• Rokycanova 240/27, +420 777 451 488

  • Žukovského 854/3, +420 725 293 821

РУКОВОДСТВО 3/A/2018. О обработке персональных данных („GDPR”)

GDPR (Общий регламент по защите данных) — Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директива 95/46/EC (Общее положение о защите данных) (далее «GDPR» или «Указ»). С 25 мая 2018 года рассматриваемый Регламент становится прямо применимым правовым актом на территории всех государств-членов Европейского Союза (с применением к остальным государствам-членам ЕС), эффективно заменяя существующий Закон № 101/2000, о защите персональных данных, который продолжит регулировать некоторые вопросы, оставленные на усмотрение государств-членов ЕС, в качестве закона об адаптации. Законодательство GDPR не представляет собой фундаментальную революцию в области защиты персональных данных (далее именуемой «ПД»), а реагирует на фактические изменения, особенно на технологические разработки и связанные с ними новые угрозы. Однако необходимо учитывать, что к администраторам и обработчикам добавлено несколько новых обязанностей, а новое законодательство также вносит некоторые другие изменения. К наиболее важным новостям относятся:

1. передача обязанности продемонстрировать соответствие Регламенту GDPR администратору — надзорные органы больше не должны активно выявлять конкретные нарушения обязательств субъекта в ходе проверки, но сам субъект должен предоставить доказательства, подтверждающие правильность его процедур;

2. новый институт сертификации GDPR — один из способов подтверждения

гармония

с Регламентом GDPR по смыслу предыдущего пункта; сертификаты будут выдаваться аккредитованными органами сроком действия не более 3 лет;

3. оставление согласия субъекта данных на обработку субъекта данных в качестве основного правового титула и ужесточение условий для получения согласия — когда обработка субъекта данных может быть основана на другом правовом титуле (например, выполнение договора, заключенного с субъект данных, выполнение юридических обязательств, этот заголовок имеет приоритет, и получение согласия субъекта данных нежелательно;

4. отказ от обязательства по уведомлению (уведомление об обработке ПД) в Управление по защите персональных данных (ÚOOÚ) — в принципе оно заменяется новым обязательством вести учет деятельности по обработке в значении статьи 30 GDPR, которое влияет на указанную группу контроллеров и процессоров;

5. введение обязанности назначать уполномоченных по защите персональных данных — затрагивает определенные группы контролеров и обработчиков; см. статью 37 и след. GDPR;

6. новое обязательство сообщать и сообщать об инцидентах, связанных с безопасностью, и новое обязательство проводить оценку воздействия и предварительные консультации с Органом контроля;

7. поправка к Регламенту GDPR защищает только персональные данные живых физических лиц и не распространяется на данные юридических лиц. Регламент GDPR также не распространяется на персональные данные умерших лиц, но следует иметь в виду, что персональные данные умерших лиц, охраняемые другим законодательством (например, медицинские записи), требуют защиты.

В соответствии со статьей 13с Закона № 133/2000, о регистрации населения и номеров рождения, номера рождения могут использоваться только в том случае, если это является деятельностью министерств и других административных органов, если это предусмотрено специальным законом, или с согласия владельца номера рождения или его законного представителя. При использовании чисел рождения число рождения также означает любую комбинацию цифр, выражающую день, месяц, год рождения и трехзначное или четырехзначное окончание числа рождения, по которой можно идентифицировать физическое лицо.

Основные положения

Эта директива регулирует соответствующие процедуры и обязанности сотрудников, агентов, а также других лиц, находящихся в договорных отношениях с Expat Insurance s.r.o.

    (далее именуемый «EI» или «Компания») при обработке персональных данных. EI может выступать как контролером, так и обработчиком при обработке персональных данных.

1. Определение основных понятий GDPR

        1.1 Персональные данные

«Персональные данные» — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (далее — «субъект данных»); идентифицируемое физическое лицо — это физическое лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на определенный идентификатор, такой как имя, идентификационный номер, данные о местоположении, сетевой идентификатор или один или несколько конкретных физических, физиологических, генетических, психических , экономическая, культурная или социальная идентичность этого физического лица;

        1.2 Специальные категории персональных данных

Особая категория персональных данных включает персональные данные, которые указывают на расовое или этническое происхождение, политические взгляды, религию или философские убеждения или членство в профсоюзах, а также обработку генетических данных, биометрических данных с целью однозначной идентификации физического лица и данных о здоровье или половой жизни. y жизнь или сексуальная ориентация физического лица.

