Политика защиты персональных данных
ANIA TURİZM YATIRIMLARI A.Ş.
ПОЛИТИКА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБОТКИ, ХРАНЕНИЯ И УНИЧТОЖЕНИЯ
СОДЕРЖАНИЕ
- Введение
- Цель
- Объем
- Сокращения и определения
- ANİA Turizm Yatırımları A.Ş. Об обработке и защите персональных данных. Принципы, принятые
- Соблюдение основных данных обработки персональных данных
- Соблюдение условий обработки персональных данных
- Соблюдение особых условий обработки персональных данных
- Ответственность и распределение задач
- носитель записи
- Передача персональных данных
- Передача персональных данных внутри страны
- Передача персональных данных за границу
- Пояснения относительно причин, требующих хранения и утилизации.
- Примечания по хранению
- Причины, требующие уничтожения
- Права владельцев персональных данных и доработка Компанией их запросов
- Технические и административные меры
- Технические меры
- Административные меры
- Методы уничтожения персональных данных
- Удаление персональных данных
- Уничтожение персональных данных
- Анонимизация персональных данных
- Сроки хранения и утилизации
- Время периодического разрушения
- Публикация и хранение Политики
- Период обновления политики
ПРИЛОЖЕНИЕ-1: Форма заявки
- ВХОД
- Цель
Целью настоящего документа являются Политика хранения и уничтожения персональных данных («Политика»), Закон о защите персональных данных № 6698 («КВКК» или «Закон») и вторичное регулирование Закона, вступившее в силу в силу опубликовано в Официальном бюллетене от 28 октября 2017 года. В целях выполнения наших обязательств в соответствии с Положением об удалении, уничтожении или анонимизации персональных данных («Регламент») и для информирования владельцев данных о принципах определения максимального необходимого периода хранения. для целей обработки их персональных данных, а также процессов удаления, уничтожения и анонимизации Balmy в качестве контролера данных. Он был подготовлен ANİA Turizm Yatırımları A.Ş., оператором гостиничного бизнеса (далее именуемым «ANİA» или «Компания»).
- Объем
Персональные данные, принадлежащие сотрудникам Учреждения, кандидатам на работу, поставщикам услуг, посетителям и другим третьим лицам, подпадают под действие настоящей Политики, и настоящая Политика применяется ко всем средам записи и деятельности по обработке персональных данных, где персональные данные, принадлежащие или управляемые Учреждением, обработанный.
- Сокращения и определения
Сокращение |
Определение |
ВЫРАЖЕННОЕ СОГЛАСИЕ |
Согласие относительно конкретного предмета, основанное на информации и выраженное по свободной воле. |
GDPR |
Общий регламент Европейского Союза по защите данных № 2016/679, отменивший Директиву № 95/46/EC от 25 мая 2018 года. |
СООТВЕТСТВУЮЩИЙ ПОЛЬЗОВАТЕЛЬ |
Лица, которые обрабатывают персональные данные внутри организации-контролера данных или в соответствии с полномочиями и инструкциями, полученными от контроллера данных, за исключением лица или подразделения, ответственного за техническое хранение, защиту и резервное копирование данных. |
РАЗРУШЕНИЕ |
Удаление, уничтожение или анонимизация персональных данных. |
ПРАВО / КВКК |
Закон о защите персональных данных № 6698. |
НОСИТЕЛЬ ЗАПИСИ |
Любая среда, в которой персональные данные обрабатываются полностью или частично автоматическими или неавтоматическими средствами, при условии, что она является частью какой-либо системы регистрации данных. |
ЛИЧНЫЕ ДАННЫЕ |
Любая информация, касающаяся идентифицированного или идентифицируемого физического лица. |
ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ |
Персональные данные могут быть переданы отечественным или зарубежным учреждениям, организациям, поставщикам и т. д. в соответствии с КВКК и в соответствии со статьей 5 настоящей Политики . делиться. |
АНОНИМИЗАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ |
Сделать персональные данные никаким образом не связанными с идентифицированным или идентифицируемым физическим лицом, даже путем сопоставления их с другими данными. |
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ |
|
УДАЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ |
Удаление персональных данных; сделать персональные данные недоступными и непригодными для использования каким-либо образом для соответствующих пользователей. |
УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ |
Процесс сделать персональные данные недоступными, безвозвратными и пригодными для повторного использования кем-либо. |
ОРГАНИЗАЦИЯ |
Орган по защите персональных данных |
АВТОМАТИЧЕСКАЯ ОБРАБОТКА ДАННЫХ |
Деятельность по обработке персональных данных, осуществляемая взаимосвязанной и интерактивной электрической или электронной системой, которая сводит к минимуму необходимость вмешательства или помощи человека. |
НЕАВТОМАТИЧЕСКАЯ ОБРАБОТКА ДАННЫХ |
Деятельность по обработке персональных данных, осуществляемая вручную, то есть посредством вмешательства или помощи человека, |
СПЕЦИАЛЬНЫЕ ПЕРСОНАЛЬНЫЕ |
Данные о расовой принадлежности, этническом происхождении, политических взглядах, философских убеждениях, религии, сектантских или иных убеждениях, внешнем виде и одежде, членстве в ассоциациях, фондах или союзах, здоровье, сексуальной жизни, уголовных судимостях и мерах безопасности, а также биометрические и генетические данные. данные. |
ПЕРИОДИЧЕСКОЕ РАЗРУШЕНИЕ |
, процесс удаления, уничтожения и обезличивания, указанный в политике хранения и уничтожения персональных данных, будет осуществляться ex officio через определенные промежутки времени. |
ВЛАДЕЛЕЦ ДАННЫХ / СВЯЗАННОЕ ЛИЦО |
Реальное лицо, персональные данные которого обрабатываются |
КОНТРОЛЛЕР ДАННЫХ |
Физическое или юридическое лицо, определяющее цели и средства обработки персональных данных и несущее ответственность за создание и управление системой регистрации данных. |
РЕГУЛИРОВАНИЕ |
Положение об удалении, уничтожении или анонимизации персональных данных, опубликованное в Официальном бюллетене 28 октября 2017 года . |
ПОЛИТИКА |
Политика хранения и уничтожения персональных данных |
ПРОЦЕССОР ДАННЫХ |
Физическое или юридическое лицо, которое обрабатывает персональные данные от имени контролера данных на основании полномочий, предоставленных контролером данных. |
ВЕРБИС |
Информационная система реестра контролеров данных |
- ПРИНЦИПЫ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПРИНЯТЫЕ В КОМПАНИИ
- Соблюдение основных принципов обработки персональных данных
В рамках соблюдения и обеспечения соблюдения законодательства о защите персональных данных в компании приняты следующие основные принципы:
- Обрабатывать персональные данные в соответствии с законом и правилами честности.
Компания осуществляет свою деятельность по обработке персональных данных в соответствии с законом и принципом честности, в соответствии с законодательством о защите персональных данных, особенно Конституцией Турецкой Республики.
- Обеспечение точности и актуальности обрабатываемых персональных данных.
При обработке персональных данных компанией принимаются все необходимые административные и технические меры для обеспечения точности и актуальности персональных данных в пределах технических возможностей.
- Обработка персональных данных для конкретных, явных и законных целей
Обработка персональных данных компанией осуществляется в ясных и законных целях, определенных до начала обработки персональных данных.
- Обработка персональных данных ограниченным и размеренным образом в связи с целью
Персональные данные обрабатываются компанией в связи с условиями обработки данных и по мере необходимости для выполнения данных услуг. При этом цель обработки персональных данных определяется до начала деятельности по обработке персональных данных, и обработка данных не осуществляется с учетом того, что они могут быть использованы в будущем.
- Хранение персональных данных в течение срока, предусмотренного соответствующим законодательством или необходимого для целей, для которых они обрабатываются.
Компания хранит персональные данные в течение ограниченного периода времени, предусмотренного соответствующим законодательством или требуемого целью обработки данных. Соответственно, в случае истечения срока, предусмотренного законодательством, или исчезновения причин, требующих обработки персональных данных, персональные данные незамедлительно удаляются Компанией.
