Политика Защиты И Обработки Персональных Данных

Цель

Целью настоящей этой политики является:

• Описание методов, принятых компанией BLUE WATERS CLUB (АПОЛЛОН ТУРИЗМ САНАЙИ ВЕ ТИДЖАРЕТ А.Ш.) (АО) (Компания) для обеспечения защиты персональных данных, и действий по обработке персональных данных в соответствии с положениями Закона о защите персональных данных № 6698 (ЗЗПД) в рамках любого рода деятельности, осуществляемой со стороны Компании.
• Обеспечение прозрачности процессов путем информирования всех лиц, чьи персональные данные обрабатываются Компанией, в частности административных должностных лиц, сотрудников, клиентов, кандидатов на должность, поставщиков, посетителей Компании, сотрудников учреждений и третьих лиц, с которыми Компания сотрудничает, о принципах, принятых Компанией, и системах, сформированных в целях обеспечения защиты персональных данных.

ОБЛАСТЬ ПРИМЕНЕНИЯ

Действие политики распространяется на все персональные данные, обрабатываемые в рамках рабочих процессов Компании автоматическими способами или неавтоматическими, но непременно являющимися частью какой-либо системы регистрации данных, и принадлежащие всем лицам, чьи персональные данные обрабатываются Компанией, в частности административным должностным лицам, сотрудникам, клиентам, кандидатам на должность, поставщикам, посетителям Компании, сотрудникам учреждений и третьим лицам, с которыми Компания сотрудничает.

Полномочия и обязанности

Все сотрудники, внешние поставщики услуг и другие лица, хранящие и обрабатывающие персональные данные в компании, несут ответственность за соблюдение требований, применяемых и установленных законом, директивой и политикой в отношении процессов уничтожения данных.
Каждое бизнес-подразделение обязано хранить и защищать данные, полученные в рамках реализации собственных бизнес-процессов.
Решения в отношении уничтожения персональных данных, способного повлиять на бизнес-процессы, вызвать нарушение целостности данных, потерю данных и последствия, противоречащие правовым нормам, принимаются со стороны соответствующего руководителя или назначенной им команды, с учетом типа персональных данных, систем, в которые таковые данные включены, и категории бизнес-подразделений, выполняющих обработку данных.
Лицом, ответственным за вручение, принятие и регистрацию в реестре уведомлений и переписки между Ответственным за персональные данные и Советом по защите персональных данных, является контактное лицо Ответственного за персональные данные.

ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

КОМПАНИЯ: BLUE WATERS CLUB (АПОЛЛОН ТУРИЗМ САНАЙИ ВЕ ТИДЖАРЕТ А.Ш. (АО))
Четковыраженное согласие: Согласие, относящееся к определенному вопросу, основанное на информировании, и предоставленное по свободной воле соответствующего лица.
Соответствующий / авторизованный пользователь: Лица, осуществляющие обработку персональных данных, в пределах организации Ответственного за персональные данные, или на основании полномочий и в рамках распоряжений Ответственного за персональные данные, кроме лиц или подразделений, ответственных за осуществление технических действий по хранению, защите и резервированию данных.
Уничтожение: Все действия по удалению, уничтожению и анонимизации персональных данных.
Закон: Закон «о Защите Персональных Данных» Номер 6698
Среда записи: Любого рода среда, в которой находятся персональные данные, обрабатываемые неавтоматическими способами, при условии, что таковые являются частью какой-либо полностью или частично автоматической или какой-либо другой системы записи данных.
Персональные данные: Любого рода данные, относящиеся к идентифицированному или идентифицируемому физическому лицу.
Обработка персональных данных: Любое действие с данными, такое как получение, регистрация, хранение, изменение, форматирование, раскрытие, передача, приведение в состояние готовности к использованию, классификация или предотвращение использования автоматически или другими неавтоматическими способами, при условии, что таковые являются частью какой-либо автоматической системы записи данных.
Анонимизация персональных данных: Приведение персональных данных в состояние, в котором таковые, даже в сочетании с другими данными, никоим образом не могут быть увязаны или отнесены к идентифицированному или идентифицируемому физическому лицу.
Удаление персональных данных: Приведение персональных данных в состояние, в котором соответствующие/авторизованные пользователи не смогут получить к ним доступ и использовать повторно.
Уничтожение персональных данных: Приведение персональных данных в состояние, в котором никто не сможет получить к таковым доступ, восстановить и использовать повторно.
Совет: Совет по защите персональных данных.
Персональные данные особого рода: данные, касающиеся расы, этнической принадлежности, политических взглядов, философских убеждений, религии и иных верований, стиля и манеры одеваться, членства в фонде, обществе или профсоюзе, здоровья, половой жизни, судимости и мер безопасности, а также биометрические и генетические данные.
Периодическое уничтожение данных: Удаление, уничтожение или анонимизация персональных данных, в обязательном порядке осуществляемые с периодичностью, установленной положениями политики в отношении хранения и уничтожения персональных данных, в случае, если все обязательные условия для обработки персональных данных, определенные положениями закона, прекратили свое действие.
Владелец данных/заинтересованное лицо: физическое лицо, чьи персональные данные обрабатываются.
Обрабатывающий данные: физическое или юридическое лицо, осуществляющее обработку персональных данных от имени Ответственного за персональные данные на основании предоставленных ему соответствующих полномочий.
Ответственный за данные: Физическое или юридическое лицо, определяющее цели и средства обработки персональных данных, отвечающее за установку и управление системой записи данных.
Директива: «Свод правил, касающихся удаления, уничтожения и анонимизации персональных идентифицирующих данных», опубликованный в Официальной Газете 28 октября 2017 года.

Политика защиты и обработки персональных данных

Компания, посредством оформления и публикации политики четко раскрывает информацию о необходимых мерах и процессах, реализуемых для защиты и обработки персональных данных. В случаях, когда данная политика несовместима с положениями соответствующих законов и нормативных актов или не соответствует актуальным нормам законодательства, Компания соглашается и обязуется соблюдать действующее законодательство в данном вопросе. Данная политика обновляется в соответствии с изменениями в законах, директивах и нормативных актах.

Обеспечение безопасности личных данных

Компания принимает все необходимые технические и административные меры для обеспечения надлежащего уровня безопасности, требуемого для защиты персональных данных.
Меры предосторожности, предусмотренные положениями 1 пункта 12 статьи ЗЗПД, принимаются в нижеуказанных целях:

• С целью предотвратить незаконную обработку персональных данных,
• С целью предотвратить незаконный доступ к персональным данным,
• С целью обеспечения защиты персональных данных,

Меры, принимаемые компанией для обеспечения безопасности персональных данных, подробно описаны в подпунктах ниже.

Административные меры

Компания, обеспечивает занятость знающих и опытных специалистов для обеспечения безопасности данных, и проводит для персонала необходимые тренинги в целях повышения осведомленности таковых в области информационной безопасности и защиты персональных данных.
Компанией принимаются необходимые административные меры для обеспечения безопасности персональных данных и проводятся проверки соблюдения сотрудниками данных мер. Компанией предоставляется право доступа и авторизация в рамках требований соблюдения правовых норм, определенных для каждого бизнес-подразделения, на уровне, который не приведет к нарушению бизнес-процессов. Сотрудникам подразделений информационных технологий предоставляются права доступа к персональным данным, и устанавливаются правила в отношении доступа к данным. Сотрудников информируют о том, что таковые не вправе раскрывать полученные ими персональные данные кому-либо в нарушение положений Закона о ЗПД, не вправе использовать данные для других целей, кроме установленных целей обработки, и что они несут ответственность в данном вопросе даже после увольнения с работы. В данном контексте, сотрудники подписывают соответствующие обязательства. В отношении предоставления персональных данных третьим лицам, с лицами, которым предоставляются персональные данные подписывается рамочный договор, или же безопасность данных обеспечивается путем добавления соответствующих положений в договор. Третьи лица, которым передаются персональные данные, признают положения о том, что обязуются принимать необходимые меры безопасности для защиты персональных данных и обеспечивать соблюдение этих мер в их собственных организациях. В случае, если будет установлено, что обрабатываемые персональные данные незаконным образом были получены третьими лицами, несмотря на принятые меры, ответственный за данные уведомляет заинтересованное лицо и Совет по защите персональных данных о данном факте. Проводится расследование того, каким образом персональные данные были получены третьими лицами. Компания применяет необходимые административные меры для устранения выявленных недостатков, а в случае необходимости принимает меры технического характера.

