Политика защиты персональных данных
ANIA TURİZM YATIRIMLARI A.Ş.
ПОЛИТИКА ЗАЩИТЫ, ОБРАБОТКИ, ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
СОДЕРЖАНИЕ
- Введение
- Цель
- Область применения
- Сокращения и определения
- Принципы, принятые компанией ANİA Turizm Yatırımları A.Ş. в отношении обработки и защиты персональных данных
- Соблюдение основных требований к обработке персональных данных
- Соблюдение условий обработки персональных данных
- Соблюдение условий обработки специальных категорий персональных данных
- Распределение ответственности и обязанностей
- Средства записи
- Передача персональных данных
- Передача персональных данных внутри страны
- Передача персональных данных за границу
- Объяснения причин хранения и уничтожения
- Объяснения по поводу опекунства
- Причины, требующие уничтожения
- Права владельцев персональных данных и выполнение Компанией их запросов
- Технические и административные меры
- Технические меры
- Административные меры
- Методы уничтожения персональных данных
- Удаление персональных данных
- Уничтожение персональных данных
- Анонимизация персональных данных
- Периоды хранения и утилизации
- Периодический период уничтожения
- Публикация и хранение Политики
- Период обновления политики
ПРИЛОЖЕНИЕ-1: Форма заявки
- ВВЕДЕНИЕ
- Цель
Цель настоящего документа, Политики хранения и уничтожения персональных данных («Политика»), Закон о защите персональных данных № 6698 («KVKK» или «Закон») и Удаление персональных данных, вступивший в силу после публикации в Официальном вестнике от 28 октября 2017 года, который представляет собой вторичное регулирование Закона, В целях выполнения наших обязательств в соответствии с Положением об уничтожении или анонимизации («Положение») и информирования субъектов данных о принципах определения максимального срока хранения, необходимого для целей обработки их персональных данных, а также о процессах удаления, уничтожения и анонимизации, компания ANİA Turizm Yatırımları A. Ş. (далее именуемая «ANİA» или «Компания») в качестве контроллера данных.
- Объем
Персональные данные работников Учреждения, кандидатов в работники, поставщиков услуг, посетителей и других третьих лиц входят в сферу действия настоящей Политики, и настоящая Политика применяется во всех учетных средах, в которых обрабатываются персональные данные, принадлежащие Учреждению или находящиеся под его управлением, а также в деятельности по обработке персональных данных.
- Сокращения и определения
Сокращение |
Определение |
ВЫРАЖЕННОЕ СОГЛАСИЕ |
Согласие относительно конкретного предмета, основанное на информации и выраженное по свободной воле. |
GDPR |
Общий регламент Европейского Союза по защите данных № 2016/679, отменивший Директиву № 95/46/EC от 25 мая 2018 года. |
СООТВЕТСТВУЮЩИЙ ПОЛЬЗОВАТЕЛЬ |
Лица, которые обрабатывают персональные данные внутри организации-контролера данных или в соответствии с полномочиями и инструкциями, полученными от контроллера данных, за исключением лица или подразделения, ответственного за техническое хранение, защиту и резервное копирование данных. |
РАЗРУШЕНИЕ |
Удаление, уничтожение или анонимизация персональных данных. |
ПРАВО / КВКК |
Закон о защите персональных данных № 6698. |
НОСИТЕЛЬ ЗАПИСИ |
Любая среда, в которой персональные данные обрабатываются полностью или частично автоматическими или неавтоматическими средствами, при условии, что она является частью какой-либо системы регистрации данных. |
ЛИЧНЫЕ ДАННЫЕ |
Любая информация, касающаяся идентифицированного или идентифицируемого физического лица. |
ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ |
Персональные данные могут быть переданы отечественным или зарубежным учреждениям, организациям, поставщикам и т. д. в соответствии с КВКК и в соответствии со статьей 5 настоящей Политики . делиться. |
АНОНИМИЗАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ |
Сделать персональные данные никаким образом не связанными с идентифицированным или идентифицируемым физическим лицом, даже путем сопоставления их с другими данными. |
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ |
|
УДАЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ |
Удаление персональных данных; сделать персональные данные недоступными и непригодными для использования каким-либо образом для соответствующих пользователей. |
УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ |
Процесс сделать персональные данные недоступными, безвозвратными и пригодными для повторного использования кем-либо. |
ОРГАНИЗАЦИЯ |
Орган по защите персональных данных |
АВТОМАТИЧЕСКАЯ ОБРАБОТКА ДАННЫХ |
Деятельность по обработке персональных данных, осуществляемая взаимосвязанной и интерактивной электрической или электронной системой, которая сводит к минимуму необходимость вмешательства или помощи человека. |
НЕАВТОМАТИЧЕСКАЯ ОБРАБОТКА ДАННЫХ |
Деятельность по обработке персональных данных, осуществляемая вручную, то есть посредством вмешательства или помощи человека, |
ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОСОБОГО ХАРАКТЕРА | Данные о расе, этническом происхождении, политических взглядах, философских убеждениях, религии, секте или других верованиях, внешнем виде и одежде, членстве в ассоциациях, фондах или профсоюзах, здоровье, сексуальной жизни, судимостях и мерах безопасности, а также биометрические и генетические данные. |
ПЕРИОДИЧЕСКОЕ РАЗРУШЕНИЕ |
В случае, если все условия обработки персональных данных, указанные в Законе, исчезают, процесс удаления, уничтожения и анонимизации должен официально осуществляться с периодичностью, указанной в политике хранения и уничтожения персональных данных. |
ВЛАДЕЛЕЦ ДАННЫХ / СВЯЗАННОЕ ЛИЦО |
Реальное лицо, персональные данные которого обрабатываются |
ОТВЕТСТВЕННЫЕ ДАННЫЕ |
Физическое или юридическое лицо, определяющее цели и средства обработки персональных данных и несущее ответственность за создание и управление системой регистрации данных. |
РЕГУЛИРОВАНИЕ |
Положение об удалении, уничтожении или анонимизации персональных данных, опубликованное в Официальном вестнике 28 октября 2017 года. |
ПОЛИТИКА |
Политика хранения и уничтожения персональных данных |
ПРОЦЕССОР ДАННЫХ |
Физическое или юридическое лицо, которое обрабатывает персональные данные от имени контролера данных на основании полномочий, предоставленных контролером данных. |
ВЕРБИС |
Информационная система реестра контролеров данных. |
- ПРИНЦИПЫ, ПРИНЯТЫЕ КОМПАНИЕЙ В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Соблюдение основных принципов обработки персональных данных
Следующие основные принципы приняты компанией в рамках обеспечения и поддержания соответствия законодательству о защите персональных данных:
- Обработка персональных данных в соответствии с законом и добросовестностью
Компания осуществляет деятельность по обработке персональных данных в соответствии с законом и правилом добросовестности в соответствии с законодательством о защите персональных данных, в особенности с Конституцией Турецкой Республики.
- Обеспечение точности и актуальности обрабатываемых персональных данных
При осуществлении обработки персональных данных компанией принимаются все необходимые административные и технические меры для обеспечения точности и своевременности персональных данных в пределах технических возможностей.
- Обработка персональных данных для конкретных, явных и законных целей
Деятельность по обработке персональных данных компанией осуществляется в рамках четких и законных целей, определенных до начала деятельности по обработке персональных данных.
- Обработка персональных данных в соответствии с целью, ограниченным и взвешенным образом
Персональные данные обрабатываются компанией в связи с условиями обработки данных и в объеме, необходимом для реализации этих услуг. В этом контексте цель обработки персональных данных определяется до начала деятельности по обработке персональных данных, и деятельность по обработке данных не осуществляется с расчетом на то, что они могут быть использованы в будущем.
- Хранение персональных данных в течение срока, предусмотренного соответствующим законодательством, или в течение срока, необходимого для целей их обработки
Компания хранит персональные данные в течение срока, предусмотренного законодательством или необходимого для целей обработки данных. При этом персональные данные незамедлительно уничтожаются Компанией в случае истечения срока, предусмотренного законодательством, или отпадения причин, по которым обработка персональных данных была необходима.
