Estonia Latvia Lithuania Poland Netherlands Kazakhstan Uzbekistan Germany Georgia Corporate

Политика приватности

Наше обязательство

CF&S ESTONIA AS (CE или Компания) стремится обеспечить безопасность и защиту личной информации, которую мы обрабатываем, и предоставить соответствующий требованиям и последовательный подход к защите данных. У нас всегда существовала надежная и эффективная программа защиты данных, соответствующая действующему законодательству и придерживающаяся принципов защиты данных. При этом мы осознаем свои обязательства по обновлению и расширению этой программы в соответствии с требованиями регламента GDPR.

CE обеспечивает сохранность личной информации, находящейся в рамках нашей компетенции, и занимается разработкой режима защиты данных, являющегося эффективным, соответствующим целям и демонстрирующим понимание нового Регламента. Наша подготовка и цели по обеспечению соответствия регламенту GDPR кратко изложены в настоящем заявлении и включают в себя разработку и внедрение новых должностей, политики, процедур, проверок и мер по защите данных для обеспечения максимального и постоянного соответствия требованиям.Система управления качеством CE была одобрена компанией Lloyd’s Quality Assurance Limited и соответствует стандарту обеспечения качества ISO 9001: 2015, который также включает в себя множество мер для безопасного и систематизированного управления данными и их обработки.

Наша подготовленность к требованиям GDPR

CE уже имеет стабильный уровень защиты и безопасности данных в нашей организации, наша цель – полностью соответствовать требованиям GDPR:

  • Информационный аудит – проведение общекорпоративного информационного аудита для выявления и оценки того, какая личная информация у нас хранится, откуда она поступает, каким образом и с какой целью она обрабатывается и кому она раскрывается.
  • Политика и процедуры – политика и процедуры защиты данных для соответствия требованиям и стандартам GDPR, а также любым другим соответствующим законам о защите данных, в частности:
    • защита данных – наш основной документ о политике и процедуре по защите данных был усовершенствован для соответствия стандартам и требованиям GDPR. Установлены меры подотчетности и управления, которые гарантируют, что мы понимаем, надлежащим образом распространяем и фактически подтверждаем свои обязанности; с особым вниманием к встроенному алгоритму конфиденциальности и правам частных лиц;
    • хранение и удаление данных – мы обновили нашу политику и график хранения данных, чтобы обеспечить соблюдение принципов «минимизации данных» и «ограничения по хранению», а также чтобы хранение, архивация и уничтожение личной информации соответствовали требованиям и этическим нормам. У нас существуют специальные процедуры удаления данных для соблюдения нового обязательства «Право на удаление», и мы знаем, когда применяются эти и другие права субъектов данных наряду с любыми исключениями, сроками предоставления ответа и обязанностями по уведомлению;
    • утечка данных – наши процедуры защиты от утечки данных обеспечивают наличие необходимых мер, чтобы как можно раньше выявлять, оценивать, расследовать любую утечку личных данных и сообщать о ней. Наши процедуры надежны и доведены до сведения всех работников, чтобы они знали о порядке подчиненности и действиях, которым необходимо следовать;
    • международная передача данных и их раскрытие третьим сторонам – в странах за пределами ЕС, в которых CE хранит или в которые передает личную информацию, у нас есть надежные процедуры и меры безопасности для защиты, шифрования и поддержания целостности этих данных. Наши процедуры включают в себя постоянные проверки стран с принятием решений о достаточности мер, а также положения для юридически обязывающих корпоративных правил; стандартные условия о защите данных или утвержденные кодексы этических норм для тех стран, в которых они отсутствуют. Мы проводим строгие комплексные проверки всех получателей личных данных, чтобы оценить и убедиться в наличии соответствующих мер безопасности для защиты информации, обеспечения исполнения прав субъектов данных и наличия эффективных средств правовой защиты для субъектов данных, где это применимо.
  • Правовая основа для обработки – мы проверяем все действия по обработке данных, чтобы определить правовую основу для обработки и убедиться, что каждая основа подходит для той деятельности, к которой она относится. Там, где это применимо, также ведутся записи о нашей деятельности по обработке, гарантируя выполнение наших обязательств в соответствии со статьей 30 регламента GDPR.
  • Уведомление о порядке использования личной информации – наше уведомление о порядке использования личной информации соответствует GDPR и обеспечивает, чтобы все частные лица, чью личную информацию мы обрабатываем, были проинформированы о том, зачем она нам нужна, как она используется, каковы права этих лиц, кому раскрывается эта информация и какие приняты меры для защиты информации.
  • Прямой маркетинг – формулировка и процессы прямого маркетинга, в частности, четкие механизмы регистрации на маркетинговые подписки, четкое уведомление и способ отказа от регистрации и возможность аннулирования подписки во всех последующих маркетинговых материалах.
  • Оценка воздействия на защиту данных (DPIA) – когда мы обрабатываем личную информацию, которая считается высоким риском, включает в себя крупномасштабную обработку или включает данные особой категории / данные о судимости; мы разработали строгие процедуры и шаблоны оценки для проведения оценок воздействия, которые полностью соответствуют требованиям статьи 35 регламента GDPR. Были внедрены процессы документации, которые фиксируют каждую оценку, позволяют оценивать риск, связанный с обработкой, и принимать смягчающие меры по снижению риска для субъекта(ов) данных.
  • Соглашения с обработчиком – когда мы пользуемся услугами какой-либо третьей стороны для обработки личной информации от нашего имени (например, расчет заработной платы, наем персонала, хостинг и т. д.), то составляем соответствующие соглашения с обработчиком, обеспечивая, чтобы и он, и мы соблюдали и понимали свои обязательства, вытекающие из GDPR. Эти меры включают в себя первоначальные и текущие проверки предоставляемых услуг, необходимость действий по обработке, принятие технических и организационных мер и соответствие требованиям GDPR.