- Соблюдение условий обработки персональных данных
Компания осуществляет деятельность по обработке персональных данных в соответствии с условиями обработки данных, изложенными в статье 5 КВКК . При этом деятельность по обработке персональных данных осуществляется при наличии условий обработки персональных данных, перечисленных ниже:
- Наличие явного согласия Субъекта персональных данных
- Деятельность по обработке персональных данных четко предусмотрена законами
- Явное согласие владельца данных не может быть получено в связи с фактической невозможностью и обработка персональных данных является обязательной
- Деятельность по обработке персональных данных напрямую связана с заключением или исполнением договора
- Осуществление деятельности по обработке персональных данных является обязательным для выполнения компанией своих юридических обязательств.
- Обработка данных необходима для установления, осуществления или защиты права
- Публикация персональных данных владельцем данных
- Обработка персональных данных необходима для законных интересов Компании при условии, что она не наносит ущерба основным правам и свободам субъекта данных.
- Соблюдение особых условий обработки персональных данных
Особые категории персональных данных могут обрабатываться в следующих случаях при условии принятия адекватных мер, определенных Компанией:
- Соответствующее лицо должно иметь явное согласие,
- В законе это четко прописано.
- Это необходимо для защиты жизни или физической неприкосновенности лица или иного лица, которое не может выразить свое согласие в силу фактической невозможности или чье согласие не имеет юридической силы,
- Что касается персональных данных, которые соответствующее лицо обнародовало и соответствует желанию обнародовать их,
- Оно является обязательным для установления, использования или защиты права,
- Это необходимо для защиты общественного здоровья, проведения профилактической медицины, медицинской диагностики, услуг по лечению и уходу, а также планирования, управления и финансирования медицинских услуг лицами или уполномоченными учреждениями и организациями под обязательством конфиденциальности,
- Обязательно выполнение юридических обязательств в сфере занятости, охраны труда, техники безопасности, социального обеспечения, социальных услуг и социальной помощи.
- РАСПРЕДЕЛЕНИЕ ОБЯЗАННОСТЕЙ И ОБЯЗАННОСТЕЙ
Заголовок |
Долг |
ИТ-менеджер |
Организация рабочих процессов с точки зрения информационных технологий и обеспечение их безопасности. Проверка соответствия персональных данных сроку хранения. Тщательная оценка и доработка заявок заинтересованных лиц. Управление процессом периодического уничтожения персональных данных. |
Начальник отдела кадров |
Обеспечение соответствия кадровых процессов на рабочем месте законодательству о защите персональных данных. Управление хранением обрабатываемых персональных данных в соответствии с их назначением и соразмерно. Тщательный мониторинг и доработка заявок от соответствующих сторон. Регулярное управление процессом уничтожения персональных данных. |
Операционный менеджер |
Проверка соответствия операционных процессов стандартам защиты персональных данных. Управление хранением обрабатываемых персональных данных в соответствии с их целями. Отслеживание заявок от соответствующих сторон и их эффективная доработка. Оперативное управление процессом периодического уничтожения персональных данных. |
Менеджер по продажам и маркетингу |
Обеспечение соответствия маркетинговых процессов стандартам защиты персональных данных. Управление хранением данных клиентов способом, соответствующим и пропорциональным их цели. Быстрая обработка и доработка заявок от заинтересованных сторон. Эффективное внедрение процесса периодического уничтожения персональных данных в отделе маркетинга. |
Менеджер фронт-офиса |
Обеспечение соответствия процессов размещения стандартам защиты персональных данных. Тщательно отслеживайте и дорабатывайте гостевые заявки. Управлять процессом уничтожения персональных данных и принимать необходимые меры предосторожности. |
Менеджер по работе с гостями |
Обеспечение соответствия процессов взаимодействия с гостями стандартам защиты персональных данных. Тщательная оценка и доработка заявок от гостей. Проверка бронирования номеров в части управления персональными данными. Эффективное внедрение процесса периодического уничтожения персональных данных в отделе обслуживания гостей. |
Шеф-повар кухни |
Обеспечение соответствия кухонных процессов стандартам защиты персональных данных. Оценка особых пожеланий гостей, которым будут предоставлены услуги питания, в части управления персональными данными. Организация безопасного хранения персональных данных персонала. Эффективное внедрение процесса периодического уничтожения персональных данных в кухонном отделе. |