        1.3 Обработка персональных данных

Обработка – любая операция или совокупность операций с персональными данными или файлами. персональные данные, обработка которых осуществляется с помощью или без помощи автоматизированных процедур, таких как сбор, запись, систематизация, структурирование, хранение, адаптация или изменение, поиск, консультация, использование, раскрытие, передача или любое другое раскрытие, сортировка или объединение, ограничение, стирание или уничтожение;

1.4 Администратор и обработчик персональных данных

«Контролер» означает физическое или юридическое лицо, орган государственной власти, агентство или любой другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; если есть цели и средства такой обработки определяются законодательством Союза или государства-члена, этот закон может назначать соответствующего контролера или конкретные критерии для его назначения;

«Обработчик» означает физическое или юридическое лицо, орган государственной власти, агентство или другой орган, который обрабатывает персональные данные для контролера;

«Получатель» означает физическое или юридическое лицо, орган государственной власти, агентство или любой другой орган, которому раскрываются личные данные, независимо от того, является ли оно третьей стороной или нет;

«Третье лицо» означает физическое или юридическое лицо, орган государственной власти, агентство или иной орган, который не является субъектом данных, контролером, обработчиком или лицом, непосредственно подчиненным контролеру или обработчику, уполномоченному обрабатывать персональные данные.

        1.5 Согласие

«Согласие» субъекта данных — любое свободное, конкретное, информированное и недвусмысленное волеизъявление, которым субъект данных дает свое согласие на обработку своих персональных данных путем заявления или иного очевидного подтверждения;

        1.6 Нарушения безопасности

«Нарушение персональных данных» означает нарушение безопасности, которое приводит к случайному или незаконному уничтожению, утрате, изменению или несанкционированному разглашению или разглашению персональных данных, передаваемых, хранимых или иным образом обрабатываемых;

2. Принципы обработки, законность обработки GDPR

        2.1 Принципы обработки

Персональные данные:

a.  обрабатываются справедливым, законным и прозрачным образом по отношению к субъекту данных;

 b. собираются для конкретных, явных и законных целей и не обрабатываются в дальнейшем способом, несовместимым с этими целями;

c. соразмерными, уместными и ограниченными в той мере, в какой это необходимо по отношению к цели, для которой они обрабатываются;

d.  точным и, при необходимости, обновленным; должны быть приняты все разумные меры для обеспечения того, чтобы личные данные, которые являются неточными, с учетом целей, для которых они обрабатываются, были удалены или исправлены без промедления;

e. храниться в форме, которая позволяет идентифицировать субъектов данных не дольше, чем это необходимо для целей, для которых они обрабатываются;

f. обрабатываются таким образом, который обеспечивает надлежащую безопасность персональных данных, включая их защиту с помощью соответствующих технических или организационных мер от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения.

g. EI как администратор, ответственный за соблюдение принципов обработки GDPR, должен быть в состоянии продемонстрировать такое соответствие.

2.2 Законность обработки

Обработка ПД является законной только при соблюдении хотя бы одного из следующих условий и только в соответствующей степени:

a. субъект данных дал свое согласие на обработку своих персональных данных для одной или нескольких конкретных целей;

b. обработка необходима для выполнения договора, стороной которого является субъект данных, или для реализации мер, принятых до заключения договора по запросу субъекта данных;

c. обработка необходима для соблюдения юридического обязательства, применимого к контролеру;

d. обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица;

e. обработка необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера;

f. обработка необходима для законных интересов соответствующего контролера или третьей стороны, за исключением случаев, когда эти интересы имеют приоритет над интересами или основными правами и свободами субъекта данных, требующего защиты персональных данных, в частности, когда данные предмет — ребенок.

3. Права субъекта данных

3.1 Право субъекта данных на доступ к персональным данным

Субъект данных имеет право получить от контролера подтверждение того, обрабатываются ли персональные данные, касающиеся его или ее, и, если это так, имеет право получить доступ к таким персональным данным и, в частности, к следующей информации :

а. цели обработки;

b.  категории соответствующих персональных данных;

c. получатели или категории получателей, которым были или будут раскрыты персональные данные, в частности, бенефициары в третьих странах или в международных организациях;

d. планируемый период хранения персональных данных или, если это невозможно определить, критерии, используемые для определения этого периода;

e. наличие права требовать или возражать против исправления или удаления персональных данных, касающихся субъекта данных, или ограничивать их обработку;

f. право подать жалобу в Управление;

g. любую доступную информацию об источнике персональных данных, если она получена не от субъекта данных;

h. тот факт, что существует автоматизированное принятие решений, включая профилирование.

3.2 Право на исправление

Субъект данных имеет право на исправление контролером неточных личных данных, касающихся его, без неоправданной задержки. С учетом целей обработки субъект данных вправе дополнить неполные персональные данные, в том числе путем предоставления дополнительного заявления.

