделений организации, включая обособленные подразделения. Требования Политики применяются также в отношении иных лиц, если необходимо их участие в процессе обработки организацией персональных данных, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений и договоров.
Требования Политики распространяются на любые персональные данные, независимо от вида носителя, на котором они зафиксированы.
Политика является общедоступным документом IBA и предусматривает возможность ознакомления с ней любых лиц.

Термины и определения

В настоящем документе применены следующие термины с соответствующими определениями:

Биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);

Блокирование персональных данных – прекращение доступа к персональным данным без их удаления;

Генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;

Контролёр – смотри Оператор;

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных – любое действие(операция) или совокупность действий(операций), совершаемые с персональными данными, включая сбор, запись, систематизацию, хранение, изменение, использование, группировка или комбинирование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

Обработчик – смотри Уполномоченное лицо;

Оператор – государственный орган, юридическое лицо, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, – физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных, определяющие цели и средства обработки персональных данных; в случаях, когда цели и средства такой обработки определяются законодательством страны местонахождения субъекта данных, оператор(контролёр), либо конкретные критерии для его определения, могут быть установлены законодательством страны местонахождения субъекта данных;

Персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

Предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;

Распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;

Специальные категории персональных данных (Специальные персональные данные) – персональные данные, касающиеся расовой, этнической либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, сексуальной ориентации, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;

Субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;

Удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;

Уполномоченное лицо – преударственный орган, юридическое лицо, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором(контролёром), либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора(контролёра) или в его интересах;

Физическое лицо, которое может быть идентифицировано – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер, данные о местоположении, идентификатор в интернете (онлайн-идентификатор), либо через один или несколько признаков, характерных для его физической, физиологической, генетической, психологической, умственной, экономической, культурной или социальной идентичности.

Принципы обработки персональных данных

Организация обязуется соблюдать следующие принципы при обработке персональных данных.
Персональные данные должны:
(a) обрабатываться на законных основаниях, справедливо и прозрачно в отношении субъекта данных («принцип законности, справедливости и прозрачности»);
(b) собираться для конкретных, явно выраженных и законных целей и не должны в дальнейшем обрабатываться способом, несовместимым с этими целями; дальнейшая обработка для целей архивирования в общественных интересах, для научных или исторических исследовательских целей или статистических целей не считается несовместимой с первоначальными целями («принцип ограничения целей»);
(c) быть отвечающими требованиям, относящимися к делу, и ограничиваться тем, что необходимо в отношении целей, для достижения которых они обрабатываются («принцип минимизации данных»);
(d) быть точными и, при необходимости, вовремя обновляться; должны быть предприняты все разумные меры, чтобы неточные персональные данные, в зависимости от целей их обработки, были удалены или исправлены без задержки («принцип точности»);
(e) храниться в форме, позволяющей идентифицировать субъекты данных, не дольше, чем этого требуют цели обработки персональных данных; персональные данные могут храниться в течение более длительных периодов времени, в той степени, в какой персональные данные будут обрабатываться исключительно для целей архивирования в общественных интересах, для научных или исторических исследовательских целей или статистических целей, при условии применения соответствующих технических и организационных мер в целях защиты прав и свобод субъекта данных («принцип ограничения срока хранения»);
(f) обрабатываться таким образом, который обеспечивает надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной утери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер («принцип целостности и конфиденциальности»).

IBA обязуется соблюдать вышеперечисленные принципы не только при обработке персональных данных в настоящее время, но и при внедрении новых методов и систем обработки.
Организация готова подтвердить надзорному органу по запросу соблюдение вышеперечисленных принципов обработки персональных данных, в части своей деятельности как контролёра («принцип подотчетности»).

Правомерность обработки

Прежде чем начать обработку персональных данных в качестве контролёра, IBA определяет законное основание для обработки.

Если организация обрабатывает в качестве контролёра специальные категории персональных данных, или данные, связанные с уголовными приговорами и правонарушениями, то организация идентифицирует как законную основу для общей обработки, так и отдельные условия для обработки данных этих типов.

IBA сохраняет обоснованные, задокументированные доказательства правомерности обработки персональных данных, в части своей деятельности как контролёра, и предоставляет их там, где это необходимо.