Права субъекта данных

Помимо указанных выше политики и процедур, обеспечивающих, чтобы частные лица могли применять свои права на защиту данных, мы готовы предоставить информацию о праве лица на доступ к любой личной информации, которую CE обрабатывает в отношении них, и запросить информацию о:

    • том, какие личные данные о них мы храним;
    • целях обработки;
    • категориях соответствующих личных данных;
    • получателях, которым были/будут раскрыты личные данные;
    • том, как долго мы собираемся хранить личные данные;
    • источнике данных, если мы получили данные не напрямую от них;
    • праве на исправление или дополнение неполных или неточных данных о них, а также процессе запроса этого исправления или дополнения;
    • праве запросить удаление личных данных (если применимо) или ограничивать их обработку в соответствии с законами о защите данных, а также возражать против какого-либо прямого маркетинга с нашей стороны и получать информацию о любом автоматизированном принятии решений, которое мы используем;
    • праве подать жалобу или искать средства судебной защиты, а также о том, к кому обращаться в таких случаях.

Информационная безопасность и технические и организационные меры CE очень серьезно относится к конфиденциальности и безопасности частных лиц и их личной информации и принимает все разумные меры и меры предосторожности для защиты и сохранности тех личных данных, которые мы обрабатываем. У нас существуют надежные политики и процедуры информационной безопасности для защиты личной информации от несанкционированного доступа, внесения изменений, раскрытия или уничтожения, а также несколько уровней мер безопасности.

Должности и работники по вопросам GDPR

CE не обязательно назначать работника по защите данных. Когда мы чувствуем, что нужна подобная поддержка, то заказываем соответствующие консалтинговые услуги у сторонних экспертов.

В ином случае ответственность за повышение информированности о GDPR в организации, оценку нашей подготовленности к требованиям GDPR, выявление любых пробелов и внедрение новых политик, процедур и мер несет правление.

CE понимает, что постоянная информированность и понимание работников крайне важны для непрерывного соблюдения требований GDPR.

При возникновении каких-либо вопросов о нашей подготовленности к требованиям GDPR пожалуйста, отправьте нам электронное письмо на адрес cfs@cfs.ee с пометкой «GDPR» или «ЗАЩИТА ДАННЫХ».

Ценовой Запрос