- Соблюдение условий обработки персональных данных
Компания осуществляет свою деятельность по обработке персональных данных в соответствии с условиями обработки данных, изложенными в статье 5 КВКК. В этом контексте деятельность по обработке персональных данных осуществляется при наличии перечисленных ниже условий обработки персональных данных:
- Наличие явно выраженного согласия владельца персональных данных
- Действия по обработке персональных данных прямо предусмотрены законодательством
- Неполучение явно выраженного согласия субъекта данных в связи с фактической невозможностью и обязанностью обрабатывать персональные данные
- Деятельность по обработке персональных данных непосредственно связана с заключением или исполнением договора
- Осуществление деятельности по обработке персональных данных является обязательным для выполнения компанией своих юридических обязательств
- Обработка данных обязательна для установления, осуществления или защиты какого-либо права
- Обнародование персональных данных Субъектом данных
- Осуществление деятельности по обработке персональных данных необходимо для обеспечения законных интересов Компании, при условии, что это не наносит ущерба основным правам и свободам Субъекта данных
- Соблюдение условий обработки специальных категорий персональных данных
Чувствительные персональные данные могут обрабатываться в следующих случаях, при условии принятия адекватных мер, определенных Компанией:
- Явно выраженное согласие заинтересованного лица,
- Явно оговорено в законодательстве,
- Это необходимо для защиты жизни или телесной неприкосновенности лица, которое не может выразить свое согласие в силу фактической невозможности или чье согласие не имеет юридической силы,
- Она связана с персональными данными, обнародованными субъектом данных, и соответствует воле субъекта данных на их обнародование,
- Является обязательной для установления, использования или защиты какого-либо права,
- Это необходимо для защиты общественного здоровья, профилактической медицины, медицинской диагностики, лечения и услуг по уходу, а также для планирования, управления и финансирования медицинских услуг лицами, обязанными хранить тайну, или уполномоченными учреждениями и организациями,
- Она обязательна для выполнения правовых обязательств в области занятости, гигиены и безопасности труда, социального обеспечения, социальных услуг и социальной помощи
- РАСПРЕДЕЛЕНИЕ ОБЯЗАННОСТЕЙ И ОБЯЗАННОСТЕЙ
Название | Миссия |
ИТ-менеджер |
Организация рабочих процессов с точки зрения информационных технологий и обеспечение их безопасности. Проверка соответствия персональных данных сроку хранения. Тщательная оценка и доработка заявок заинтересованных лиц. Управление процессом периодического уничтожения персональных данных. |
Начальник отдела кадров |
Обеспечение соответствия кадровых процессов на рабочем месте законодательству о защите персональных данных. Управление хранением обрабатываемых персональных данных в соответствии с их назначением и соразмерно. Тщательный мониторинг и доработка заявок от соответствующих сторон. Регулярное управление процессом уничтожения персональных данных. |
Операционный менеджер |
Проверка соответствия операционных процессов стандартам защиты персональных данных. Управление хранением обрабатываемых персональных данных в соответствии с их целями. Отслеживание заявок от соответствующих сторон и их эффективная доработка. Оперативное управление процессом периодического уничтожения персональных данных. |
Менеджер по продажам и маркетингу |
Обеспечение соответствия маркетинговых процессов стандартам защиты персональных данных. Управление хранением данных клиентов способом, соответствующим и пропорциональным их цели. Быстрая обработка и доработка заявок от заинтересованных сторон. Эффективное внедрение процесса периодического уничтожения персональных данных в отделе маркетинга. |
Менеджер фронт-офиса |
Обеспечение соответствия процессов размещения стандартам защиты персональных данных. Тщательно отслеживайте и дорабатывайте гостевые заявки. Управлять процессом уничтожения персональных данных и принимать необходимые меры предосторожности. |
Менеджер по работе с гостями |
Обеспечение соответствия процессов взаимодействия с гостями стандартам защиты персональных данных. Тщательная оценка и доработка заявок от гостей. Проверка бронирования номеров в части управления персональными данными. Эффективное внедрение процесса периодического уничтожения персональных данных в отделе обслуживания гостей. |
Шеф-повар кухни |
Обеспечение соответствия кухонных процессов стандартам защиты персональных данных. Оценка особых пожеланий гостей, которым будут предоставлены услуги питания, в части управления персональными данными. Организация безопасного хранения персональных данных персонала. Эффективное внедрение процесса периодического уничтожения персональных данных в кухонном отделе. |
