Политика конфиденциальности

Политика по обработке и защите персональных данных

Health Monitor Consulting Ltd, Июнь 2020

1. Введение

Настоящая Политика устанавливает обязательства компании Health Monitor Consulting Ltd, зарегистрированной в Великобритании под регистрационным номером 11008398, по адресу: 33 St James’s Square, London SW1Y 4JS, UK («Компания»), в отношении защиты данных и прав своих клиентов («субъектов данных») в отношении своих персональных данных в соответствии с Регламентом ЕС 2016/679 «Общие положения о защите данных» («GDPR») и в соответствии с Федеральным законом Российской Федерации от 27.06.2006 года №152-ФЗ «О персональных данных» («Закон о персональных данных»).

Под «персональными данными» подразумевается любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); Идентифицируемое физическое лицо (субъект данных) — это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как: имя, идентификационный номер, данные о его местоположении, сетевой идентификатор или на один или несколько факторов — физических, физиологических, генетических, психических, экономически, культурных или социальных присущих только этому физическому лицу.

Настоящая Политика устанавливает обязательства Компании в отношении сбора, обработки, передачи, хранения и утилизации персональных данных. Процедуры и принципы, изложенные в настоящем документе, должны всегда соблюдаться Компанией, ее сотрудниками, агентами, подрядчиками или другими третьими сторонами, работающими от имени Компании.

Компания привержена не только букве, но и духу закона и придает большое значение правильному, законному и справедливому обращению со всеми персональными данными, уважая законные права, конфиденциальность и доверие всех лиц, с которыми она сотрудничает.

2. Принципы защиты персональных данных

Настоящая Политика направлена на обеспечение соблюдения защиты персональных данных в соответствии с принятыми нормами. Компания устанавливает следующие принципы обработки персональных данных:

2.1 законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Компании;

2.2 достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

2.3 обработки только тех персональных данных, которые отвечают целям их обработки;

2.4 соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

2.5 недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

2.6 обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Компания принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

2.7 хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных;

2.8 сбора для определенных, явных и законных целей, при этом информация о персональных данных не обрабатываться способом, несовместимым с этими целями. Дальнейшая обработка для целей архивирования в общественных интересах, научных или исторических исследований или в статистических целях не должна рассматриваться как несовместимая с первоначальными целями;

2.9 обработки персональных данных с достаточной точностью, с возможностью обновления таких данных при необходимости;

2.10 принятия разумных мер для обеспечения того, чтобы неточные персональные данные были своевременно удалены или исправлены, с учетом целей, для которых они обрабатываются;

2.11 обработки способом, который обеспечивает надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки и от случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер.

3. Права субъектов персональных данных

Субъекты персональных данных или их представители обладают правами, предусмотренными как GDPR, так и Законом о персональных данных и другими нормативно-правовыми актами, регламентирующими обработку персональных данных в зависимости от того, на какой территории находится субъект персональных данных и юрисдикции какой страны подчиняются отношения сторон.

Компания обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Закона о персональных данных и положениями GDPR.

Настоящая политика, GDPR и Закон о персональных данных устанавливает следующие права, применимые к субъектам персональных данных (пожалуйста, обратитесь к соответствующим параграфам данной политики, для получения дополнительной информации):

3.1 Право быть информированным (часть 12);

3.2 Право на доступ (часть 13);

3.3 Право на исправление (часть 14);

3.4. Право на удаление (также известное как “право быть забытым”) (часть 15);

3.5 Право ограничивать обработку (часть 16);

3.6 Право на передачу данных (часть 17);

3.7 Право на возражение (часть 17); а также

3.8 Права в отношении автоматизированного принятия решений (часть 18).

4. Законная, справедливая и прозрачная обработка данных

4.1 Компания стремится обеспечить, законность, справедливость и прозрачность обработки персональных данных, без какого-либо ущемления прав субъекта данных. Обработка персональных данных законна, если применяется хотя бы одно из следующих условий:

— субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;

— обработка необходима для исполнения договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения с ними договора;

— обработка необходима для соблюдения юридического обязательства, которому подчиняется держатель данных;

— обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;

— осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с GDPR и Законом о персональных данных.

