политика конфиденциальности

1.    Общие положения

1.1. Цель и сфера применения

Настоящая Политика защиты и безопасности персональных данных (далее именуемая «Политика защиты персональных данных» или «Политика») в первую очередь предназначена для установления политики KMG International и ее дочерних компаний («Компания») в отношении защиты персональных данных, которую Компания реализует в рамках своей деятельности в отношениях со своими сотрудниками, клиентами или другими субъектами данных.

Политика защиты персональных данных применяется в целях строго соблюдения работниками и / или сотрудниками / деловыми партнерами Компании всякий раз, когда они обрабатывают персональные данные во время и в ходе выполнения своих профессиональных обязанностей.

В своей повседневной деятельности Компания собирает, хранит и использует персональные данные. Персональные данные обрабатываются таким образом в законных целях, таких как, помимо прочего, выполнение индивидуальных трудовых договоров или гражданских или коммерческих контрактов, стороной которых является Компания, в маркетинговых, а также в других целях в соответствии с требованиями действующего законодательства.

В соответствии с правовыми условиями, налагаемыми Законом о защите данных и всем соответствующим последующим законодательством в отношении этого, Компания рассматривает защиту персональных данных своих работников, клиентов и / или сотрудников / партнеров по контрактам как имеющую важное значение.

В этой политике представлен обзор минимальных требований к защите персональных данных и она нацелена на указание более подробных инструкций. Эта процедура также представляет собой основу для принятия и осуществления необходимых технических и организационных мер для сохранения конфиденциальности и целостности персональных данных.


1.2.     Применимость 

Эта политика применяется и будет передана всем компаниям KMG International независимо от местоположения данных или типа устройства, на котором они хранятся. Как следствие нормы, предусмотренные в Политике, должны использоваться и применяться всеми сотрудниками, подрядчиками, консультантами, другими членами группы KMG International и третьими лицами, имеющими доступ к информации, находящейся на хранении или во владении KMGI и / или в компьютерных системамах, используемых для их хранения и обработки такой информации. 


2. Определения и сокращения

KMG International/  Компания - KMG International N.V. и ее дочерние компании 

KMG Rompetrol - KMG Rompetrol S.R.L. и все остальные компании, входящие в состав румынской группы. 

Данные KMG International, Данные Компании: Персональные данные, хранящиеся, обрабатываемые или собранные, записанные, структурированные, принятые на хранение, полученные, раскрытые  путем передачи, удаленные и другие данные KMG International, будь то первичные или вторичные, независимо от места их хранения.

Этот термин используется взаимозаменяемо с термином «информация» или «данные». Эти термины относятся, без ограничений, к любой информации об идентифицированном или неидентифицируемом лице (субъект данных), такой как фамилия, имя, домашний адрес, числовой персональный код (CNP), серия и номер удостоверения личности / паспорта, семейное положение, пол, данные о профессиональной карьере, данные о предпочтениях лица, поведении и т. д.

Контракт: Контракт между KMG International и поставщиком, согласно которому:

i)    Поставщик предоставляет услуги KMG International или клиентам KMG International и / или
ii)    Поставщик получает доступ к KMG International или к объектам клиентов KMG International, сети (сетям), средам и / или конфиденциальной информации.

Активы: Любые материальные или нематериальные активы, принадлежащие KMG International, за которые несет ответственность Поставщик. 

Доступность: Любая компьютерная система для выполнения ее целей должна обеспечивать доступность информации по мере необходимости. Таким образом, информационные системы, используемые для хранения и обработки информации, контроль безопасности, используемый для их защиты, и каналы связи, используемые для доступа к ним, должны работать правильно.

Деловые информационные системы: Компьютеризированная информационная система или бизнес-и финансовое приложение, обеспечивающее полную доставку информации. Эти данные являются неотъемлемой частью бизнеса, включая все компьютеризированные процессы и программное обеспечение, необходимые для удовлетворения требований бизнеса. Деловая информационная система включает в себя компьютеризированные процессы, управление данными, сохраненные данные, отчеты и другие форматы.

Менеджер по бизнес-контактам (BAM): Внутреннее ИТ-подразделение Группы, ответственное за обеспечение соответствия бизнес-систем Группы требованиям KMG International, а также за эффективную передачу (коммуникацию) системных стратегий и планов. Это подразделение сотрудничает с бизнес-функциями и специалистами ИТ-отдела для планирования, проектирования, тестирования, внедрения и обслуживания автоматизированных информационных систем.

Владелец деловой информационной системы (PSIB): Владелец деловой информационной системы (PSIB) также далее именуемый Владелец системы - это лицо, ответственное за общие закупки, разработку, интеграцию, модификацию, эксплуатацию, обслуживание и изъятие ИТ-системы. Владелец системы - это ключевое лицо, которое вносит вклад в разработку спецификаций проектирования системы, чтобы обеспечить безопасность и эксплуатационные требования пользователя, их проверку и реализацию.

Блок (БЕ) /UA: Подразделение, объект или отдел, принадлежащий Компании, организованный в качестве такового и зарегистрированный в Организационной структуре Компании (например, Маркетинг, RU, Бухгалтерия, Обеспечение соответствия, ИТ и т. д.). 

Данные / информация Компании: К ним относятся, помимо прочего, данные / информация, предоставленные Компанией, данные / информация, правами интеллектуальной собственности на которые Компания владеет, данные / информация, которые Компания удерживает в собственности или на хранении, сообщения, отправленные Компании или от Компании, независимо от среды, в которой они находятся: системы, привязанные к корпоративным данным Компании и/ или телефонные сети, системы, управляемые Компанией или третьими лицами от имени Компании, мобильные устройства, используемые для подключения к сетям Компании или на которых находятся данные Компании, облачные сервисы, управляемые третьими лицами от имени Компании.

Компьютер: Любой настольный компьютер или ноутбук, мобильное устройство (например, сотовый телефон, смартфон, планшет и т. д.), сервер и / или устройство хранения данных, которые:

i.    участвует в предоставлении услуг 
ii.    может использоваться для доступа к сети или среде, или
iii.    может получать доступ или хранить конфиденциальную информацию.

Конфиденциальная информация: Вся информация, независимо от формы, в которой она представлена (например, устно, на бумаге или в любой другой неосязаемой форме), включая, без ограничений, данные, личная информация, интеллектуальная собственность, пароли, информация о клиентах, партнерах и персонале Компании, информация о продуктах Компании, которая не была обнародована.

Конфиденциальность: В целях соблюдения требований Безопасности информации, она не должна предаваться гласности и / или передаваться неуполномоченным лицам, компаниям или становится доступной /передаваться или каким-либо иным способом участвовать в несанкционированных процессах. 

Среда: Любая компьютерная среда, включая, помимо прочего, приложение для разработки, тестирования, фазирования, производства и / или поддержки и компьютерная среда, к которой Поставщик имеет доступ в соответствии с контрактом или которая используется для предоставления услуг и содержит конфиденциальную или корпоративную информацию о бизнесе.

ISO/IEC 27001:2013: Спецификация Системы управления безопасностью
информации (SMSI). Организации, отвечающие стандарту, могут быть сертифицированы независимым аккредитованным органом по сертификации в случае успешного завершения официального аудита обеспечения соответствия.

Объекты: Любые офисы, центры обработки данных и другие места (принадлежащие или управляемые Компанией, деловым партнером Компании, Поставщиком или третьей стороной), из которых может быть получен доступ к конфиденциальной информации, средам или сетям Компании, или (b) любые активы Компании для управления или постоянного или непостоянного хранения. Ссылки в настоящем документе на:

i.    “Объекты KMG International” рассматриваются как включающие в себя объекты деловых партнеров KMG International, и  
ii.    “Объекты Поставщика” рассматриваются как включающие в себя объекты третьих сторон, используемые Поставщиком.

