ПОЛИТИКА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

ВВЕДЕНИЕ

Данная Политика защиты представляет собой единый юридический документ, регулирующий любое использование персональных данных компанией, включая все информационные системы и процедуры, связанные с их обработкой.

Тон и содержание документа юридически точны, но при этом ясны, чтобы исключить трудности понимания или применения. Он свободен от специализированной технической терминологии и ссылок, способных усложнить применение или зависеть от технологических решений. Помимо регулярных обзоров, политика безопасности может быть изменена, если произойдут существенные изменения хотя бы в одной из следующих областей: а) организационная структура контролирующего лица, б) информационные системы, в) требования безопасности, г) технологические изменения, д) вид и/или обработка персональных данных. Содержание может также быть изменено по результатам внутреннего или внешнего аудита, выявляющего недостаточные или неэффективные меры безопасности, либо вследствие инцидента нарушения безопасности.

Несмотря на ясность стиля и содержания, политика является обобщаемой в том смысле, что её применение к будущим системам, которые могут быть интегрированы в информационную систему компании, возможно без значительных изменений за короткие сроки.

Наконец, политика безопасности носит публичный характер и является обязательной для всего персонала, обрабатывающего персональные данные, а также соответствует действующему законодательству.

ЦЕЛЬ

Цель данного документа — определить обязанности и политику компании в отношении защиты частной жизни субъектов данных и установить надлежащие меры для предотвращения утечки персональных данных.

Руководство компании обязуется выполнять требования Регламента ЕС по защите данных (GDPR) и рассматривает защиту персональных данных как приоритет. В конечном счёте документ направлен на обеспечение безопасной среды обработки и формирование корпоративной культуры и осведомлённости по безопасному использованию персональных данных, при этом предоставляется каждый необходимый ресурс.

ОБЛАСТЬ ПРИМЕНЕНИЯ

Политика охватывает обработку персональных данных в физической и цифровой форме, собранных любыми средствами компанией в целях защиты её законных интересов.

ОТВЕТСТВЕННОСТИ

Ответственность за соблюдение данной политики лежит на руководстве компании и тех, кто осуществляет обработку данных под надзором Уполномоченного по защите данных.

ПРИНЦИПЫ ОБРАБОТКИ

Компания обеспечивает соответствие фундаментальным принципам GDPR как при текущей обработке, так и при внедрении новых методов или систем.

Эти принципы включают:

  • Законность, справедливость и прозрачность

  • Ограниченность целей

  • Минимизация данных

  • Точность

  • Ограничение хранения

  • Целостность и конфиденциальность

  • Ответственность

ПРАВА СУБЪЕКТОВ ДАННЫХ

Права субъектов данных поддерживаются соответствующими процедурами, позволяющими предпринять нужные действия в сроки, установленные GDPR.

К таким правам относятся:

  • Право на информирование

  • Право доступа

  • Право исправления

  • Право на удаление («право быть забытым»)

  • Право ограничить обработку

  • Право на переносимость данных

  • Право возражения

  • Право возражения в случае профилирования

Обращения можно направлять в ресепшен отеля или на e‑mail gkantaras@uth.gr. Если вы считаете, что обработка ваших данных нарушает законодательство, можно обратиться в Греческий орган защиты данных (почтовый адрес: Kifisias 1‑3, Athens 115 23, тел. 210‑6475600, email contact@dpa.gr).

ЗАКОННОСТЬ ОБРАБОТКИ

Первостепенная обязанность компании — определить надлежащую правовую основу для каждой обработки (особых категорий или обычных данных) и документировать её с указанием соответствующих статей (6 и 9) GDPR. Правовая основа и остальные характеристики обработки фиксируются в Реестре деятельности контролера и процессора.

ЗАЩИТА ЧАСТНОСТИ ПРИ ПРОЕКТИРОВАНИИ

Компания придерживается принципа privacy by design — планирование и проектирование любых новых или существенно изменённых систем обработки данных проходят необходимую проверку конфиденциальности.

Если обработка может привести к высокому риску для прав и свобод лиц, проводится Оценка воздействия на защиту данных (DPIA).

Где целесообразно, используются методы минимизации данных, псевдонимизации, анонимизации и шифрования.

ПОЛИТИКА COOKIE

8.1 Что такое cookies?

Cookies — это небольшие текстовые файлы, сохраняемые в браузере пользователя при посещении сайта. Они могут содержать информацию о посещённых страницах, дате и времени визита, а также уникальный идентификатор пользователя. Это позволяет сайту сохранять полезную информацию о навигации для улучшения пользовательского опыта.

8.2 Какие cookies используются на нашем сайте?