Технические меры

Компания производит необходимый внутренний контроль установленных систем. Осуществляется управление процессами анализа рисков, классификации данных, оценки рисков информационной безопасности и анализа воздействия на рабочий процесс в рамках установленных систем. В рамках данных процессов принимаются технические меры, соответствующие достижениям технологической мысли. Осуществляются инвестиции в инфраструктуру, приемлемую для разрабатываемых технологий.
Обеспечивается установка программного обеспечения и оборудования, включающего антивирусные системы и брандмауэры. Используются актуальные версии систем с внедренными мерами защиты от известных несовершенств системы. Обеспечивается контроль полномочий доступа к персональным данным, предоставленных сотрудникам подразделений информационных технологий.
Обеспечивается защита физических сред, в которых хранятся персональные данные, обрабатываемые в компании, с принятием необходимых физических мер безопасности от кражи и утери данных. Аналогичным образом, среды, содержащие персональные данные, помещены под защиту от внешних рисков (пожар, наводнение, землетрясение и т. д.) с определением соответствующих методов. Входы и выходы на территорию данных помещений, подлежат строгому контролю и учету. Серверы, содержащие персональные данные, хранятся в системном помещении компании. Приняты меры физической безопасности системного помещения.
Пароли, используемые для доступа к системе, приложению, базе данных и прочим конструктивным элементам, в среде которых размещаются персональные данные, генерируются при помощи сложного алгоритма, и системы работают исключительно в данном режиме.
Устанавливаются права доступа и авторизации в соответствии с требованиями законодательства, определяемые для каждого бизнес-подразделения. Проверяется соответствие фактов доступа параметрам авторизации. Информация, полученная в результате проверки безопасности систем, в виде отчета предоставляется заинтересованным лицам.
Посредством выявления представляющих опасность аспектов, принимаются необходимые технические меры. Для поддержания безопасности персональных данных, обеспечивается информированность о необходимости становления технических мер частью корпоративной культуры как постоянно реализуемой модели. Контроль принимаемых мер обеспечивает их постоянство.

Проверки устойчивости процессов защиты персональных данных

Компания проводит необходимые проверки и контрольные процедуры процессов защиты данных в соответствии со статьей 12 Закона о ЗПД.
Регулярно выполняются тесты на проникновение в системы на предмет технических пробелов в работе таковых. Системы регулярно контролируются при помощи информационных технологий. Кроме того, отслеживаются системные трассировки для обеспечения защиты от кибератак. Принимаются необходимые технические и административные меры в отношении данных, сгенерированных системами предупреждения, и результатов, выявленных посредством мониторинга систем в рамках аудита систем управления.

Меры, принимаемые в случае несанкционированного раскрытия персональных данных

Компания информирует соответствующего владельца персональных данных и Совет по ЗПД в случае несанкционированного раскрытия персональных данных, обрабатываемых в соответствии со статьей 12 Закона о ЗПД.
В случае, если Совет по ЗПД сочтет это необходимым, объявление о данном факте публикуется на сайте Совета по ЗПД, или другим способом.