3.3 Право на удаление («право на забвение»)

Субъект данных имеет право потребовать, чтобы контролер удалил персональные данные, касающиеся субъекта данных, без неоправданной задержки, а контролер обязан удалить персональные данные без неоправданной задержки, если возникает одна из следующих причин:

a. персональные данные больше не требуются для целей, для которых они были собраны или иным образом обработаны;

b. субъект данных отзывает согласие и нет другой законной причины для обработки;

c. субъект данных возражает против обработки, и для обработки нет преимущественных законных причин;

d. персональные данные были обработаны незаконно;

e. личные данные должны быть удалены для выполнения юридического обязательства, изложенного в законодательстве Союза или государства-члена, которое применяется к контролеру.

3.4 Право на ограничение обработки

Субъект данных имеет право потребовать от контролера ограничить обработку в любом из следующих случаев:

a. субъект данных отрицает точность персональных данных в течение времени, необходимого контролеру для проверки точности персональных данных;

b. обработка является незаконной, и субъект данных отказывается удалить личные данные и вместо этого требует ограничить их использование;

c. контролеру больше не нужны персональные данные для целей обработки, но он требует, чтобы субъект данных определял, приводил в исполнение или защищал судебные иски;

d. субъект данных возражал против обработки до тех пор, пока не будет подтверждено, что законные причины контролера перевешивают законные причины субъекта данных.

3.5 Право на переносимость данных

Субъект данных имеет право на получение персональных данных о нем, которые он или она предоставили контролеру, в структурированном, широко используемом и машиночитаемом формате, а также право передавать такие данные другому контролеру, не препятствуя контроллер, которому были предоставлены персональные данные, в случае, если:

a. обработка основана на согласии или договоре; и

б. обработка выполняется автоматически.

3.6 Право на возражение

Субъект данных имеет право в любое время возразить против обработки персональных данных, которая необходима для целей контролера или заинтересованной третьей стороны по причинам, связанным с его или ее конкретной ситуацией.

Контролер не должен в дальнейшем обрабатывать персональные данные, если он не продемонстрирует серьезные законные причины для обработки, которые перевешивают интересы или права и свободы субъекта данных, или для определения, осуществления или защиты законных требований.

Если персональные данные обрабатываются для целей прямого маркетинга, субъект данных имеет право в любое время возразить против обработки персональных данных, касающихся его или ее, для этого маркетинга, который должен включать профилирование в отношении такого прямого маркетинга.

Если субъект данных возражает против обработки в целях прямого маркетинга, персональные данные больше не будут обрабатываться для этих целей.

3.7 Право на подачу жалобы

Субъект данных имеет право подать жалобу Администратору или надзорному органу в отношении обработки персональных данных. Администратор доверил защиту персональных данных:

    1) Инж. Мирослав Хованец

    2) ………………………………………………..

Жалоба может быть подана в надзорный орган:

Управление по защите персональных данных, подполковник Сохора 27, 170 00 Прага 7 Телефон:

+420 234 665 111 (коммутатор), факс: +420 234 665 444

Интернет:

https://www.uoou.cz, электронная почта: posta@uoou.cz, идентификатор ящика данных: qkbaa2n

4. Субъекты данных

В своей деятельности EI обрабатывает персональные данные следующих категорий субъектов данных:

— работник EI;

— кандидат на работу в EI;

— связанный агент и Посредник дополнительного страхования EI

— еще ​​один договорной партнер EI

— клиент EI

— акционеры, члены органов общества

— общественность (в зоне, контролируемой системой камер EI).

4.1 Персонал EI

Роль EI — Компания является контролером персональных данных.

Объем обрабатываемых персональных данных — EI обрабатывает персональные данные, предоставленные работником при установлении трудовых или аналогичных отношений или иным образом в связи со своей деятельностью.

Таким образом, обрабатываемые персональные данные могут включать, в частности:

            ▪ персональные данные общие:

имя, фамилия, звание, дата рождения, номер рождения, постоянное место жительства, контактный адрес, номер удостоверения личности или вида на жительство, национальность, фамилия при рождении, место и район рождения, медицинская страховая компания, связь с банком, образование и квалификация, в т.ч. языковые навыки, другое пройденное обучение, документы, подтверждающие профессиональную компетентность и добросовестность, номер телефона, адрес электронной почты, данные о предыдущем месте работы и другие данные, указанные в резюме, данные об оплате труда, данные о времени работы и отпусках, посещаемости, данные о нетрудоспособности для работы, данные о важных личных препятствиях на работе, данные об уходе в отпуск по беременности и родам, должность, подпись, размер талона на питание, данные о местоположении GPS в случае использования транспортного средства в целях работодателя, данные о членах семьи в диапазон имя, фамилия, постоянное место жительства, дата рождения, номер рождения.