Финансовый директор |
Обеспечение соответствия финансовых процессов стандартам защиты персональных данных. Управление безопасным хранением финансовых данных. Отслеживание и доработка финансовых заявок от соответствующих сторон. Эффективное внедрение процесса периодического уничтожения персональных данных в финансовом отделе. |
Менеджер по бронированию |
Обеспечение соответствия процессов бронирования стандартам защиты персональных данных. Управление безопасным хранением информации о резервировании клиентов. Отслеживание и доработка заявок, связанных с бронированием, от соответствующих сторон. Эффективное внедрение процесса периодического уничтожения персональных данных в отделе бронирования. |
Менеджер по питанию и напиткам |
Обеспечение соответствия процессов производства продуктов питания и напитков стандартам защиты персональных данных. Контроль обработки персональных данных относительно меню и особых запросов. Организация безопасного хранения персональных данных персонала. Эффективное внедрение процесса периодического уничтожения персональных данных в отделе F&B. |
Концептуальный менеджер |
Обеспечение соответствия внутрикорпоративной концепции и процессов бренда стандартам защиты персональных данных. Тщательное отслеживание и доработка заявок на концепцию, полученных от соответствующих сторон. Контроль управления персональными данными в отношении концептуальных документов и проектов. Эффективная реализация процесса периодического уничтожения персональных данных в концептуальном отделе. |
Комитет по защите персональных данных АНИА |
Обеспечение внутренней координации для обеспечения соблюдения всеми отделами законодательства KVKK и политики данных компании. Регулярный аудит межведомственных процессов управления персональными данными и их совершенствование при необходимости. |
- НОСИТЕЛИ ЗАПИСИ
Персональные данные надежно хранятся в соответствии с законодательством в средах, перечисленных ниже.
Электронные СМИ |
Неэлектронные СМИ |
- Серверы (облачные системы, домен, резервное копирование, электронная почта, база данных , Интернет, обмен файлами и т. д.) - Программное обеспечение (офисное ПО, HR- портал,… .) - Устройства информационной безопасности (брандмауэр, обнаружение и предотвращение вторжений, файл журнала, антивирус и т. д.) - Персональные компьютеры (Настольный компьютер, ноутбук) - Мобильные устройства (телефон, планшет и т. д.) - Оптические диски (CD, DVD и т.д.) - Съемные запоминающие устройства (USB, карта памяти и т. д.) - Принтер, сканер, копировальный аппарат |
- Бумага - Системы ручной регистрации данных (форма регистрации клиента, форма бронирования, корешки туров и трансферных билетов) - Письменные, печатные и визуальные средства массовой информации. |
- ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
Персональные данные могут передаваться нашим деловым партнерам и партнерам, предоставляющим такие услуги, как туризм, гостиничное хозяйство, туристическое агентство, туроператор, а также аффилированным лицам Компании, партнерам по социальным сетям, рекламе и аналитике в целях предоставления услуг Компанией. Наши деловые партнеры могут объединять эту информацию с другой информацией, которую вы предоставляете им или которую они собирают при использовании своих услуг.
В рамках положений национального и международного законодательства, особенно KVKK, компания может передавать обрабатываемые ею персональные данные внутри страны или за рубеж. Это может быть предметом сделок по передаче. В ходе этих операций учитываются статьи 8 и 9 Закона о КВК и Директивы 95/46/EC, а также положения GDPR, отменяющие эту директиву. Компания выполнила условия, предусмотренные вышеупомянутыми статьями закона и директивами в отношении передачи персональных данных внутри страны и за границу.
- Передача персональных данных внутри страны
Компания может передавать обрабатываемые ею данные третьим лицам, получив явное согласие соответствующего лица в рамках полномочий, предоставленных статьями 8 и 9 КВКК и настоящей политикой. Перечисленные ниже основные принципы разъяснены в разделе 2 настоящей Политики в части соблюдения и обеспечения соблюдения Компанией законодательства о защите персональных данных.
Данные, должным образом собранные, сохраненные и обработанные компанией, передаются следующим внутренним третьим лицам для таких целей, как получение услуг технической поддержки и обеспечение безопасности данных, и обрабатываются в рамках явного согласия.
ООО «Гугл Мета Инк» , Microsoft Corporation, Inc. , ООО «Яндекс», а также «Кибер Медиа Информационные Технологии» в рамках деятельности в области цифрового маркетинга .