Организация обрабатывает персональные данные в качестве обработчика только на основании документально подтвержденных распоряжений контролёра, определяемых договором, либо иным правовым актом, определяющим предмет и продолжительность обработки, характер и цель обработки, тип персональных данных и категории субъектов данных, а также обязанности и права контролёра. В этом случае, правомерность обработки определяет контролёр.

Существует шесть применимых правомерных оснований для общей обработки персональных данных. Существует десять отдельных условий для обработки специальных категорий персональных данных. Возможные варианты описаны в следующих разделах.

Согласие
Организация всегда будет получать явное согласие от субъекта на сбор и обработку его данных, за исключением случаев, когда согласие не требуется в соответствии с нормами законодательства.

В случае обработки персональных данных детей в возрасте до 16 лет (в отдельных странах может быть разрешен более низкий возраст) должно быть получено согласие лица, несущего родительскую ответственность в отношении ребенка.

При запросе согласия, IBA сообщает субъектам данных идентификационные данные организации, характер и цели обработки, перечень обрабатываемых категорий персональных данных, и объясняет права физических лиц в отношении их персональных данных, в том числе, право на отзыв согласия. Эта информация предоставляется в понятной и легкодоступной форме, с использованием ясного и простого языка.

IBA запрашивает отдельно согласие для разных целей и типов обработки и не использует в запросах предварительно отмеченные поля или любое другое разрешение по умолчанию.

Выполнение контракта

Если собранные и обработанные персональные данные необходимы для выполнения контракта с субъектом данных, явное согласие не требуется. Этот пункт применяется в тех случаях, когда контракт не может быть завершен без соответствующих персональных данных, например, доставка не может быть выполнена без адреса доставки.

Юридическая обязанность
Если персональные данные необходимо собрать и обработать для соблюдения норм законодательства, то явное согласие не требуется. Это может иметь место, например, при работе с некоторыми данными, касающимися занятости и налогообложения, и во многих областях, охватываемых государственным сектором.

Жизненные интересы субъекта данных
В случае, когда персональные данные необходимы для защиты жизненно важных интересов субъекта данных или другого физического лица, тогда эта необходимость может быть использована в качестве законной основы для обработки. Например, это может быть использовано в сфере социальной помощи, особенно в государственном секторе.

Задача, осуществляемая в интересах общества
В тех случаях, когда организация должна выполнить задачу, которая, по ее мнению, отвечает общественным интересам или осуществляется в рамках официальных полномочий, то согласие субъекта данных может не запрашиваться.

Законные интересы
Если результат обработки или конкретные персональные данные находятся в сфере законных интересов организации и не влияют на права и свободы субъекта данных значительным образом, то это может быть определено как законная причина обработки данных.

IBA выполняет оценку своих законных интересов чтобы удостовериться в соблюдении принципа пропорциональности.

Условия для обработки специальных категорий персональных данных

Организация обрабатывает в качестве контролёра специальные категории персональных данных только если она определила одно из следующих условий для обработки:
(a) субъект данных дал прямое согласие на обработку указанных персональных данных для одной или нескольких обозначенных целей, кроме случаев, когда законодательство страны местонахождения субъекта данных не предусматривает права на отмену субъектом данных запрета на обработку;
(b) обработка необходима для выполнения обязательств и осуществления конкретных прав контролёра или субъекта данных в сфере занятости и социального обеспечения и законодательства о социальной защите, при условии обеспечения надлежащих мер безопасности для основных прав и интересов субъекта данных;
(c) обработка необходима для защиты жизненных интересов субъекта данных или иного физического лица, если субъект данных физически или юридически не способен дать свое согласие;
(d) обработка осуществляется с политическими, философскими, религиозными или профсоюзными целями фондом, ассоциацией или любым иным некоммерческим органом в рамках их законной деятельности и с надлежащими мерами безопасности, и при условии, что обработка относится исключительно к членам, бывшим членам органа или лицам, которые осуществляют постоянный контакт с нею в связи с ее целями, и что персональные данные не раскрываются третьим лицам без согласия на это субъекта персональных данных;
(e) обработка связана с персональными данными, которые субъект данных явным образом сделал общедоступными;
(f) обработка необходима для предъявления, исполнения или защиты судебных исков или в случаях, когда суды действуют в пределах своей судейской дееспособности;
(g) обработка необходима по соображениям существенного общественного интереса, при условии обеспечения подходящих и конкретных мер по защите основных прав и интересов субъекта данных;
(h) обработка необходима в целях профилактической или профессиональной медицины, для оценки трудоспособности работника, для диагностики медицинского состояния, предоставления медицинской или социальной помощи, или лечения, либо для управления системами и услугами здравоохранения и социального обеспечения;
(i) обработка необходима по причинам общественного интереса в сфере общественного здравоохранения, например, защиты от серьезных трансграничных угроз здоровью или для обеспечения высоких стандартов качества и надежности медицинского обслуживания и лекарственных средств или медицинской техники, при условии обеспечения подходящих и конкретных мер по защите прав и свобод субъекта данных, в частности, профессиональной тайны;
(j) обработка необходима для архивных целей в общественных интересах, научных или историко-исследовательских целей, либо для статистических целей, при условии обеспечения подходящих и конкретных мер по защите основных прав и интересов субъекта данных.

