Политика конфиденциальности

Политика конфиденциальности

  1. Цель регулирования

  2. Определения / положения о толковании

  3. Принципы управления персональными данными

  4. Правовая основа управления персональными данными

  5. Правила безопасности персональных данных

  6. Управление персональными данными

    • управление обработкой данных о пользователях.
    • внутренние записи об обработке данных и передаче персональных данных.
  7. Использование Вашего процессора обработки персональных данных

  8. Права субъектов данных в отношении управления персональными данными

  9. Управление инцидентами в области защиты персональных данных

  10. Общие средства правовой защиты

  11. Приложения

    • Приложение № 1: Заявление о конфиденциальности + Рабочее соглашение о дополнении образца для сотрудников и партнеров по договору.
    • Приложение № 2: Заявление о безопасности информационных технологий.
  12. Цель регулирования

PTechnology S.R.L. привержена защите персональных данных. Главным аспектом наших услуг является защита личной информации и данных.

Начиная с 25 мая 2018 года, во исполнение положений Регламента 2016/679/ЕС о защите физических лиц при обработке персональных данных и свободном перемещении таких данных, т.е. GDPR или RGPD, а также других соответствующих законодательных актов и международных рекомендаций, PTechnology SRL (далее - Компания) будет обеспечивать/защищать данные, генерируемые в процессе своей деятельности, определять порядок выполнения запросов о персональных данных, устанавливать порядок ответственности, обеспечивать и защищать обновления текущего информационного потока

Имя процессора данных: PTechnology S.R.L.

ЧИСЛО НОМЕРА ОБРАБОТКИ ОБОРУДОВАНИЯ: 533637188

Зарегистрированный офис : Борсулуй, №7, этаж IV/3. 410605 Орадя, Бихор, РУМЫНИЯ

Контактная информация : privacy@nonpry.com

1.2. Сфера применения Правил

- Персональная сфера применения Политики

включая:

a) все сотрудники Компании.

б) работники, нанятые на индивидуальной основе;

в) обработчик данных и

г) в дополнение к вышеперечисленному, любое другое физическое или юридическое лицо, имеющее договорные отношения с Компанией.

- Объективная сфера действия Политики

включая:

а) все данные, генерируемые Компанией,

б) данные, обработанные или обработанные в IT-системе,

в) данные, генерируемые в результате управления персональными данными,

г) все аппаратные и программные средства, используемые Компанией;

д) данные, относящиеся к деятельности Общества в период его деятельности

  1. Определения / положения о толковании

2.1 субъект данных: любое физическое лицо, определяемое или определяемое прямо или косвенно, или идентифицируемое посредством персональных данных, которыми владеет Компания.

2.2 персональные данные: персональные данные: данные, относящиеся к субъекту данных, в частности, имя заинтересованного лица, средства его идентификации и знание одного или нескольких физических, физиологических, психических, экономических, культурных или социальных характеристик, а также его характеристик, относящихся к субъекту данных.

2.3 специальные данные: любые личные данные, касающиеся национальных меньшинств, расового или этнического происхождения, политических убеждений, религиозных, философских или аналогичных убеждений, членства в профсоюзах, состояния здоровья, аномальных страстей, сексуальной жизни.

2.4 файлы данных: набор данных, управляемый несколькими записями внутри компании

2.5 уголовные персональные данные: в случае органов, уполномоченных осуществлять уголовное преследование за совершение уголовных преступлений или уголовное разбирательство в ходе или до начала уголовного преследования, а также любые персональные данные, относящиеся к органам уголовного преследования и к заинтересованным лицам, а также сведения о судимости.

2.6 согласие: добровольное и решительное волеизъявление субъекта персональных данных на основе достоверной информации и дача четкого и однозначного согласия на обработку персональных данных, непосредственно относящихся к нему, для проведения полных или конкретных операций.

2.7 возражение: любое заявление заинтересованного лица в письменной форме о том, что оно намерено возразить против обработки его персональных данных, с просьбой: прекратить управление данными, обновить, дополнить, исправить и/или модифицировать их, а также окончательно удалить обработанные данные.