4.2 Если рассматриваемые персональные данные представляют собой «данные особой категории» (также известные как «конфиденциальные персональные данные») (например, данные, касающиеся расы субъекта, этнической принадлежности, генетики, здоровья, половой жизни или сексуальной ориентации), как минимум, должно быть выполнено одно из следующих условий:

Субъект данных дал свое явное согласие на обработку таких данных для одной или нескольких указанных целей (если только закон Европейского Союза («ЕС»), государства-члена ЕС или Российской Федерации не запрещает им делать это);

Обработка относится к персональным данным, которые однозначно были обнародованы субъектом данных; или же

Обработка необходима для целей профилактической или профессиональной медицины, для медицинской диагностики, для предоставления медицинской или социальной помощи, или для лечения, или для управления системами или услугами здравоохранения или социальной защиты на основе соответствующего закона ЕС или закона страны члена ЕС, Российской Федерации или в соответствии с контрактом с медицинским работником, при условии соблюдения условий и гарантий, упомянутых в GDPR и Законе о персональных данных.

5. Определенные, явные и законные цели

5.1 Компания собирает и обрабатывает персональные данные, указанные в части 19 настоящей Политики. Это включает в себя персональные данные, полученные непосредственно от субъектов данных.

5.2 Компания получает, обрабатывает и хранит персональные данные только для конкретных целей, изложенных в Части 19 настоящей Политики (или для других целей, прямо разрешенных GDPR или Законом о персональных данных).

5.3 Субъекты данных постоянно информируются о целях, для которых Компания использует их персональные данные. Пожалуйста, обратитесь к Части 12 для получения дополнительной информации о том, каким образом следует информировать субъектов данных.

6. Адекватная, релевантная и ограниченная обработка данных

Компания будет собирать и обрабатывать персональные данные только в той степени, которая необходима для конкретной цели или целей, о которых субъекты данных были проинформированы (или будут проинформированы), как указано в части 5 выше и в соответствии с частью 19 настоящей Политики.

7. Точность и актуальность данных

7.1 Компания гарантирует, что все персональные данные, собираемые, обрабатываемые и хранящиеся у неё, являются точными и актуальными. Это включает, но не ограничивается, исправление персональных данных по запросу субъекта данных, как изложено в части 14 настоящей Политики.

7.2 Точность персональных данных проверяется в момент их получения и через регулярные промежутки времени после этого. Если какие-либо персональные данные будут признаны неточными или устаревшими, то будут предприняты все разумные меры для незамедлительного изменения или удаления этих данных, в зависимости от обстоятельств.

8. Удержание данных

8.1 Компания не должна хранить персональные данные дольше, чем это необходимо в целях, для которых эти персональные данные были первоначально получены, хранятся и обрабатываются.

8.2 Как только персональные данные перестанут требоваться, то будут предприняты все разумные меры, чтобы незамедлительно стереть их или удалить их иным образом.

8.3 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Если срок хранения персональных данных не установлен GDPR, Законом о персональных данных, иным федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, указанных в соответствующем согласии субъекта персональных данных, или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено GDPR или Законом о персональных данных.

9. Безопасная обработка

9.1 Компания гарантирует, что все персональные данные, которые собираются, хранятся и обрабатываются, хранятся в безопасных условиях и защищены от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения. Более подробная информация о технических и организационных мерах, которые должны быть приняты, приводится в частях 21–25 настоящей Политики.

9.2 Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым GDPR и законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

9.3 Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Компанией, осуществляется в рамках GDPR и законодательства Российской Федерации.

10. Подотчетность и делопроизводство

10.1 Компания назначает сотрудника, ответственного за защиту данных.

10.2 Сотрудник, отвечающий за защиту данных, несет ответственность за надзор за реализацией настоящей Политики и других политик Компании, связанных с защитой данных, а также требований GDPR и Закона о персональных данных, а также других применимых законодательных актов, касающихся защиты данных.

10.3 Обработка персональных данных осуществляется сотрудником, ответственным за защиту персональных данных, с соблюдением принципов и правил, предусмотренных GDPR, Законом о персональных данных и настоящей Политикой.

10.4 Сотрудники Компании, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены до начала работы с положениями GDPR, законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данной Политикой и изменениями к нему.

10.5 При обработке персональных данных Компания применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии с GDPR и со ст. 19 Закона о персональных данных.