ИТ-отдел Группы: Информационная технология Группы предлагает широкий спектр технологических услуг и поддержки для подразделений KMGI и их сотрудников. IT-отдел Группы отвечает за предоставление надежной, гибкой и безопасной инфраструктуры KMGI и предоставление услуг в области информационных технологий в целях поддержки передового опыта в сфере бизнеса и профессиональных услуг.

Инцидент в связи с информационной безопасностью: Инцидент представляет собой явный или скрытый акт нарушения политики Компании в области информационной безопасности: 

•    Попытки (будь то неудачные, либо успешные) получить несанкционированный доступ к системе или ее данным;
•    Нежелательное прерывание или отказ службы
•    Несанкционированное использование системы для обработки или хранения данных;
•    Изменения характеристик оборудования, прошивки или системного программного обеспечения без ведома, инструкций или согласия владельца.

Инцидент в связи с безопасностью с воздействием на защиту данных: «Нарушение безопасности персональных данных» означает нарушение безопасности, которое случайным или незаконным образом ведет к несанкционированному уничтожению, утрате, изменению или раскрытию переданных, сохраненных или иным образом обработанных персональных данных или несанкционированному доступу к ним. Обнаружение такого положения дел на самом деле является обнаружением «инцидента в связи с безопасностью с воздействием на защиту данных».

Целостность: В сфере безопасности информации целостность данных означает поддержание и обеспечение точности и сложности данных на протяжении всего жизненного цикла (данные не могут быть изменены неавторизованным или скрытым способом)

Персонал: Все сотрудники, подрядчики, субподрядчики и агенты Компании, имеющие доступ к объектам, сетям, средам или к конфиденциальной или внутренней информации.

Продукт: Готовый продукт, аппаратный или программный компонент или собранный продукт, изготовленный или поставляемый KMG International.

Услуги: Работы, указанные в договоре, контракте или плане действий, заключенными между Компанией и третьим лицом.  

Поставщик: Компания (включая ее персонал), которая:

i.    Предоставляет услуги в соответствии с контрактом и / или
ii.    Имеет доступ к объектам, сетям, средам и/или конфиденциальной и/или внутренней информации в отношении бизнеса

Администратор /Системный менеджер: Группа, которая управляет повседневными техническими операциями бизнес-системы: управление базой данных, распространение и обновление программного обеспечения, контроль версий, резервное копирование и восстановление, защита от вирусов, а также производительность и планирование емкости. ИТ-отдел в рамках Группы предоставляет эту услугу для KMG Rompetrol.

Пользователь: Лицо (например, сотрудник любого подразделения KMG Rompetrol), которое взаимодействует с компьютером на уровне приложения. Программисты, системные администраторы / менеджеры и другие технические сотрудники не считаются пользователями, если они работают в компьютерной системе в своем профессиональном качестве. Пользователи системы должны использовать приложение в порядке и для целей бизнеса, для которого оно было разработано, и соблюдать все требования по контролю и безопасности.

Персональные данные: означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу. Идентифицируемым является лицо, которое может быть идентифицировано, прямо или косвенно, в частности, путем ссылки на идентификационный номер или на один или несколько факторов, характерных для его или ее физической, физиологической, психологической, экономической, культурной или социальной идентификации. 

Идентифицированный: обычно обозначает идентифицированного по имени, но идентификация не ограничивается фамилией и именем лица, в понимании персональных данных, включая все элементы, характерные для личности субъекта данных, согласно установленному выше.

Идентифицируемый: означает, что человек может быть идентифицирован путем анализа уже имеющихся элементов или данных или из других источников. 
Субъект данных: означает лицо, чьи персональные данные обрабатываются Компанией (например, работники, клиенты, сотрудники или деловые партнеры - физические лица). 

Обработка персональных данных: означает любую операцию или набор операций, выполняемых в отношении персональных данных, автоматическими неавтоматическими средствами, такие как сбор, запись, организация, хранение, адаптация или изменение, извлечение, консультирование, использование, раскрытие третьим лицам путем передачи, распространения или любым другим способом, соединение или объединение, блокирование, удаление или уничтожение.  

Система учета персональных данных: любая организованная структура персональных данных, доступная в соответствии с определенными критериями, независимо от того, организована ли эта структура централизованным или децентрализованным способом или распределена по функциональным или географическим критериям.

Жалоба: означает жалобу, в соответствии с которой субъект данных осуществляет свои права на защиту персональных данных в соответствии с действующим законодательством. 

Псевдонимизированные данные: означает обработку персональных данных таким образом, чтобы они больше не могли быть отнесены к определенному субъекту данных без использования дополнительной информации при условии, что такая дополнительная информация хранится отдельно и подлежит техническим и организационным мерам, обеспечивающим невозможность отнесения соответствующих персональных данных идентифицированному или идентифицируемому физическому лицу

Анонимные данные: информация, которая в силу своего происхождения или конкретной формы обработки, не могут быть связаны с идентифицированным или идентифицируемым лицом. Анонимные данные не являются персональными данными.

Оператор данных: означает физическое или юридическое лицо, будь то частное или государственное, в том числе государственные органы, их учреждения и территориальные подразделения, которые устанавливают цель и средства обработки персональных данных.В этом случае Компания, KMG International N.V. и любая из ее дочерних компаний является оператором персональных данных в отношении данных, которые она обрабатывает в своей коммерческой деятельности.

Уполномоченное лицо / Уполномоченный: представляет собой физическое или юридическое лицо, будь то частное или государственное, которое обрабатывает персональные данные от имени и по поручению Компании. Может быть поставщиком KMG International N.V. или его дочерних компаний, получающим доступ к данным субъектов данных, таким как поставщик услуг тренинга, рекламное агентство или другая компания, обрабатывающая персональные данные от имени Компании.

Адресат: Это может быть государственный орган, агентство или другой орган, которому раскрываются персональные данные, независимо от того, является ли такой орган или агентство третьей стороной.


3. Цели Компании 

Согласно настоящей Политике Компания преследует следующие цели:

-    Обеспечить, чтобы обработка персональных данных осуществлялась в соответствии с законными целями, для которых такие данные были собраны;
-    Обеспечить надлежащую защиту всех персональных данных от атак / угроз так, чтобы обеспечить безопасность персональных данных;
-    Создать кампанию по информированию о требованиях к защите персональных данных так, чтобы интегрировать их в повседневную работу сотрудников, обеспечив, чтобы все сотрудники были проинформированы о процедурах, которые они должны соблюдать с целью сбора, законной обработки, раскрытия, передачи, хранения, архивирования и уничтожения персональных данных;
-    Обеспечить, чтобы все сотрудники Компании понимали важность практики защиты персональных данных и свои обязанности по обеспечению безопасности персональных данных, принимая во внимание договорные, законодательные и нормативные последствия, которые инциденты могут спровоцировать, и что, в свою очередь, может повлиять на персональные данные, соответственно, нарушения безопасности персональных данных; 
-    Убедитесь, что все пользователи, сотрудники и деловые партнеры, которые собирают, хранят и обрабатывают персональные данные от имени и по поручению Компании, выполняли и применяли соответствующие меры предосторожности для защиты персональных данных. персональные данные не будут разглашаться никаким местным неуполномоченным лицам или третьим лицам в любой форме, будь то случайно, либо иным образом.

