Политика защиты персональных данных

Этот документ соответствует положениям Регламента (ЕС) 2016/679 (Общий регламент по защите данных, GDPR).

В этом документе изложены политика и процедуры SIA «TH Askona», общества, организованного и действующего в соответствии с законодательством Латвии с регистрационным номером 40203239369 и юридическим адресом: Рига, улица Краста 68а, LV-1019, Латвия (далее именуемая как «Компания»), которым Компания будет следовать при работе с персональными данными.

Зависимость от персональных данных для нормального ведения бизнеса требует создания настоящей политики, определяющей процедуры и меры по защите персональных данных.

Эта политика определяет правила, процедуры и меры по сбору, использованию и хранению персональных данных в соответствии с требованиями GDPR, а также по контролю и предотвращению несанкционированного доступа к персональным данным. Нарушение безопасности данных может привести к штрафам со стороны регулирующих органов, невозможности предоставления услуг, потере доверия клиентов, физическому, финансовому и эмоциональному ущербу пострадавшим лицам.

Настоящая Политика и дополнения к ней вводятся в действие Приказом Генерального директора и могут быть отредактированы, изменены или прекращены таким же образом.

Таким образом, в этой политике обсуждаются:

• Категории данных

• Классификация данных

• Сбор/генерация данных

• Использование данных

• Хранилище данных

• Удаление данных

• Обмен данными

• Безопасность данных

Эта политика определяет общие цели и процедуры защиты данных, которые мы поддерживаем.

Это воплощает в себе принципы защиты данных, описанные в статье 5 GDPR, а именно:

• Законность, справедливость и прозрачность,

• Ограничение цели,

• Минимизация данных,

• Точность,

• Ограничение хранения,

• Честность и конфиденциальность

Что мы подразумеваем под «Персональными данными»?

Персональные данные — это любая информация, относящаяся к идентифицируемому лицу, которое можно прямо или косвенно идентифицировать по данным.

Персональные идентификаторы включают имена, идентификационные номера, данные о местоположении или онлайн-идентификаторы, такие как IP-адреса. Это относится как к автоматизированным системам хранения персональных данных, так и к системам ручного хранения данных, в которых персональные данные доступны в соответствии с конкретными критериями; это может включать в себя хронологически упорядоченные наборы ручных записей, содержащих персональные данные.

Персональные данные, которые были зашифрованы или псевдонимизированы – например, с помощью кодов-ключей – также подпадают под сферу защиты GDPR в зависимости от того, насколько сложно приписать псевдоним конкретному лицу.

Нарушение политики и его последствия

Нарушение этой политики может иметь серьезные последствия для Компании, ее способности предоставлять услуги или поддерживать целостность, конфиденциальность или доступность услуг.

Преднамеренное неправильное использование данных, приводящее к нарушению любой части настоящей политики, повлечет за собой дисциплинарные меры по усмотрению высшего руководства Компании. Серьезные, умышленные или неоднократные нарушения политики любым сотрудником могут считаться основанием для немедленного увольнения или, в случае с поставщиком Компании, прекращения оказания им услуг по контракту. Все сотрудники и поставщики обязаны соблюдать эти правила и несут ответственность за их строгое соблюдение.

Область действия Политики

Этот документ является частью наших условий найма сотрудников, договорных соглашений с поставщиками, сторонними обработчиками или агентами, именуемыми в дальнейшем «поставщики». Все стороны должны полностью прочитать настоящую политику и подтвердить, что они понимают ее содержание и согласны ее соблюдать.

Эта политика применяется ко всем активам данных Компании и клиентов, которые существуют в любой среде обработки Компании, на любом носителе в течение любой части ее жизненного цикла. Настоящая политика распространяется на следующих лиц или пользователей: сотрудники Компании, работающие полный или неполный рабочий день, которые имеют доступ к данным Компании или клиентов, организации, аффилированные с Компанией, которые имеют доступ к данным Компании или клиентов, поставщики, которые имеют доступ к данным Компании. или данные клиента.

Жизненный цикл данных

Безопасность данных можно понять с помощью жизненного цикла данных. Типичный жизненный цикл данных — это сбор/генерация, использование, хранение и удаление. В следующих разделах представлены рекомендации по применению этой политики на различных этапах жизненного цикла данных.

Пользователи информационных ресурсов несут личную ответственность за соблюдение этой политики. Все пользователи будут нести ответственность за точность, целостность и конфиденциальность информации, к которой они имеют доступ. Данные должны использоваться только в соответствии с настоящей политикой.

Заявление о политике защиты данных

Цели

Эта политика была написана с учетом следующих целей:

• Обеспечить целостность безопасности и доступность всех данных компании и клиентов.

• Установить базовую позицию компании по обеспечению безопасности данных и схему классификации.

• что он должен позволять своим пользователям выполнять требования по управлению личной информацией.