    • персональные данные особой категории: состояние здоровья

Цель обработки — выполнение обязательств работодателя по соответствующему трудовому договору и перед органами государственного управления и иными лицами (в частности, медицинскими страховыми компаниями, АССА, финансовым управлением, органами охраны здоровья и безопасности и т. д.) и управление внутренней повесткой дня Компании (особенно персонала и связанных с защитой собственности и прав EI).

Правовое основание (причина) обработки — в целях обработки EI обрабатывает персональные данные в связи с:

a. выполнение договора, заключенного с работником (статья 6 (1) (b) Регламента);

b. соблюдение юридического обязательства EI (Статья 6 (1) (c) Регламента);

c. законный интерес EI или других лиц по смыслу и в соответствии с условиями статьи 6 (1) (a);

d. регулирование. Некоторые личные данные сотрудников, особенно фотографии, имя и фамилия, должность и т. д., могут использоваться для публичной презентации и маркетинговой деятельности EI.

e. предоставляется в соответствии со статьей 7 Регламента.

Источники персональных данных — обрабатываемые персональные данные Компания получает от сотрудников, в частности, через договорную документацию и личные анкеты, а также в ходе выполнения договорных отношений. Срок обработки определяется правилами архивирования и уничтожения EI. Обработка персональных данных была поручена Валентине Павлик. Обзор договорных партнеров с возможностью обработки персональных данных приведен в приложении.

4.2 Кандидаты на работу в EI

Роль EI — компания является контролером персональных данных.

Объем обрабатываемых персональных данных — EI обрабатывает персональные данные, предоставленные Заявителем в ходе процедуры отбора для приема на работу или иным образом в связи с заключением договора найма.

Таким образом, обрабатываемые персональные данные могут включать, в частности:

    • актуальные персональные данные:

имя и фамилия, образование и квалификация, контактные данные (номер телефона и адрес электронной почты), постоянное место жительства и другие данные, указанные в резюме, подпись.

Цель обработки – выполнение обязательств EI при заключении трудовых или подобных отношений. Продолжительность обработки определяется продолжительностью тендера.

Правовое основание (причина) обработки — в целях обработки EI обрабатывает персональные данные в связи с:

— соблюдение юридических обязательств EI (статья 6 (1) (c) Регламента);

— законный интерес EI или других лиц по смыслу и в соответствии с условиями статьи 6 (1) (а).

а. Регулирование

Источники персональных данных — обрабатываемые персональные данные компания получает от соискателя, в частности, через личную анкету для процедуры отбора.

4.3 Связанный агент, дополнительный страховой посредник (ВЗ)

Роль EI — Компания является контролером персональных данных.

Объем обрабатываемых персональных данных — EI обрабатывает персональные данные, предоставленные ему Генеральным директором при установлении договорных отношений, полученные из общедоступных баз данных, и персональные персональные данные, зарегистрированные в компании в связи с договорными отношениями. Сфера применения далее определяется законодательством распространение страховых и других финансовых продуктов. Таким образом, обрабатываемые персональные данные могут включать, в частности:

    • актуальные персональные данные:

имя, фамилия, звание, дата рождения, номер рождения, идентификационный номер, постоянное место жительства, контактный адрес, место работы, регистрационный номер в VZ или другом государственном органе, банковские реквизиты, образование и квалификация, в т.ч. знание языков, другое пройденное обучение, документы, подтверждающие профессиональную компетентность и добросовестность, номер телефона, адрес электронной почты, данные о вознаграждении — комиссия и комиссия за аннулирование, данные по клиентской базе, подпись.

Цель обработки — выполнение обязательств контрагента согласно соответствующему договору о сотрудничестве и агентские договоры, выполнение обязательств по правовому регулированию распространения страховых и других финансовых продуктов.

Правовое основание (причина) обработки — в целях обработки EI обрабатывает персональные данные в связи с:

— выполнение договора, заключенного с Генеральной Ассамблеей (статья 6 (1) (b) Регламента);

— соблюдение юридических обязательств EI (статья 6 (1) (c) Регламента);

— законный интерес EI или других лиц по смыслу и в соответствии с условиями статьи 6 (1) (а).

Регулирование

Некоторые личные данные Общего собрания, в частности фотографии, имя и фамилия, могут быть использованы для публичного представления и маркетинговой деятельности EI (Устав).

Источники персональных данных — обрабатываемые персональные данные Компания получает от VZ в процессе заключения договора, при регистрации VZ в ЧНБ и при выполнении договорных отношений и юридических обязательств. Продолжительность обработки определяется правилами архивирования и утилизации EI.