Ссылки на другие соответствующие документы, применимые к KMG International, представлены в конце этой политики. Этот список не является исчерпывающим, и все соответствующие документы можно найти на веб-странице KMG International в разделе, предназначенном для этой цели.

Любое нарушение или несоблюдение настоящей Политики или доступных Инструкций Компании, в частности любое преднамеренное раскрытие персональных данных неуполномоченному лицу или третьей стороне, может привести к дисциплинарному взысканию или другим соответствующим мерам. 

Компания будет продолжать проводить периодические аудиты в целях обеспечения соблюдения настоящей Политики и применимого законодательства и обеспечения своевременной актуализации всех инструкций и поддержки приложений. 

О любом доступе или несанкционированном раскрытии персональных данных или о других случаях, связанных с нарушением безопасности данных, необходимо информировать Юридический отдел Компании, Отдел по обеспечению соответствия или Отдел информационной безопасности. 

Отдел информационной безопасности Компании совместно с Представителями отдела по обеспечению соответствия должны обеспечить информирование сотрудников Компании  об их обязательствах в соответствии с настоящей Политикой и применимым законодательством, при этом функции и рекомендации по оперативной поддержке должны быть направлены всем сотрудникам.


4. Применимое законодательство 

-  Регламент № 679 от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном обращении таких данных и об отмене Директивы 95/46 / EC (Общий регламент ЕС о защите данных / RGPD)

- Директива 2002/58 / EC Европейского парламента и Совета от 12.07.2002 в отношении обработки персональных данных и защиты частной жизни в секторе электронных коммуникаций,

-Конвенция о защите прав человека и основных свобод, принятая в Риме 4 ноября 1950 года

- Конвенция о защите частных лиц в отношении автоматической обработки персональных данных, принятая в Страсбурге 28 января 1981 года, ратифицированная Законом № 682/2001

- Инструкции европейского органа по защите персональных данных в отношении видеонаблюдения, опубликованные 17 марта 2010 г. 

Положения, содержащиеся в этих актах, применяются как в Румынии, так и в Болгарии

- Закон 677/2001 о защите физических лиц в отношении обработки персональных данных и о свободном обращении таких данных 
-Закон № 506/2004 об обработке персональных данных и защите частной жизни в секторе электронных коммуникаций
- Орден Народного Защитника №. 52/2002 относительно утверждения Минимальных требований к безопасности обработки персональных данных  

Эти положения устанавливают рамки прав и обязанностей, предназначенные для защиты персональных данных, и применяются исключительно к Румынии. 

Для других компаний KMGI в странах, не входящих в ЕС, местное законодательство будет иметь преимущественную силу, и действующая Политика будет действовать в качестве базовой. С учетом всего вышеуказанного, в отношении обработки персональных данных резидентов ЕС, компании KMGI, не входящие в ЕС, будут соблюдать эту политику и Общий регламент о защите данных, чтобы избежать нарушений законодательства, применимого к компаниям KMGI в ЕС, соответственно, для обеспечения защиты данных субъектов данных.


5.  Персональные данные 

В рамки деятельности Компании включены различные виды информации в отношении: идентификационных данных физических лиц, деловой информации и информации о разработке услуг / продуктов, маркетинговых и бизнес-планов, информации о клиентах, человеческих ресурсов, консультаций, партнерств, контрактов, слияний и поглощений.

Учитывая разнообразие конфиденциальных данных в обращении Компании, важно, чтобы сотрудники понимали категорию/категории обрабатываемых ими персональных данных так, чтобы они могли определить, какие правила защиты применяются к соответствующим данным, а также применимый метод управления рисками. 

Настоящая политика определяет персональные данные, обрабатываемые Компанией в рамках и во время своей коммерческой деятельности, путем применения к этой категории конфиденциальной информации.

a)    Персональные данные включают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу, например, но не ограничиваясь:

-    Имя, фамилия;
-    Идентификационные данные родителей и членов семьи (супруг/супруга, дети, лиц, находящиеся на попечении субъекта данных);
-    Адрес (местожительства);
-    Данные из документов, удостоверяющих личность, свидетельства о рождении, свидетельства о браке, водительские права, паспорт, вид на жительство, копии указанных документов и т. д.;
-    Гражданство;
-    Образование, род занятий, CV (резюме), копии дипломов, копии квалификационных свидетельств;
-    Персональные данные о финансовом положении (например, данные о доходах, ежемесячных расходах, имуществе, принадлежащем субъекту данных, договора аренды, льготы, заработная плата, бонусы, повышение показателей производительности);
-    Адрес электронной почты, номер телефона;
-     Учетные записи пользователей для приложений Компании;
-    Банковские данные (счет заработной платы);
-     Данные об услугах и продуктах, приобретенных или подлежащих приобретению (например, данные о расчетном потреблении, ежемесячные затраты на топливо, тип используемого топлива, станция, на которой клиенты Оператора собираются получить карточку и т. д.);
-    Данные геолокации (например, станция, на которой они заправляются, путь от дома до работы и наоборот,  время в пути на работу и обратно);
-    Данные о месте работы, включая имя/название и идентификационные данные работодателя, служебный номер телефона, служебную электронную почту, должность, отдел, имя руководителя, отметка сотрудника, дату работы / дату ухода из компании, уровень должности);
-    Данные о статусе сотрудника (номер и дата индивидуального трудового договора, должность, рабочее место, отметка, дата начала нынешней службы);
-    Номер пенсионного дела и т.д.

Персональная информация включает информацию, которую можно найти в любой форме, будь то алфавитная, цифровая, графическая, фотографическая или акустическая, а также которая может быть найдена в физической (в бумажном виде) или в электронной форме (память компьютера) или даже в виде видео - и аудиозаписей. 

b)    Специальные категории персональных данных

«Специальные категории персональных данных» связаны с расовым или этническим происхождением, политическими, религиозными, философскими или сходными убеждениями, членством в профсоюзах, персональными данными о здоровье или сексуальной жизни и данные, связанные с совершением уголовных преступлений, мерами обеспечения безопасности или административными или преступными санкциями. 

В то же время биометрические данные, то есть отпечатки пальцев, структура лица, голос или даже некоторые поведенческие характеристики (например, почерк, походка или манера разговора и т. д.), считаются персональными данными, включенными в специальные категории персональных данных, охватываемых соответствующим национальным и европейским законодательством.

Специальные категории персональных данных включают, но не ограничиваются следующими:
-    Числовой персональный код (CNP)
-    Номер и серия удостоверений личности или паспорта
-    Данные, касающиеся политической принадлежности и взглядов субъектов данных,
-    Данные о членстве в ассоциациях и мнениях, выраженных в рамках их деятельности
-    Данные о судимостях
-    Генетические и биометрические данные 
-    Данные о медицинском учете и любые данные о состоянии здоровья работников, сотрудников и т. д.


6. Основные операции по обработке персональных данных, осуществляемые в рамках деятельности Компании и цели обработки

6.1.Основные операции / наборы операций по обработке могут состоять из следующего:

-    сбор или регистрация и организация персональных данных
-    сбор и, соответственно, хранение персональных данных на любом носителе
-    их адаптация или модификации или использование
-    извлечение персональных данных
-    просмотр персональных данных
-    раскрытие третьим лицам путем передачи, распространения или иным образом
-    объединение персональных данных
-    блокирование, удаление или уничтожение персональных данных.