IBA обрабатывает персональные данные, связанные с уголовными приговорами и правонарушениями, только под контролем официального органа, либо когда обработка разрешена законодательством страны местонахождения субъекта данных, при выполнении условий обеспечения надлежащих мер безопасности для прав и свобод субъектов данных.

Права субъекта персональных данных

Субъект данных обладает следующими правами:

1. Право на получение информации.
Физические лица имеют право на информацию о сборе и использовании своих персональных данных.
2. Право на доступ к данным.
Физические лица имеют право доступа к своим персональным данным.
3. Право на исправление данных.
Физические лица имеют право требовать исправления своих персональных данных, если они неточны, или пополнения, если они неполны.
4. Право на удаление данных (“право быть забытым”).
Физические лица имеют право требовать удаления своих персональных данных.
5. Право на ограничение обработки.
Физические лица имеют право требовать ограничения или пресечения обработки своих персональных данных.
6. Право на перенесение данных.
Физические лица имеют право на получение своих персональных данных и повторное их использование для собственных целей в разных сервисах.
7. Право на возражение.
Физические лица имеют право возражать против обработки своих персональных данных.
8. Права в отношении автоматизированного принятия решений и профилирования.
Физические лица имеют право не подвергаться воздействию решений, основанных исключительно на автоматизированной обработке, включая профилирование, и оказывающих юридическое или подобное существенное воздействие на них.

Организация поддерживает каждое из этих прав соответствующими процедурами, которые позволяют принять необходимые меры в сроки, указанные в таблице 1.

Таблица 1 – Временные рамки для запросов субъекта данных.

Запрос субъекта данныхВременная шкала
Право на получение информацииКогда собираются данные (если они предоставлены субъектом данных) или в течение одного месяца (если они не предоставлены субъектом данных)
Право на доступОдин месяц
Право на исправлениеОдин месяц
Право на удалениеБез неоправданной задержки
Право на ограничение обработкиБез неоправданной задержки
Право на перенесение данныхОдин месяц
Право на возражениеПри получении возражения
Права в отношении автоматизированного принятия решений и профилированияНе определено

Защита персональных данных в деловой деятельности организации

IBA в своей деловой деятельности принимает или может принимать в некоторых случаях, если потребуется, ряд организационных и технических мер для защиты персональных данных от несанкционированной или незаконной обработки, а также от случайной утери, уничтожения, повреждения или от иных неправомерных действий в отношении персональных данных. Эти меры включают в себя:

- принятие и внедрение регламентирующих документов в области обработки и защиты персональных данных - принятие подхода «защита данных по дизайну и по умолчанию»;
– внедрение соответствующих мер защиты данных на протяжении всего жизненного цикла процессов обработки;
- заключение письменных контрактов с обработчиками, которые обрабатывают персональные данные от имени организации;
- обеспечение должных гарантий при передаче персональных данных в третьи страны;
- документирование своей деятельности по обработке персональных данных;
- осуществление должных мер безопасности;
- запись и, при необходимости, сообщение о нарушениях, связанных с персональными данными;
- проведение оценки воздействия защиты данных для использования персональных данных, которые могут привести к высокому риску для интересов физических лиц;
- назначение Инспектора по защите данных (где это необходимо);
- соблюдение соответствующих кодексов поведения и соответствие системам сертификации (насколько это возможно).

