Skip to Content
Go back
BAS-IP / МЕМОРАНДУМ ПРО ВІДПОВІДНІСТЬ ВИМОГАМ ЩОДО ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

Ми дотримуємося рішучих та інноваційних практик захисту даних, щоб кожен клієнт міг бути впевнений, що його персональні дані обробляються безпечно та надійно.

BAS-IP DISTRIBUTION LTD (Компанія або BAS-IP) підготувала цей меморандум для наших клієнтів щодо нашої відповідності застосовному законодавству про захист даних, включаючи Загальний регламент захисту даних Великої Британії (UK GDPR) та Загальний регламент захисту даних ЄС (GDPR). Нижче ми ознайомимо вас з нашою діяльністю щодо дотримання вимог із захисту персональних даних.

ВИЗНАЧЕННЯ

  • «UK GDPR» означає Загальний регламент захисту даних Великої Британії, інкорпорований у законодавство Великої Британії згідно з Законом про захист даних 2018 року, разом з іншим застосовним законодавством Великої Британії про захист даних та конфіденційність.
  • «GDPR» означає Загальний регламент захисту даних (Регламент (ЄС) 2016/679) та будь-яке пов’язане з ним законодавство про захист даних і конфіденційність, що застосовується в межах Європейського Союзу та Європейської економічної зони.
  • Персональні дані (Personal data) означають будь-яку інформацію, що стосується ідентифікованої або такої, що може бути ідентифікована, фізичної особи.
  • Суб’єкт даних (Data subject) означає фізичну особу, яка може бути ідентифікована, прямо чи опосередковано.
  • Контролер (Controller) означає фізичну чи юридичну особу, державний орган, установу чи інший орган, який самостійно або спільно з іншими визначає цілі та засоби обробки персональних даних.
  • Обробник (Processor) означає фізичну чи юридичну особу, державний орган, установу чи інший орган, який обробляє персональні дані від імені контролера.
  • Субобробник (Subprocessor) означає фізичну чи юридичну особу, залучену обробником, яка здійснює обробку персональних даних від імені контролера.
  • Обробка (Processing) означає будь-яку операцію або набір операцій, що здійснюються з персональними даними або наборами персональних даних, незалежно від того, автоматизованими засобами чи ні, такі як збирання, запис, організація, структурування, зберігання, адаптація чи зміна, пошук, консультація, використання, розкриття шляхом передачі, розповсюдження чи іншого надання доступу, вирівнювання чи комбінування, обмеження, видалення або знищення.

ПРО BAS-IP

BAS-IP розробляє та виробляє IP-домофони, системи контролю доступу та системи зв’язку і є провідним гравцем у цій сфері. Більше інформації про нашу діяльність ви можете знайти на веб-сайті: https://bas-ip.com/.

У ході своєї діяльності Компанія може збирати, отримувати доступ або іншим чином обробляти персональні дані, що стосуються різних категорій суб’єктів даних: клієнтів та користувачів, працівників, підрядників та інших суб’єктів даних. Під час такої обробки Компанія зобов’язується вживати всіх необхідних заходів та дотримуватися відповідних політик, процедур та іншої документації щодо захисту персональних даних для обробки персональних даних відповідно до чинного законодавства та найкращих практик.

Ролі під час обробки персональних даних

BAS-IP може мати різні ролі відповідно до UK GDPR та GDPR:

  • Як контролер, Компанія визначає цілі та засоби обробки персональних даних, наприклад, під час спілкування з клієнтами та відвідувачами веб-сайту, маркетингової діяльності, що включає обробку персональних даних, тощо.
  • Як обробник, Компанія може обробляти персональні дані за інструкціями нашого клієнта, який діє як контролер, або від імені відповідного контролера.
  • Під час обробки персональних даних як обробник ми можемо залучати сторонніх постачальників послуг, які діятимуть як субобробники.
При обробці персональних даних у ході надання послуг своїм клієнтам, Компанія діє як обробник та дотримується застосовних вимог UK GDPR та GDPR, а також відповідних договірних зобов’язань між Компанією та клієнтом.

BAS-IP ТА ЗАХИСТ ДАНИХ

BAS-IP прагне дотримуватися найвищих стандартів захисту даних та застосовного законодавства про захист персональних даних.

Уся діяльність, що включає обробку персональних даних, здійснюється відповідно до внутрішньої документації щодо регулювання обробки персональних даних.

Компанія застосовує такі заходи захисту персональних даних:

Регулярний перегляд документації із захисту персональних даних та внесення необхідних змін у нашу документацію та діяльність

Регулярний перегляд та оновлення внутрішньої документації із захисту персональних даних є невід’ємною частиною стратегії Компанії для забезпечення відповідності вимогам UK GDPR, GDPR та інших нормативно-правових актів у сфері захисту персональних даних.

Відповідна внутрішня документація та прийняті політики і процедури, зокрема щодо запитів суб’єктів даних, повідомлення про порушення персональних даних, оцінки відповідності третіх сторін, залучених до обробки персональних даних, тощо, періодично оновлюються або доповнюються за необхідності, зокрема у разі зміни законодавства або впровадження нових видів діяльності з обробки персональних даних.

Крім того, ведеться облік діяльності з обробки персональних даних, який включає ведення записів про обробку персональних даних (RoPA), а також за необхідності проводиться оцінка впливу на захист даних (DPIA) та оцінка законного інтересу (LIA).

Таким чином, підтримуючи свою документацію із захисту персональних даних в актуальному стані, Компанія забезпечує високий рівень захисту персональних даних та безперервне дотримання законодавства.