Тик. ООО ООО
Для передачи персональных данных внутри страны действуют положения других законов.
Если какой-либо Обработчик данных участвует в рамках настоящей Политики данных, положения статьи 8 KVKK применяются к передаче персональных данных между Обработчиком данных и Компанией. Передача данных между сотрудниками, работающими в юридическом лице, и различными подразделениями юридического лица компании, имеющей статус контролера данных, не считается передачей в рамках статьи 8 Закона КВК. Однако передача данных с теми, у кого есть отдельные юридические лица, действующие в качестве партнеров по сотрудничеству или решениям с компанией, рассматривается как передача данных в рамках статей 8 и 9 Закона о КВК и настоящей Политики КВК.
- Передача персональных данных за границу
компании в соответствии с условиями обработки персональных данных согласно статье 9 КВКК;
(1) Наличие адекватной защиты (Страны с адекватной защитой определяются и объявляются Учреждением.)
(2) В случае отсутствия адекватной защиты контролеры данных в Турции и соответствующей зарубежной стране должны обеспечить адекватную защиту в письменной форме и получить разрешение Органа.
(3) Стандартный контракт, объявленный Учреждением, должен быть подписан с компанией и третьей стороной, которой будет предоставлена информация.
или
- Выполнение договора или осуществление преддоговорных мер,
- Заключение или исполнение контракта в интересах соответствующего лица, высших общественных интересов,
- Установление, использование или защита права,
- Это необходимо для защиты жизни или физической неприкосновенности лица или иного лица, которое не может выразить свое согласие в силу фактической невозможности или чье согласие не имеет юридической силы.
- Перенос из реестра, открытого для общественности или лиц с законными интересами
В таких случаях его можно перевести за границу.
- РАЗЪЯСНЕНИЯ ПРИЧИН, ТРЕБУЮЩИХ ХРАНЕНИЯ И УТИЛИЗАЦИИ
Персональные данные, принадлежащие владельцам данных, надежно хранятся Компанией в физических или электронных средах, перечисленных выше, в пределах, указанных в КВКК и другом соответствующем законодательстве, особенно для продолжения коммерческой деятельности, выполнения юридических обязательств, планирования и реализации прав сотрудников и преимущества и управлять отношениями с клиентами.
-
- Пояснения относительно хранения
Персональные данные, обрабатываемые в соответствии с законодательством и настоящей Политикой, могут храниться при следующих условиях.
- Хранение персональных данных, поскольку они напрямую связаны с заключением и исполнением договоров,
- Хранение персональных данных с целью установления, осуществления или защиты права,
- Хранение персональных данных является обязательным для законных интересов Компании при условии, что это не наносит ущерба основным правам и свободам граждан,
- Хранение персональных данных в целях выполнения любых юридических обязательств Компании,
- Хранение персональных данных четко предусмотрено законодательством,
- Для действий по хранению, требующих явного согласия владельцев данных, требуется явное согласие владельцев данных.
- Причины, требующие уничтожения
В соответствии с Регламентом в перечисленных ниже случаях персональные данные владельцев данных удаляются, уничтожаются или обезличиваются Компанией по должности или по запросу.
- Внесение изменений или выполнение соответствующих положений законодательства, которые составляют основу для обработки или хранения персональных данных,
- Устранение цели, требующей обработки или хранения персональных данных,
- Устранение условий, требующих обработки персональных данных, предусмотренных статьями 5 и 6 Закона,
- Отозвать согласие соответствующего лица в случаях, когда обработка персональных данных осуществляется только на основании явного согласия,
- Контроллер данных принимает заявление соответствующего лица об удалении, уничтожении или анонимизации его персональных данных в рамках его прав, предусмотренных пунктами 2 (e) и (f) статьи 11 Закона,
- В случаях, когда контролер данных отклоняет заявление соответствующего лица с просьбой об удалении, уничтожении или анонимизации его персональных данных, его ответ признается недостаточным или он не отвечает в течение срока, предусмотренного Законом; Подача жалобы в Учреждение и одобрение этого запроса Учреждением,
- Несмотря на то, что максимальный срок хранения персональных данных прошел, существуют условия, оправдывающие хранение персональных данных в течение более длительного периода времени.