Финансовый директор |
Обеспечение соответствия финансовых процессов стандартам защиты персональных данных. Управление безопасным хранением финансовых данных. Отслеживание и доработка финансовых заявок от соответствующих сторон. Эффективное внедрение процесса периодического уничтожения персональных данных в финансовом отделе. |
Менеджер по бронированию |
Обеспечение соответствия процессов бронирования стандартам защиты персональных данных. Управление безопасным хранением информации о резервировании клиентов. Отслеживание и доработка заявок, связанных с бронированием, от соответствующих сторон. Эффективное внедрение процесса периодического уничтожения персональных данных в отделе бронирования. |
Менеджер по питанию и напиткам |
Обеспечение соответствия процессов производства продуктов питания и напитков стандартам защиты персональных данных. Контроль обработки персональных данных относительно меню и особых запросов. Организация безопасного хранения персональных данных персонала. Эффективное внедрение процесса периодического уничтожения персональных данных в отделе F&B. |
Концептуальный менеджер |
Обеспечение соответствия внутрикорпоративной концепции и процессов бренда стандартам защиты персональных данных. Тщательное отслеживание и доработка заявок на концепцию, полученных от соответствующих сторон. Контроль управления персональными данными в отношении концептуальных документов и проектов. Эффективная реализация процесса периодического уничтожения персональных данных в концептуальном отделе. |
Комитет по защите персональных данных АНИА |
Обеспечение внутренней координации для обеспечения соблюдения всеми отделами законодательства KVKK и политики данных компании. Регулярный аудит межведомственных процессов управления персональными данными и их совершенствование при необходимости. |
- НОСИТЕЛЬ ЗАПИСИ
Персональные данные надежно хранятся в соответствии с законодательством в средах, перечисленных ниже.
Электронные СМИ |
Неэлектронные СМИ |
- Серверы (облачные системы, домен, резервное копирование, электронная почта, база данных , Интернет, обмен файлами и т. д.) - Программное обеспечение (офисное ПО, HR- портал,… .) - Устройства информационной безопасности (брандмауэр, обнаружение и предотвращение вторжений, файл журнала, антивирус и т. д.) - Персональные компьютеры (Настольный компьютер, ноутбук) - Мобильные устройства (телефон, планшет и т. д.) - Оптические диски (CD, DVD и т.д.) - Съемные запоминающие устройства (USB, карта памяти и т. д.) - Принтер, сканер, копировальный аппарат |
- Бумага - Системы ручной регистрации данных (форма регистрации клиента, форма бронирования, корешки туров и трансферных билетов) - Письменные, печатные и визуальные средства массовой информации. |
- ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
персональные данные нашим деловым партнерам и партнерам по решениям, которые предоставляют такие услуги, как туризм, гостиничный менеджмент, туристическое агентство , туроператор, а также дочерним компаниям нашей компании, социальным сетям, рекламным и аналитическим бизнес-партнерам, чтобы предоставлять услуги компания. Наши деловые партнеры могут объединять эту информацию с другой информацией, которую вы им предоставили или которую они собрали при использовании их услуг.
В рамках положений национального и международного законодательства, особенно КВКК, Компания может передавать обрабатываемые ею персональные данные внутри страны или за рубежом. Это может быть предметом процедур передачи. При проведении этих сделок учитываются статьи 8 и 9 Закона КВК, Директива 95/46/EC и положения GDPR, отменяющие эту директиву. Компания выполнила условия, предусмотренные вышеупомянутыми законами и директивами относительно передачи персональных данных внутри страны и за рубежом.
- Передача персональных данных внутри страны
Компания может передавать обрабатываемые ею данные третьим лицам, получив явное согласие соответствующего лица в рамках полномочий, предоставленных статьями 8 и 9 КВКК и настоящей политикой. Перечисленные ниже основные принципы разъяснены в разделе 2 настоящей Политики в части соблюдения и обеспечения соблюдения Компанией законодательства о защите персональных данных.
Данные, должным образом собранные, сохраненные и обработанные компанией, передаются следующим внутренним третьим лицам для таких целей, как получение услуг технической поддержки и обеспечение безопасности данных, и обрабатываются в рамках явного согласия.
ООО «Гугл Мета Инк» , Microsoft Corporation, Inc. , ООО «Яндекс», а также «Кибер Медиа Информационные Технологии» в рамках деятельности в области цифрового маркетинга .
Тик. ООО ООО
Положения других законов предназначены для внутренней передачи персональных данных.