Дотримання вимог щодо захисту прав суб’єктів даних

Політика конфіденційності Компанії, яка є публічно доступною на її веб-сайті, надає клієнтам та іншим суб’єктам даних інформацію про цілі, для яких можуть оброблятися персональні дані, про те, як і які конкретні персональні дані можуть оброблятися, а також інформацію про їхні права відповідно до застосовного законодавства про захист персональних даних, включаючи способи реалізації цих прав.

Крім того, Компанія прийняла Процедуру обробки запитів та скарг, яка містить порядок реагування на запити суб’єктів даних та їхні права відповідно до UK GDPR та GDPR.

Компанія зобов’язується надавати всю необхідну підтримку клієнту в контексті реагування на запити суб’єктів даних, чиї дані обробляються Компанією як обробником, відповідно до положень UK GDPR, GDPR та договірних зобов’язань між Компанією та клієнтом.

Дотримання найкращих стандартів і практик технічної та організаційної безпеки

Компанія впровадила технічні та організаційні заходи для забезпечення безпеки персональних даних. Внутрішня документація Компанії чітко визначає технічні та організаційні заходи, що використовуються при обробці персональних даних:

  • розроблена та прийнята документація, що регулює інформаційну безпеку, а також постійно здійснюється моніторинг подій інформаційної безпеки та забезпечується своєчасне реагування на інциденти;
  • впроваджено засоби захисту для обмеження доступу до персональних даних, такі як контроль доступу до персональних даних, зокрема через використання персоналізованих облікових записів, контроль вимог до довжини та складності паролів облікових записів, а також захист мережевого доступу для зниження ризику мережевих атак; перевірка відповідності фізичних центрів обробки даних, де зберігаються дані, вимогам безпеки; багатофакторна автентифікація та автентифікація користувачів під час авторизації, а також налаштування та застосування дозволів на доступ до даних, регулярний перегляд існуючих прав доступу тощо;
  • використовуються технології шифрування при зберіганні та обробці персональних даних з використанням хмарних технологій та встановлюються вимоги до використання лише актуальних та надійних криптографічних протоколів, алгоритмів, наборів шифрів, ключів шифрування та підходів до управління ключами;
  • регулярно переглядаються резервні копії персональних даних для визначення того, чи відповідає їхнє зберігання оперативним вимогам та юридичним зобов’язанням;
  • вживаються інші організаційні заходи безпеки, включаючи впровадження політики розділення ролей та обов’язків, регулярне оновлення відповідних політик та процедур, моніторинг виконання обов’язків та демонстрацію готовності до співпраці з відповідними державними органами. Заходи безпеки персоналу, реалізовані Компанією, включають перевірку біографічних даних працівників у деяких випадках, підвищення обізнаності працівників з питань інформаційної безпеки та моніторинг такої обізнаності, а також проведення програм навчання та професійного розвитку;
  • постійно відстежуються зміни в законодавстві та впроваджуються найкращі практики у сфері захисту персональних даних відповідно до стандартів кібербезпеки, керівних принципів, рекомендацій наглядових органів із захисту персональних даних та Офісу Комісара з питань інформації (ICO).

Компанія дотримується всіх політик та процедур для забезпечення безпеки захисту персональних даних, регулярно перевіряє їх актуальність та забезпечує своєчасний перегляд.

Регулярна перевірка третіх сторін

Усі треті сторони, залучені до обробки персональних даних, перевіряються за допомогою внутрішньої регламентованої процедури оцінки відповідності третіх сторін. Зокрема, такі перевірки оцінюють наявність відповідної документації, що стосується обробки персональних даних, а також наявність та ефективність технічних та організаційних заходів безпеки, впроваджених для захисту персональних даних від несанкціонованого доступу, втрати або порушення цілісності.

Безпечна передача персональних даних

Під час надання послуг Компанія може передавати персональні дані за межі Сполученого Королівства, наприклад, до Сполучених Штатів та України.

Для забезпечення безпеки та дотримання законодавчих вимог до передачі персональних даних заздалегідь проводиться оцінка. Крім того, регулярно здійснюється внутрішній моніторинг для забезпечення відповідності законодавчим вимогам та практикам Сполучених Штатів, України та, за необхідності, інших країн, до яких передаються персональні дані, стандартам та практикам захисту персональних даних Великої Британії та ЄС. Крім цього, ретельно перевіряються заходи безпеки, що вживаються імпортерами даних, зокрема, шляхом підписання відповідної документації, що регулює захист персональних даних.

Коли Компанія передає персональні дані, що підпадають під дію UK GDPR та/або GDPR, вона укладає Угоду про обробку даних (DPA) зі своїми підрядниками. Такі угоди включають відповідні механізми передачі, в тому числі Стандартні договірні положення ЄС (SCCs) разом із Доповненням Великої Британії (UK Addendum) або Міжнародну угоду про передачу даних (IDTA).

Регулярні тренінги

Компанія регулярно організовує тренінги для своїх працівників та підрядників щодо дотримання вимог UK GDPR та GDPR, а також захисту персональних даних. Теми, що розглядаються на тренінгах, включають, серед іншого, загальні вимоги UK GDPR, GDPR та інших застосовних законів про захист персональних даних, ролі в обробці, принципи обробки персональних даних, підстави для обробки, забезпечення прав суб’єктів даних та питання захисту персональних даних.

Крім того, Компанія також прийняла необхідну документацію та впровадила відповідні заходи для забезпечення навчання та обізнаності працівників у сфері захисту даних.

НАШІ КОНТАКТИ

Якщо у вас виникли додаткові запитання щодо захисту персональних даних у BAS-IP, будь ласка, зв’яжіться з нами електронною поштою: [email protected].

З повагою,

BAS-IP DISTRIBUTION LTD