Меры, применяемые для обеспечения защиты персональных данных третьими лицами

При заключении договоров компании с третьими лицами обеспечивается взаимная договоренность сторон договора о включении в него положений о санкциях, для предотвращения незаконной обработки персональных данных, предотвращения незаконного доступа к данным и обеспечения сохранности данных. До передачи данных третьим лицам с таковыми подписывается соглашение о конфиденциальности. Необходимая информация предоставляется третьим лицам для повышения их осведомленности.

Меры, применяемые для защиты персональных данных особого рода

В отношении персональных данных особого рода надлежит принимать меры, адекватные и приемлемые как с точки зрения характера таких данных, так и в связи с тем, что таковые могут стать причиной проявления виктимизации или дискриминации. Статьей 6 Закона о ЗПД некоторые персональные данные, которые при незаконной их обработке могут стать причиной нанесения ущерба владельцам или дискриминации таковых, определены как «данные особого рода».
Среди такового рода данных можно перечислить биометрические и генетические данные, сведения о расе, этнической принадлежности, политических взглядах, философских убеждениях, религии, принадлежности к секте или других убеждениях, манере одеваться, членстве в ассоциациях, фондах или профсоюзах, информацию о здоровье, сексуальной жизни, фактах уголовного осуждения и применяемых мерах безопасности.
Компания принимает необходимые меры предосторожности для защиты персональных данных особого рода, как это определено Законом о ЗПД, обрабатываемых в соответствии с законом. В рамках принимаемых технических и административных мер по защите персональных данных, особая щепетильность проявляется в отношении персональных данных особого рода.
Компания обрабатывает персональные данные особого рода при условии получения одобрения применяемых мер со стороны Совета по ЗПД. Перед обработкой специальных персональных данных необходимо получить явновыраженное согласие владельца данных. В случае не предоставления владельцем данных четковыраженного согласия, персональные данные могут обрабатываются исключительно в рамках полномочий, предоставленных нормами закона, и в соответствии с нижеуказанными критериями.

• В случаях, предусмотренных законом, допускается обработка персональных данных особого рода, за исключением данных о здоровье и половой жизни владельца персональных данных,
• Персональные данные, касающиеся здоровья и половой жизни граждан же допускаются к обработке только в целях защиты общественного здоровья, оказания профилактических медицинских услуг, услуг диагностирования, лечения и ухода, планирования и управления услугами в области здравоохранения и финансирования, и только со стороны лиц, обязавшихся сохранять секретность таковых или со стороны уполномоченных учреждений и организаций.

Формирование осведомленности для обеспечения защиты персональных данных

Для того, чтобы предотвратить незаконную обработку персональных данных, незаконный доступ к персональным данным, а также повысить осведомленность в вопросах защиты персональных данных, бизнес-подразделениям предоставляется вся необходимая информация, проводятся семинары и учебные мероприятия. На официальном сайте нашей организации опубликована «Политика защиты и обработки персональных данных». Положения политики доведены до сведения всех сотрудников нашей организации.
В случае внесения каких-либо изменений в соответствующем законе, директиве или нормативных актах, политика пересматривается, актуализируется и вновь доводится до сведения сотрудников.

Принципы обработки персональных данных

Принципы обработки персональных данных определены в пункте 2 статьи 4 Закона о ЗПД. Компания обрабатывает персональные данные в соответствии с установленными принципами.
Обработка персональных данных осуществляется в соответствии со следующими принципами:

• Соблюдение норм закона и правил добросовестности
• Соблюдение точности и актуальности данных при необходимости.
• Обработка для конкретных, четковыраженных и законных целей.
• Сочетаемость, ограниченность и измеряемость целью обработки.
• Хранение данных в течение срока, предусмотренного действующим законодательством, или в течение другого срока, необходимого в целях обработки.

