Кнопка прокрутки наверх

Политика организации в области защиты персональных данных

Неприкосновенность личной жизни посетителей нашего Веб-сайта («Пользователей») очень важна для ЗАО «Международный деловой альянс». Наша Политика организации в области защиты персональных данных (“Политика”) разработана для того, чтобы помочь пользователю понять, как компания собирает, использует, хранит и раскрывает личную информацию пользователя. Принимая данную Политику, пользователь дает согласие на сбор, хранение, использование и раскрытие ЗАО «Международный деловой альянс» его личной информации как описано далее.

Назначение

Настоящая политика защиты персональных данных (далее Политика) формулирует основные принципы обработки персональных данных потребителей, клиентов, поставщиков, деловых партнеров, сотрудников и других лиц, а также определяет основные действия по обработке персональных данных и меры по их защите для предприятий, работающих под руководством и контролем ЗАО «Международный деловой альянс», перечень которых определен в Приложении 1 (далее – ЗАО «Международный деловой альянс» или организация).

Целями данной Политики являются обеспечение защиты прав и свобод человека при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну, и унификация порядка обработки персональных данных в организации с требованиями международного права и законодательства стран, где работает организация.

В своих повседневных деловых операциях ЗАО «Международный деловой альянс» использует различные данные об идентифицируемых лицах, включая данные о:

• Нынешних, бывших и потенциальных будущих сотрудниках,
• Клиентах,
• Пользователях своих веб-сайтов,
• Других заинтересованных сторонах.

При сборе и использовании этих данных организация подпадает под действие ряда законодательных актов, регулирующих способы осуществления такой деятельности и меры безопасности, которые должны быть приняты для защиты этих данных.

ЗАО «Международный деловой альянс» обязуется соблюдать законы и правила, касающиеся защиты персональных данных, действующие в странах, где работает организация.

Политика пересматривается ежегодно и при значительных изменениях в организации или в соответствующем законодательстве.

Область распространения

Политика обязательна для всех сотрудников ЗАО «Международный деловой альянс», как штатных, так и внештатных, и всех структурных подразделений организации, включая обособленные подразделения. Требования Политики применяются также в отношении иных лиц, если необходимо их участие в процессе обработки организацией персональных данных, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений и договоров.

Требования Политики распространяются на любые персональные данные, независимо от вида носителя, на котором они зафиксированы.

Политика является общедоступным документом ЗАО «Международный деловой альянс» и предусматривает возможность ознакомления с ней любых лиц.

Термины и определения

В настоящем документе применены следующие термины с соответствующими определениями:

Персональные данные – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (‘субъекту данных’); идентифицируемое физическое лицо является лицом, которое может быть идентифицировано прямо или косвенно, в частности, на основе идентификационной информации, такой как: имя, идентификационный номер, данные о местоположении, идентификатор в интернете (онлайн-идентификатор), или посредством одного или нескольких показателей, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности данного физического лица;

Обработка персональных данных –любая операция или совокупность операций, которые совершаются с персональными данными или набором персональных данных, с использованием автоматизированных средств и без таковых, в числе которых сбор, запись, упорядочивание, структурирование, хранение, переработка или изменение, поиск и выборка, экспертиза, использование, раскрытие посредством передачи, распространения или иного способа предоставления доступа, группировка или комбинирование, ограничение обработки, стирание или уничтожение;

Контролёр - физическое или юридическое лицо, государственный орган, агентство или иной орган, который, самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных; в случае, когда цели и средства такой обработки устанавливаются правом страны местонахождения субъекта данных, контролёр, либо конкретные критерии для его выдвижения, могут быть обусловлены правом страны местонахождения субъекта данных;

Обработчик – физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контролёра;

Специальные категории персональных данных - персональные данные, показывающие расовую или этническую принадлежность, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, касающиеся состояния здоровья, интимной жизни, сексуальной ориентации, генетические данные, или биометрические данные, при их использовании для идентификации физического лица.