10.6 Компания должна вести письменный внутренний учёт получения, хранения и обработки персональных данных, который должны включать следующую информацию:

— название и реквизиты Компании, ее сотрудника, ответственного за защиту данных и любых сторонних обработчиков данных;

— цели, для которых Компания собирает, хранит и обрабатывает персональные данные;

— подробная информация о категориях персональных данных, собираемых, хранящихся и обрабатываемых Компанией, а также о категориях данных, к которым относятся эти персональные данные;

— подробная информация о любой передаче персональных данных в Российскую Федерацию и страны, не входящие в Европейскую Экономическую Зону («ЕЭЗ»), включая все механизмы и меры безопасности;

— подробная информация о том, как долго личные данные будут храниться в Компании (см. документы, регулирующие политику хранения данных Компании); а также

— подробное описание всех технических и организационных мер, предпринимаемых Компанией для обеспечения безопасности персональных данных.

11. Аудит эффективности защиты данных

11.1 Компания должна проводить аудит эффективности защиты данных для любых новых проектов и / или новых способов использования персональных данных.

11.2 Аудит эффективности защиты данных должен выполняться под руководством сотрудника, отвечающего за защиту данных и должен учитывать следующее:

11.2.1 Категорию персональных данных, которые будут собираться, храниться и обрабатываться;

11.2.2 Цель(и), для которых будут использоваться персональные данные;

11.2.3. Цели Компании;

11.2.4. Как должны использоваться персональные данные;

11.2.5. Третьи стороны (внутренние и / или внешние), с которыми следует консультироваться;

11.2.6 Необходимость и соразмерность обработки данных в отношении цели (целей), для которой они обрабатываются;

11.2.7. Оценка рисков для субъектов данных;

11.2.8. Оценка рисков как внутри Компании, так и вне её; а также

11.2.9 Возможные меры по минимизации и предотвращению выявленных рисков.

12. Информирование субъектов данных

12.1 Компания предоставляет информацию, указанную в части 12.2, каждому субъекту данных:

Если персональные данные получены непосредственно от субъектов данных, то субъекты данных будут проинформированы о том, для чего нужны эти данные непосредственно во время получения этих данных; а также

Если персональные данные получены от третьей стороны, соответствующие субъекты данных будут проинформированы об их назначении:

а) если персональные данные используются для связи с субъектом данных, то субъект данных будет проинформирован посредством отправления ему сообщения; или же

б) если персональные данные должны быть переданы другой стороне, до того, как эта передача будет сделана; или же

в) в ближайшее возможное время, но в любом случае, не позднее, чем через месяц после получения персональных данных.

12.2 Субъекту данных будет предоставлена следующая информация:

— сведения о Компании, включая, помимо прочего, имя сотрудника, ответственного за защиту данных;

— так, где это применимо, законные интересы, в которых Компания осуществляет сбор и обработку персональных данных;

— если персональные данные не получены непосредственно от субъекта данных, указываются категории собираемых и обрабатываемых персональных данных;

— в случае передачи персональных данных одной или нескольким третьим сторонам, информация об этих сторонах;

— если персональные данные должны быть переданы третьей стороне, которая находится за пределами Европейской экономической зоны (“ЕЭП”), детали этой передачи, включая, но не ограничиваясь, действующими на территории третьей стороны мерами защиты данных (см. Часть 26 этой политики для более подробной информации);

— подробная информация о способе хранения данных;

— права субъекта данных в рамках GDPR или Закона о персональных данных;

— подробная информация о праве субъекта данных на подачу жалобы в Офис Уполномоченного по информации (“надзорный орган” при GDPR) или в уполномоченный орган РФ (Роскомнадзор);

— подробная информация о праве субъекта данных в любое время отозвать свое согласие на обработку Компанией своих персональных данных;

— там, где это применимо, подробности любых юридических или договорных требований или обязательств, требующих сбора и обработки персональных данных, и подробности любых последствий их непредоставления; а также

— подробная информация о любых автоматизированных процессах принятия решений или профилирования, которые будут осуществляться с использованием персональных данных, включая информацию о том, как будут приниматься решения, о значимости этих решений и любых их последствиях.

13. Доступ к данным для субъекта данных

13.1 Субъекты данных могут в любое время подавать запросы на доступ к своим данным, чтобы узнать больше о своих персональных данных, хранящихся в Компании, о том, что она делает с этими данными и почему.