2.8 менеджер данных: физическое или юридическое лицо или даже субъект без статуса юридического лица, которое самостоятельно или совместно с другими лицами определяет цель, с которой обрабатываются данные. Менеджер данных также принимает и реализует решения по управлению данными (в том числе используемым оборудованием) или реализует совместно с обработчиком данных все доверенные меры.

2.9 обработка данных: все операции с персональными данными, независимо от применяемой процедуры, в том числе сбор, запись, систематизация, хранение, изменение, использование, запрос, передача, разглашение, координация, объединение или блокирование, с целью предотвращения любого несанкционированного доступа.

2.10 передача данных: передача персональных данных, доступных с помощью различных средств, в том числе посредством удаленных средств связи, третьему лицу или компании.

2.11 разглашение: персональные данные становятся доступными любому, кто к ним обращается.

2.12 удаление данных: персональные данные становятся неузнаваемыми, доступ к ним невозможен в связи с их постоянным удалением, поэтому их восстановление больше не представляется возможным.

при любых обстоятельствах.

2.13 обозначение данных: предоставление персональных данных со специальным идентификационным знаком, позволяющим им различать и впоследствии использовать их.

2.14 блокировка данных: идентификация персональных данных, требующая блокировки, с последующим ограничением их использования или окончательной обработки или в течение определенного периода времени.

2.15 уничтожение данных: физическое и/или виртуальное уничтожение носителей данных, содержащих персональные данные.

2.16 обработка данных: выполнение технических заданий, связанных с операциями по управлению персональными данными, независимо от методов и средств, используемых для выполнения операций, и местонахождения приложения, при условии, что техническое задание выполняется по персональным данным.

2.17 обработчик данных: физическое или юридическое лицо или организация без статуса юридического лица, которая на основании договора с оператором, в том числе при заключении договора в соответствии с законом, обрабатывает персональные данные.

2.18 система регистрации данных: любой структурированный, функционально или географически централизованный, децентрализованный или рассредоточенный файл персональных данных, доступный по определенным критериям.

2.19 инцидент защиты данных: доступ, разглашение, передача, обработка, манипулирование или несанкционированное уничтожение персональных данных любым другим физическим или юридическим лицом, не уполномоченным на это в прямой форме

2.20 третье лицо: любое физическое или юридическое лицо или организация без статуса юридического лица, не являющееся заинтересованным лицом и не имеющее отношений с оператором данных или обработчиком данных.

2.21 третья страна: любое государство, не являющееся членом ЕЭЗ.

  1. Принципы управления данными

Компания осуществляет свою деятельность в области управления персональными данными. Компания также осуществляет все коммуникационные отношения со своими клиентами на венгерском языке и определяет все обязанности своих сотрудников в отношении управления персональными данными. Целью деятельности компании является обеспечение правильности данных, собранных на всех этапах управления компанией прозрачным, законным и справедливым образом, а также обеспечение защиты персональных данных субъекта в отношении любых запросов о доступе, передаче, удалении или несанкционированном уничтожении. Приложение № 1.

  1. Правовая основа управления данными

Личные данные могут быть обработаны, если:

a) субъект данных выражает свою готовность сделать это

б) существует императивное правовое положение в этом отношении, или существуют другие правила/положения местной или центральной публичной администрации, которые преследуют цель общественного интереса...

В случае обязательного управления данными, виды материалов, подлежащих обработке, цель и условия управления данными, доступность данных, продолжительность управления данными, а также личность обработчика данных определяются законом и нормативными актами местного самоуправления.

Персональные данные могут быть обработаны, даже если получение согласия субъекта данных было бы невозможным или впоследствии; при условии, что обработка персональных данных абсолютно необходима для выполнения юридических обязательств Компании. Правовой обязанностью Компании является осуществление всех действий в соответствии с законными интересами Компании или третьего лица, уполномоченного в этом отношении, и соразмерное применение этого интереса с минимальным ограничением права на защиту персональных данных.