Принципы обработки персональных данных

Организация обязуется соблюдать следующие принципы при обработке персональных данных.
Персональные данные должны:

(a) обрабатываться на законных основаниях, справедливо и прозрачно в отношении субъекта данных («принцип законности, справедливости и прозрачности»);

(b) собираться для конкретных, явно выраженных и законных целей и не должны в дальнейшем обрабатываться способом, несовместимым с этими целями; дальнейшая обработка для целей архивирования в общественных интересах, для научных или исторических исследовательских целей или статистических целей не считается несовместимой с первоначальными целями («принцип ограничения целей»);

(c) быть отвечающими требованиям, относящимися к делу, и ограничиваться тем, что необходимо в отношении целей, для достижения которых они обрабатываются («принцип минимизации данных»);

(d) быть точными и, при необходимости, вовремя обновляться; должны быть предприняты все разумные меры, чтобы неточные персональные данные, в зависимости от целей их обработки, были удалены или исправлены без задержки («принцип точности»);

(e) храниться в форме, позволяющей идентифицировать субъекты данных, не дольше, чем этого требуют цели обработки персональных данных; персональные данные могут храниться в течение более длительных периодов времени, в той степени, в какой персональные данные будут обрабатываться исключительно для целей архивирования в общественных интересах, для научных или исторических исследовательских целей или статистических целей, при условии применения соответствующих технических и организационных мер в целях защиты прав и свобод субъекта данных («принцип ограничения срока хранения»);

(f) обрабатываться таким образом, который обеспечивает надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной утери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер («принцип целостности и конфиденциальности»).

ЗАО «Международный деловой альянс» обязуется соблюдать вышеперечисленные принципы не только при обработке персональных данных в настоящее время, но и при внедрении новых методов и систем обработки.

Организация готова подтвердить надзорному органу по запросу соблюдение вышеперечисленных принципов обработки персональных данных, в части своей деятельности как контролёра («принцип подотчетности»).

Правомерность обработки

Прежде чем начать обработку персональных данных в качестве контролёра, ЗАО «Международный деловой альянс» определяет законное основание для обработки.

Если организация обрабатывает в качестве контролёра специальные категории персональных данных, или данные, связанные с уголовными приговорами и правонарушениями, то организация идентифицирует как законную основу для общей обработки, так и отдельные условия для обработки данных этих типов.

ЗАО «Международный деловой альянс» сохраняет обоснованные, задокументированные доказательства правомерности обработки персональных данных, в части своей деятельности как контролёра, и предоставляет их там, где это необходимо.

Организация обрабатывает персональные данные в качестве обработчика только на основании документально подтвержденных распоряжений контролёра, определяемых договором, либо иным правовым актом, определяющим предмет и продолжительность обработки, характер и цель обработки, тип персональных данных и категории субъектов данных, а также обязанности и права контролёра. В этом случае, правомерность обработки определяет контролёр.

Существует шесть применимых правомерных оснований для общей обработки персональных данных. Существует десять отдельных условий для обработки специальных категорий персональных данных. Возможные варианты описаны в следующих разделах

Согласие

Организация всегда будет получать явное согласие от субъекта на сбор и обработку его данных, за исключением случаев, когда согласие не требуется в соответствии с нормами законодательства.

В случае обработки персональных данных детей в возрасте до 16 лет (в отдельных странах может быть разрешен более низкий возраст) должно быть получено согласие лица, несущего родительскую ответственность в отношении ребенка.

При запросе согласия, ЗАО «Международный деловой альянс» сообщает субъектам данных идентификационные данные организации, характер и цели обработки, перечень обрабатываемых категорий персональных данных, и объясняет права физических лиц в отношении их персональных данных, в том числе, право на отзыв согласия. Эта информация предоставляется в понятной и легкодоступной форме, с использованием ясного и простого языка.