В соответствии с законом EI предоставляет персональные данные ЧНБ, финансовой администрации, исполнителям и другим органам государственной власти, а также своим контрагентам – страховщикам, банкам, строительным обществам, пенсионным компаниям и другим финансовым учреждениям и прочим контрагентам согласно Обзор данных о договорных партнерах приведен в приложении.

4.4 Другой партнер по договору

Цель обработки — выполнение обязательств контрагента согласно соответствующему трудовому договору или договору о сотрудничестве.

Правовое основание (причина) обработки — в целях обработки EI обрабатывает персональные данные в связи с:

— выполнение договора, заключенного с генеральным партнером (статья 6 (1) (b) Регламента); — соблюдение юридических обязательств EI. (Статья 6 (1) (c) Регламента);

— законный интерес EI или других лиц по смыслу и в соответствии с условиями статьи 6 (1) (а).

Регулирование

Некоторые личные данные договорных партнеров, в частности фотографии, имя и фамилия, могут использоваться для публичной презентации и маркетинговой деятельности EI (7 Регламента).

Роль EI — Компания является контролером персональных данных.

Объем обрабатываемых персональных данных — EI обрабатывает персональные данные, предоставленные ему контрагентом при установлении договорных отношений, полученные из общедоступных баз данных и персональные данные VZ, зарегистрированные в Компании в связи с исполнением договорных отношений. Сфера дополнительно определяется законодательством соответствующей отрасли – регулирование адвокатской деятельности, бухгалтерского и налогового консультирования, экономического, административного и иного консультирования, ИТ-услуг, маркетинга, обучения и т.д.

Таким образом, обрабатываемые персональные данные могут включать, в частности:

    • актуальные персональные данные:

имя, фамилия, должность, дата рождения, номер рождения, идентификационный номер, постоянное место жительства, контактный адрес, место работы, регистрационный номер в государственном органе, банковские реквизиты, образование и квалификация, в т.ч. языковые навыки, другое пройденное обучение, документы, подтверждающие профессиональную компетентность и целостность, номер телефона, адрес электронной почты, информация о вознаграждении, подпись.

Источники персональных данных — обрабатываемые персональные данные Компания получает от договорного партнера в процессе заключения договора и при выполнении договорных отношений и юридических обязательств. Продолжительность обработки определяется правилами архивирования и утилизации EI.

В соответствии с законом EI предоставляет персональные данные финансовому управлению, исполнителям и другим органам государственной власти, а также своим контрагентам. Обзор договорных партнеров с возможностью обработки персональных данных приведен в приложении.

4.5 Клиенты  EI

Роль EI — Компания является контролером персональных данных, согласно договора на обработку персональных данных со страховщиком или другим финансовым учреждением, EI также может быть на позиции обработчика персональных данных. Объем обрабатываемых персональных данных — EI обрабатывает персональные данные, предоставленные Клиентом при установлении договорных отношений (договор поручения или договор поручения), полученные из общедоступных баз данных, и персональные данные Клиентов, зарегистрированные в Компании в связи с договорными отношениями. Компания также может обрабатывать персональные данные в соответствии с предоставленным согласием (агентская деятельность) или в качестве обработчика для Администратора — страховой компании или другого финансового учреждения. Объем дополнительно определяется правовым регулированием распространения страховых и других финансовых продуктов.

Таким образом, обрабатываемые персональные данные могут включать, в частности:

            ▪ персональные данные общие:

имя, фамилия, должность, дата рождения, номер рождения, идентификационный номер, постоянное место жительства, контактный адрес, место работы, регистрационный номер в государственном органе, банковский счет, данные о страховании, данные об имуществе, источники дохода, семейное положение, банк учетная запись, номер телефона, адрес электронной почты, подпись персональные данные особой категории:

состояние здоровья, биометрические и генетические данные.

Цель обработки — выполнение обязательств контрагента по соответствующему договору — посредничество в страховании или другом финансовом продукте, выполнение обязательств в соответствии с правовым регулированием распространения страховых и других финансовых продуктов.

Правовое основание (причина) обработки — в целях обработки EI обрабатывает персональные данные в связи с:

— выполнение договора, заключенного с клиентом (статья 6 (1) (b) Регламента);

— соблюдение юридических обязательств EI (статья 6 (1) (c) Регламента);

— законный интерес EI или других лиц по смыслу и в соответствии с условиями статьи 6 (1) (а).

Регулирование

согласие клиента (статья 6 (1) (а) Регламента.

Некоторые личные данные клиентов, в частности фотографии, имя и фамилия, могут быть использованы для публичной презентации и маркетинговой деятельности EI (Указ). Источники персональных данных — обрабатываемые персональные данные Компания получает от клиента в процессе заключения договора и при выполнении договорных отношений и юридических обязательств. Продолжительность обработки определяется правилами архивирования и утилизации EI.

