Краткое содержание Политика обработки персональных данных в Knauf Group Тип политики Директива Группы
Download 373.5 Kb.
|
000 Knauf Group Data Privacy Policy RU (2)
|
Политика конфиденциальности данных Версия 1.0 Последнее изменение 01.06.2023 Статус Разрешено ОБЩИЕ ДАННЫЕ
ИСТОРИЯ ИЗМЕНЕНИЙ
СОДЕРЖАНИЕ 1. ЗАЯВЛЕНИЕ О ПОЛИТИКЕ 4
1. ЗАЯВЛЕНИЕ О ПОЛИТИКЕ Защита личной информации, касающейся клиентов, сотрудников и других лиц, связанных с Группой Knauf (Личные данные), является главным приоритетом для всех аффилированных компаний в Группе Knauf (Компании Knauf или Knauf). Knauf обязуется обрабатывать Персональные данные только честным, законным и прозрачным образом и использовать такие Персональные данные только в законных целях. В рамках этого обязательства компания Knauf разработала настоящую Политику конфиденциальности данных (далее «Политика»), отражающую глобальные принципы и стандарты Knauf в отношении обработки персональных данных. 2. ПРЕДМЕТ ПОЛИТИКИ 2.1 Область применения Настоящая Политика применяется ко всем действиям по обработке Персональных данных, таким как, помимо прочего, сбор, управление, хранение и обмен Персональными данными (Деятельность по обработке) всеми компаниями Knauf, и распространяется на все юрисдикции, в которых Knauf работает и ведет бизнес. В частности, его территориальная сфера действия не ограничивается деятельностью компаний Knauf по обработке персональных данных в пределах Европейской экономической зоны (ЕЭЗ) или Великобритании. Для целей настоящей Политики соответствующие Компании Knauf квалифицируются как Контролеры в значении статьи 4 № 7 GDPR (Генеральный регламент о защите персональных данных), то есть как лица, которые независимо или совместно определяют цели и средства Деятельности по обработке. Сотрудники Knauf, в том числе менеджеры, руководители и персонал, а также контрактные и временные работники (вместе именуемые «Персонал Knauf») несут ответственность за соблюдение настоящей Политики и должны всегда соблюдать положения и условия, изложенные в настоящей Политике. Из-за сложности законов о конфиденциальности данных персоналу Knauf настоятельно рекомендуется проконсультироваться со своим компетентным подразделением по обеспечению конфиденциальности (подробности см. в Политике управления конфиденциальностью данных) и/или обратиться за консультацией к сторонним организациям, если они столкнутся с какой-либо ситуацией, вызывающей вопросы в отношении защиты, конфиденциальности, или безопасность Персональных данных. Если вам станет известно о нарушении настоящей Политики, пожалуйста, свяжитесь с компетентной службой конфиденциальности или по Линии для сообщений Knauf (см. п. 8). 2.2 Минимальный стандарт Настоящая Политика основана на Общем регламенте ЕС по защите данных (GDPR) и служит в качестве минимального стандарта защиты персональных данных в Группе Knauf. Все компании Knauf всегда обязаны соблюдать любые применимые положения о защите данных страны, в которой обрабатываются персональные данные (Законы о конфиденциальности данных). Следовательно, существующие местные законы и правила, которые должны соблюдаться отдельными компаниями Knauf в отношении обработки Персональных данных, выходящие за рамки принципов, изложенных в настоящей Политике, или содержащие дополнительные или иные ограничения на обработку и использование Персональных данных, остаются в силе. не затрагиваются настоящей Политикой и имеют прецедент. Компании Knauf, расположенные за пределами ЕС/ЕЭЗ, могут быть освобождены от соблюдения Минимального стандарта по причинам, связанным с требованиями местного законодательства, рыночными стандартами или техническими и операционными трудностями. Такое освобождение и его причины должны быть уведомлены и задокументированы (подход «соблюдай или объясняй»). Пожалуйста, свяжитесь с вашим компетентным отделом конфиденциальности для получения дополнительной информации (см. п. 8). 