Skip to Content
Go back
BAS-IP / МЕМОРАНДУМ О СООТВЕТСТВИИ ТРЕБОВАНИЯМ В ОБЛАСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Мы привержены сильным и инновационным практикам защиты данных, чтобы каждый клиент мог быть уверен, что его персональные данные обрабатываются безопасно и надежно.

BAS-IP DISTRIBUTION LTD (далее – Компания или BAS-IP) подготовила данный меморандум для наших клиентов относительно нашего соответствия применимому законодательству о защите данных, включая Общий регламент защиты данных Великобритании (UK GDPR) и Общий регламент защиты данных ЕС (GDPR). Ниже мы ознакомим вас с нашей деятельностью в отношении соблюдения требований по защите персональных данных.

ОПРЕДЕЛЕНИЯ

  • «UK GDPR» означает Общий регламент защиты данных Великобритании (UK General Data Protection Regulation) в том виде, в каком он включен в законодательство Великобритании в соответствии с Законом о защите данных 2018 года, а также другое применимое законодательство Великобритании о защите данных и конфиденциальности.
  • «GDPR» означает Общий регламент защиты данных (Regulation (EU) 2016/679) и любое связанное с ним законодательство о защите данных и конфиденциальности, применимое в Европейском Союзе и Европейской экономической зоне.
  • Персональные данные (Personal data) означают любую информацию, относящуюся к идентифицированному или поддающемуся идентификации физическому лицу.
  • Субъект данных (Data subject) означает поддающееся идентификации физическое лицо, которое может быть идентифицировано, прямо или косвенно.
  • Контролер (Controller) означает физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.
  • Обработчик (Processor) означает физическое или юридическое лицо, государственный орган, учреждение или другой орган, который обрабатывает персональные данные от имени контролера.
  • Субобработчик (Subprocessor) означает физическое или юридическое лицо, нанятое обработчиком, которое осуществляет обработку персональных данных от имени контролера.
  • Обработка (Processing) означает любую операцию или набор операций, которые выполняются с персональными данными или наборами персональных данных, независимо от того, автоматизированными средствами или нет, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, поиск, консультация, использование, раскрытие путем передачи, распространения или иного предоставления доступа, выравнивание или комбинирование, ограничение, стирание или уничтожение.

О BAS-IP

BAS-IP разрабатывает и производит IP-домофоны, системы контроля доступа и системы связи, являясь ведущим игроком в этой области. Более подробную информацию о нашей деятельности вы можете найти на сайте: https://bas-ip.com/.

В ходе своей деятельности Компания может собирать, получать доступ или иным образом обрабатывать персональные данные, относящиеся к различным категориям субъектов данных: клиентам и пользователям, сотрудникам, подрядчикам и другим субъектам данных. В ходе такой обработки Компания обязуется принимать все необходимые меры и следовать соответствующим политикам, процедурам и другой документации по защите персональных данных для обработки персональных данных в соответствии с применимым законодательством и передовыми практиками.

Роли при обработке персональных данных

BAS-IP может выполнять различные роли в соответствии с UK GDPR и GDPR:

  • В качестве контролера Компания определяет цели и средства обработки персональных данных, например, при общении с клиентами и посетителями веб-сайта, в маркетинговой деятельности, связанной с обработкой персональных данных, и т. д.
  • В качестве обработчика Компания может обрабатывать персональные данные по указанию нашего клиента, выступающего в качестве контролера, или от имени соответствующего контролера.
  • При обработке персональных данных в качестве обработчика мы можем привлекать сторонних поставщиков услуг, которые будут выступать в качестве субобработчиков
При обработке персональных данных в ходе предоставления услуг своим клиентам, Компания выступает в качестве обработчика и соблюдает применимые требования UK GDPR и GDPR, а также соответствующие договорные обязательства между Компанией и клиентом.

BAS-IP И ЗАЩИТА ДАННЫХ

BAS-IP стремится соблюдать самые высокие стандарты защиты данных и применимое законодательство о защите персональных данных.

Вся деятельность, связанная с обработкой персональных данных, осуществляется в соответствии с внутренней документацией, регулирующей обработку персональных данных.

Компанией применяются следующие меры по защите персональных данных:

Регулярный пересмотр документации по защите персональных данных и внесение необходимых изменений в нашу документацию и деятельность

Регулярный пересмотр и обновление внутренней документации по защите персональных данных является неотъемлемой частью стратегии Компании для обеспечения соответствия требованиям UK GDPR, GDPR и других нормативных актов в области защиты персональных данных.

Соответствующая внутренняя документация и принятые политики и процедуры, в частности, касающиеся запросов субъектов данных, уведомления о нарушениях персональных данных, оценки соответствия третьих сторон, участвующих в обработке персональных данных, и т. д., периодически обновляются или дополняются по мере необходимости, в частности, в случае изменения законодательства или внедрения новых видов деятельности по обработке персональных данных.

Кроме того, ведется учет деятельности по обработке персональных данных, который включает ведение записей об обработке персональных данных (RoPA), а также при необходимости проводится оценка воздействия на защиту данных (DPIA) и оценка законного интереса (LIA).

Таким образом, поддерживая свою документацию по защите персональных данных в актуальном состоянии, Компания обеспечивает высокий уровень защиты персональных данных и постоянное соответствие законодательству.