6.2. Цель обработки персональных данных

Персональные данные клиентов / потенциальных клиентов / юридических представителей клиентов / потенциальных клиентов могут собираться и использоваться в ходе конкретных мероприятий и проектов, таких как следующие:

-     проведение анализа кредитоспособности и оценки кредитного риска для конкретных продуктов, предлагаемых компанией (например, Fill and Go credit), соответственно для взыскания дебиторской задолженности, подлежащей выплате Компании
-     защита законного интереса компаний Группы «KMG International», конкретизированная в проведении познавательного анализа делового партнера (KYC), с целью реализации коммерческих отношений в строгом соответствии с применимыми законоположениями, а также с целью обеспечения безопасных договорных условий, предотвращения конфликта интересов и защиты деловой репутации компаний из состава «KMG International»
-    заключение и исполнение контрактов, включая на предоставление услуг, доставку продукции, выставление счетов на оплату услуг и приобретенных продуктов
-    выполнение правового обязательства, например, выдача счетов на оплату или налоговых квитанций и платежных поручений
-    осуществление маркетинговой деятельности путем рассылки информационных бюллетеней или других коммерческих сообщений по электронной почте, sms или по почте
-    создание профиля клиента для получения персонализированных предложений
-    организация внутренних и внешних мероприятий
-    обработка, осуществляемая внешними агентствами / партнерами Компании, такими как рекламные агентства
-    заключение договоров с физическими лицами, которые заполняют формы с целью зарегистрироваться в программах лояльности, принятие заполненных формы и предоставление клиентам поддержки в процессе регистрации
-    управление клиентами - физическими лицами, использующими карты Fill&Go 
-    перечисление стоимости топлива / других продуктов / услуг, приобретенных клиентами на АЗС;
-    проверка доступного кредитного лимита / предоставление скидок / баллов / других льгот, в зависимости от обстоятельств;
-     создание учетных записей для доступа к системам Компании

Компания может собирать и использовать персональные данные сотрудников в целях осуществления конкретных видов деятельности и проектов, таких как следующие:

-    реализация процесса набора персонала;
-    заключение и выполнение индивидуального трудового договора, выплаты заработной платы и льгот, реализация настоящей политики на рабочем месте, проведение программ профессиональной подготовки, управление оборудованием, необходимым для выполнения рабочих задач, совершение служебных командировок, планирование и проведение оплачиваемых или других отпусков
-    выполнение юридического обязательства, например, прохождение медицинского осмотра до начала работы и проведение регулярных проверок для обеспечения охраны здоровья и безопасности на рабочем месте, заполнение карт о состоянии здоровья и безопасности на рабочем месте, программы обучения и профессиональной подготовки, заполнение регистра изменений, удержание и перечисление налогов, выплата пособий, предусмотренных действующим законодательством
-    реализация законных интересов оператора данных, в случае видеонаблюдения для обеспечения защиты товаров и лиц, в целях предотвращения потери данных для обеспечения безопасности информационных систем, 
-    проведение специализированных исследований, таких как анализ заработной платы, развитие и улучшение рабочих отношений, разработка информационных систем обработки данных, включая расчет заработной платы, менеджмент оплачиваемых отпусков
-    предоставление отчетности Компании или другим компетентным органам и т.д.
-    анализ опыта и профессиональной подготовки с целью разработки программ профессионального развития на основе профессиональных технических тестов
-    предоставление выходных в религиозные праздничные дни
-    осуществление или выплата пособий детям или другим членам семьи сотрудников 
-    возмещение любых убытков, возникших в результате трудовых отношений или любого зарегистрированного Компанией ущерба, передача персональных данных компетентным органам, включая, но не ограничиваясь, органы, компетентные в области трудового права, социальной защиты, суды, органы уголовного преследования, компании или организации, специализирующиеся на взыскании задолженностей;
-    в статистических целях.


7. Использование персональных данных

Независимо от категории персональных данных, они должны использоваться только в тех целях, для которых они были собраны, и за период, который служит либо цели, для которой данные были получены от субъектов данных (будь то клиенты, не клиенты, работники или сотрудники, партнеры Компании) и, соответственно, на срок, требуемый для выполнения правового обязательства или законных интересов Компании.

Например, когда обработка персональных данных выполняется на основе явного и конкретного согласия клиента, например, когда клиент соглашается на обработку персональных данных Компанией в маркетинговых целях, цели, для которых данные будут обрабатываться, будут описаны в согласии, выраженном субъектом данных.

В том же порядке обеспечения законности обработки персональных данных Компанией в случае отзыва согласия субъекта данных в отношении обработки его данных в маркетинговых целях или для другой законной цели, для которой требуется предварительное согласие субъекта данных, Компания обеспечивает удаление персональных данных в соответствии с применимым законодательством.


8. Ответственный за защиту персональных данных

Компания назначает ответственного за защиту данных («Ответственный за защиту данных»), который будет соответствующим образом и своевременно участвовать во всех аспектах защиты персональных данных.

Ответственный за защиту данных должен выполнять по меньшей мере следующие задачи: 

(a)    информирование и консультирование Компании, а также сотрудников, занимающихся обработкой, в отношении  их обязательств по защите персональных данных

(b)    мониторинг соблюдения положений закона о защите данных и политики Компании в области защиты персональных данных и предоставление консультаций и рекомендаций Компании и ее внутренним отделам для обеспечения соблюдения обязательств в области защиты данных (например, предоставление юридических консультаций для своевременного удовлетворения запросов субъектов данных, поданных для осуществления их прав в соответствии со статьями 15-22 RGPD, предоставление консультаций по инцидентам в области безопасности, обеспечивая необходимую поддержку для уведомления надзорного органа и соответствующих субъектов данных)

(c)    оказание поддержки в разработке внутренней политики и процедур, необходимых для внутреннего регулирования операций по обработке персональных данных

(d)    предоставление консультаций по запросу в отношении оценки воздействия на защиту данных и мониторинг ее функционирования (дает рекомендации в отношении операций по обработке персональных данных, подлежащих оценке воздействия, в отношении обязательства Компании провести этот анализ, используемой методологии, наличия необходимых ресурсов, мер безопасности, технических и организационных мер, которые должны применяться в целях снижения рисков для прав и свобод соответствующего лица; выражение точки зрения о правильности оценки воздействия и о выводах с предоставлением заключения с положительными или отрицательными выводами в отношении операции по обработке)

(e)    является контактным лицом оператора в области защиты персональных данных, упоминаемым в уведомлении субъектам данных о том, что выполняется, в соответствии со ст. 13 и 14 RGPD

(f)    является контактным лицом оператора в отношениях с ANSPDCP в случае проверок, проведенных ANSPDCP, а также в случаях предварительного консультирования в соответствии со ст. 36 RGPD

(g)    сотрудничество с надзорным органом

(h)    выполнение обязанностей контактного лица для надзорного органа в отношении вопросов обработки

(i)    участие в программах профессиональной подготовки в области знаний законодательства и практики в области защиты данных

Компания публикует контактные данные сотрудника по защите данных и передает их в надзорный орган.


9. Принципы защиты персональных данных 

Во многих случаях сбор персональных данных и последующая обработка данных Компанией осуществляется на основе явного и однозначного согласия субъекта данных. Всякий раз, когда необходимо получить согласие субъекта данных, Компания обеспечивает полное, предварительное и точное информирование  субъекта данных таким образом, чтобы его или ее согласие отвечало условиям свободного, конкретного, информированного и однозначного выражения воли. Таким образом, субъекты данных, а именно клиенты / потенциальные клиенты / законные представители клиентов / потенциальных клиентов / сотрудников / партнеров по контракту, имеют возможность допустить обработку своих персональных данных посредством прямого согласия или недвусмысленных действий, таких как отметка галочкой окошка, напротив которого значится соответствующая обработка.