2.3 Связанные политики и рекомендации Knauf Настоящая Политика является одной из нескольких политик, определяющих подход Knauf к обработке Персональных данных и другой информации, в том числе: • Политика управления конфиденциальностью данных Knauf • Стандартная концепция удаления данных Knauf; • План реагирования Knauf на утечку данных; • Управление запросами субъектов данных Knauf; • Руководство Knauf по файлам cookie; • Руководство Knauf «Конфиденциальность по дизайну» и «Конфиденциальность по умолчанию»; • Глобальная политика закупок Knauf; • ИТ-политика Knauf; и • Политика ИТ-безопасности Knauf (вместе Соответствующие политики) Хотя эта Политика действует во всем мире как Минимальный стандарт, необходимо также соблюдать более конкретные политики Knauf. Если настоящая Политика противоречит каким-либо местным законам или законодательству, или в случае каких-либо противоречий между местными политиками Knauf и настоящей Политикой, Владелец настоящей Политики должен быть немедленно проинформирован об этом в письменной форме. Как правило, в случае противоречия другим политикам, настоящая Политика имеет преимущественную силу. 3. ОБЩИЕ ПРИНЦИПЫ 3.1 Что такое персональные данные? Персональные данные (иногда также называемые «личными данными» или «персональная идентифицирующая информация» или «ПИИ») для целей настоящей Политики означают любую информацию, относящуюся к идентифицированному или идентифицируемому живому физическому лицу (Субъекту данных), как это определено в статье 4 № 1 GDPR. Примеры Персональных данных включают имена, даты рождения, адреса или контактные данные (как профессиональные, так и частные), подписи, идентификационные номера (например, для целей социального обеспечения, паспорта или удостоверения личности). Он также включает в себя номера личных дел, учетные данные пользователя, IP-адреса персональных устройств, данные о местоположении в реальном времени, медицинскую, экономическую, культурную или социальную информацию о людях, а также выражения мнений (например, в записи оценки персонала). если он относится к конкретным лицам (т. е. не является эффективно анонимным, например, путем агрегирования в таблице для чисто статистических целей). Персональные данные могут относиться к отдельным лицам, таким как персонал Knauf, кандидатам на работу, потребителям (например, посетителям веб-сайта) или отдельным контактам у поставщиков, сервисных партнеров и клиентов. Обратите внимание, что «псевдонимизированные данные», т. е. данные, которые не содержат информации, которая четко идентифицирует человека (например, по имени или должности), также квалифицируются как Персональные данные, если Субъект данных может быть (повторно) идентифицирован с использованием дополнительных информация (например, адрес, дата рождения, фотография и т. д.). Только в том случае, если такая (повторная) идентификация невозможна, данные будут считаться «анонимизированными», и законы о конфиденциальности данных не будут применяться. 3.2 Принципы защиты данных – как Knauf будет обрабатывать Персональные данные Компании Knauf (каждая из которых является Контроллером для целей настоящей Политики) и весь персонал Knauf обрабатывают Персональные данные в соответствии со следующими ключевыми принципами и в соответствии со статьей 5 Общего регламента по защите данных (Принципы конфиденциальности данных): • Обработка должна быть справедливой и прозрачной (справедливость и прозрачность). Справедливость обычно достигается за счет прозрачности. Любой Субъект данных должен быть проинформирован в соответствии с Законами о конфиденциальности данных, в том числе, среди прочего, (i) кто является ответственным контролером, (ii) кто является представителем контролера, (iii) цель, для которой его Персональные данные должны обрабатываться Контролер (или один из его сервисных партнеров, назначенный обработчиком). • Обработка должна быть законной (Законность). Любая деятельность по обработке требует правового основания. В соответствии с GDPR обработка Персональных данных является, среди прочего, законной, если (i) Субъект данных дал прямое согласие на конкретную обработку, (ii) обработка необходима для выполнения договора с Субъектом данных, (iii) обработка необходима для соблюдения юридического обязательства, (iv) Контролер имеет законную цель обработки, которая имеет приоритет над интересами конфиденциальности Субъектов данных. К обработке Конфиденциальных данных применяются более строгие требования (см. ниже). В целях подотчетности соответствующие правовые основания всегда должны быть должным образом задокументированы (например, в записях компании о деятельности по обработке или в виде