Субъект данных будет проинформирован в письменной форме с помощью средства связи, выбранного Компанией, до начала обработки персональных данных, если персональные данные не обрабатываются на основании действительного согласия или являются обязательными в соответствии с законом. Субъект данных будет четко и всесторонне информирован о персональных данных, подлежащих обработке, а также обо всех фактах и действиях, тесно связанных с управлением его данными, в частности, в отношении цели и правовой основы обработки персональных данных в его личности, продолжительности управления данными и физического или юридического лица, которое следует за такими данными или может иметь к ним доступ.

В случае если персональные данные не зарегистрированы на основании согласия субъекта данных, Компания, при отсутствии иных правовых норм, выполняет свое юридическое обязательство по обращению за получением прямого согласия субъекта данных любым способом, с минимальным ограничением права на защиту данных и без причинения субъекту данных дальнейшего ущерба.

Компания осуществляет управление данными на основе следующих правовых норм:

- Регламент 2016/679 (27 апреля 2016 года) Европейского Парламента и Совета Европейского Парламента о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных.

- Директива Европейского парламента и Совета 95/46/ЕС 1995 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных.

- Директива 2016/680 Европейского парламента и Совета Европейского союза о защите физических лиц в отношении обработки персональных данных компетентными органами в целях предупреждения, выявления, расследования или уголовного преследования уголовных преступлений или исполнения наказания и свободного перемещения таких данных.

- Закон № 129 от 15 июня 2018 года о внесении изменений и дополнений в Закон № 102/2005 о создании, организации и функционировании Национального органа по надзору за обработкой персональных данных с изменениями и дополнениями. Правила безопасности данных и информационной безопасности.

Компания обрабатывает личные данные и хранит их на защищенных серверах в компьютерной сети. Хранение персональных данных в компьютере, аппаратном обеспечении (жесткий диск), флэш-накопителе, оптическом диске должно соответствовать правилам безопасности, действующим в отношении данного устройства, в целях защиты персональных данных.

  1. Правила информационной безопасности

Приложение № 2

При осуществлении своей деятельности и исполнении обязанностей Компания применяет политику безопасности информационных технологий для защиты электронной информации. Действия по защите персональных данных являются:

- защита персональных данных с помощью пароля, совпадающего с данными аутентификации пользователя

- защита информации пользователей от пользователей с помощью системы шифрования для хранения данных

- сохранение информации, отправленной пользователем в географически отдельное место;

- шифрование конфиденциальных данных в надлежащих условиях

- использовать брандмауэры или другие подобные процедуры защиты, и

правильное использование и постоянное обновление антивирусных программ для фильтрации и устранения вирусов во внутреннем трафике

  1. Управление персональными данными о пользователе

Управление данными пользователей

Это служит достижению целей компании и услуг, предоставляемых компанией, а также реализации прав и обязанностей компании и ее пользователей. Спектр обрабатываемых данных: имя пользователя: псевдоним / псевдоним, номер телефона, адрес электронной почты, пароль, информация для выставления счетов (Имя, фамилия, адрес, идентификация банковского счета). Компания не хранит данные о трафике, балансе / информации о активном балансе для активных пользователей и/или сроках истечения срока действия услуги.

Правовая основа для управления данными: На основании использования услуги, предоставляемой Компанией, физическое лицо выражает свое согласие на обработку персональных данных, когда оно добровольно предоставляет такие данные средствами, предоставляемыми Компанией.

Продолжительность управления данными: Компания имеет право, с согласия субъекта данных, надлежащим образом управлять, хранить и обрабатывать все предоставленные им персональные данные в течение фиксированного или неопределенного периода времени или до тех пор, пока не будет принято решение в результате расторжения соглашения или других возражений, выдвинутых субъектом данных или законом, общественность или юрисдикция не заставят его сделать это.

Внутренний реестр управления и передачи данных Компании.

Компания обязуется вести учет управления персональными данными и передачи персональных данных в соответствии с правовой базой управления персональными данными и процесса передачи данных.