ЗАО «Международный деловой альянс» запрашивает отдельно согласие для разных целей и типов обработки и не использует в запросах предварительно отмеченные поля или любое другое разрешение по умолчанию.

Выполнение контракта

Если собранные и обработанные персональные данные необходимы для выполнения контракта с субъектом данных, явное согласие не требуется. Этот пункт применяется в тех случаях, когда контракт не может быть завершен без соответствующих персональных данных, например, доставка не может быть выполнена без адреса доставки.

Юридическая обязанность

Если персональные данные необходимо собрать и обработать для соблюдения норм законодательства, то явное согласие не требуется. Это может иметь место, например, при работе с некоторыми данными, касающимися занятости и налогообложения, и во многих областях, охватываемых государственным сектором.

Жизненные интересы субъекта данных

В случае, когда персональные данные необходимы для защиты жизненно важных интересов субъекта данных или другого физического лица, тогда эта необходимость может быть использована в качестве законной основы для обработки. Например, это может быть использовано в сфере социальной помощи, особенно в государственном секторе.

Задача, осуществляемая в интересах общества

В тех случаях, когда организация должна выполнить задачу, которая, по ее мнению, отвечает общественным интересам или осуществляется в рамках официальных полномочий, то согласие субъекта данных может не запрашиваться.

Законные интересы

Если результат обработки или конкретные персональные данные находятся в сфере законных интересов организации и не влияют на права и свободы субъекта данных значительным образом, то это может быть определено как законная причина обработки данных.

ЗАО «Международный деловой альянс» выполняет оценку своих законных интересов (LIA) чтобы удостовериться в соблюдении принципа пропорциональности.

Условия для обработки специальных категорий персональных данных

Организация обрабатывает в качестве контролёра специальные категории персональных данных только если она определила одно из следующих условий для обработки:
(a) субъект данных дал прямое согласие на обработку указанных персональных данных для одной или нескольких обозначенных целей, кроме случаев, когда законодательство страны местонахождения субъекта данных не предусматривает права на отмену субъектом данных запрета на обработку;
(b) обработка необходима для выполнения обязательств и осуществления конкретных прав контролёра или субъекта данных в сфере занятости и социального обеспечения и законодательства о социальной защите, при условии обеспечения надлежащих мер безопасности для основных прав и интересов субъекта данных;
(c) обработка необходима для защиты жизненных интересов субъекта данных или иного физического лица, если субъект данных физически или юридически не способен дать свое согласие;
(d) обработка осуществляется с политическими, философскими, религиозными или профсоюзными целями фондом, ассоциацией или любым иным некоммерческим органом в рамках их законной деятельности и с надлежащими мерами безопасности, и при условии, что обработка относится исключительно к членам, бывшим членам органа или лицам, которые осуществляют постоянный контакт с нею в связи с ее целями, и что персональные данные не раскрываются третьим лицам без согласия на это субъекта персональных данных;
(e) обработка связана с персональными данными, которые субъект данных явным образом сделал общедоступными;
(f) обработка необходима для предъявления, исполнения или защиты судебных исков или в случаях, когда суды действуют в пределах своей судейской дееспособности;
(g) обработка необходима по соображениям существенного общественного интереса, при условии обеспечения подходящих и конкретных мер по защите основных прав и интересов субъекта данных;
(h) обработка необходима в целях профилактической или профессиональной медицины, для оценки трудоспособности работника, для диагностики медицинского состояния, предоставления медицинской или социальной помощи, или лечения, либо для управления системами и услугами здравоохранения и социального обеспечения;
(i) обработка необходима по причинам общественного интереса в сфере общественного здравоохранения, например, защиты от серьезных трансграничных угроз здоровью или для обеспечения высоких стандартов качества и надежности медицинского обслуживания и лекарственных средств или медицинской техники, при условии обеспечения подходящих и конкретных мер по защите прав и свобод субъекта данных, в частности, профессиональной тайны;
(j) обработка необходима для архивных целей в общественных интересах, научных или историко-исследовательских целей, либо для статистических целей, при условии обеспечения подходящих и конкретных мер по защите основных прав и интересов субъекта данных.
ЗАО «Международный деловой альянс» обрабатывает персональные данные, связанные с уголовными приговорами и правонарушениями, только под контролем официального органа, либо когда обработка разрешена законодательством страны местонахождения субъекта данных, при выполнении условий обеспечения надлежащих мер безопасности для прав и свобод субъектов данных.