подписанной формы согласия). • Обработка предназначена для ограниченных целей и должна осуществляться надлежащим образом (Ограничение цели). Персональные данные обычно обрабатываются только для тех целей, для которых они были первоначально собраны. Это также относится к Персональным данным сотрудников Knauf. Если возникает необходимость обработки Персональных данных для новой цели, Субъекты данных должны быть проинформированы, а правовая основа для новой цели должна быть пересмотрена. • Обработка должна быть ограничена тем, что необходимо для намеченной цели (минимизация данных). Сбор Персональных данных всегда должен быть максимально ограничен на фоне предполагаемой Деятельности по обработке. Важным аспектом минимизации данных является ограничение доступа к Персональным данным на основе «служебной необходимости». Доступ к Персональным данным всегда должен быть ограничен персоналом Knauf, у которого есть особая потребность в доступе к таким Персональным данным, обычно в зависимости от их роли. Персонал Knauf не должен получать доступ к Персональным данным (или иметь возможность доступа к ним), если у них нет для этого реальных деловых причин. • Персональные данные всегда должны быть точными и обновляться (Точность). Важно, чтобы Персональные данные были правильными. Должны быть реализованы меры для проверки точности Персональных данных в момент их сбора и через регулярные промежутки времени после этого. Неверные данные должны быть исправлены. • Персональные данные не должны храниться дольше, чем это необходимо для цели, для которой они были собраны (Ограничение хранения). Персональные данные должны быть уничтожены или удалены из ИТ-систем Knauf, когда они больше не требуются для указанной Деятельности по обработке, для которой они были собраны, за исключением случаев, когда применяются установленные законом сроки хранения. Для получения более подробной информации см. стандартную концепцию удаления Knauf. • Персональные данные всегда должны храниться в безопасности (целостность и конфиденциальность). Соответствующие технические и организационные меры (ТОМ) для защиты безопасности, конфиденциальности и целостности Персональных данных должны быть приняты против незаконной или несанкционированной обработки Персональных данных, а также от случайной потери или повреждения Персональных данных. • Обработка и соблюдение Законов о конфиденциальности данных должны быть задокументированы (Подотчетность). Knauf должна всегда быть в состоянии продемонстрировать соблюдение законов о конфиденциальности данных. Обратитесь к Политике управления конфиденциальностью данных для получения более подробной информации о документации, которую необходимо вести. 3.3 Обработка конфиденциальных персональных данных Определенные категории персональных данных, указанные в статьях 9 и 10 GDPR (Конфиденциальные персональные данные), могут обрабатываться только при соблюдении строгих требований. Эти данные включают информацию о расовом или этническом происхождении лица, политических взглядах, религиозных или подобных убеждениях, членстве в профсоюзах, физическом или психическом здоровье (включая, например, информацию о беременности, материнстве, информацию о реинтеграции после болезни или инвалидности), сексуальная жизнь, сексуальная ориентация, генетические или биометрические данные, а также информация, касающаяся уголовных судимостей и правонарушений. В контексте деловых операций Knauf обработка Конфиденциальных персональных данных является законной только в том случае, если применяется любое из следующих условий: • Субъект данных дал прямое согласие; • обработка необходима для выполнения обязательств Knauf в соответствии с законодательством о занятости и социальном обеспечении и социальной защите; • обработка необходима для защиты жизненно важных интересов Субъекта данных; • обработка необходима для установления, осуществления или защиты юридических требований. 