  1. Использование обработчика данных

Компания оставляет за собой право передавать персональные данные компаниям и специализированным организациям для обработки персональных данных исключительно в целях достижения целей и задач надлежащего функционирования системы Компании. Обработка персональных данных таким обработчиком начинается только после предварительного подписания заявления о конфиденциальности в отношении управления персональными данными.

Обработчик данных не может в одностороннем порядке принять решение об управлении доверенными ему персональными данными без прямого письменного согласия оператора данных. Он не может обрабатывать персональные данные ни в каких целях, кроме как по указанию оператора данных, и может выполнять свои задачи только после получения прямых указаний от оператора данных. Обработчик персональных данных обязан обеспечить полную физическую и виртуальную защиту персональных данных, с которыми он собирается взаимодействовать, и обязуется обрабатывать их только на основании правил, изложенных в Положении о защите данных и безопасности персональных данных. 

Компания использует в своей деятельности следующие компании по обработке данных:

  • АКРОБИТС, С.Р.О. Йиндрисска 24 110 00 Прага 1 Чешская Республика

  • ООО "ГоДади Оперейтинг Компани". 14455 Н. Хэйден Рд № 219, Скоттсдейл, AZ 85260 США

  • ООО "Гугл". 1600 Амфитеатр Парквей, Маунтин-Вью, Калифорния 94043 США.

  • PayPal (Europe) S.à r.l. et Cie, S.C.A. 22-24 Boulevard Royal, L-2449, Luxembourg, R.C.S. Luxemburg B 118 349.

  • myPOS Europe Ltd, The Shard, Level 24, 32 London Bridge Street, London, SE1 9SG, Великобритания.

  • Apple Inc. Один Apple Park Way, Купертино, Калифорния, США, 95014.

  • SUPERLATIVE ENTERPRISES PTY LTD ABN 62 085 442 020; Business name: Have I Been Pwned; ASIC registration:085 442 020 DIDWW Ireland Limited 10/13 Thomas Street The Digital Hub, Dublin 8 Ireland

  1. ПРАВА СУБЪЕКТА ДАННЫХ, СВЯЗАННЫХ С ОБРАБОТКОЙ ДАННЫХ

8.1 Запрос на информацию

Любой субъект данных может запросить информацию о своих персональных данных, которую он предоставляет Компании, а также о персональных данных, которыми управляет Компания, а именно: источник, цель, юридическое основание, продолжительность, имя обработчика, адрес и деятельность по управлению данными, персональные данные, а в случае передачи персональных данных - юридическое основание, а также бенефициар передачи.

Компания выполняет запрос информации для обеспечения безопасности данных субъектов данных. Для этого запрос информации может быть отправлен в письменной форме путем отправки письма с полным личным документом, путем отправки соответствующих идентификационных данных по электронной почте в Компанию. Компания должна предоставить информацию в письменной форме, в ясной форме, в кратчайшие сроки и не позднее 1 месяца, по указанному заинтересованным лицом адресу.

Обращаем Ваше внимание на то, что информация по каждому набору данных является бесплатной в течение года, и Компания может взимать с Вас дополнительную плату за дополнительную информацию. Компания обязуется обрабатывать запрос информации для обеспечения защиты данных, их точности и прозрачности субъектов данных. Для этого запрос информации должен быть отправлен в письменной форме, письмом в запечатанном конверте с подтверждением получения или путем отправки в Компанию запроса информации по адресу электронной почты privacy@nonpry.com .

Компания предоставит информацию заинтересованному лицу в письменном виде, в четкой форме, в течение 15 дней с момента подтверждения получения по адресу, указанному заявителем. При отсутствии оснований для запроса, либо если запрос информации нарушает права других лиц в отношении безопасности, конфиденциальности, прозрачности, Компания обязуется предоставить обоснованный запрос запрашивающему лицу в письменной форме в срок не более 15 дней с момента подтверждения получения информации по адресу, указанному заявителем, об отказе в раскрытии такой информации.

8.2 Устранение

Если субъект данных в письменной форме указывает Компании, что обрабатываемые персональные данные не соответствуют действительности, и просит исправить их, или если Компания знает другими способами об ошибках в персональных данных, а также о правильности данных, то Компания или Обработчик данных обязуется исправить их правильно и как только ему станет известно о персональных данных, требующих исправления. Компания также обязуется в тот же день, когда было сделано исправление, уведомить субъекта данных об исправлении или отклонить его просьбу об исправлении.