Мы используем cookies для управления сессиями авторизации, обеспечения персонализированных страниц и адаптации рекламного или иного контента под ваши нужды и интересы. Cookies также могут собирать анонимные агрегированные статистические данные, помогающие улучшить структуру и содержание сайта. Личность пользователя не устанавливается. Вы можете изменить настройки браузера и отклонить часть или все cookies, кроме строго необходимых. При отказе от cookies доступность некоторых функций может быть ограничена. Названия используемых cookies: ASP.NET_SessionId и __RequestVerificationToken (сессионные cookies, создаваемые во время визита).

8.3 Как управлять cookies

Вы можете в любой момент отозвать своё согласие или возразить против использования cookies на своем устройстве, проверить или удалить cookies.

8.5 Где найти дополнительную информацию

Информация о защите личных данных и правах, связанных с cookies, содержится в нашей Политике конфиденциальности. Общие сведения о cookies и способах их блокировки доступны на cookiepedia.co.uk/all-about-cookies и allaboutcookies.org.

8.7 Изменения в Политике cookies

Настоящая политика может быть изменена в любое время. Она вступила в силу 23 июня 2020 года. В случае изменений будет указана дата их принятия. Всегда действует последняя версия.

8.8 Как отключить cookies

Чтобы включить или отключить использование cookies, обратитесь к настройкам браузера и руководствам на официальных сайтах (Internet Explorer, Firefox, Chrome, Opera, Safari и др.).

ДОГОВОРЫ, ВКЛЮЧАЮЩИЕ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания обеспечивает, чтобы вся обработка данных клиентов, сотрудников или внешних партнёров регулировалась документацией, содержащей обязательную информацию и условия согласно GDPR и действующему законодательству.

Все сотрудники подписывают Кодекс этики и конфиденциальности, обязывающий их к законному обращению с данными. Процессоры данных подписывают дополнительное соглашение согласно статье 28 GDPR, включающее параметры обработки, срок, цель, документацию, процедуры авторизации, доказательства соответствия и обязательства по уведомлению о нарушениях.

Права доступа сотрудников или третьих лиц аннулируются или пересматриваются при окончании контракта или переводе.

ПЕРЕДАЧА ДАННЫХ ЗА ПРЕДЕЛЫ СТРАН ЕС

Передача персональных данных за пределы ЕС тщательно проверяется на соответствие GDPR и законодательству, с учётом решений Европейской Комиссии об адекватности, которые могут изменяться.

Передачи данных внутри ЕС регулируются юридически обязательными корпоративными правилами, обеспечивающими права субъектов данных.

УПОЛНОМОЧЕННЫЙ ПО ЗАЩИТЕ ДАННЫХ

На 2020 год уполномоченным является г‑н Яннис Гантaрас (тел.: 6995663325; email: gkantaras@uth.gr).

ПЕРИОДИЧЕСКИЕ ВНУТРИШНИЕ АУДИТЫ

Периодические аудиты отслеживают соблюдение политики и эффективность мер безопасности. Также проводятся оценки воздействия на безопасность данных для определения рисков, и принимаются соответствующие организационные меры.

УВЕДОМЛЕНИЕ О НАРУШЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания уведомляет контролирующий орган о серьёзных утечках данных в течение 72 часов после уведомления, если не может доказать, что утечка не создаёт риска для прав физических лиц в соответствии с принципом ответственности. Полная процедура изложена в Плане безопасности, восстановления и аварийного восстановления данных.

МЕРЫ СООТВЕТСТВИЯ GDPR

Регулярно пересматриваются следующие меры:

  • Чёткая правовая основа обработки, документированная в Реестре деятельности;

  • Персонал и внешние партнёры, работающие с данными, обязаны соблюдать Кодекс этики и договор конфиденциальности;

  • Регулярное обучение персонала по защите данных;

  • Соблюдение правил получения согласия на обработку специальных категорий данных;

  • Возможность подачи субъектами данных запросов на реализацию их прав, все запросы обрабатываются эффективно;

  • Регулярный пересмотр процедур работы с данными;

  • Принцип «privacy by design» для всех новых или изменяемых систем и процессов;

  • Документирование всех действий по обработке, получателям, трансграничным передачам, планам хранения, техническим и организационным мерам;

  • Регулярные оценки воздействия на безопасность данных для минимизации риска;

  • Принятие всех разумных мер защиты конфиденциальности, соблюдения законодательства и прав субъектов данных.

ДИСЦИПЛИНАРНЫЕ МЕРЫ

Лица, нарушившие данную политику, подлежат дисциплинарным мерам вплоть до увольнения.

Отмечено, что O.S.L. ведёт и исполняет отдельные политики обработки данных для каждой категории субъектов и случаев специальной обработки, с соответствующими уведомлениями. Если вы не получили такую политику или желаете более подробную информацию, отправьте запрос на gkantaras@uth.gr, указав имя, статус, контактные данные и точный запрос.