4. ЗАПРОСЫ ДОСТУПА СУБЪЕКТА ДАННЫХ В соответствии с GDPR и многими другими законами о конфиденциальности данных Субъект данных имеет право запрашивать доступ к своим Персональным данным (включая копии данных), которые обрабатывает компания Knauf, а также к информации о соответствующих Действиях по обработке данных (Право доступа). Если компания Knauf или сотрудник Knauf получает запрос на доступ субъекта данных в соответствии с GDPR или другим законом о конфиденциальности данных, который предоставляет право доступа, сопоставимое с GDPR, необходимо немедленно связаться с компетентным подразделением по обеспечению конфиденциальности (см. раздел 8). Компетентная Служба конфиденциальности направляет запрос субъекта данных в соответствующую компанию Knauf, чтобы дать возможность Knauf ответить на запрос в установленные сроки: более подробную информацию см. в Политике управления конфиденциальностью данных. Дополнительные права субъекта данных (например, право на удаление) предоставляются GDPR и другими законами о защите данных и должны соблюдаться соответствующим образом. 5. ОБМЕН ДАННЫМИ Обратите внимание, что обмен данными внутри группы компаний, такой как Knauf Group, не освобождается от соблюдения Принципов конфиденциальности данных. Любой обмен Персональными данными является Обработкой. Применяются Принципы конфиденциальности данных (см. выше). Необходимо соблюдать дополнительные требования, если получатель данных находится в стране за пределами ЕЭЗ. 5.1 Обмен данными с другими контролерами Если Персональные данные передаются другим контролерам (т.е. независимой компании, которая не является поставщиком услуг для отправителя данных), отправитель данных должен убедиться, что существует действующая правовая основа для обмена. Кроме того, должны соблюдаться все другие Принципы конфиденциальности данных, изложенные выше. В случае, если Персональные данные находятся под совместным контролем компании Knauf и другой компании Knauf/третьей стороны, дополнительно должно быть заключено соглашение о совместном контроле в соответствии со статьей 26 Общего регламента по защите данных. Два или более юридических лица являются совместными контролерами, если они совместно определяют цели и средства обработки (например, несколько компаний КНАУФ поддерживают совместный Active Directory). Если вы считаете, что Действия по обработке данных могут представлять собой совместный контроль, обратитесь в соответствующий отдел по обеспечению конфиденциальности (см. раздел 8). 5.2 Обмен данными с обработчиками Обработчики обрабатывают Персональные данные от имени и по указанию Контролера. Например, поставщики услуг (такие как Microsoft, Salesforce, SAP) выступают в роли обработчиков. Отправитель данных должен заключить соглашение об обработке данных (DPA) с обработчиком данных. Статья 28 GDPR содержит список положений, которые необходимо включить в DPA. Если вы намерены нанять обработчика, используйте шаблоны, предоставленные Knauf. Если Обработчик настаивает на использовании своих собственных шаблонов, обратитесь за помощью в свою компетентную службу конфиденциальности (см. раздел 8). 5.3 Передача данных в третьи страны Передача Персональных данных в страны за пределами ЕЭЗ (третьи страны) регулируется правилами, изложенными в главе V GDPR. Если Европейская комиссия приняла решение о соответствии определенной Третьей стране (Безопасная третья страна, актуальный список см. здесь), дополнительные требования не применяются. Однако, если такого решения об адекватности для страны-получателя (небезопасной третьей страны) не существует, экспортер данных должен заключить с импортером данных так называемые стандартные договорные условия. Стандартные договорные условия были приняты Европейской комиссией и не подлежат изменению (см. здесь). В некоторых случаях применяются дополнительные требования (например, если Персональные данные передаются в США). Пожалуйста, ознакомьтесь с Политикой управления конфиденциальностью данных для получения дополнительной информации. 6. НАРУШЕНИЕ ДАННЫХ Нарушение данных означает нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным. Типичными примерами утечек данных являются хакерские и фишинговые атаки, а также другие виды кражи данных. О нарушениях данных необходимо сообщать в течение 72 часов с момента их обнаружения в компетентный орган по защите данных пострадавшей компании Knauf. Если утечка данных может поставить под угрозу права затронутых Субъектов данных, они также должны быть уведомлены без неоправданной задержки. Из-за строгих обязательств по уведомлению важно, чтобы вы сообщали о любой утечке данных, о которой вам стало известно, немедленно в ИТ-отдел Knauf или в компетентный отдел по обеспечению конфиденциальности (см. раздел 8). Пожалуйста, ознакомьтесь с Планом реагирования на утечку данных и Политикой управления конфиденциальностью данных для получения более подробной информации. 