13.2 Субъекты данных, желающие сделать такой запрос, могут сделать это в письменном виде. Запрос следует адресовать сотруднику по защите данных компании по адресу support@diagnost.com

13.3 Ответы на запросы, как правило, должны быть отправлены в течение одного месяца с момента получения запроса Компанией, однако это время может быть продлено до двух месяцев, если запрос слишком сложен и / или в случае, если были сделаны многочисленные запросы. Если потребуется дополнительное время, субъект данных будет оповещен об этом.

13.4 Все полученные запросы должны обрабатываться сотрудником Компании, отвечающим за защиту данных.

13.5 Компания не взимает плату за обработку обычных запросов. Компания оставляет за собой право взимать разумную плату за дополнительные копии информации, которая уже была предоставлена субъекту данных, и за запросы, которые являются явно необоснованными или черезмерными, особенно если такие запросы повторяются.

14. Исправление сведений в персональных данных

14.1 Субъекты данных имеют право требовать от Компании исправления любых своих персональных данных, если они являются неточными или неполными.

14.2 Компания обязана исправить указанные персональные данные и проинформировать субъекта данных об этом исправлении в течение одного месяца с того момента, когда субъект данных проинформирует Компанию о неточностях или ошибках. Срок может быть продлен до двух месяцев в особо сложных случаях, о чем субъект данных должен быть проинформирован.

14.3 Если какие-либо персональные данные были предоставлены третьим сторонам, эти стороны должны быть проинформированы об изменениях этих персональных данных.

15. Удаление персональных данных

15.1 Субъекты данных имеют право требовать, чтобы Компания удалила их персональные данные в следующих случаях:

15.1.1 Компания больше не нуждается в хранении этих персональных данных в отношении целей (целей), для которых они были первоначально собраны или обработаны;

15.1.2 убъект данных желает отозвать свое согласие на хранение и обработку Компанией своих персональных данных;

15.1.3 Субъект данных возражает против того, чтобы Компания держала и обрабатывала его персональные данные (и у Компании нет никаких существенных законных причин продолжать это делать) (более подробная информация о праве на возражение приведена в части 17 настоящей Политики);

15.1.4 Персональные данные были обработаны незаконно;

Персональные данные должны быть стерты, чтобы Компания могла выполнить определенное юридическое обязательство.

15.2 Если Компания не имеет разумных оснований для отказа от удаления персональных данных, все запросы на удаление должны быть удовлетворены, а субъект данных проинформирован об удалении в течение одного месяца с момента получения запроса от субъекта данных. Срок может быть продлен до двух месяцев в случае сложных запросов. Если возникнет необходимость в таком продлении срока, субъект данных должен быть проинформирован.

15.3 Если какие-либо персональные данные, подлежащие удалению по запросу субъекта данных, были раскрыты третьим сторонам, эти стороны должны быть проинформированы о необходимости удаления этих данных (за исключением случаев, когда это невозможно или потребует несоизмеримых усилий для этого).

16. Ограничения на обработку персональных данных

16.1 Субъекты данных могут потребовать, чтобы Компания прекратила обработку персональных данных, хранящихся в Компании. Если субъект данных обращается с таким требованием, Компания сохраняет только тот объем персональных данных этого субъекта данных (если таковой имеется), который необходим для обеспечения прекращения обработки его данных в дальнейшем.

16.2 Если какие-либо персональные данные были раскрыты третьим сторонам, эти стороны должны быть проинформированы о вступлении в силу ограничений на их обработку (если только это не невозможно и не потребует несоизмеримых усилий для этого).

17. Возражения против обработки персональных данных

17.1 Субъекты данных имеют право возражать против того, чтобы Компания обрабатывала их персональные данные исходя из законных интересов, прямого маркетинга (включая профилирование).

17.2 Если субъект данных возражает против того, чтобы Компания обрабатывала его персональные данные на основе своих законных интересов, Компания должна немедленно прекратить такую обработку, если не будет доказано, что законные основания Компании для такой обработки перевешивают интересы, права и свободы субъекта данных. или что обработка необходима для ведения судебных исков.

17.3 Если субъект данных возражает против того, чтобы Компания обрабатывала его персональные данные в целях прямого маркетинга, Компания должна немедленно прекратить такую обработку.