Международная передача персональных данных

IBA передает персональные данные в третью страну или международную организацию только если при этом полностью соблюдаются требования законодательства стран местонахождения субъектов данных, например, если передача персональных данных в эту третью страну или международную организацию разрешена регулирующим органом без дополнительного санкционирования надзорным органом, поскольку там обеспечивается достаточный уровень защиты, отвечающий требованиям законодательства, или если организация, получающая персональные данные, обеспечила должные защитные меры, соответствующие требованиям законодательства.

IBA удостоверяется перед такой передачей, что по ее завершению уровень защиты субъектов данных, гарантированный законодательством, не ослабится, в том числе в случаях последующей передачи персональных данных из третьей страны или международной организации контролёрам, обработчикам в той же или другой третьей стране или международной организации.

После такой передачи права физических лиц должны оставаться в законной силе и должны оставаться доступными эффективные средства правовой защиты для физических лиц.

Нарушения, связанные с персональными данными
Организация подготовила план реагирования для устранения любых нарушений, связанных с персональными данными, которые могут случиться. IBA распределила ответственность за управление нарушениями на определённых лиц и команды. Сотрудники организации знают, как довести до сведения надлежащего ответственного лица или команды в IBA информацию об инциденте информационной безопасности, чтобы определить, произошло ли нарушение.

IBA приняла процедуру уведомления надзорного органа о нарушении в течение 72 часов после того, как стало известно об этом, даже если еще нет всех подробностей. Организация приняла процедуру по информированию без неоправданной задержки затронутых физических лиц о нарушении, когда оно может привести к высокому риску для их прав и свобод. Инспекторы по защите данных организации контролируют процесс уведомления субъектов данных и надзорных органов о нарушениях.

IBA документирует все нарушения, даже если не обо всех из них необходимо сообщать.

Соблюдение кодексов поведения и систем сертификации
Профессиональные ассоциации и представительные органы могут составлять кодексы поведения, охватывающие такие темы, как справедливая и прозрачная обработка, законные интересы, преследуемые контролёрами, псевдонимизация, осуществление прав людей и другие.

Кроме того, надзорные органы или аккредитованные органы по сертификации могут выдавать сертификаты соответствия законодательным требованиям процессов обработки данных.

Соблюдение кодекса поведения и сертификация являются добровольными, но организация рассматривает их как отличный способ контроля и демонстрации соблюдения требований по защите персональных данных.

Инспектор по защите данных
IBA не обязана назначать DPO, так как она не является государственным органом, не ведет крупномасштабный мониторинг, и не обрабатывает специальные категории персональных данных в больших масштабах, но она решила сделать это добровольно. Организация понимает, что в этом случае применяются те же обязанности и ответственность, что и при обязательном назначении DPO. IBA назначает DPO в головном офисе и, при необходимости, на отдельных предприятиях организации.

IBA поручила своим DPO контролировать соблюдение законов и регламентирующих документов организации о защите персональных данных, повышение осведомленности, обучение персонала и аудиты, связанные с защитой персональных данных. IBA своевременно привлекает своих DPO по всем вопросам, касающимся защиты персональных данных.

DPO организации информируют и дают советы персоналу организации, выполняющему обработку персональных данных, относительно их обязательств в соответствии с законодательством по защите данных.

DPO головного офиса отчитывается непосредственно высшему руководству организации. DPO остальных предприятий организации взаимодействуют с DPO головного офиса и отчитываются руководству своих предприятий и высшему руководству организации. Все DPO организации имеют необходимую независимость для выполнения своих задач.

DPO организации, как контактные лица, легко доступны для наших сотрудников, частных лиц и надзорных органов. IBA опубликовала контактные данные своих DPO и передала их в надзорный орган.

Контракты, связанные с обработкой персональных данных

IBA обеспечивает, чтобы все взаимоотношения, касающиеся обработки персональных данных, в которые вовлекается организация, регулировались документированными контрактами, которые включают в себя определённую информацию и условия, требуемые законодательством.
Контракты организации включают следующую обязательную информацию:

- предмет и продолжительность обработки;
- характер и цель обработки;
- типы персональных данных и категории субъектов данных;
- обязательства и права контролёра.