В соответствии с законом EI предоставляет персональные данные ЧНБ, финансовой администрации и другим государственным органам, а также своим договорным партнерам – страховщикам, банкам, строительным обществам, пенсионным компаниям и другим финансовым учреждениям и другим договорным партнерам в соответствии с 5.4. Обзор договорных партнеров с возможностью обработки персональных данных приведен в приложении.

4.6 Уставный орган

Роль EI — Компания является контролером персональных данных.

Объем обрабатываемых персональных данных — EI обрабатывает персональные данные, предоставленные ему Акционерами и членами органов компании, в соответствии с формулировкой Закона о коммерческих корпорациях и Уставом Компании.

Таким образом, обрабатываемые персональные данные могут включать, в частности:

            ▪ персональные данные общие:

имя, фамилия, звание, дата рождения, номер рождения, постоянное место жительства, место рождения, район рождения и другие данные, внесенные в публичные реестры, банковские реквизиты, номер телефона, адрес электронной почты, адрес, подпись.

Цель обработки — выполнение обязательств в соответствии с Законом о коммерческих корпорациях и Уставом Компании и другими правовыми нормами.

Правовое основание (причина) обработки — в целях обработки EI обрабатывает персональные данные в связи с:

— выполнение контракта, заключенного с членами учреждений (статья 6 (1) (b) Регламента);

— соблюдение юридического обязательства EI (Статья 6 (1) (c) Регламента);

— законный интерес EI или других лиц по смыслу и на условиях статьи 6 (1) (a);

 Регулирование

Некоторые персональные данные Акционеров и членов органов общества, в частности фотографии, имя и фамилия, должность и др., могут быть использованы для публичного представления и маркетинговой деятельности EI, при этом персональные данные будут использоваться только с предварительного согласия, предоставленное в соответствии со статьей 7 Регламента.

Источники персональных данных — обрабатываемые персональные данные Общество получает от Акционеров и членов органов общества, в том числе посредством договорной документации.

Продолжительность обработки определяется правилами архивирования и утилизации EI.

В соответствии с законом EI предоставляет персональные данные судам, ЧНБ, финансовой администрации и другим органам государственной власти, а также своим контрагентам – страховщикам, банкам, строительным обществам, пенсионным компаниям и другим финансовым учреждениям и прочим контрагентам в соответствии с до 5.4. Обзор договорных партнеров с возможностью обработки персональных данных приведен в приложении.

Регулирование

Срок хранения — запись, содержащая персональные данные, хранится в течение 3 дней с момента хранения записи. Если инцидент обнаружен и разрешен на основе записанной записи, запись хранится в необходимом объеме до окончательного урегулирования инцидента.

Источники персональных данных — обрабатываемые персональные данные Компания получает в рамках эксплуатации систем видеонаблюдения.

5. Обязанности обработчика персональных данных

EI, VZ и другой договорной партнер в соответствии с 5.4 участвуют в обработке персональных данных в положении.

Обработчики

Позиция EI как обработчика персональных данных определяется договорами на обработку персональных данных, заключенными со страховщиками и другими финансовыми учреждениями — обзор договорных партнеров представлен в приложении к Директиве.

Позиция VZ как обработчика персональных данных в отношении EI определяется договором о сотрудничестве, агентским договором или другие договорные отношения и настоящая Директива GDPR. Положение другого договорного партнера согласно 5.4 как обработчика персональных данных в отношении EI определяется договорами о сотрудничестве или работе или. другие договорные отношения и настоящая Директива GDPR.

Обработчик обязан соблюдать индивидуальные обязательства, установленные администратором при обработке и использовании персональных данных, которые администратор будет предоставлять обработчику любым способом, которые обработчик будет обрабатывать сам или иным образом получать к ним доступ в рамках своей деятельности для администратор.

Эти положения применяются ко всем аспектам защиты персональных данных и информационной безопасности и являются обязательными для всех обработчиков персональных данных.

Процессор всегда следует указаниям администратора. Эти инструкции могут быть предоставлены в письменной форме, устно или любым другим подходящим способом, независимо от того, адресованы ли они непосредственно обработчикам или, в более общем плане, нескольким обработчикам в той же категории, включая электронную почту, интранет или веб-доступ. Если инструкция противоречит настоящей Директиве или закону, обработчик должен немедленно сообщить об этом контролеру.

Обработчик должен обрабатывать персональные данные исключительно для указанных целей и для выполнения своих договорных обязательств в соответствии с инструкциями контролера и в соответствии с законом и настоящей Директивой; в частности, он не может выполнять какие-либо операции с персональными данными, которые представляют высокий риск, такие как объединение различных баз данных и обогащение данных другими источниками, без предварительного явного согласия; использование современных технологий, последствия которых для неприкосновенности частной жизни или других прав человека недостаточны; использование программного обеспечения, облачных сервисов, приложений и инструментов, не обеспечивающих достаточных гарантий безопасности данных и т. д.