Если одно и то же лицо имеет последовательные претензии к исправлению персональных данных, Компания оставляет за собой право рассмотреть последнюю заявку.

8.3 Удаление или блокирование

Субъекты данных имеют право запросить в письменной форме, по электронной почте или по почте; удалить или заблокировать Ваши персональные данные. Блокировка, заказанная Компанией, является временной мерой и может быть прекращена специальной процедурой, называемой деблокировкой. Указанные заявителем персональные данные будут заблокированы, если на основании информации, имеющейся у Компании, можно обоснованно предполагать, что их удаление может нанести ущерб законным интересам Компании или даже субъекту данных. Личные данные будут блокироваться до тех пор, пока существует цель управления данными, которая исключает возможность их удаления.

Удаление, заказанное Компанией, равнозначно немедленному и незамедлительному прекращению услуг, предоставляемых субъектам данных. Компания уведомляет заинтересованное лицо о просьбе об отмене, удалении или блокировании персональных данных.

8.4 Возражение

Право на возражение

Субъекты данных имеют право в любое время по законным и обоснованным причинам, связанным с их конкретными ситуациями, возражать против обработки персональных данных, пусть даже только частично, за исключением случаев, когда они абсолютно необходимы для обязательного управления данными;,

- если обработка или передача их персональных данных требуется исключительно в целях выполнения Компанией своих юридических обязательств или в законных интересах Компании или третьего лица; или

- если их персональные данные используются или передаются для прямого маркетинга, опроса общественного мнения или научных исследований, за исключением случаев, когда им было дано на это согласие; ориентировать их персональные данные на использование или передачу для прямого маркетинга, опроса общественного мнения или научных исследований, за исключением случаев, когда им было дано согласие; или

- в других случаях, предусмотренных законом.

Компания, по выбору заявителя, рассматривает возражение в кратчайшие сроки после подачи заявки и в течение максимум 15 дней принимает решение по его существу и письменно информирует заявителя о своем решении.

В случае обоснованности возражения Компания незамедлительно прерывает управление данными, в том числе сбор и передачу дополнительных данных, в первую очередь распоряжается блоком персональных данных для предотвращения их использования и направляет уведомления всем тем, кто ранее пользовался персональными данными, на которые распространяется возражение, для принятия той же меры; совершения аналогичных действий и осуществления права на возражение запрашивающего лица.

8.5 Отказ от сотрудничества в прямом маркетинге

В случае так называемого прямого маркетинга лица, участвующие в прямой маркетинговой переписке, имеют право в любое время и без объяснения причин отказаться от использования данных, находящихся в прямом контакте с субъектом данных, в коммерческих целях. В связи с этим субъекты данных имеют право отказать или запретить внесение их имен в любой список контактов или в список торговцев. Физические лица также имеют право запретить использование таких данных непосредственно в коммерческих или конкретных целях или даже запретить передачу таких данных третьим лицам.

8.6 Передаваемость или переносимость личных данных

Хранение данных, которые воспринимаются как новый правовой элемент в Европейском Союзе, позволяет всем заинтересованным лицам запрашивать передачу персональных данных между несколькими организациями.

Право на передачу и портативность персональных данных является свободным и позволяет заинтересованным сторонам легко менять провайдеров. Это означает, что субъект данных имеет право бесплатно получать свои персональные данные в разумные сроки в удобном для пользователя крупноформатном формате, который затем может быть открыт на любом смартфоне, например, в формате CSV.