Существуют также ситуации, когда согласие не служит правовой основой для обработки, а именно:

-    когда обработка необходима для выполнения контракта, стороной которого является субъект данных, или в целях принятия мер по его просьбе до заключения договора
-    когда обработка необходима для выполнения юридического обязательства Компании
-    когда обработка необходима для защиты жизненно важных интересов субъекта данных или другого лица
-    где обработка необходима для выполнения задачи в общественных интересах, или которая возникает в результате осуществления полномочий государственного органа, предоставленных оператору
-    когда обработка необходима для достижения законных интересов Компании или третьей стороны, которой были раскрыты данные, при условии, что такая заинтересованность не наносит ущерба интересам или основным правам и свободам субъекта данных.


Обработка специальных категорий персональных данных запрещается во всех случаях, за исключением следующих:

-    когда субъект данных прямо дал свое согласие на такую обработку;
-    когда обработка необходима для выполнения обязательств и осуществления конкретных прав Компании или субъекта данных в области занятости и социального обеспечения и социальной защиты;
-    когда обработка необходима для защиты жизни, физической неприкосновенности или здоровья, а также жизненно важных интересов субъекта данных или другого лица, если субъект данных физически или юридически неспособен дать свое согласие;
-    когда обработка относится к данным, разглашенным субъектом данных;
-    если обработка необходима для создания, осуществления или защиты права на справедливое судебное разбирательство;
-    если обработка необходима для профилактической медицины, профессиональной медицины, оценки работоспособности работника, установления медицинского диагноза, оказания медицинской или социальной помощи или назначения медицинского лечения, в соответствии с законодательством Союза или национальным законодательством или по договору с организацией здравоохранения, действующей в интересах субъекта данных, при условии, что такая обработка осуществляется либо под надзором медицинского учреждения, руководствующегося законом о профессиональной тайне, либо под надзором другого лица, несущего эквивалентные обязательства по сохранению профессиональной тайны;
-    когда обработка необходима для архивирования в общественных интересах, для целей научных или исторических исследований или для статистических целей. 

работники/ сотрудники Компании обязаны проверять соответствие персональных данных вышеуказанным специальным категориям и применять правила, предусмотренные законодательством о защите персональных данных. 

Всякий раз, когда Компания вводит новую услугу, продукт или процесс, который включает обработку персональных данных, от Ответственного по защите данных запрашивается заключение о защите персональных данных. 

Таким образом, сотрудники Компании, а также лица, уполномоченные ею, обязаны соблюдать правовые принципы обработки персональных данных, предусмотренные законодательством о защите данных, согласно установленному ниже.


a)    Принцип законности обработки персональных данных

Он устанавливает следующие обязательства Компании, ее сотрудников и ее работников:

-    Персональные данные будут обрабатываться правильным образом и в соответствии с законом
-    Персональные данные будут обрабатываться только в том случае, если субъект данных явно и недвусмысленно согласился на эту обработку или в случае применимости одного из вышеуказанных исключений
-    Персональные данные будут получены только для одной или нескольких конкретных целей и не будут обрабатываться таким образом, который не соответствует этим целям. 

Обработка для целей, определенных позже допускается только в случаях, когда данные относятся к категории, для которой не требуется согласие, при условии предварительного уведомления субъектов данных.


b)    Принцип прозрачности обработки персональных данных

Субъекта данных следует заранее проинформировать о его персональных данных, подлежащих обработке, цели обработки и ее правовой основе, а также сообщить идентификационные данные оператора и его уполномоченных лиц, законные интересы, преследуемые оператором посредством обработки персональных данных, если это необходимо получатели или категории получателей данных, намерение Компании передать персональные данные третьей стране или международной организации, если предоставление запрашиваемых данных является обязательным и последствия отказа в предоставлении, период, за который персональные данные будут собраны или, если это невозможно, критерии, используемые для определения этого периода, существование автоматизированного процесса принятия решений, включая профилирование и, по крайней мере, в соответствующих случаях, информация об используемой логике, масштабы и последствия такой обработки для субъекта данных, права субъекта данных, предусмотрены законодательством о защите данных (перечислены ниже в разделе 10) и условия, согласно которым такие права могут быть реализованы, а также соответственно, о любой другой информации, относящейся к так называемой цели обработки.

Согласно принципу прозрачности субъекты данных - клиенты / потенциальные клиенты / сотрудники / партнеры - будут проинформированы на понятном языке, и получат правом доступа к информации об операциях по обработке их персональных данных. 

Уведомление, адресованное субъектам данных, будет включать пункты контракта с указанием адресов по которым можно направлять заявки, в частности:

 Запросы клиентов / потенциальных клиентов / законных представителей клиентов / потенциальных клиентов / деловых партнеров, сотрудников, физических лиц могут быть представлены в штаб-квартиру Компании по почте, в электронном формате, по адресу dataprotection@rompetrol.com. 

Всякий раз, когда субъект данных, чьи данные обрабатываются, запрашивает информацию об обработке своих данных, отдел, получающий такой запрос, запрашивает мнение Оператора по защите данных. 

Компания обязана ответить на вышеуказанные запросы в течение 30 дней с момента получения в соответствии с положениями законодательства о защите данных.

Жалоба / запрос субъекта данных будут рассматриваться в соответствии со специальной процедурой обработки запросов, полученных от субъектов данных


c)    Принцип пропорциональности обработки персональных данных

Компания обоснованно обрабатывает персональные данные, ограничиваясь тем, что необходимо в отношении законных целей, для достижения которых данные обрабатываются.

Перед обработкой персональных данных Компания, через свои соответствующие отделы (например,Отдел маркетинга), исходя из заключения ответственного за защиту данных,  определяет, нужно ли и если да, то в какой следует провести обработку персональных данных для достижения цели, для которой они были собраны. 


d)    Принцип удаления данных по истечении срока давности

Что касается периода архивирования персональных данных, то они будут храниться в системах Компании для выполнения законных целей, преследуемых путем обработки, в течение периода, необходимого для обработки или периода, предусмотренного применимым законодательством для каждой категории персональных данных в отдельности. Срок хранения в соответствии с положениями ст. 5 лит. (e) RGPD, устанавливается для каждой операции, указанной в Реестре записей операций по обработке персональных данных, с учетом обязательных правовых положений (например, Закон № 16/1996 о национальных архивах, Закон №. 82/1991 о бухгалтерском учете).

Например, в отношении захвата видеоизображений субъектов данных за счет видеонаблюдения за помещениями Оператора, данные, полученные через систему видеонаблюдения, будут храниться в течение периода, пропорционального цели, для которой данные обрабатываются, но который не могут превышает 30 дней, после чего такие данные будут уничтожены путем удаления. В порядке исключения, в случае ситуаций, явно разрешенных законом или в надлежащим образом обоснованных случаях (например, наличии инцидента в связи с безопасностью), указанная выше продолжительность может быть продлена в зависимости от продолжительности, требуемой законом, по рекомендации Ответственного за защиту данных. 

Компания имеет право вести учет согласия клиентов / потенциальных клиентов / сотрудников / деловых партнеров, если обработка их персональных данных осуществляется на основании их согласия.

Персональные данные не будут храниться дольше, чем это необходимо или требуется для обработки персональных данных. Срок хранения данных может быть продлен только по рекомендации Ответственного за защиту данных.