Обработчик может обрабатывать данные помимо этих целей, если это необходимо для выполнения контракта или юридического обязательства и как для субъектов данных, так и для контролера, предсказуемое и оправданное. В этом случае обработчик должен письменно уведомить администратора об этой процедуре. В случае, если обработчик решает или должен обрабатывать персональные данные в рамках своих юридических обязательств помимо инструкций или инструкций контролера, он сам становится контролером со всеми вытекающими из этого обязательствами, включая возможную необходимость информирования заинтересованных лиц.

Обработчик обрабатывает персональные данные, которые передаются ему в рамках сотрудничества или иным образом получают к ним доступ, в рамках категорий, определенных Администратором.

Обработчик обрабатывает персональные данные в течение времени, необходимого для выполнения своих обязательств, в соответствии с инструкциями контролера. Критерии определения времени обработки определяются администратором.

После завершения обработки персональных данных в соответствии с указаниями контролера, процессор должен уничтожить или удалить личные данные, которые он не вернул контролеру (включая все копии и носители), и направить отчет контролеру по запросу. Это не применяется, если они должны обрабатывать их дальше из-за юридических обязательств или своих законных интересов.

Обработчик может использовать персональные данные только для обработки персональных данных — работников или других лиц (далее совместно именуемых «сотрудники»), которые прошли обучение, ознакомлены со всеми инструкциями и на которых распространяются все обязательства в соответствии с настоящей Директивой. Обработчик может, помимо сотрудников, использовать других лиц для обработки персональных данных только с предварительного согласия контролера;

Обработчик и все сотрудники соблюдают конфиденциальность в отношении обработки персональных данных, т.е. они не передают их и не делают доступными для любых других лиц без согласия контролера. Это не относится к юридическому обязательству передавать данные юридическим лицам.

Обработчик обеспечивает администратору необходимое сотрудничество, в частности:

▪ при передаче и обработке запросов субъектов данных относительно их персональных данных;

▪ при обнаружении и обработке инцидентов безопасности;

▪ при оценке влияния обработки на защиту персональных данных и консультировании с

надзором;

▪ проверка выполнения обязанностей и результатов деятельности, в том числе третьей стороной.

В случае запросов от субъектов данных, которые были доставлены обработчику и которые касаются обработки персональных данных, обработчик должен немедленно сообщить об этом контролеру и направить все документы, относящиеся к запросу. Если администратору требуется дополнительная информация или документы от обработчика для обработки запроса, обработчик должен без неоправданной задержки с момента доставки запроса администратора предоставить данные. Это не применяется, если передача такой информации или документов будет противоречить закону.

Обработчик обязан обеспечить выполнение всех обязательств по этой директиве. Обработчик должен без неоправданной задержки предоставить по запросу контролера доказательства того, что он обрабатывает персональные данные в соответствии с настоящей Директивой и законом, и должен разрешить проверку выполнения этих обязательств контролером или лицом. уполномоченный им. То же самое относится к проверкам, проверкам или расследованиям со стороны надзорных органов, о которых обработчик должен немедленно информировать администратора.

Администратор своевременно сообщает обработчику план аудита и согласовывает дату, способ и объем его выполнения. Обработчик должен разрешить проведение аудита не позднее, чем через 7 дней после уведомления о проведении аудита.

Если проверка или аудит проводится у обработчика, он обязан незамедлительно уведомить об этом администратора, предоставить соответствующие документы (в том числе надзорные заключения) и приложить все усилия для обеспечения соблюдения законодательства.

В случае ограничения или прекращения обработки персональных данных определенных субъектов данных обработчик обязан информировать своих субподрядчиков или других получателей персональных данных этих субъектов, которым он передал данные или о которых ему известно, что они есть в наличии.

Обработчик должен вести соответствующие записи и записи об обработке персональных данных, в том числе:

    • идентификация объекта, для которого он выполняет обработку;

    • цель и предмет обработки;

    • хотя бы общее описание мер безопасности.

Обработчик обязуется принимать соответствующие меры для защиты персональных данных, по крайней мере, в части установления соответствующих правил для:

    • контроль и ограничение доступа

    • контроль доступа, изменения, копирование, удаление или другие операции (логирование)

    • защита от случайного и преднамеренного уничтожения, утечки, утраты, нападения

    • отделение от других данных, обрабатываемых для других целей или другими субъектами, где это уместно и возможно

    • связь и передача данных по защищенным каналам.

Конкретные технические, организационные и кадровые меры указаны в статье 7 настоящей Директивы. Обработчик регулярно отслеживает и контролирует соблюдение правил безопасности и необходимых мер и ведет документацию об их соблюдении.