Контракты организации включают следующие обязательные условия:

- обработчик должен действовать только в соответствии с письменными инструкциями контролёра (за исключением случаев, когда в силу закона требуется действовать без таких инструкций);
- обработчик должен обеспечить, чтобы лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательство соблюдать конфиденциальность или находились под действием соответствующего установленного законом обязательства о конфиденциальности;
- обработчик должен принять должные меры для обеспечения безопасности обработки;
- обработчик может задействовать со-обработчика только с предварительного согласия контролёра данных и подписания письменного контракта;
- обработчик должен содействовать контролёру данных в обеспечении субъектам данных их прав в соответствии с законодательством страны местонахождения субъекта;
- обработчик должен содействовать контролёру данных в выполнении его обязательств в отношении безопасности обработки, уведомлений о нарушениях, связанных с персональными данными, и оценок воздействия защиты данных;
- обработчик должен удалить или вернуть все персональные данные контролёру в соответствии с запросом по завершению контракта;
- обработчик должен содействовать проведению аудитов и инспекционных проверок, предоставлять контролёру любую информацию, необходимую для того, чтобы подтвердить соблюдение обработчиком своих обязательств, и немедленно сообщать контролёру, если обработчика попросят сделать что-то, нарушающее законодательство о защите данных.

IBA как контролёр назначает на обработку только тех обработчиков, которые могут предоставить «достаточные гарантии», что требования законодательства стран местонахождения субъектов данных будут соблюдены, а права субъектов данных будут защищены.

Документирование деятельности по обработке
IBA, в части своей деятельности как контролёра, поддерживает записи следующих категорий с целью документирования своей деятельности по обработке:

- учетные записи обработки данных;
- доказательства правомерности обработки;
- записи о согласии на обработку;
- отчеты об оценке законных интересов для обработки;
- информация, предоставляемая субъектам данных;
- контракты контролёр-обработчик;
- записи о размещении персональных данных;
- отчеты об оценке воздействия защиты данных;
- записи о нарушениях, связанных с персональными данными.

IBA, в части своей деятельности как обработчика, поддерживает записи следующих категорий с целью документирования своей деятельности по обработке:

- учетные записи обработки данных;
- контракты контролёр-обработчик;
- записи о размещении персональных данных;
- записи о нарушениях, связанных с персональными данными.

Предприятия IBA, на которых занято менее 250 человек, не хранят учетные записи обработки данных, кроме случаев, когда осуществляемая обработка может привести к возникновению возможных рисков для прав и свобод субъектов данных, когда такая обработка является регулярной, либо, когда обработка охватывает специальные категории персональных данных или персональные данные, касающиеся судимостей и правонарушений.
Записи хранятся в письменной форме. Записи постоянно обновляются и отражают текущую обработку.

Организация делает записи доступными надзорному органу по запросу.

Оценка воздействия защиты данных
IBA выступая в роли контролёра выполняет DPIA когда обработка персональных данных может привести к высокому риску для физических лиц.

Организация рассматривает целесообразность проведения DPIA в любом крупном проекте с использованием персональных данных, выполняемом в качестве контролёра. Если IBA решает не проводить DPIA, то она документирует причины своего решения.

DPIA должна:

- описать характер, область применения, контекст и цели обработки;
- оценить необходимость обработки и пропорциональность целям;
- выявить риски и оценить их уровень для физических лиц;
- определить любые меры для смягчения этих рисков и подтверждения соблюдения законодательства.

Если организация определит при выполнении DPIA высокий риск, который она не может смягчить, то перед началом обработки она проконсультируется с надзорным органом.

Защита данных по дизайну и по умолчанию

Организация принимает принцип «защита данных по дизайну и по умолчанию» и выполняет соответствующие технические и организационные меры для реализации принципов защиты данных и защиты индивидуальных прав.

По сути, «защита данных по дизайну» означает, что IBA интегрировала защиту данных в свои системы, услуги, продукты и бизнес-практики, начиная от этапа проектирования, а затем на весь жизненный цикл. Организация использует только тех обработчиков данных, которые обеспечивают достаточные гарантии их технических и организационных мер для защиты данных по дизайну. Организация учитывает защиту данных по дизайну при покупке продуктов для использования в своих процессах обработки данных.