Компания хранит персональные данные в течение периода, необходимого для целей их обработки, и минимального срока, предусмотренного соответствующим законодательством. При этом Компания сначала определяет, предусмотрен ли соответствующим законодательством срок хранения персональных данных, и если срок определен, действует в соответствии с этим сроком. Если установленного законом срока нет, персональные данные хранятся в течение периода, указанного в таблице выше, который необходим для цели, для которой они обрабатываются. По истечении указанных сроков хранения персональные данные уничтожаются в соответствии с периодами периодического уничтожения или заявлением субъекта данных и указанными способами уничтожения (удаление и/или уничтожение и/или обезличивание).
- ПРАВА СОБСТВЕННИКОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ВЫПОЛНЕНИЕ ИХ ЗАПРОСОВ КОМПАНИЕЙ
Если владельцы данных подают запросы в отношении своих персональных данных Компании в письменной форме или другими способами, определенными Управлением KVK, Компания, как контролер данных, должна обеспечить завершение запроса как можно скорее и в течение тридцати (30) не позднее дней, в соответствии со статьей 13 Закона о КВК, в зависимости от характера запроса осуществляет необходимые процессы для обеспечения. Владельцы данных должны направлять запросы относительно своих персональных данных в соответствии с Коммюнике о процедурах и принципах обращения к Контролеру данных.
В рамках обеспечения безопасности данных компания может запросить информацию для определения того, является ли заявитель владельцем персональных данных, являющихся предметом заявления. Наша компания также может задать вопросы субъекту персональных данных по поводу его заявления, чтобы убедиться, что заявление субъекта персональных данных оформлено в соответствии с запросом.
Заявление владельца данных; В случаях, когда существует возможность ущемления прав и свобод других лиц, это требует несоразмерных усилий или информация общедоступна, запрос может быть отклонен Компанией с объяснением причины.
Права владельцев персональных данных. В соответствии со статьей 11 Закона КВК, обратившись в нашу Компанию, вы можете задать следующие вопросы:
- Чтобы узнать, обрабатываются ли ваши персональные данные или нет,
- Чтобы запросить информацию, если ваши персональные данные были обработаны,
- Чтобы узнать цель обработки ваших персональных данных и используются ли они в соответствии с их целью,
- Чтобы узнать третьих лиц, которым ваши персональные данные передаются внутри страны или за рубежом,
- Требовать исправления ваших личных данных, если они были обработаны не полностью или неправильно, а также требовать, чтобы о действиях, предпринятых в этом контексте, были уведомлены третьи стороны, которым были переданы ваши персональные данные,
- Требовать удаления, уничтожения или анонимизации ваших персональных данных в случае устранения причин, требующих обработки, даже если они были обработаны в соответствии с положениями КВКК и других соответствующих законов, а также требовать, чтобы действия, предпринятые в этом контексте, были уведомлены третьи лица, которым были переданы ваши персональные данные,
- Возражать против возникновения результата против вас путем анализа ваших обработанных данных исключительно с помощью автоматических систем,
- Требовать компенсацию в случае, если вам будет причинен ущерб в результате незаконной обработки ваших персональных данных.
- ТЕХНИЧЕСКИЕ И АДМИНИСТРАТИВНЫЕ МЕРЫ
Компания в рамках адекватных мер, определенных и объявленных Учреждением по специальным персональным данным в соответствии со статьей 12 Закона и абзацем четвертым статьи 6 Закона, в целях безопасного хранения персональных данных, предотвращения незаконной обработки и доступа к персональные данные, а также уничтожить персональные данные в соответствии с законодательством. Компания принимает технические и административные меры.
- Технические меры
- С помощью тестов на проникновение выявляются риски, угрозы, уязвимости и уязвимости, если таковые имеются, в отношении информационных систем нашей Компании и принимаются необходимые меры предосторожности.
- В результате анализа в режиме реального времени с управлением инцидентами ИБ постоянно отслеживаются риски и угрозы, которые могут повлиять на непрерывность работы информационных систем.
- Доступ к информационным системам и авторизация пользователей осуществляется через матрицу доступа и авторизации, а политики безопасности – через корпоративный активный каталог.
- Принимаются необходимые меры предосторожности для физической безопасности оборудования, программного обеспечения и данных информационных систем нашей компании.