Права субъекта персональных данных

Субъект данных обладает следующими правами:
1. Право на получение информации.
Физические лица имеют право на информацию о сборе и использовании своих персональных данных.
2. Право на доступ к данным.
Физические лица имеют право доступа к своим персональным данным.
3. Право на исправление данных.
Физические лица имеют право требовать исправления своих персональных данных, если они неточны, или пополнения, если они неполны.
4. Право на удаление данных ("право быть забытым").
Физические лица имеют право требовать удаления своих персональных данных.
5. Право на ограничение обработки.
Физические лица имеют право требовать ограничения или пресечения обработки своих персональных данных.
6. Право на перенесение данных.
Физические лица имеют право на получение своих персональных данных и повторное их использование для собственных целей в разных сервисах.
7. Право на возражение.
Физические лица имеют право возражать против обработки своих персональных данных.
8. Права в отношении автоматизированного принятия решений и профилирования.
Физические лица имеют право не подвергаться воздействию решений, основанных исключительно на автоматизированной обработке, включая профилирование, и оказывающих юридическое или подобное существенное воздействие на них.

Организация поддерживает каждое из этих прав соответствующими процедурами, которые позволяют принять необходимые меры в сроки, указанные в таблице 1.

Таблица 1 - Временные рамки для запросов субъекта данных.
Запрос субъекта данныхВременная шкала
Право на получение информацииКогда собираются данные (если они предоставлены субъектом данных) или в течение одного месяца (если они не предоставлены субъектом данных)
Право на доступОдин месяц
Право на исправлениеОдин месяц
Право на удалениеБез неоправданной задержки
Право на ограничение обработкиБез неоправданной задержки
Право на перенесение данныхОдин месяц
Право на возражениеПри получении возражения
Права в отношении автоматизированного принятия решений и профилированияНе определено
Защита персональных данных в деловой деятельности организации

ЗАО «Международный деловой альянс» в своей деловой деятельности принимает или может принимать в некоторых случаях, если потребуется, ряд организационных и технических мер для защиты персональных данных от несанкционированной или незаконной обработки, а также от случайной утери, уничтожения, повреждения или от иных неправомерных действий в отношении персональных данных. Эти меры включают в себя:

• принятие и внедрение регламентирующих документов в области обработки и защиты персональных данных;
• принятие подхода «защита данных по дизайну и по умолчанию» - внедрение соответствующих мер защиты данных на протяжении всего жизненного цикла процессов обработки;
• заключение письменных контрактов с обработчиками, которые обрабатывают персональные данные от имени организации;
• обеспечение должных гарантий при передаче персональных данных в третьи страны;
• документирование своей деятельности по обработке персональных данных;
• осуществление должных мер безопасности;
• запись и, при необходимости, сообщение о нарушениях, связанных с персональными данными;
• проведение оценки воздействия защиты данных для использования персональных данных, которые могут привести к высокому риску для интересов физических лиц;
• назначение Инспектора по защите данных (где это необходимо);
• соблюдение соответствующих кодексов поведения и соответствие системам сертификации (насколько это возможно).

Защита данных по дизайну и по умолчанию

Организация принимает принцип «защита данных по дизайну и по умолчанию» и выполняет соответствующие технические и организационные меры для реализации принципов защиты данных и защиты индивидуальных прав.