Условия обработки персональных данных

Как юридическое учреждение, компания обрабатывает большую часть персональных данных, пользуясь полномочиями, обязательными в рамках юридических обязательств и необходимых для защиты общественного порядка. В соответствии со статьей 5/2 Закона о ЗПД обработка данных без получения явновыраженного согласия допускается при обеспечении исполнения нижеследующих условий:

• Четкое описание в законе.
• Обязательство защищать жизнь или неприкосновенность личности лица, которое не имеет физической возможности выразить свое согласие или чье согласие не действительно с юридической точки зрения, или же другого лица.
• Необходимость обработки персональных данных стороны договора, при условии, что таковая имеет непосредственное отношение к установлению договорных отношений или исполнению таковых.
• Обязанность ответственного за персональные данные выполнять свои юридические обязательства.
• Разглашение персональных данных самим заинтересованным лицом.
• Обязательная обработка данных, необходимая для установления, реализации или защиты права.
• Наличие необходимости обязательной обработки данных в законных интересах ответственного за персональные данные, при условии не нанесения данными действиями вреда основным правам и свободам заинтересованного лица.

В иных случаях Компания обрабатывает персональные данные только с явного согласия владельцев данных.

Уничтожение персональных данных

Компания уничтожает полученные персональные данные, если их использование не является обязательным, по запросу владельцев персональных данных, в связи с юридическими обязательствами и для защиты общественного порядка. Личные данные, принадлежащие владельцам данных, уничтожаются на основании решения, которое должно быть принято организацией в случае прекращения действия условий обработки, для возможности продолжения обслуживания, исполнения юридических обязательств, планирования прав сотрудников и их дополнительных льгот.

Передача персональных данных лицам, находящимся в пределах страны

В отношении вопросов передачи персональных данных третьим лицам, без ущерба для положений других законов, компания с особой тщательностью соблюдает условия, изложенные в ЗЗПД. В этом контексте персональные данные не передаются третьим лицам без явного согласия владельца данных. Однако, при наличии одного из следующих условий, регулируемых ЗЗПД, личные данные, могут быть переданы без получения явного согласия владельца данных:

• Наличие четкого прописанного положения в законе,
• Наличие объективной необходимости защищать жизнь или неприкосновенность личности лица, которое не имеет физической возможности выразить свое согласие или чье согласие не действительно с юридической точки зрения, или же другого лица.
• Наличие необходимости обработки персональных данных стороны договора, при условии, что таковая имеет непосредственное отношение к установлению договорных отношений или исполнению договора.
• Обязанность ответственного за персональные данные выполнять свои юридические обязательства,
• Разглашение персональных данных самим заинтересованным лицом.
• Наличие необходимости обработки данных для установления, реализации или защиты права,
• Наличие необходимости обязательной обработки данных в законных интересах ответственного за персональные данные, при условии не нанесения данными действиями вреда основным правам и свободам владельца данных.

При условии наличия четкого указания в законе и принятия соответствующих мер предосторожности, также могут передаваться данные особого рода, кроме данных о здоровье и сексуальной жизни. Персональные данные о здоровье и сексуальной жизни, могут передаваться без получения явновыраженного на то согласия только в нижеследующих целях:

• Защита общественного здоровья,
• Профилактическая медицина,
• Медицинская диагностика,
• Оказание услуг по лечению и уходу,
• Планирование и управление финансированием и медицинским обслуживанием.

При передаче персональных данных особого рода соблюдаются условия, указанные в условиях обработки таких данных.

Передача персональных данных лицам, находящимся за рубежом

Для передачи персональных данных лицу или лицам, находящимся за рубежом, компания в обязательном порядке получает явновыраженное согласия на это владельца данных согласно ЗЗПД. Однако, при наличии условий, разрешающих обработку персональных данных, включая особые персональные данные, без явного согласия владельца данных, при условии обеспечения достаточной степени защиты данных в стране, куда таковые будут переданы, такие данные могут быть переданы нашей организацией за границу, без получения явновыраженного согласия их владельца. В случае, если страна, куда планируется передать данные, не указана Советом как страна с достаточным уровнем защиты данных, наша организация и ответственный за данные/лицо, обрабатывающее данные на территории иностранного государства, дают письменное обязательство об обеспечении достаточного уровня защиты таковых.
Компания не передает персональные данные за рубеж, и не хранит персональные данные на серверах, находящихся в зарубежных странах.