18. Автоматизированное принятие решений

18.1 Компания использует персональные данные в автоматизированных процессах принятия решений. В тех случаях, когда такие решения имеют юридическую силу (или аналогичное существенное влияние) на субъектов данных, эти субъекты данных имеют право оспаривать такие решения в рамках GDPR, запрашивать вмешательство человека в процесс принятия решения, выражать свою собственную точку зрения и получать разъяснение решения от Компании.

18.2 Право, прописанное в части 18.1, не применяется при следующих обстоятельствах:

18.2.1 Решение необходимо для заключения или исполнения договора между Компанией и субъектом данных;

18.2.2 Решение утверждается законом; или же

18.2.3 Субъект данных дал свое явное согласие.

19. Сбор, хранение и обработка персональных данных

Следующие персональные данные собираются, хранятся и обрабатываются Компанией (Тип данных: назначение данных) :

Имя: для заказа услуг в медицинской лаборатории;

Адрес: для доставки тестового набора по почте или с курьером;

Адрес электронной почты: для подтверждения личного кабинета, информирования о новых возможностях, предоставления результатов анализа в формате PDF, осуществления связи с клиентом и направления сообщений службы поддержки;

Номер телефона: для доставки тестовых наборов курьерской службой;

Дата рождения: для оформления заказа услуг в медицинских лабораториях, и для автоматизированного принятие решений по рекомендованным тестам;

Показатели состояния здоровья: заказ услуг в медицинских лабораториях, предоставление описания показателей состояния здоровья человека, автоматизированное принятие решений по рекомендованным тестам;

Рост, вес, объем талии: заказ услуг в медицинских лабораториях, предоставление описания показателей состояния здоровья человека, автоматизированное принятие решений по рекомендованным тестам;

Пол: заказ услуг в медицинских лабораториях, автоматизированное принятие решений по рекомендованным тестам;

Паспортные данные: для оформления разрешения на вывоз биоматериалов за границу.

20. Безопасность данных — Передача персональных данных и связь

20.1 Компания принимает следующие меры для обеспечения безопасности передачи всех сообщений, содержащих персональные данные:

20.1.1 Все электронные письма, содержащие персональные данные, должны быть зашифрованы;

20.1.2 Все электронные письма, содержащие персональные данные, должны быть помечены как “конфиденциальные”;

20.1.3 Персональные данные могут передаваться только по защищенным каналам; передача по незащищенным каналам запрещена и не может осуществляться ни при каких обстоятельствах;

20.1.4 Персональные данные не могут передаваться по беспроводной сети, если есть возможность использования проводной связи;

20.1.5 Персональные данные, содержащиеся в теле письма, отправленные или полученные, должны быть скопированы из тела письма и надежно сохранены. Само письмо должно быть удалено. Все временные файлы, связанные с этим, также должны быть удалены;

20.1.6 Если персональные данные должны быть переданы в печатном виде, они должны быть переданы непосредственно получателю; а также

20.1.7 Все персональные данные, которые должны быть переданы физически, будь то в виде печатной копии или на съемных электронных носителях, должны передаваться в подходящем контейнере с пометкой “конфиденциально”.

20.2 Запрещается сообщать персональные данные третьей стороне без письменного согласия клиента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни, здоровью клиента, а также в других случаях, предусмотренных законами.

20.3 Запрещается сообщать персональные данные в коммерческих целях без письменного согласия субъекта таких данных.

20.4 Компания уведомляет лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

20.5 Компания разрешает доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.

20.6 Компания не запрашивает информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения клиентом обязательств по договору с Компанией.

20.7 Компания может передать персональные данные клиента его представителям в порядке, установленном GDPR и Законом о персональных данных.