Если какой-либо Обработчик данных участвует в рамках настоящей Политики данных, положения статьи 8 KVKK применяются к передаче персональных данных между Обработчиком данных и Компанией. Передача данных между сотрудниками, работающими в юридическом лице, и различными подразделениями юридического лица компании, имеющей статус контролера данных, не считается передачей в рамках статьи 8 Закона КВК. Однако передача данных с теми, у кого есть отдельные юридические лица, действующие в качестве партнеров по сотрудничеству или решениям с компанией, рассматривается как передача данных в рамках статей 8 и 9 Закона о КВК и настоящей Политики КВК.
- Передача персональных данных за границу
компании в соответствии с условиями обработки персональных данных согласно статье 9 КВКК ;
(1) Наличие адекватной защиты (Страны с адекватной защитой определяются и объявляются Учреждением.)
(2) В случае отсутствия адекватной защиты контролеры данных в Турции и соответствующей зарубежной стране должны обеспечить адекватную защиту в письменной форме и получить разрешение Органа.
( 3) Стандартный контракт, объявленный Учреждением, должен быть подписан с компанией и третьей стороной, которой будет предоставлена информация.
или
- Выполнение договора или осуществление преддоговорных мер,
- Заключение или исполнение контракта в интересах соответствующего лица, высших общественных интересов,
- Установление, использование или защита права,
- Это необходимо для защиты жизни или физической неприкосновенности лица или иного лица, которое не может выразить свое согласие в силу фактической невозможности или чье согласие не имеет юридической силы.
- Перенос из реестра, открытого для общественности или лиц с законными интересами
В таких случаях его можно перевести за границу.
- РАЗЪЯСНЕНИЯ ПРИЧИН, ТРЕБУЮЩИХ ХРАНЕНИЯ И УТИЛИЗАЦИИ
Персональные данные, принадлежащие владельцам данных, надежно хранятся Компанией в физических или электронных средах, перечисленных выше, в пределах, указанных в КВКК и другом соответствующем законодательстве, особенно для продолжения коммерческой деятельности, выполнения юридических обязательств, планирования и реализации прав сотрудников и преимущества и управлять отношениями с клиентами.
-
- Пояснения относительно хранения
Персональные данные, обрабатываемые в соответствии с законодательством и настоящей Политикой, могут храниться при следующих условиях.
- Хранение персональных данных, поскольку они напрямую связаны с заключением и исполнением договоров,
- Хранение персональных данных с целью установления, осуществления или защиты права,
- Хранение персональных данных является обязательным для законных интересов Компании при условии, что это не наносит ущерба основным правам и свободам граждан,
- Хранение персональных данных в целях выполнения любых юридических обязательств Компании,
- Хранение персональных данных четко предусмотрено законодательством,
- Для действий по хранению, требующих явного согласия владельцев данных, требуется явное согласие владельцев данных.
- Причины, требующие уничтожения
В соответствии с Регламентом в перечисленных ниже случаях персональные данные владельцев данных удаляются, уничтожаются или обезличиваются Компанией по должности или по запросу.
- Внесение изменений или выполнение соответствующих положений законодательства, которые являются основанием для обработки или хранения персональных данных,
- Устранение цели, требующей обработки или хранения персональных данных,
- Устранение условий, требующих обработки персональных данных, предусмотренных статьями 5 и 6 Закона,
- Отозвать согласие соответствующего лица в случаях, когда обработка персональных данных осуществляется только на основании явного согласия,
- Контроллер данных принимает заявление соответствующего лица об удалении, уничтожении или анонимизации его персональных данных в рамках его прав, предусмотренных пунктами 2 (e) и (f) статьи 11 Закона,
- В случаях, когда контролер данных отклоняет заявление соответствующего лица с просьбой об удалении, уничтожении или анонимизации его персональных данных, его ответ признается недостаточным или он не отвечает в течение срока, предусмотренного Законом; Подача жалобы в Учреждение и одобрение этого запроса Учреждением,
- Несмотря на то, что максимальный срок хранения персональных данных прошел, существуют условия, оправдывающие хранение персональных данных в течение более длительного периода времени.