Обработчик должен немедленно информировать администратора о любом нарушении обязательств по настоящей Директиве или законодательству EI.

В случае подозрения в любом нарушении безопасности, которое может привести к случайному или незаконному уничтожению, потере, изменению или несанкционированному предоставлению или раскрытию переданные, сохраненные или иным образом обработанные персональные данные (далее именуемые «нарушение»), обработчик должен без неоправданной задержки уведомить EI по адресу: info@expatcz.cz дополнительно информирует администратора.

Обработчик обязан сообщить об уведомлении не позднее, чем через 24 часа после достоверного обнаружения предполагаемого нарушения (включая выходные дни). В случае нарушения защиты персональных данных субъектов данных контролер имеет право потребовать от процессора содействия в информировании соответствующих субъектов данных.

6. Технические, организационные и кадровые меры оператора персональных данных

При обработке персональных данных обработчик персональных данных обязан:

• принимать меры по предотвращению несанкционированного или случайного доступа, изменения, уничтожения или утраты персональных данных, несанкционированной передачи, иной неправомерной их обработки, а также иного неправомерного использования персональных данных; это обязательство действует даже после окончания обработки персональных данных;

• обрабатывать и документировать принятые и реализованные технические и организационные меры для обеспечения защиты персональных данных в соответствии с Положением и другими правовыми нормами;

• оценивать риски, связанные с обработкой персональных данных, и предотвращать доступ неуполномоченных лиц к персональным данным и неправомерное манипулирование персональными данными.

Технические меры безопасности:

• Управление правами доступа — минимизация доверенных лиц, знающих правила обработки персональных данных и связанных конфиденциальностью;

• Отделение от других данных — отделение персональных данных от другой информации, отделение данных, обрабатываемых для других целей;

• Правила установки паролей – введение и регулярная (ежеквартальная) смена паролей доступа к компьютерной системе, в которой обрабатываются данные, при соблюдении правил создания достаточно надежных паролей, по возможности (не менее 6 символов, сочетание строчных и заглавные буквы, цифры, специальные символы), не используйте жест и установите автоматическую блокировку после 3-х неудачных попыток;

• Логирование активности пользователей или иных лиц, работающих с персональными;

• Минимизация обрабатываемых данных — обрабатываются только необходимые данные, устанавливается только необходимое время их хранения, по указанию администратора данные удаляются по истечении срока архивации;

• Обновление программного обеспечения;

• Использование антивирусной программы в сочетании с защитой от вредоносных и шпионских программ;

• Использование брандмауэра, если общедоступный IP-адрес заканчивается непосредственно на процессоре ПК;

• Защита паролем Wi-Fi;

    • Безопасность устройства (ПК, ноутбук, мобильный телефон, планшет и т. д.) — включая соответствующее шифрование, строго раздельную работу и частное использование — устройство нельзя использовать в личных целях;

    • Шифрование данных на всех репозиториях, в т.ч. внешние диски и флешка;

    • Запрет на использование бесплатных почтовых сервисов;

    • Безопасность сети и веб-сайта, включая соответствующее шифрование;

   • Резервное копирование — в случае, если обработчик будет эксплуатировать системы на своих объектах, он должен быть в состоянии обеспечить в случае инцидента без неоправданной задержки восстановление системы из оперативных резервных копий;

    • Тестирование, аудиты, оценки и повышение эффективности мер;

    • Не посещайте ненадежные, подозрительные и неизвестные веб-сайты;

    • Не загружайте ненадежные, подозрительные или неизвестные программы;

    • Не открывать подозрительную электронную переписку, в т.ч. приложения.

Организационно-кадровые мероприятия:

    • Контроль физического доступа лиц в помещения процессора;

    • Управление физическим доступом людей к ключевым ИТ-областям;

    • Ограничения на доступ к физическим документам и архивам;

    • Безопасность данных на рабочем месте (принцип чистого стола и пустого экрана);

    • Обучение сотрудников и сотрудников;

  • Установка правил утилизации жестких дисков, переносных дисков, компьютерной техники;

    • Установка правил архивирования и уничтожения документов.

EI соблюдает эти технические, организационные и кадровые меры при обработке персональных данных и в должности Администратора.

7. Заключительные положения

         7.1 Действие Директивы

Настоящая Директива вступает в силу 30.05.2018 г.

         7.2 Приложения к Директиве

Приложение №1 – перечень договоров на обработку персональных данных процессора EI.

Приложение № 2 — содержание санкционных соглашений договоров на обработку персональных данных процессора EI.

В Праге 30.05.2019

cs_CZCzech
ru_RURussian cs_CZCzech