21. Безопасность данных – Хранение

21.1 Компания принимает следующие меры для обеспечения хранения персональных данных:

Все электронные копии персональных данных должны храниться в безопасном месте с использованием паролей и шифрования данных;

Все бумажные копии персональных данных, а также любые электронные копии, хранящиеся на физических съемных носителях, должны храниться в надежно запертом сейфе, коробке, ящике, шкафу и т. п.;

Все персональные данные, хранящиеся в электронном виде, должны быть продублированы на резервных копиях, хранящихся в том же месте и / или удаленно, в зависимости от обстоятельств. Все резервные копии должны быть зашифрованы;

Персональные данные не должны храниться на каком-либо мобильном устройстве (включая, помимо прочего, ноутбуки, планшеты и смартфоны), независимо от того, принадлежит ли такое устройство Компании или нет; а также

21.2 Персональные данные не должны передаваться при помощи каких-либо устройств, принадлежащим лично сотруднику Компании, а только через устройства, принадлежащие агентам, подрядчикам или другим сторонам, работающим от имени Компании, если соответствующая сторона согласилась полностью соблюдать положения этой Политики, GDPR и Закона о персональных данных (и продемонстрировали Компании, что все соответствующие технические и организационные меры были приняты).

21.3 Хранение, комплектование, учет и использование содержащих персональные данные документов организуется в форме обособленного архива Компании.

21.4 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном GDPR и Законом о персональных данных данных у Компании.

21.5 Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с GDPR или законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

22. Безопасность данных – Удаление

Если какие-либо персональные данные должны быть стерты или иным образом удалены по какой-либо причине (в том числе в тех случаях, когда копии были сделаны, но больше не нужны), они должны быть надежно удалены.

23. Безопасность данных – Использование персональных данных

23.1 Компания принимает следующие меры для обеспечения безопасности использования персональных данных:

сотруднику, агенту, субподрядчику или другой стороне, работающей от имени Компании, требуется доступ к любым персональным данным, к которым у них еще нет доступа, такой доступ должен быть официально запрошен у сотрудника, отвечающего за обработку и хранение персональных данных;

23.1.2 Персональные данные не могут быть переданы каким-либо сотрудникам, агентам, подрядчикам или другим сторонам, независимо от того, работают ли такие стороны от имени Компании или нет, без разрешения сотрудника, отвечающего за обработку и хранение персональных данных;

23.1.3 Персональные данные должны всегда обрабатываться с осторожностью, и их никогда нельзя оставлять без присмотра или на усмотрение посторонних сотрудников, агентов, субподрядчиков или других сторон;

23.1.4 Если персональные данные просматриваются на экране компьютера, и данный компьютер должен быть оставлен без присмотра в течение какого-либо периода времени, пользователь должен заблокировать компьютер и его экран, прежде чем покинуть рабочее место.

23.2 Если персональные данные, которыми владеет Компания, используются в маркетинговых целях, то Компания несет ответственность за то, чтобы получить соответствующее согласие от всех заинтересованных субъектов данных.

23.3 Компания может разрешить доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.

24. Безопасность данных – Информационная безопасность

Компания принимает следующие меры для обеспечения информационной безопасности:

— все пароли, используемые для защиты персональных данных, следует регулярно менять, и в них не должны использоваться слова или фразы, которые можно легко угадать или иным образом скомпрометировать;

— никакой пароль никогда не должен записываться или передаваться каким-либо сотрудникам, агентам, подрядчикам или другим третьим сторонам, работающим от имени Компании, независимо

— все программное обеспечение (включая, но не ограничиваясь, приложениями и операционными системами) должно своевременно обновляться. ИТ-персонал Компании несет ответственность за своевременную установку любых обновлений, связанных с безопасностью.

25. Организационные меры

Компания принимает следующие меры по сбору, хранению и обработке персональных данных:

— все сотрудники, агенты, подрядчики или прочие третьи стороны, работающие от имени Компании, должны быть полностью осведомлены об их непосредственных личных обязанностях, и об обязанностях Компании в соответствии с GDPR, Законом о персональных данных и в соответствии с настоящей Политикой, и им должна быть предоставлена копия настоящей Политики;

— доступ к персональным данным, которыми владеет Компания, могут иметь только сотрудники, агенты, подрядчики или лица, работающие от имени Компании, которым необходим доступ к персональным данным для надлежащего выполнения своих служебных обязанностей;

— все сотрудники, агенты, подрядчики или другие лица, работающие от имени Компании, работающие с персональными данными, будут соответствующим образом обучены этому;

— за всеми сотрудниками, агентами, подрядчиками или другими лицами, работающими от имени Компании с персональными данными, будут осуществляться надлежащий контроль;

— методы сбора, хранения и обработки персональных данных должны регулярно проходить проверку и пересматриваться;