По сути, «защита данных по дизайну» означает, что ЗАО «Международный деловой альянс» интегрировала защиту данных в свои системы, услуги, продукты и бизнес-практики, начиная от этапа проектирования, а затем на весь жизненный цикл. Организация использует только тех обработчиков данных, которые обеспечивают достаточные гарантии их технических и организационных мер для защиты данных по дизайну. Организация учитывает защиту данных по дизайну при покупке продуктов для использования в своих процессах обработки данных.

По сути, «защита данных по умолчанию» означает, что ЗАО «Международный деловой альянс», в части своей деятельности как контролёра:
• до начала обработки определяет минимальный набор персональных данных, необходимых для достижения конкретных целей обработки;
• соответствующим образом информирует субъектов данных;
• обрабатывает только данные, необходимые для целей обработки;
• не обрабатывает дополнительные персональные данные, пока субъект данных не разрешит делать это;
• обеспечивает, чтобы персональные данные не становились доступными другим лицам автоматически, пока субъект данных не разрешит сделать это;
• обеспечивает автоматическую защиту персональных данных в любой ИТ-системе, услуге, продуктах и / или деловой практике, чтобы физические лица не должны были предпринимать какие-либо конкретные действия для защиты своей конфиденциальности;
• предлагает сильные настройки конфиденциальности, удобные для пользователя параметры и элементы управления, а также соблюдение предпочтений пользователей.

Организация учитывает использование таких методов, как псевдонимизация, там, где это применимо и уместно.

Контракты, связанные с обработкой персональных данных

ЗАО «Международный деловой альянс» обеспечивает, чтобы все взаимоотношения, касающиеся обработки персональных данных, в которые вовлекается организация, регулировались документированными контрактами, которые включают в себя определённую информацию и условия, требуемые законодательством.
Контракты организации включают следующую обязательную информацию:

• предмет и продолжительность обработки;
• характер и цель обработки;
• типы персональных данных и категории субъектов данных;
• обязательства и права контролёра.
Контракты организации включают следующие обязательные условия:
• обработчик должен действовать только в соответствии с письменными инструкциями контролёра (за исключением случаев, когда в силу закона требуется действовать без таких инструкций);
• обработчик должен обеспечить, чтобы лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательство соблюдать конфиденциальность или находились под действием соответствующего установленного законом обязательства о конфиденциальности;
• обработчик должен принять должные меры для обеспечения безопасности обработки;
• обработчик может задействовать со-обработчика только с предварительного согласия контролёра данных и подписания письменного контракта;
• обработчик должен содействовать контролёру данных в обеспечении субъектам данных их прав в соответствии с законодательством страны местонахождения субъекта;
• обработчик должен содействовать контролёру данных в выполнении его обязательств в отношении безопасности обработки, уведомлений о нарушениях, связанных с персональными данными, и оценок воздействия защиты данных;
• обработчик должен удалить или вернуть все персональные данные контролёру в соответствии с запросом по завершению контракта;
• обработчик должен содействовать проведению аудитов и инспекционных проверок, предоставлять контролёру любую информацию, необходимую для того, чтобы подтвердить соблюдение обработчиком своих обязательств, и немедленно сообщать контролёру, если обработчика попросят сделать что-то, нарушающее законодательство о защите данных.

ЗАО «Международный деловой альянс» как контролёр назначает на обработку только тех обработчиков, которые могут предоставить «достаточные гарантии», что требования законодательства стран местонахождения субъектов данных будут соблюдены, а права субъектов данных будут защищены.

Международная передача персональных данных

ЗАО «Международный деловой альянс» передает персональные данные в третью страну или международную организацию только если при этом полностью соблюдаются требования законодательства стран местонахождения субъектов данных, например, если передача персональных данных в эту третью страну или международную организацию разрешена регулирующим органом без дополнительного санкционирования надзорным органом, поскольку там обеспечивается достаточный уровень защиты, отвечающий требованиям законодательства, или если организация, получающая персональные данные, обеспечила должные защитные меры, соответствующие требованиям законодательства.