Компания хранит персональные данные в течение периода, необходимого для целей их обработки, и минимального срока, предусмотренного соответствующим законодательством. При этом Компания сначала определяет, предусмотрен ли соответствующим законодательством срок хранения персональных данных, и если срок определен, действует в соответствии с этим сроком. Если установленного законом срока нет, персональные данные хранятся в течение периода, указанного в таблице выше, который необходим для цели, для которой они обрабатываются. По истечении указанных сроков хранения персональные данные уничтожаются в соответствии с периодами периодического уничтожения или заявлением субъекта данных и указанными способами уничтожения (удаление и/или уничтожение и/или обезличивание).
- ПРАВА СОБСТВЕННИКОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ВЫПОЛНЕНИЕ ИХ ЗАПРОСОВ КОМПАНИЕЙ
Если владельцы данных подают запросы в отношении своих персональных данных Компании в письменной форме или другими способами, определенными Управлением KVK, Компания, как контролер данных, должна обеспечить завершение запроса как можно скорее и в течение тридцати (30) не позднее дней, в соответствии со статьей 13 Закона о КВК, в зависимости от характера запроса осуществляет необходимые процессы для обеспечения. Владельцы данных должны направлять запросы относительно своих персональных данных в соответствии с Коммюнике о процедурах и принципах обращения к Контролеру данных.
В рамках обеспечения безопасности данных компания может запросить информацию для определения того, является ли заявитель владельцем персональных данных, являющихся предметом заявления. Наша компания также может задать вопросы субъекту персональных данных по поводу его заявления, чтобы убедиться, что заявление субъекта персональных данных оформлено в соответствии с запросом.
Заявление владельца данных; В случаях, когда существует возможность ущемления прав и свобод других лиц, это требует несоразмерных усилий или информация общедоступна, запрос может быть отклонен Компанией с объяснением причины.
Права владельцев персональных данных. В соответствии со статьей 11 Закона КВК, обратившись в нашу Компанию, вы можете задать следующие вопросы:
- Чтобы узнать, обрабатываются ли ваши персональные данные или нет,
- Чтобы запросить информацию, если ваши персональные данные были обработаны,
- Чтобы узнать цель обработки ваших персональных данных и используются ли они в соответствии с их целью,
- Чтобы узнать третьих лиц, которым ваши персональные данные передаются внутри страны или за рубежом,
- Требовать исправления ваших личных данных, если они были обработаны не полностью или неправильно, а также требовать, чтобы о действиях, предпринятых в этом контексте, были уведомлены третьи стороны, которым были переданы ваши персональные данные,
- Требовать удаления, уничтожения или анонимизации ваших персональных данных в случае устранения причин, требующих обработки, даже если они были обработаны в соответствии с положениями КВКК и других соответствующих законов, а также требовать, чтобы действия, предпринятые в этом контексте, были уведомлены третьи лица, которым были переданы ваши персональные данные,
- Возражать против возникновения результата против вас путем анализа ваших обработанных данных исключительно с помощью автоматических систем,
- Требовать компенсацию в случае, если вам будет причинен ущерб в результате незаконной обработки ваших персональных данных.
- ТЕХНИЧЕСКИЕ И АДМИНИСТРАТИВНЫЕ МЕРЫ
Компания в рамках адекватных мер, определенных и объявленных Учреждением по специальным персональным данным в соответствии со статьей 12 Закона и абзацем четвертым статьи 6 Закона, в целях безопасного хранения персональных данных, предотвращения незаконной обработки и доступа к персональные данные, а также уничтожить персональные данные в соответствии с законодательством. Компания принимает технические и административные меры.
- Технические меры
- С помощью тестов на проникновение выявляются риски, угрозы, уязвимости и уязвимости, если таковые имеются, в отношении информационных систем нашей Компании и принимаются необходимые меры предосторожности.
- В результате анализа в режиме реального времени с управлением инцидентами ИБ постоянно отслеживаются риски и угрозы, которые могут повлиять на непрерывность работы информационных систем.
- Доступ к информационным системам и авторизация пользователей осуществляется через матрицу доступа и авторизации, а политики безопасности – через корпоративный активный каталог.
- Принимаются необходимые меры предосторожности для физической безопасности оборудования, программного обеспечения и данных информационных систем нашей компании.