• что он должен поддерживать организационные цели и обязательства

• что ему следует ввести меры контроля в соответствии с приемлемым уровнем риска;

• что он должен гарантировать, что компания выполняет применимые законодательные, нормативные, договорные и/или профессиональные обязанности;

• что он должен защищать интересы отдельных лиц и других ключевых заинтересованных сторон

Среда обработки

Среда обработки данных Компании, к которой применяется данная политика, состоит из:

• Системы – Система – это совокупность компьютерного оборудования (например, серверов приложений подсетей, файловых серверов, данных рабочих станций и т. д.) и прикладного программного обеспечения, сконфигурированного для обработки, хранения данных передачи и приема, которые используются в производственной или вспомогательной среде. поддерживать конкретные приложения и бизнес-организации при выполнении задач и бизнес-процессов.
• Приложения– Прикладное программное обеспечение – это процедуры и программы системного или сетевого уровня, разработанные (и для) пользователями и клиентами системы. Он поддерживает конкретные задания или функции бизнес-процессов. Он может быть общим по своему характеру или специально адаптированным для одной или ограниченного числа функций.
• Сети– Сеть определяется как две или более системы, соединенные средой связи. Он включает в себя все элементы (например, маршрутизаторы, коммутаторы, мосты, концентраторы, серверы, межсетевые экраны, контроллеры и другие устройства), которые используются для передачи информации между системами.
• Мобильные приложения– Мобильное приложение, чаще всего называемое приложением, представляет собой тип прикладного программного обеспечения, предназначенного для работы на мобильном устройстве, таком как смартфон или планшетный компьютер. Мобильные приложения часто служат для предоставления пользователям тех же услуг, что и на ПК.

Обязанности по защите данных

Отдел ИТ и системного администрирования несет ответственность за:

• Определение элементов управления и механизма требований безопасности

• Определение методов и рекомендаций, используемых для идентификации и классификации всех активов данных.

• Определение процедур идентификации владельцев данных для всех информационных активов

• Определение требований к маркировке для всех активов данных

• Определение процедур использования данных, обработки передачи, хранения и удаления.

• Определение процедур, необходимых для обеспечения соблюдения настоящей политики.

• Содействие оценке новых нормативных требований и передового опыта.

Обязанности руководства

Другие отделы Компании также несут различные обязанности по обеспечению соблюдения настоящей политики, например:

• Все сотрудники отдела должны следить за тем, чтобы сотрудники соблюдали данную политику.

• Администрация ИТ и систем должна обеспечить ведение соответствующих журналов и контрольных журналов для всего доступа к данным.

• Администрация ИТ и систем должна обеспечить активацию всех механизмов безопасности.

• Юридический отдел отвечает за информирование о бизнес-требованиях и проблемах, связанных с бизнес-процессами и включенными в них данными, чтобы обеспечить их правильную классификацию данных.

• Администрация ИТ и систем несет ответственность за регулярную оценку схемы классификации данных на предмет единообразия применения и использования.

Прочие обязанности

Другие департаменты и связанные с ними организации несут ответственность за соблюдение этой политики, например:

Все агенты Компании, поставщики, поставщики контента и сторонние поставщики, которые обрабатывают данные клиентов, должны иметь документированную политику защиты данных, в которой четко определены эти данные и другие ресурсы, а также меры контроля, которые налагаются на них.

Все агенты Компании, поставщики, поставщики контента и сторонние поставщики, которые получают доступ к среде обработки Компании и ее данным или предоставляют ей контент, должны иметь политику безопасности, которая соответствует политике защиты данных Компании и не противоречит ей.

Все агенты, поставщики, поставщики контента и сторонние поставщики должны согласиться не обходить ни одно из наших требований безопасности.

Классификация данных

Классификация данных необходима для выделения ресурсов для защиты активов данных, а также для определения потенциальных потерь или ущерба от повреждения, потери или раскрытия данных.

Чтобы обеспечить безопасность и целостность всех данных, классификация по умолчанию для всех данных, не классифицированных их владельцем, должна быть собственностью компании.

За классификацию данных отвечает администрация ИТ и систем.

Администрация ИТ и систем отвечает за оценку схемы классификации данных и согласование ее с новыми типами данных по мере их поступления в использование. По мере того, как мы вступаем в новые бизнес-начинания, может возникнуть необходимость в разработке дополнительных классификаций данных.

Все данные, обнаруженные в среде обработки, должны относиться к одной из следующих категорий:

Данные публичной компании– Публичные данные компании определяются как данные, к которым может получить доступ любой субъект, внутренний или внешний по отношению к Компании. Раскрытие, использование или уничтожение данных публичной компании будет иметь ограниченное негативное воздействие на Компанию или не будет иметь никакого негативного воздействия, а также не повлечет за собой какой-либо существенной ответственности. (Примеры данных публичных компаний включают легкодоступные новости, котировки акций или спортивную информацию.)