По сути, «защита данных по умолчанию» означает, что IBA, в части своей деятельности как контролёра:

- до начала обработки определяет минимальный набор персональных данных, необходимых для достижения конкретных целей обработки;
- соответствующим образом информирует субъектов данных;
- обрабатывает только данные, необходимые для целей обработки;
- не обрабатывает дополнительные персональные данные, пока субъект данных не разрешит делать это;
- обеспечивает, чтобы персональные данные не становились доступными другим лицам автоматически, пока субъект данных не разрешит сделать это;
- обеспечивает автоматическую защиту персональных данных в любой ИТ-системе, услуге, продуктах и / или деловой практике, чтобы физические лица не должны были предпринимать какие-либо конкретные действия для защиты своей конфиденциальности;
- предлагает сильные настройки конфиденциальности, удобные для пользователя параметры и элементы управления, а также соблюдение предпочтений пользователей.

Организация учитывает использование таких методов, как псевдонимизация, там, где это применимо и уместно.

Применение должных мер безопасности
IBA определила и регулярно актуализирует угрозы безопасности персональных данных, по мере необходимости выполняет анализ рисков, связанных с обработкой персональных данных, документирует выводы и использует их для оценки должного уровня безопасности, который необходимо внедрить.

Под угрозой безопасности персональных данных понимается фактор, создающий опасность несанкционированной, в том числе случайной, обработки персональных данных, а также случайной или намеренной утери, уничтожения или повреждения персональных данных.

IBA распределила ответственность за обеспечение информационной безопасности на определённых лиц и команды и обеспечила их соответствующими ресурсами и полномочиями. Лица, уполномоченные организацией обрабатывать персональные данные, до начала работы с персональными данными берут на себя обязательство соблюдать конфиденциальность и другие требования Политики.

Предприятия IBA имеют правила информационной безопасности и предпринимают необходимые шаги по их исполнению. Там, где это требуется, предприятия IBA принимают дополнительные регламентирующие документы и обеспечивают механизмы для их исполнения.

IBA регулярно пересматривает свои документы по информационной безопасности и, при необходимости, улучшает их. IBA проводит регулярные проверки и анализ своих мер информационной безопасности, чтобы убедиться что они остаются эффективными, и принимает необходимые действия по результатам этих проверок, в тех случаях, когда выявлены области для улучшения.

Предприятия IBA ведут учет активов, задействованных в процессе обработки персональных данных (приложений, систем, персонала, носителей информации).

IBA использует шифрование и/или псевдонимизацию, где это целесообразно.

Предприятия IBA в обязательном порядке применяют средства криптографической защиты при передаче персональных данных по открытым каналам связи.

Предприятия IBA имеют надлежащие процессы резервного копирования, чтобы в случае возникновения каких-либо инцидентов, они могли восстановить целостность и доступ к персональным данным в разумно возможные сроки.

Предприятия IBA удостоверяются, что любой обработчик данных, которого они используют, также реализует соответствующие технические и организационные меры.

Предприятия IBA обеспечивают необходимые меры физической безопасности для защиты помещений, оборудования и информации от несанкционированного доступа.

IBA определила меры обеспечения непрерывности бизнеса, которые защищают и восстанавливают любые персональные данные, которые хранит организация.

IBA проводит соответствующее начальное и повторное обучение по защите данных персонала, занятого в обработке данных, и включающее, в том числе, обязанности персонала по обработке персональных данных, ответственность персонала за защиту персональных данных, правила и ограничения для персонала на использование систем и сервисов (например, чтобы избежать заражения вирусом или спама).

Главное учреждение и руководящий надзорный орган

IBA Group a.s. является главным учреждением (main establishment) для организации и принимает основные решения относительно целей и средств обработки, выполняемой организацией в качестве контролёра. Таким образом, надзорный орган IBA Group a.s. действует как руководящий надзорный орган для трансграничной обработки, выполняемой организацией.

DPO главного учреждения действует в качестве контактного лица для руководящего надзорного органа по вопросам, относящимся к обработке персональных данных.