Соблюдение требований по защите прав субъектов данных

Политика конфиденциальности Компании, которая находится в открытом доступе на ее веб-сайте, предоставляет клиентам и другим субъектам данных информацию о целях, для которых могут обрабатываться персональные данные, о том, как и какие конкретные персональные данные могут обрабатываться, а также информацию об их правах в соответствии с применимыми законами о защите персональных данных, включая порядок осуществления этих прав.

Кроме того, Компанией принята Процедура обработки запросов и жалоб, которая содержит порядок реагирования на запросы субъектов данных и их права в соответствии с UK GDPR и GDPR.

Компания обязуется оказывать всю необходимую поддержку клиенту в контексте реагирования на запросы субъектов данных, чьи данные обрабатываются Компанией в качестве обработчика, в соответствии с положениями UK GDPR, GDPR и договорными обязательствами между Компанией и клиентом.

Соблюдение лучших стандартов и практик технической и организационной безопасности

Компания внедрила технические и организационные меры для обеспечения безопасности персональных данных. Во внутренней документации Компании четко определены технические и организационные меры, применяемые при обработке персональных данных:

  • разработана и принята документация, регламентирующая информационную безопасность, а также постоянно отслеживаются события информационной безопасности и обеспечивается своевременное реагирование на инциденты;
  • внедрены меры защиты для ограничения доступа к персональным данным, такие как контроль доступа к персональным данным, в частности, посредством использования персонализированных учетных записей, контроль требований к длине и сложности паролей учетных записей, а также защита сетевого доступа для снижения риска сетевых атак; проверка соответствия физических центров обработки данных, где хранятся данные, требованиям безопасности; многофакторная аутентификация и аутентификация пользователей при авторизации, а также настройка и применение разрешений на доступ к данным, регулярный пересмотр существующих прав доступа и т. д.;
  • используются технологии шифрования при хранении и обработке персональных данных с использованием облачных технологий и устанавливаются требования к использованию только актуальных и надежных криптографических протоколов, алгоритмов, наборов шифров, ключей шифрования и подходов к управлению ключами;
  • регулярно пересматриваются резервные копии персональных данных для определения того, соответствует ли их хранение оперативным требованиям и юридическим обязательствам;
  • принимаются другие организационные меры безопасности, включая внедрение политики разделения ролей и обязанностей, регулярное обновление соответствующих политик и процедур, мониторинг выполнения обязанностей и демонстрацию готовности к сотрудничеству с соответствующими государственными органами. Меры безопасности персонала, реализованные Компанией, включают проверку биографических данных сотрудников в некоторых случаях, повышение осведомленности сотрудников по вопросам информационной безопасности и мониторинг такой осведомленности, а также проведение программ обучения и профессионального развития;
  • постоянно отслеживаются изменения в законодательстве и внедряются передовые практики в области защиты персональных данных в соответствии со стандартами кибербезопасности, руководствами, рекомендациями надзорных органов по защите персональных данных и Управления Комиссара по информации (ICO).

Компания соблюдает все политики и процедуры для обеспечения безопасности защиты персональных данных, регулярно проверяет их актуальность и обеспечивает своевременный пересмотр.

Регулярная проверка третьих сторон

Все третьи стороны, участвующие в обработке персональных данных, проверяются с использованием внутренней регламентированной процедуры оценки соответствия третьих сторон. В частности, такие проверки оценивают наличие соответствующей документации, касающейся обработки персональных данных, а также наличие и эффективность технических и организационных мер безопасности, реализованных для защиты персональных данных от несанкционированного доступа, потери или нарушения целостности.

Безопасная передача персональных данных

При оказании услуг Компания может передавать персональные данные за пределы Соединенного Королевства, например, в Соединенные Штаты и Украину.

Для обеспечения безопасности и соблюдения законодательных требований к передаче персональных данных заранее проводится оценка. Кроме того, регулярно осуществляется внутренний мониторинг для обеспечения соответствия законодательным требованиям и практикам Соединенных Штатов, Украины и, при необходимости, других стран, в которые передаются персональные данные, стандартам и практикам защиты персональных данных Великобритании и ЕС. Помимо этого, тщательно проверяются меры безопасности, принимаемые импортерами данных, в частности, путем подписания соответствующей документации, регулирующей защиту персональных данных.

Когда Компания передает персональные данные, подпадающие под действие UK GDPR и/или GDPR, она заключает Соглашение об обработке данных (DPA) со своими контрагентами. Такие соглашения включают соответствующие механизмы передачи, в том числе Стандартные договорные положения ЕС (SCCs) вместе с Дополнением Великобритании (UK Addendum) или Международное соглашение о передаче данных (IDTA).

Регулярное обучение

Компания регулярно организует обучение для своих сотрудников и подрядчиков по вопросам соблюдения требований UK GDPR и GDPR, а также защиты персональных данных. Темы, рассматриваемые на обучении, включают, среди прочего, общие требования UK GDPR, GDPR и других применимых законов о защите персональных данных, роли в обработке, принципы обработки персональных данных, основания для обработки, обеспечение прав субъектов данных и вопросы защиты персональных данных.

Кроме того, Компания также приняла необходимую документацию и внедрила соответствующие меры для обеспечения обучения и повышения осведомленности сотрудников в области защиты данных.

НАШИ КОНТАКТЫ

Если у вас возникнут дополнительные вопросы относительно защиты персональных данных в BAS-IP, пожалуйста, свяжитесь с нами по электронной почте: [email protected].

С уважением,

BAS-IP DISTRIBUTION LTD