- Для обеспечения безопасности информационных систем от угроз окружающей среды используются аппаратные средства (система контроля доступа, позволяющая входить в системное помещение только авторизованному персоналу, система круглосуточного мониторинга сотрудников, обеспечивающая физическую безопасность граничных коммутаторов, образующих локальную вычислительную сеть). , система пожаротушения, система кондиционирования и т. д.) и программное обеспечение (брандмауэры, системы предотвращения атак, контроля доступа к сети, системы блокировки вредоносного ПО и т. д.).
- Выявляются риски для предотвращения неправомерной обработки персональных данных, принимаются соответствующие этим рискам технические меры и осуществляется технический контроль принятых мер.
- В компании установлены процедуры доступа, проводятся отчетные и аналитические исследования относительно доступа к персональным данным.
- Доступ к местам хранения, содержащим персональные данные, фиксируется, а неправомерный доступ или попытки доступа находятся под контролем.
- Компания принимает необходимые меры для обеспечения того, чтобы удаленные персональные данные были недоступны и непригодны для использования соответствующими пользователями.
- В случае, если персональные данные получены другими лицами незаконно, Компания создала подходящую систему и инфраструктуру для уведомления соответствующего лица и Учреждения путем отправки электронного письма на адрес [email protected].
- Отслеживаются уязвимости безопасности, устанавливаются соответствующие исправления безопасности, а информационные системы поддерживаются в актуальном состоянии.
- Надежные пароли используются в электронных средах, где обрабатываются персональные данные.
- Системы безопасного учета (регистрации) используются в электронных средах, где обрабатываются персональные данные.
- Программы резервного копирования данных используются для обеспечения безопасного хранения личных данных.
- Доступ к персональным данным, хранящимся на электронных или неэлектронных носителях, ограничивается по принципам доступа.
- Компания ни при каких обстоятельствах не хранит персональные данные во флэш -памяти, USB-накопителе, Банке данных и аналогичных портативных системах, а также не допускается передача существующих персональных данных в такие портативные системы.
- Определены полномочия пользователей, имеющих доступ к данным сотрудников, участвующих в специальных процессах обработки персональных данных.
- Электронные среды, в которых обрабатываются, хранятся и/или доступны специальные персональные данные, защищены криптографическими методами, криптографические ключи хранятся в безопасных средах, все записи транзакций протоколируются, обновления безопасности сред постоянно отслеживаются, необходимые тесты безопасности проводятся регулярно. , результаты испытаний записываются.
- Принимаются адекватные меры безопасности для физических сред, где обрабатываются, хранятся и/или доступны специальные персональные данные, а несанкционированный вход и выход предотвращается путем обеспечения физической безопасности.
-
- Административные меры
Административные меры, принимаемые компанией в отношении обрабатываемых ею персональных данных, перечислены ниже:
- В целях повышения квалификации работников проводится обучение по вопросам предотвращения незаконной обработки персональных данных, предотвращения неправомерного доступа к персональным данным, обеспечения сохранности персональных данных, средств связи, технических знаний и навыков, Закона № 657 и иного соответствующего законодательства. .
- Сотрудники обязаны подписывать соглашения о конфиденциальности в отношении деятельности, осуществляемой компанией.
- Для сотрудников, не соблюдающих политики и процедуры безопасности, подготовлено дисциплинарное взыскание.
- Прежде чем приступить к обработке персональных данных, Компания выполняет свои обязательства по информированию соответствующих лиц.
- Подготовлена опись обработки персональных данных.
- Внутри компании проводятся периодические и выборочные проверки.
- Для сотрудников проводится обучение по информационной безопасности.
- Для обеспечения безопасности конфиденциальных персональных данных определена отдельная политика.
- Проведено обучение по вопросам специальной безопасности персональных данных для сотрудников, участвующих в специальных процессах обработки персональных данных, подписаны соглашения о конфиденциальности в области специальной безопасности персональных данных.
- МЕТОДЫ УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
По истечении срока, предусмотренного соответствующим законодательством, или срока хранения, необходимого для цели их обработки, персональные данные уничтожаются Компанией по должности или по заявлению соответствующего лица с использованием способов, указанных ниже, в соответствии с соответствующим законодательством.
-
- Удаление персональных данных
Среда записи данных |
Объяснение |
Персональные данные на серверах |
Для персональных данных |