9 Управление инцидентами, связанными с неприкосновенностью частной жизни

Компания PTechnology обязуется защищать персональные данные, поскольку при отсутствии надлежащих и эффективных действий любой инцидент, связанный с защитой данных, может нанести физический, моральный или материальный ущерб вовлеченным в него лицам. Для того, чтобы управлять инцидентами защиты данных, компания ведет журнал инцидентов защиты данных, который фиксирует обстоятельства инцидентов защиты данных в течение 72 часов с момента их возникновения, а также предпринимает все необходимые и законные шаги для восстановления предыдущей ситуации. Меры, которые компания обязуется принять, включают в себя, в ограничительном порядке:

\1. принимает все необходимые меры для немедленного устранения причины инцидента с конфиденциальностью

\2. он уведомляет всех пострадавших субъектов данных, чтобы свести к минимуму ущерб.

\3. осуществляет необходимые дополнительные и правовые меры в таких ситуациях.разрабатывает план по предотвращению такого рода инцидентов с защитой данных в будущем.

\4. разрабатывает структурированный план по предотвращению любого инцидента в области личной безопасности в будущем

\5. в кратчайшие сроки реализует план по предотвращению инцидентов, связанных с безопасностью в отношении защиты персональных данных

10 Общие средства правовой защиты

В соответствии с действующими правовыми нормами, Общее положение о защите персональных данных предусматривает:

- Право на подачу жалобы в надзорный орган.

- Право на эффективное средство судебной защиты в отношении надзорного органа.

- Право на эффективное средство судебной защиты в отношении оператора или лица, уполномоченного оператором.

- Представление субъектов данных.

- Приостановление процедур.

- Право на компенсацию.

Заинтересованные лица могут получать информацию о своих персональных данных и требовать, чтобы с ними обращались для исправления, обновления, удаления или блокирования. Оператор, как только ему станет известно содержание запроса заявителя, изучит его и, в течение 15 дней с момента получения запроса, предоставит мотивированный ответ на запрошенную информацию.

Если персональные данные пользователей обработчика данных не зафиксированы должным образом или имеются очевидные существенные ошибки, но могут быть легко исправлены или исправлены, обработчик данных или оператор может изменить их, при условии их правильности и полноты.

Обработчик данных может удалить личные данные в следующих ситуациях:

- если обработка данных является явно незаконной или существует обязательное для этого правовое положение

- если постановление было получено компетентным судом или органом государственной власти

- заинтересованное лицо направляет в этой связи четкую и обоснованную просьбу

- если личные данные являются неполными или неверными, и эта ситуация не может быть устранена законным образом.

- если цель управления данными перестала существовать или истек установленный законом срок хранения персональных данных

В первую очередь, персональные данные, подлежащие удалению, блокируются оператором, а не удаляются, если субъект данных запрашивает их любым способом связи или если на основании имеющейся на тот момент информации можно предположить, что удаление в любом случае затронет законные интересы Компании, действующие правовые нормы или даже заинтересованного лица.

Личные данные, заблокированные таким образом, будут обрабатываться только в целях обработки данных, препятствующих удалению личных данных. Обработчик данных может сдать персональные данные в соответствии с правовыми нормами с целью управления ими когда:

- существует обоснованное разрешение спора или прямой и предметный запрос от компетентных органов и уполномоченных по закону

- таким образом оно способствует защите национальной обороны и безопасности, общественной безопасности, сотрудничеству с компетентными органами, следственными органами и органами уголовного преследования в связи с совершением преступлений против человечности

- если субъект данных не согласен с решением об обработке данных или другой информацией, или если обработчик данных не соблюдает установленные законом сроки, субъект данных может обратиться в компетентный суд или в Национальный орган по защите данных и в Орган по защите данных на основании свободного доступа к информации в течение 30 дней с момента объявления решения или несоблюдения срока.

Судебный пересмотр относится к юрисдикции Суда в пределах территориальной юрисдикции домицилия заявителя. В случае удовлетворения судом ходатайства субъекта данных, контролер данных обязан незамедлительно предоставить всю информацию, обновить, исправить, заблокировать, удалить и/или отменить принятое решение, а также учесть право лица на протест и, соответственно, действовать в соответствии с мерами, которые необходимы для каждого конкретного случая. В случае нарушения прав субъекта данных или любых других комментариев или жалоб любое заинтересованное лицо может обратиться к следующим контактным данным: Электронная почта PTechnology S.R.L.: privacy@nonpry.com.