ЗАО «Международный деловой альянс» удостоверяется перед такой передачей, что по ее завершению уровень защиты субъектов данных, гарантированный законодательством, не ослабится, в том числе в случаях последующей передачи персональных данных из третьей страны или международной организации контролёрам, обработчикам в той же или другой третьей стране или международной организации.

После такой передачи права физических лиц должны оставаться в законной силе и должны оставаться доступными эффективные средства правовой защиты для физических лиц.

Документирование деятельности по обработке

ЗАО «Международный деловой альянс», в части своей деятельности как контролёра, поддерживает записи следующих категорий с целью документирования своей деятельности по обработке:

• учетные записи обработки данных;
• доказательства правомерности обработки;
• записи о согласии на обработку;
• отчеты об оценке законных интересов для обработки;
• информация, предоставляемая субъектам данных;
• контракты контролёр-обработчик;
• записи о размещении персональных данных;
• отчеты об оценке воздействия защиты данных;
• записи о нарушениях, связанных с персональными данными.

ЗАО «Международный деловой альянс», в части своей деятельности как обработчика, поддерживает записи следующих категорий с целью документирования своей деятельности по обработке:
• учетные записи обработки данных;
• контракты контролёр-обработчик;
• записи о размещении персональных данных;
• записи о нарушениях, связанных с персональными данными.

Предприятие ЗАО «Международный деловой альянс», на котором занято менее 250 человек, не хранят учетные записи обработки данных, кроме случаев, когда осуществляемая обработка может привести к возникновению возможных рисков для прав и свобод субъектов данных, когда такая обработка является регулярной, либо, когда обработка охватывает специальные категории персональных данных или персональные данные, касающиеся судимостей и правонарушений.
Записи хранятся в письменной форме. Записи постоянно обновляются и отражают текущую обработку.

Организация делает записи доступными надзорному органу по запросу.

Применение должных мер безопасности

ЗАО «Международный деловой альянс» определила и регулярно актуализирует угрозы безопасности персональных данных, по мере необходимости выполняет анализ рисков, связанных с обработкой персональных данных, документирует выводы и использует их для оценки должного уровня безопасности, который необходимо внедрить.

Под угрозой безопасности персональных данных понимается фактор, создающий опасность несанкционированной, в том числе случайной, обработки персональных данных, а также случайной или намеренной утери, уничтожения или повреждения персональных данных.

ЗАО «Международный деловой альянс» распределила ответственность за обеспечение информационной безопасности на определённых лиц и команды и обеспечила их соответствующими ресурсами и полномочиями. Лица, уполномоченные организацией обрабатывать персональные данные, до начала работы с персональными данными берут на себя обязательство соблюдать конфиденциальность и другие требования Политики.

Предприятие имеет правила информационной безопасности и предпринимают необходимые шаги по их исполнению. Там, где это требуется, предприятие ЗАО «Международный деловой альянс» принимает дополнительные регламентирующие документы и обеспечивают механизмы для их исполнения.

ЗАО «Международный деловой альянс» регулярно пересматривает свои документы по информационной безопасности и, при необходимости, улучшает их. ЗАО «Международный деловой альянс» проводит регулярные проверки и анализ своих мер информационной безопасности, чтобы убедиться что они остаются эффективными, и принимает необходимые действия по результатам этих проверок, в тех случаях, когда выявлены области для улучшения.

Предприятие ЗАО «Международный деловой альянс» ведут учет активов, задействованных в процессе обработки персональных данных (приложений, систем, персонала, носителей информации).

ЗАО «Международный деловой альянс» использует шифрование и/или псевдонимизацию, где это целесообразно.

ЗАО «Международный деловой альянс» в обязательном порядке применяют средства криптографической защиты при передаче персональных данных по открытым каналам связи.