После достижения законных целей обработки и хранения, и после истечения законного периода для архивирования данных / документов, содержащих персональные данные, если субъект данных не дал свое согласие на будущую обработку и не применяется ни одно из исключений, предусмотренных законодательством о защите данных, необходимо выполнить следующие действия:

-    удалить персональные данные из систем учета/ИТ- приложений или 
-    преобразовать в анонимные данные персональные данные из систем учета/ИТ- приложений или
-    существующие данные в виде бумажных документов следует уничтожить с помощью измельчителей специально для документов, классифицированных как конфиденциальные документы / документы ограниченного пользования.


e)    Принцип точности обработки персональных данных

Персональные данные будут точными и обновляться при необходимости. Компания должна принять меры, необходимые для обеспечения того, чтобы неточные персональные данные были  стерты илинезамедлительно исправлены в соответствии с законной целью обработки.


f)    Принцип конфиденциальности персональных данных и принцип необходимости знания данных („need to know”) 

Компания принимает необходимые технические и организационные меры для обеспечения надлежащей безопасности персональных данных, чтобы предотвратить несанкционированный доступ, несанкционированную обработку, несанкционированное раскрытие информации, включая потерю, уничтожение или случайный ущерб. Подробная информация о минимальных требованиях безопасности также упоминается в следующих разделах.

Доступ сотрудников / деловых партнеров Компании к персональным данным, обрабатываемым Компанией или хранящимся в компьютерных системах Компании, предоставляется только на основании критерия «необходимости знать». Должен существовать документированный процесс авторизации и утверждения в целях предоставления, сохранения и удаления доступа к персональной информации. Таким образом, для предоставления прав доступа работнику, ИТ-отдел направляет в Отдел кадров запрос о найме нового работника, на основании должностных обязанностей работника. Доступ будет предоставляться на основании утверждения непосредственным начальником работника.

В случае существующего работника, его / ее запрос на доступ к ИТ-системам / приложениям будет направляться непосредственному высшему начальству на основании установленного в должностных обязанностях такого работника, а доступ будет предоставлен ИТ-отделом.
Соответственно применяются положения политики управления ИТ-доступом.


g)    Принцип ответственности при обработке персональных данных

Компания обеспечивает соблюдение правовых принципов защиты персональных данных как для обработки данных, осуществляемой напрямую, так и для обработки, выполненной уполномоченными лицами, обеспечивая включение договорных положений, предусмотренных законодательством о защите данных в договорах, заключенных со своими подрядчиками.

Все технические и организационные меры будут применяться для предотвращения несанкционированного доступа, неавторизованной и несанкционированной обработки персональных данных, несанкционированного разглашения и случайного уничтожения, изменения или потери персональных данных.
 
Персональные данные могут передаваться  в страну или территорию за пределами Европейской экономической зоны («EEA») в соответствии с законодательством о защите данных, в случае  получения предварительного согласия субъектов данных, либо попадание обработки персональных данных под действие любого из исключений, предусмотренных действующим законодательством. В случае такой обработки передача данных в принципе возможна при условии, что страна назначения гарантирует надлежащий уровень защиты прав и свобод лиц, данные которых передаются.

Аналогичная обработка будет одобрена Ответственным за защиту данных


10. Права субъектов данных в отношении обработки

Компания обрабатывает персональные данные физических лиц, таких как работники, клиенты / потенциальные клиенты, юридические представители клиентов / потенциальных клиентов, сотрудники, подрядчики, третьи стороны, деловые партнеры и другие лица (субъекты данных).

Права субъектов данных включают следующие:

a)    Право на уведомление об обработке персональных данных, целях и ее правовой основе, периоде обработки, операторе, уполномоченном лице, законных интересах, преследуемых оператором путем обработки персональных данных, если это применимо, если предоставление персональных данных является юридическим или договорным обязательством или обязательством по заключению договора, если субъект данных обязан предоставлять персональные данные и возможные последствия несоблюдения этого обязательства, с указанием периода, в течение которого будут храниться персональные данные, или , если это невозможно, критериев, используемых для определения этого периода.
b)    Право знать получателей или категории получателей данных
c)    Право быть информированным о существовании автоматизированного процесса принятия решений, включая создание профилей и, по крайней мере, в соответствующих случаях, информацию об используемой логике, значимости и ожидаемых последствиях такой обработки для субъекта данных.

Субъект данных должен иметь право не заниматься профилированием (любая форма автоматической обработки данных путем оценки личных аспектов физического лица, в частности, для анализа или прогнозирования определенных аспектов работы человека, экономической ситуации, здоровья, предпочтений или личных интересов, надежности или поведения, местоположения или перемещений), когда оно создает юридические последствия, затрагивающие субъект данных, или аналогичным образом затрагивает его в значительной степени.

В исключительных случаях профилирование разрешено в случае прямого согласия Союза или если это разрешено внутренним правом.
 
- если это необходимо для заключения или исполнения договора между субъектом данных и Компанией;
- если субъект данных явно дал свое согласие.

 В любом случае профилирование является предметом соответствующих гарантий (специальное уведомление субъекта данных и его / ее право на вмешательство человека, право выразить свою точку зрения, получить объяснение в отношении решения, принятого после такой оценки, а также право оспорить решение). 
Профилирование не должно относиться к ребенку.

Если компания намеревается применить профилирование, она должна внедрить соответствующие технические и организационные меры для обеспечения, в частности, того, чтобы факторы, приводящие к неточностям персональных данных, были скорректированы и чтобы свести к минимуму риск ошибок, чтобы обеспечить безопасность персональных данных  таким образом, который позволит учитывать потенциальную опасность для интересов и прав субъекта данных, и позволит провести оценку воздействия.
d)    Право на доступ к своим персональным данным
e)    Право на вмешательство по мере необходимости в персональные данные, то есть право на исправление, корректировку,, удаление, уничтожение или ограничение обработки персональных данных по их простому запросу
f)    Право возражения относительно обработки своих данных 
g)    Право на портативность данных (для получения персональных данных, которые они рассматривают и которые они предоставили оператору в структурированном формате, который в настоящее время используется и читается автоматически, и для передачи этих данных другому оператору) в случае если обработка основывается на согласии лица или на договоре, а обработка осуществляется автоматическими средствами. Передача персональных данных в этом случае должна быть обеспечена и защищена путем внедрения технических мер, направленных на обеспечение надлежащей и безопасной передачи, а также на конфиденциальность и целостность данных. Осуществление права портативности не влияет на другие права субъекта данных (например, право доступа)

       В тех случаях, когда это технически осуществимо, субъект данных имеет право передавать свои персональные данные непосредственно от Компании другому Оператору персональных данных.

       Осуществление права на портативность субъектом данных не подразумевает обязательство Компании удалять персональные данные субъекта данных, даже если, например, субъект данных больше не является клиентом Компании. В этом случае период хранения данных устанавливается с учетом других особых правовых оснований. 

h)    Право подать жалобу в ANSPDCP, если будет сочтено, что обработка персональных данных Компанией непосредственно или через своих уполномоченных лиц нарушает положения румынского и европейского законодательства;
i)    Право использования средств правовой защиты против Компании,если будет сочтено, что права, которыми он пользуется, были нарушены в результате обработки его персональных данных;
j)    Право на получение от Компании, по письменному запросу, датированному и подписанному, в течение 30 дней с даты запроса, запрашиваемой информации о своих персональных данных, обрабатываемых Компанией, а также одновременно получить резолюцию Компании в отношении запросов, по которым осуществлялись другие законные права, упомянутые выше. 
k)    Право отозвать в любое время согласие в случае, когда обработка персональных данных производится на основании согласия субъекта данных или в случае существования правового положения в этом отношении. Компания гарантирует, что в такой ситуации отзыв согласия может быть достигнут так же легко, как он был получен, или аналогично методам, которые применялись для получения согласия субъекта данных. 