- Для обеспечения безопасности информационных систем от угроз окружающей среды используются аппаратные средства (система контроля доступа, позволяющая входить в системное помещение только авторизованному персоналу, система круглосуточного мониторинга сотрудников, обеспечивающая физическую безопасность граничных коммутаторов, образующих локальную вычислительную сеть). , система пожаротушения, система кондиционирования и т. д.) и программное обеспечение (брандмауэры, системы предотвращения атак, контроля доступа к сети, системы блокировки вредоносного ПО и т. д.).
- Выявляются риски для предотвращения неправомерной обработки персональных данных, принимаются соответствующие этим рискам технические меры и осуществляется технический контроль принятых мер.
- В компании установлены процедуры доступа, проводятся отчетные и аналитические исследования относительно доступа к персональным данным.
- Доступ к местам хранения, содержащим персональные данные, фиксируется, а неправомерный доступ или попытки доступа находятся под контролем.
- Компания принимает необходимые меры для обеспечения того, чтобы удаленные персональные данные были недоступны и непригодны для использования соответствующими пользователями.
- В случае, если персональные данные получены другими лицами незаконно, Компания создала подходящую систему и инфраструктуру для уведомления соответствующего лица и Учреждения путем отправки электронного письма на адрес [email protected].
- Отслеживаются уязвимости безопасности, устанавливаются соответствующие исправления безопасности, а информационные системы поддерживаются в актуальном состоянии.
- Надежные пароли используются в электронных средах, где обрабатываются персональные данные.
- Системы безопасного учета (регистрации) используются в электронных средах, где обрабатываются персональные данные.
- Программы резервного копирования данных используются для обеспечения безопасного хранения личных данных.
- Доступ к персональным данным, хранящимся на электронных или неэлектронных носителях, ограничивается по принципам доступа.
- Компания ни при каких обстоятельствах не хранит персональные данные во флэш -памяти, USB-накопителе, Банке данных и аналогичных портативных системах, а также не допускается передача существующих персональных данных в такие портативные системы.
- Определены полномочия пользователей, имеющих доступ к данным сотрудников, участвующих в специальных процессах обработки персональных данных.
- Электронные среды, в которых обрабатываются, хранятся и/или доступны специальные персональные данные, защищены криптографическими методами, криптографические ключи хранятся в безопасных средах, все записи транзакций протоколируются, обновления безопасности сред постоянно отслеживаются, необходимые тесты безопасности проводятся регулярно. , результаты испытаний записываются.
- Принимаются адекватные меры безопасности для физических сред, где обрабатываются, хранятся и/или доступны специальные персональные данные, а несанкционированный вход и выход предотвращается путем обеспечения физической безопасности.
-
- Административные меры
Административные меры, принимаемые компанией в отношении обрабатываемых ею персональных данных, перечислены ниже:
- В целях повышения квалификации работников проводится обучение по вопросам предотвращения незаконной обработки персональных данных, предотвращения неправомерного доступа к персональным данным, обеспечения сохранности персональных данных, средств связи, технических знаний и навыков, Закона № 657 и иного соответствующего законодательства. .
- Сотрудники обязаны подписывать соглашения о конфиденциальности в отношении деятельности, осуществляемой компанией.
- Для сотрудников, не соблюдающих политики и процедуры безопасности, подготовлено дисциплинарное взыскание.
- Прежде чем приступить к обработке персональных данных, Компания выполняет свои обязательства по информированию соответствующих лиц.
- Подготовлена опись обработки персональных данных.
- Внутри компании проводятся периодические и выборочные проверки.
- Для сотрудников проводится обучение по информационной безопасности.
- Для обеспечения безопасности конфиденциальных персональных данных определена отдельная политика.
- Проведено обучение по вопросам специальной безопасности персональных данных для сотрудников, участвующих в специальных процессах обработки персональных данных, подписаны соглашения о конфиденциальности в области специальной безопасности персональных данных.
- МЕТОДЫ УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
По истечении срока, предусмотренного соответствующим законодательством, или срока хранения, необходимого для цели их обработки, персональные данные уничтожаются Компанией по должности или по заявлению соответствующего лица с использованием способов, указанных ниже, в соответствии с соответствующим законодательством.
-
- Удаление персональных данных
Среда записи данных |
Объяснение |
Персональные данные на серверах |
Для персональных данных на серверах, срок хранения которых истек, системный администратор снимает авторизацию доступа соответствующих пользователей и удаляет их. |
Персональные данные в электро |