ЗАО «Международный деловой альянс» имеют надлежащие процессы резервного копирования, чтобы в случае возникновения каких-либо инцидентов, они могли восстановить целостность и доступ к персональным данным в разумно возможные сроки.

ЗАО «Международный деловой альянс» удостоверяются, что любой обработчик данных, которого они используют, также реализует соответствующие технические и организационные меры.

ЗАО «Международный деловой альянс» обеспечивают необходимые меры физической безопасности для защиты помещений, оборудования и информации от несанкционированного доступа.

ЗАО «Международный деловой альянс» определила меры обеспечения непрерывности бизнеса, которые защищают и восстанавливают любые персональные данные, которые хранит организация.

ЗАО «Международный деловой альянс» проводит соответствующее начальное и повторное обучение по защите данных персонала, занятого в обработке данных, и включающее, в том числе, обязанности персонала по обработке персональных данных, ответственность персонала за защиту персональных данных, правила и ограничения для персонала на использование систем и сервисов (например, чтобы избежать заражения вирусом или спама).

Нарушения, связанные с персональными данными

Организация подготовила план реагирования для устранения любых нарушений, связанных с персональными данными, которые могут случиться. ЗАО «Международный деловой альянс» распределила ответственность за управление нарушениями на определённых лиц и команды. Сотрудники организации знают, как довести до сведения надлежащего ответственного лица или команды в ЗАО «Международный деловой альянс» информацию об инциденте информационной безопасности, чтобы определить, произошло ли нарушение.

ЗАО «Международный деловой альянс» приняла процедуру уведомления надзорного органа о нарушении в течение 72 часов после того, как стало известно об этом, даже если еще нет всех подробностей. Организация приняла процедуру по информированию без неоправданной задержки затронутых физических лиц о нарушении, когда оно может привести к высокому риску для их прав и свобод. Инспекторы по защите данных организации контролируют процесс уведомления субъектов данных и надзорных органов о нарушениях.

ЗАО «Международный деловой альянс» документирует все нарушения, даже если не обо всех из них необходимо сообщать.

Оценка воздействия защиты данных

ЗАО «Международный деловой альянс» выступая в роли контролёра выполняет DPIA когда обработка персональных данных может привести к высокому риску для физических лиц.

Организация рассматривает целесообразность проведения DPIA в любом крупном проекте с использованием персональных данных, выполняемом в качестве контролёра. Если ЗАО «Международный деловой альянс» решает не проводить DPIA, то она документирует причины своего решения.

DPIA должна:
• описать характер, область применения, контекст и цели обработки;
• оценить необходимость обработки и пропорциональность целям;
• выявить риски и оценить их уровень для физических лиц;
• определить любые меры для смягчения этих рисков и подтверждения соблюдения законодательства.

Если организация определит при выполнении DPIA высокий риск, который она не может смягчить, то перед началом обработки она проконсультируется с надзорным органом.

Соблюдение кодексов поведения и систем сертификации

Профессиональные ассоциации и представительные органы могут составлять кодексы поведения, охватывающие такие темы, как справедливая и прозрачная обработка, законные интересы, преследуемые контролёрами, псевдонимизация, осуществление прав людей и другие.

Кроме того, надзорные органы или аккредитованные органы по сертификации могут выдавать сертификаты соответствия законодательным требованиям процессов обработки данных.

Соблюдение кодекса поведения и сертификация являются добровольными, но организация рассматривает их как отличный способ контроля и демонстрации соблюдения требований по защите персональных данных.

Главное учреждение и руководящий надзорный орган

ЗАО «Международный деловой альянс» является главным учреждением (main establishment) для организации и принимает основные решения относительно целей и средств обработки, выполняемой организацией в качестве контролёра. Таким образом, надзорный орган ЗАО «Международный деловой альянс» действует как руководящий надзорный орган для трансграничной обработки, выполняемой организацией.

DPO главного учреждения действует в качестве контактного лица для руководящего надзорного органа по вопросам, относящимся к обработке персональных данных.