Компания внедряет соответствующие стандарты для обеспечения соблюдения вышеупомянутых прав.

Сотрудники и работники Компании должны приложить все усилия, чтобы не собирать и обрабатывать персональные данные, если это строго необходимо для одобренной законной цели. 

Субъекты данных могут осуществлять эти права, отправив запрос согласно соответствующему разделу настоящей Политики (раздел 9 лит. b), при этом запросы будут рассматриваться  с уведомлением Сотрудника по защите данных в соответствии с Политикой по осуществлению прав субъектов данных 


11. Технические и организационные меры, осуществляемые Компанией для обеспечения защиты данных  с момента понимания и в опосредованной форме (проектируемая конфиденциальность и конфиденциальность по умолчанию)

Компания обязуется защищать персональные данные субъектов данных, которые были обработаны в результате взаимодействий таких лиц, а также любых других физических лиц.

Принимая во внимание характер, сферу применения, контекст и цели обработки, а также права и свободы субъектов данных, Компания реализует соответствующие технические и организационные меры «для гарантии и возможности продемонстрировать, что обработка персональных данных осуществляется в соответствии с действующим законодательством, как национальным, так и европейским. Эти меры периодически пересматриваются Ответственным за защиту данных, ИТ-отделом, отделом судебной экспертизы, внутреннего контроля и безопасности, Отделом обеспечения соответствия и владельцем деловой информационной системы, и обновляются в соответствии с применимыми правовыми требованиями.

В зависимости от того, какое влияние такая операция по обработке данных может оказать, Компания принимает конкретные меры по защите данных и безопасности, при этом работники / сотрудники Компании в ходе своей профессиональной деятельности должны обеспечить эффективность применения требований безопасности. Эти меры защиты будут периодически пересматриваться лицами, которые имеют соответствующие полномочия  (например, Информационная безопасность), а их эффективность будет  контролироваться и проверяться. 

Таким образом, с учетом характера, объема, контекста и целей обработки, когда тип обработки, особенно тот, который основан на использовании новых технологий, скорее всего, будет порождать высокий риск для прав и свобод субъектов данных, сотрудники Компании которые несут ответственность за обработку персональных данных в соответствии со своими характеристиками, перед обработкой проведут оценку воздействия операций по обработке, предусмотренных  для защиты персональных данных. Одна оценка может включать ряд аналогичных операций по обработке, которые представляют собой аналогичные высокие риски. В этих ситуациях желательно запросить точку зрения у Ответственного за защиту данных.

Сотрудники Компании будут обеспечивать выполнение рекомендаций, полученных от Ответственного за защиту данных, в рамках операций обработки данных, которые он выполняет от имени Компании.

В то же время будет учтено, что для операций обработки данных, подразумевающих высокий рисков в отношении прав и основных свобод субъектов данных, Компания, через руководителем процесса, будет определять эти риски и оценивать их путем проведения анализа воздействия на защиту персональных данных для оценки, в частности, происхождения, характера, специфичности и тяжести этого риска (в соответствии со статьей 35 RGPD). После консультаций с Ответственным за защиту данных результаты оценки будут рассмотрены руководителем процесса при определении соответствующих мер, которые необходимо предпринять, чтобы продемонстрировать, что обработка персональных данных соответствует положениям закона.

В случае ситуаций , в которых даже после реализации технических и организационных мер остаточный риск остается высоким, Компания проконсультируется с ANSPDCP заранее.
 Для выполнения этих обязательств отдел/ отделы, вовлеченные или затронутые обработкой, назначат лицо, ответственное за проведение анализа воздействия на защиту данных, и обеспечит, чтобы такое лицо прошло инструктаж по процессу реализации таких анализов, согласно внутренним правилам, а также применимому законодательству.

В рамках технических и организационных мер сотрудники Компании, отвечающие за защиту и безопасность персональных данных и ИТ-оборудования, всегда будут рассматривать возможность наложения надлежащего контроля на защиту персональных данных, включая, помимо прочего, безопасный и контролируемый доступ сотрудников к персональным данным, то есть к базам данных, системам или приложениям компании.

Кроме того, все разработки и обновления для систем и оборудования, участвующих в обработке персональных данных, будут выполняться в соответствии с принципами защиты данных по по проектированию и защиты данных по умолчанию, то есть соблюдение права на защиту данных с момента проектирования и по умолчанию, как это определено в статье 25 RGPD.  

a.    Аспекты авторизации доступа к данным

Персональные данные должны храниться в безопасной среде, и доступ должен быть ограничен работниками и сотрудниками, которые имеют права доступа к системам и приложениям Компании.

Только персоналу, которому необходим доступ к персональным данным для выполнения своих должностных обязанностей, будет разрешено иметь доступ к базам данных, системам и приложениям компании (принцип служебной необходимости).
   
Сотрудники и работники Компании, которым был предоставлен доступ к базам данных или системам и ИТ-приложениям, или которые имеют доступ к ним, будут регулярно участвовать в учебных программах по защите и безопасности персональных данных ,
Соответственно применяются положения политики управления деловыми информационными системами и политики управления доступом к ИТ

b.    Аутентификация уполномоченного персонала в базах персональных данных

Доступ к системам и приложениям, содержащим / хранящим персональные данные, может предоставляться только после того, как уполномоченное лицо будет идентифицировано и аутентифицировано на основе имени пользователя и пароля. Если пароль был введен неправильно или отсутствует авторизации доступа, следует отказаться от доступа к системам персональных данных.

Работники / сотрудники Компании обязаны не раскрывать имя пользователя и пароль любому другому лицу. В случае подозрений того, что другой человек узнал пароль для доступа к системам учета, необходимо немедленно и без промедления изменить его. В такой ситуации сотрудник должен информировать и консультироваться Ответственного за защиту данных.

Пароли для идентификации в системах и приложениях Компании должны периодически изменяться пользователем, как только он получит уведомление об истечении срока действия пароля.

c.    Обновление списка авторизованных пользователей

Список сотрудников, уполномоченных на доступ к базам данных, должен периодически обновляться ...... необходимо обеспечивать, чтобы этот список был сведен к минимуму, в соответствии с принципом служебной необходимости.

Права доступа работников/ сотрудников, покидающих Компанию или переведенных в другой отдел в Компании,  к ИТ-документам / ИТ-приложениям, будут отозваны если они больше не нужны для выполнения их служебных заданий.

d.    Передача персональных данных

Личные данные будут передаваться только в условиях безопасности. Любая передача персональных данных  за пределы Компании, которая не подпадает под процедуры, одобренные Ответственным за защиту данных, будет выполняться только с предварительным уведомлением такого Ответственного. 
Компания будет внедрять меры по обеспечению безопасности данных для передачи персональных данных, включая через приложения и технические решения, чтобы предотвратить потерю данных и для соблюдения Компанией обязательства по сохранению целостности и конфиденциальности данных в соответствии с GDPR.

e.    Безопасное хранение персональных данных
Персональные данные будут храниться в защищенных средах, которые включают в себя как логическую безопасность (аутентификацию, аутентификацию, шифрование и пароль доступа), так и физическую (ограниченный доступ к серверу и хранилищу данных). Аналогичное внимание также уделяется физической безопасности зданий, в которых Компания осуществляет деятельность, а также документам на бумаге, содержащим персональные данные.

f.            Создание резервных копий

Резервные копии создаются ежедневно на диске, и хранятся в течение 21 дня.  Восстановление баз данных / приложений, содержащих персональные данные, осуществляется в присутствии Ответственного за защиту данных (принцип 4 глаз) и оформляется документом.