7. ОЦЕНКА ДЕЯТЕЛЬНОСТИ ПО ОБРАБОТКЕ И ВЕДЕНИЕ ЗАПИСЕЙ Персонал Knauf обязан оценивать начинающуюся и текущую деятельность по обработке (в том числе в рамках проектов, бизнес-процессов и процедур) в рамках официальной оценки воздействия на конфиденциальность (PIA) и документировать их в записях об обработке данных компании Knauf (ROPA). 7.1 ROPA Каждая компания Knauf устанавливает и поддерживает актуальную ROPA с точными и подробными записями всех операций по обработке, осуществляемых данной конкретной компанией Knauf, в том числе - для каждой деятельности по обработке - детали • Контролер (например, компания Knauf); • категории обрабатываемых персональных данных и затрагиваемые субъекты данных; • Цели и обоснование деятельности по обработке; • ИТ-активы или другие технические средства, используемые для этой Деятельности по обработке данных (информация должна быть предоставлена Knauf IT или Knauf Digital); • Получатели Персональных данных (включая Совместных контролеров или обработчиков); • Передача данных в другие страны или организации, включая (договорные или иные) гарантии; • применимые периоды хранения; и • Описание TOM. ROPA должны документироваться и управляться на платформе конфиденциальности цифровых данных Knaufs (OneTrust). Функции конфиденциальности отвечают за просмотр и мониторинг ROPA компании Knauf. 7.2 Общие требования к оценке Общие и повторяющиеся действия по обработке (например, связанные с регулярными процессами управления персоналом или взаимодействием с клиентами в ходе обычной деятельности) уже будут проверены и задокументированы в ROPA. Однако, если новые проекты или бизнес-процессы реализуются впервые, владелец процесса несет ответственность за проверку того, какая обработка Персональных данных связана с этим, а также за то, охватывается ли такая обработка Действиями по обработке данных в ROPA компании. Если нет, необходимо инициировать многоэтапный процесс оценки PIA для оценки соблюдения законов о защите данных. Обратитесь за помощью в компетентную службу конфиденциальности (см. раздел 8). 7.3 Оценка воздействия на защиту данных Перед выполнением определенных видов Деятельности по обработке, которые могут привести к повышенному риску конфиденциальности интересов Субъектов данных (Действия с высоким риском), компании Knauf должны провести Оценку воздействия на защиту данных (DPIA). По сути, DPIA представляет собой хорошо задокументированную оценку конкретной Обрабатывающей деятельности, предназначенную для выявления рисков, возникающих в результате этой Обрабатывающей деятельности, и описания технических и организационных мер, необходимых для максимально возможного снижения этих рисков. DPIA проводится в случае: • Профилирование • Обработка больших объемов конфиденциальных данных • Обработка Персональных данных, раскрытие которых может иметь негативные последствия для Субъектов данных, например. данные личных сообщений; данные о заработной плате, данные о местонахождении в режиме реального времени (GPS), номера паспортов, информация о дисциплинарных взысканиях и т.д. Пожалуйста, ознакомьтесь с Политикой управления конфиденциальностью данных для получения более подробной информации. 8. УПРАВЛЕНИЕ КОНФИДЕНЦИАЛЬНОСТИ ДАННЫХ Knauf создала многоуровневую систему управления конфиденциальностью данных с выделенными функциями конфиденциальности, такими как ответственный за групповую защиту данных, локальные координаторы по конфиденциальности и Совет по конфиденциальности групповых данных. При возникновении сомнений относительно каких-либо инструкций, данных в настоящей Политике, сотрудники Knauf должны сначала обратиться к координатору по вопросам конфиденциальности, ответственному за их компанию, страну/регион или подразделение. Пожалуйста, ознакомьтесь с Политикой управления конфиденциальностью данных для получения более подробной информации. Принято и разрешено: Дата: 01.06.2023 подпись подпись подпись Александер Knauf Йорг Кампмайер Д-р Уве Кнотцер Стр. из 11 Download 373.5 Kb. Do'stlaringiz bilan baham: 
|