Данные частной компании – Данные частной компании определяются как данные, к которым не может получить доступ ни одна организация, внутренняя или внешняя по отношению к Компании. Раскрытие, использование или уничтожение данных Частной компании окажет неблагоприятное воздействие на Компанию и может повлечь за собой значительную ответственность. (Примеры данных частных компаний включают списки сотрудников, структуру персонала, списки посетителей и продавцов.)

Публичные данные клиента – Публичные данные клиента определяются как данные о физическом лице, к которым может получить доступ любой субъект. Раскрытие, использование или уничтожение общедоступных данных клиентов будет иметь ограниченное или не иметь никаких неблагоприятных последствий для Компании и не повлечет за собой какой-либо существенной ответственности. (Примеры общедоступных данных о клиентах включают упоминания в новостях, самостоятельно опубликованные данные или общеизвестную информацию.)

Данные частных клиентов – Данные частных клиентов определяются как данные о физическом лице, к которым не имеет доступа ни одна организация. Раскрытие, использование или уничтожение данных Частных клиентов будет иметь самые негативные последствия для Компании и может повлечь за собой очень значительную ответственность. (Примеры данных частного клиента включают документы, удостоверяющие личность, медицинские данные или состав семьи.)

По умолчанию любые еще несекретные данные будут рассматриваться как данные частной компании.

Сбор/генерация данных

Данные будут собираться в соответствии со статьями 13 и 14 GDPR, что подтверждает принцип прозрачности и обеспечивает надлежащее соблюдение принципов защиты данных.

Данные могут быть собраны следующими способами: Данные, собранные в результате контрактов между поставщиками и Компанией, Данные, собранные в результате контрактов между сотрудниками и Компанией, Данные, собранные в результате контрактов между клиентами и Компанией.

Каждый способ сбора данных должен иметь конкретную цель, сопровождаемую одной или несколькими правовыми основами, как это определено в GDPR.

Использование данных

Все пользователи, которые получают доступ к данным Компании или клиента для использования, должны делать это только в соответствии с этой политикой. Уникально идентифицированные, аутентифицированные и авторизованные пользователи должны иметь доступ только к данным и использовать их.

Данные должны использоваться только для заявленной цели их сбора или генерации. Любая цель, выходящая за рамки определенной области, будет считаться «неправомерным использованием данных» и повлечет за собой последствия для вовлеченных сторон.

Каждый пользователь должен обеспечить, чтобы активы данных Компании, находящиеся под его руководством или контролем, были надлежащим образом маркированы и защищены в соответствии с их конфиденциальностью, характером собственности и критичностью.

Необходимо также использовать механизмы контроля доступа, чтобы гарантировать, что только авторизованные пользователи могут получить доступ к данным, к которым им предоставлены явные права доступа.

Хранилище данных

Общие предпосылки для периода хранения данных:

• на период времени, необходимый для достижения этой цели.

• до тех пор, пока субъект данных не отправит запрос на удаление своих данных на уважительных основаниях

Все пользователи, которые отвечают за безопасное хранение данных Компании или клиентов, должны делать это только в соответствии с настоящей политикой.

При необходимости хранящиеся данные должны быть защищены шифрованием. Это может включать использование механизмов конфиденциальности и/или целостности.

Необходимо также использовать механизмы контроля доступа, чтобы гарантировать, что только авторизованные пользователи могут получить доступ к данным, к которым им предоставлены явные права доступа.

Передача данных

Все пользователи, которые получают доступ к данным Компании или клиента для их передачи, должны делать это только в соответствии с настоящей политикой.

При необходимости передаваемые данные должны быть защищены шифрованием. Это может включать использование механизмов конфиденциальности и/или целостности. Конкретные криптографические механизмы отмечены в политике информационной безопасности Общества.

Носители, используемые для распространения данных, должны быть классифицированы так, чтобы их можно было идентифицировать как конфиденциальные, а если носители отправляются курьером или другими способами доставки, их следует точно отслеживать.

Никакие данные не могут распространяться на любых носителях из защищенной зоны без надлежащего разрешения руководства.

Удаление данных

Администрация ИТ и систем должна разработать и внедрить процедуры, обеспечивающие правильное удаление различных типов данных. Эти процедуры должны быть доступны всем пользователям, имеющим доступ к данным, требующим специальных методов утилизации.

Данные следует утилизировать безопасным способом, чтобы они были полностью уничтожены и из отходов нельзя было получить никакой информации.

• Для электронных данных процесс удаления будет осуществляться путем электронного уничтожения.

• Для бумажных записей будут использоваться физические измельчители бумаги.

• Все цифровые устройства хранения данных, то есть жесткие диски или флэш-накопители, будут полностью уничтожены, и данные с них невозможно будет восстановить.

Обзор политики.В обязанности юридического отдела входит содействие регулярному пересмотру этой политики. Эта политика будет пересматриваться ежегодно. Администрирование ИТ и систем, юридический отдел должны быть, как минимум, включены в ежегодный обзор этой политики.

Последнее обновление: 6 октября 2021 г.