Права владельца персональных данных

Права владельцев данных, вытекающие из Закона о защите персональных данных, перечислены в статье 11 соответствующего закона и изложены ниже:
Статья 11- (1) Каждый, посредством обращения к Ответственному за данные, вправе;

• Быть информированными в отношении того, обрабатываются ли их персональные данные,
• Запрашивать информацию, в случае если персональные данные были обработаны,
• Узнавать о цели обработки персональных данных, а также о том, использованы ли таковые в соответствии с этой целью,
• Обладать информацией о третьих лицах внутри страны или за рубежом, которым передаются персональные данные,
• Требовать исправления персональных данных, если при их обработке были допущены ошибки или неточности,
• Требовать удаления или уничтожения персональных данных в рамках условий, предусмотренных в статье 7 закона,
• Требовать информирования третьих лиц, которым были переданы персональные данные в процессе выполнения действий, описанных в пункте (d) и (e),
• Заявлять претензию в случае возникновения негативных для вас, как владельца данных, последствий в результате анализа обрабатываемых данных посредством исключительно автоматических систем,
• Требовать возмещения и устранения ущерба, нанесенного вам в результате обработки персональных данных с нарушением положений законодательства,

Права, упомянутые в вышеуказанных статьях, могут быть реализованы путем заполнения «Формы заявки владельца персональных данных». В рамках соблюдения закона, ниже представлена контактная информация ответственного за данные и контактного лица, ответственного за данные:

Ответственный за персональные данные : BLUE WATERS CLUB (АПОЛЛОН ТУРИЗМ САНАЙИ ВЕ ТИДЖАРЕТ А.Ш. (АО))
Контактное лицо, ответственное за персональные данные: Сотрудник отдела информационных технологий

Обязательства по информированию и разъяснению

В рамках статьи 10 ЗЗПД владельцы данных должны быть проинформированы по вопросам обработки персональных данных до или не позднее, чем во время получения персональных данных. Информация, которая должна быть предоставлена владельцам данных в рамках упомянутого обязательства по раскрытию, включает:

• Документ, удостоверяющий личность ответственного за персональные данные и его представителя, если имеется,
• Информацию о цели обработки персональных данных,
• Информацию о том, кому и с какой целью будут направляться обрабатываемые персональные данные,
• Информацию о методе и правовом обосновании сбора персональных данных,
• Информацию об иных правах, перечисленных в статье 11 ЗЗПД.

При этом, в рамках положений статьи 28 (1) ЗЗПД, обязательство по раскрытию информации не действительно в нижеследующих случаях:

• Обработка персональных данных физическими лицами в рамках действий, связанных с ними самими или членами их семей, проживающими с ними в одном месте, при условии, что таковые не передаются третьим лицам и в отношении обеспечения безопасност данных соблюдаются все необходимые обязательства,
• Обработка персональных данных для таких целей, как ведение официальной статистики, исследование, планирование и статистический учет, путем их анонимизации,
• Обработка персональных данных в художественных, исторических, литературных или научных целях или в рамках свободы выражения мнения, при условии, что это не вредит национальной обороне, национальной безопасности, общественной безопасности, на нарушает общественный порядок, экономическую безопасность, неприкосновенность частной жизни или личные права или не является составом преступления,
• Обработка персональных данных в рамках превентивных, защитных и разведывательных мероприятий, осуществляемых государственными учреждениями и организациями, уполномоченными законом отвечать за национальную оборону, национальную безопасность, общественную безопасность, общественный порядок или экономическую безопасность.
• Обработка личных данных судебными или исполнительными органами в связи с расследованием, уголовным преследованием, судебным разбирательством или исполнительным производством.

Условия для удаления, уничтожения и анонимизации персональных данных

Компания удаляет, уничтожает или анонимизирует полученные персональные данные, если их использование не является обязательным, по запросу владельцев персональных данных, в связи с юридическими обязательствами и для защиты общественного порядка.