Доступ к резервным копиям - это контролируемый процесс, подлежащий внутреннему аудиту.  

g.    Уполномоченные лица

В случае обработки персональных данных, осуществляемых Компанией через лиц, уполномоченных по смыслу ст. 4 (8) РГПД, Компания обеспечит, чтобы они также применяли соответствующие технические и организационные меры для обеспечения адекватного уровня безопасности данных, в том числе в заключенных с ними договорах, положения о минимальных требованиях к безопасности данных, относительно технических и организационных  мер.

Эти меры могут включать, но не ограничиваются следующими:
a) Меры по минимизации количества персональных данных путем фильтрации и устранения, уменьшения чувствительности к преобразованию, сокращения накопления данных, ограничения доступа, уменьшения способности идентифицировать характер данных в соответствии с инструкциями Компании.
b) Меры отслеживания - Политика отслеживания и ведения журналов, с их сохранением в течение всех операций обработки данных, но не менее 2 лет. 
c) Меры относительно отношений уполномоченных Работников с субподрядчиками - наличие политики и процессов для снижения рисков несанкционированного доступа к данным.
d) Меры по удалению, анонимизации и / или возврату персональных данных уполномоченным лицом после обработки, были завершены от имени оператора, за исключением случаев, когда существует законное требование хранить личные персональные данные и после завершения обработки.


12. Безопасность обработки. Случаи защиты и безопасности данных 

Компания будет внедрять технические и организационные меры, относящиеся к ее бизнесу, в том числе, по мере необходимости, следующие:
-    способность обеспечить конфиденциальность, целостность, доступность и постоянную устойчивость ИТ-систем и ИТ-приложений, содержащих или хранящих персональные данные; 
-    возможность своевременного восстановления и доступа к персональным данным в случае возникновения происшествия физического или технического характера; 
-    псевдонимизация, шифрование и анонимизация персональных данных;
-    процесс тестирования, оценки и периодической оценки эффективности технических и организационных мер для обеспечения безопасности обработки персональных данных.
-     доступ к ИТ-системам / приложениям Компании только авторизованным пользователям, у которых есть учетная запись с действующим паролем.

Инциденты, связанные с ИТ-системами, которые влияют на персональные данные клиентов Компании или других лиц, считаются инцидентами высокого риска.

 В случае инцидента в связи с безопасностью персональных данных также принимаются во внимание положения Политики информационной безопасности, принятой Компанией (включая соответствующие приложения).  

Последствия инцидентов в связи с безопасностью персональных данных для субъекта данных (клиента / субъекта / сотрудника) могут состоять из: физического, материального и морального вреда, дискриминации, кражи или мошенничества, подрыва репутации, потери конфиденциальности персональных данных, защищенных служебной тайной, или другие существенные экономические и социальные недостатки, включая, но не ограничиваясь, лишение прав или неспособность осуществлять контроль над своими персональными данными.

Примеры инцидентов, связанных с безопасностью персональных данных: 

-     кража или потеря ноутбука или внешней памяти, содержащей персональные данные клиентов; 
-     персональные данные клиентов, которые использовали услугу регистрации через мобильное приложение/ веб-сайтов, получают доступ за счет использования уязвимости приложения;
- электронное письмо с конфиденциальной информацией, отправленное получателю, отличному от предполагаемого получателя, и т. д.
-     несанкционированный доступ во внутреннюю сеть Общества;
-     передача персональных данных на личные адреса электронной почты.


В случае, если инцидент, связанный с ИТ-безопасностью, затрагивает персональные данные, ИТ-отдел или сотрудник Компании, который принял к сведению такой инцидент, немедленно сообщают Ответственному по защите данных для анализа неотложных мер, которые должны быть приняты Компанией, уведомление ANSPDCP об инциденте в течение 72 часов с даты, когда сотрудник Компании узнал об этом и / или извещение субъектов данных в случае высокого риска для их основных прав и свобод.

Уведомление, отправленное Ответственному за защиту данных в случае такого инцидента: 

-     описание характера нарушения безопасности персональных данных, в том числе, где это возможно, категории и приблизительные данные соответствующего субъекта данных, а также категории и приблизительное количество записей соответствующих персональных данных;
  -   сообщение имени и контактных данных Ответственного за защиту данных или другого контактного лица, от которого можно получить дополнительную информацию;
   -  описание вероятных последствий нарушения безопасности персональных данных
    - описание мер, принятых или предлагаемых к принятию Компанией для решения проблемы безопасности нарушения персональных данных, в том числе, когда это необходимо, меры по смягчению ее потенциальных неблагоприятных последствий.

Кроме того, любой другой тип инцидента, который может повлиять на персональные данные, обрабатываемые Компанией, будет доведен до сведения Ответственного по защите данных для анализа в соответствии с законодательством о защите персональных данных. 

В случае инцидента, связанного с безопасностью, который может создать высокий риск для прав и свобод физических лиц, Компания должна уведомить пострадавшего об инциденте без неоправданной задержки. 


13. Инструктаж по  защите и безопасности персональных данных

Работники проходят инструктаж, проводимый Отделом обеспечения соответствия, Ответственным за защиту данных, Отделом информационной безопасности посредством учебных программ - тренингов в области защиты персональных данных и обеспечения безопасности внутренним / внешним специализированным персоналом, периодически и в случае необходимости. 
Сотрудникам запрещается обрабатывать, раскрывать, передавать третьим лицам, предоставлять несанкционированный доступ к персональным данным или их несанкционированное использование для целей, отличных от установленных законом в отношении выполнения служебных обязанностей.

 
14. Особые аспекты CCTV (систем скрытого видеонаблюдения) и контроля доступа 

Системы контроля доступа используются Компанией для обеспечения безопасности, управления ИТ-системами и офисными зданиями и обеспечения общественной безопасности. Система видеонаблюдения Компании будет использоваться в соответствии с Кодексом поведения компании и его положениями в отношении видеонаблюдения.

Запросы полиции в соответствии с исключениями, установленными в применимом законодательстве для информации системы видеонаблюдения и систем контроля доступа Компании, будут обрабатываться Департаментом внутреннего контроля, расследования и безопасности Группы и скрепляться подписью представителя Юридического департамента Группы.

Департамент внутреннего контроля, расследования и безопасности Группы будут рассматривать запросы от любых других лиц или организаций в отношении информации системы видеонаблюдения и систем контроля доступа.

15. Отдел обеспечения соответствия, дисциплинарные процедуры 

Утрата или нарушение конфиденциальности персональных данных является серьезным нарушением и может привести к судебным искам против KMG International. Поэтому все пользователи персональных данных в компьютерных системах Компании должны соблюдать настоящую Политику и документы, представленные в приложении к ней, а также Политику информационной безопасности Группы.

Все сотрудники, подрядчики, консультанты Компании должны быть проинформированы о существовании этой Политики и вспомогательных политик, кодексов практики и руководящих принципов. 

Любое нарушение этой политики будет рассматриваться в соответствии со всеми соответствующими политиками Компании, включая стандарт в отношении условий использования информационных ресурсов  KMG International, а также в соответствии с применимыми дисциплинарными процедурами отдела кадров.

Любое лицо, которому известно или которое подозревает нарушение данной политики, должно соотбить об этом факте Ответственному за защиту данных и/или по адресу dataprotection@rompetrol.com.


16. Заключительные положения 

Список связанных внутренних регламентов  

-    KMGI - Стандарт по классификации информации 
-    Стандарт об условиях использования информационных ресурсов KMGI
-    KMGI – Политика информационной безопасности
-    Политика управления деловыми информационными системами
-    Политика управления ИТ-доступом