— все персональные данные, хранящиеся в Компании, должны периодически проверяться, как указано в Политике хранения данных Компании;

— работа сотрудников, агентов, подрядчиков и других лиц, работающих от имени Компании с личными данными, должна регулярно оцениваться и проверяться;

— все сотрудники, агенты, подрядчики и прочие третьи стороны, работающие от имени Компании с персональными данными, имеют контрактные обязательства соблюдать принципы GDPR,

— все агенты, подрядчики и прочие третьи стороны, работающие от имени Компании с персональными данными, должны обеспечить, чтобы все их сотрудники, участвующие в обработке персональных данных, соблюдали те же требования данной Политики и GDPR, Закона о персональных данных, что и соответствующие сотрудники Компании; а также

Если какой-либо агент, подрядчик или прочая третья сторона, работающая от имени Компании с личными данными, не выполняет свои обязательства по соблюдению требований настоящей Политики, эта сторона освобождает Компанию от ответственности и воздерживается от любых возможных исков в отношении Компании по возмещению издержек, ущерба, убытков, претензий или разбирательств, которые могут возникнуть из-за такого несоблюдения требований.

26. Передача персональных данных в страны, не входящие в ЕЭЗ

26.1 Компания может периодически передавать («передача» включает в себя дистанционное предоставление) персональные данные в страны за пределами ЕЭЗ и Российской Федерации.

26.2 Передача персональных данных в страну за пределами ЕЭЗ и Российской Федерации должна осуществляться только в том случае, если применяется одно или несколько из следующих условий:

26.2.1 Передача осуществляется в страну, территорию или регион (регионы) в этой стране (или блоке стран), которые обеспечивают адекватный уровень защиты персональных данных;

26.2.2 Передача осуществляется в страну (или блок стран), которая предоставляет соответствующие гарантии в форме юридически обязывающего соглашения между государственными органами; обязательные корпоративные правила; стандартные положения о защите данных, принятые Европейской комиссией; соблюдает кодекс поведения, утвержденный надзорным органом (например, Комитетом по информации); имеет сертификат в соответствии с утвержденным механизмом сертификации (как предусмотрено в GDPR);

26.2.3 Передача осуществляется с информированного согласия соответствующего субъекта (ов) данных;

26.2.4 Передача необходима для исполнения договора между субъектом данных и Компанией (или для преддоговорных действий, предпринятых по запросу субъекта данных).

27. Уведомление об утечке данных

27.1 О любых утечках персональных данных следует немедленно сообщать сотруднику Компании, отвечающему за защиту данных.

27.2 В случае утечки персональных данных, которое может привести к риску несоблюдения прав и свобод субъектов данных (например, финансовые потери, нарушение конфиденциальности, репутационный ущерб или другой значительный социальный или экономический ущерб), сотрудник, отвечающий за защиту данных, должен в течение 72 часов сообщить об этом в государственные органы, контролирующие информационную безопасность.

27.3 Уведомления об утечке данных должны содержать следующую информацию:

27.3.1 Категории и приблизительное количество соответствующих пострадавших субъектов данных;

27.3.2 Категории и приблизительное количество соответствующих записей персональных данных;

27.3.3 Имя и контактные данные сотрудника Компании, ответственного за защиту данных (или другого контактного лица, у которого можно получить дополнительную информацию);

27.3.4 Возможные последствия утечки данных;

27.3.5 Подробная информация о принятых или предложенных мерах по устранению утечки данных, в том числе, при необходимости, о мерах по предотвращению или смягчению возможных неблагоприятных последствий утечки.

28. Когда согласие на обработку персональных данных не требуется

28.1 Согласие клиента на обработку персональных данных не требуется в следующих случаях:

28.1.1 Персональные данные являются общедоступными;

28.1.2 Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Организации, запрашивающей персональные данные;

28.1.3 По требованию полномочных государственных органов — в случаях, предусмотренных федеральным законом Российской Федерации;

28.1.4 Обработка персональных данных в целях исполнения договора, заключённого с Компанией;

28.1.5 Обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

28.1.6 Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение его согласия невозможно.

29. Ответственность за нарушение норм, регулирующих обработку персональных данных

Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с GDPR и федеральными законами Российской Федерации.

Настоящая Политика была утверждена Компанией и вступила в действие в дату её утверждения.