AJAX GDPR FAQ
Основні поняття
Що означає GDPR?
Загальний регламент про захист даних (General Data Protection Regulation; GDPR; Регламент ЄС 2016/679) — регламент у межах законодавства Європейського Союзу (ЄС) щодо захисту персональних даних та приватності в країнах ЄС та Європейської економічної зони (ЄЕЗ). Попри те, що він розроблений і прийнятий у ЄС, регламент накладає зобов'язання щодо захисту персональних даних на організації будь-якої країни, якщо вони використовують або збирають персональні дані, що стосуються резидентів країн-членів ЄС.
Що належить до персональних даних?
Персональні дані — це будь-яка інформація про фізичну особу, яку можна ідентифікувати прямо чи опосередковано. Зібрана з різних джерел інформація, що може допомогти ідентифікувати певну особу, — це також персональні дані.
Персональні дані, що були знеособлені, зашифровані або псевдонімізовані, але які можна використати для повторної ідентифікації особи, також підпадають під дію закону.
Наведемо кілька прикладів персональних даних:
- ім'я та прізвище;
- адреса;
- адреса електронної пошти;
- номер посвідчення особи;
- дані про місце проживання/перебування;
- IP-адреса;
- ідентифікатори файлів cookie;
- рекламний ідентифікатор телефону.
Що мається на увазі під обробкою даних?
Визначення «Обробка даних» охоплює широкий спектр дій щодо персональних даних, зокрема вручну або автоматично. До них належать збір, запис, упорядкування, структурування, зберігання, адаптація, а також зміна, вилучення, ознайомлення, використання, розкриття шляхом передачі, поширення або надання доступу в інший спосіб, поєднання або комбінування, обмеження, видалення або знищення персональних даних. Якщо ви виконуєте будь-які дії з інформацією у згаданий вище спосіб, це означає, що ви обробляєте дані.
Яка різниця між оператором даних і контролером даних?
Контролер даних — організація, установа або фізична особа, яка визначає норми та порядок обробки персональних даних. На практиці це означає, що контролер даних визначає, як і з якою метою організація використовуватиме дані. Найчастіше контролером даних є фізична особа або організація, яка збирає дані, після чого визначає, як вони будуть використані.
На відміну від оператора даних. Відповідно до GDPR, оператор даних — це організація, установа або фізична особа, яка впроваджує встановлені контролером даних норми обробки даних. Зазвичай, оператором даних є сторона, яка обробляє дані за вказівкою та на розсуд контролера даних. Оператор даних не є власником даних, які він обробляє, і не контролює їх. Тобто оператор даних не має права змінювати зміст даних, визначати, як їх використовувати, і має діяти лише за інструкцією
Пропонуємо кілька контрольних запитань, що допоможуть зрозуміти різницю між функціями контролера й оператора даних:
Контролер даних ухвалює такі рішення:
- яка організація насамперед збирає дані та має для цього законні підстави;
- з якою метою будуть використані персональні дані;
- чи потрібно розголошувати дані і якщо так, то кому саме;
- чи застосовуються права доступу суб'єктів та інших осіб, а також чи є винятки;
- як довго зберігати дані або чи потрібно змінювати їх у спосіб, який не передбачено правилами.
Оператор даних ухвалює такі рішення:
- які методи використовуються, щоб збирати і зберігати персональні дані;
- як захищені дані;
- які засоби використовуються, щоб передавати персональні дані від однієї організації до іншої;
- як відбувається збір персональних даних;
- який метод застосовується, щоб забезпечити дотримання графіка зберігання;
- як відбувається видалення персональних даних.
Які умови обробки персональних даних за GDPR?
Стаття 6 GDPR містить перелік умов (також відомих як підстави), за яких обробляти персональні дані законно:
- Згода. Згода означає, що суб'єкт даних погодився на обробку своїх персональних даних для однієї або кількох конкретних цілей. Поняття цілі має тут ключове значення. Якщо суб'єкт даних (фізична особа) дає згоду на обробку, не знаючи конкретну ціль/цілі в повному обсязі та не отримавши інформацію в зрозумілій формі, то така згода не є правовою підставою для обробки, оскільки вона має бути надана добровільно, бути конкретною, усвідомленою та однозначною. Крім того, згода не може надаватися в комплекті. Отже, загальне правило полягає в тому, що для кожної дії з обробки даних у межах однієї ширшої операції потрібна окрема згода.
- Обробка потрібна для виконання або підготовки до укладення договору, стороною якого є суб'єкт даних. Організація може покладатися на цю законну підставу, за потреби обробити чиїсь персональні дані для виконання договірних зобов'язань або через прохання до організації про надання певних послуг перед укладенням договору (наприклад, надати цінову пропозицію).
- Обробка даних потрібна для дотримання правового зобов'язання . Обробка дозволяється, якщо контролер має встановлений законом обов'язок, який передбачає обробку певних персональних даних. Таке дотримання правового зобов'язання, що вимагає обробки даних і якому підлягає контролер, також не є новим.
- Обробка даних потрібна заради збереження життя. Ця підстава також має назву «життєво важливий інтерес». У цьому випадку фізична особа не обов'язково має бути суб'єктом даних; це також може бути інша фізична особа. Звісно, це не контролер має визначати, що таке життєво важливий інтерес. Ця підстава більшою мірою стосується небезпечних для життя обставин, коли немає інших законних підстав для обробки, але коли відмова від обробки персональних даних по суті призведе до загибелі людини, якщо оператор не вживе заходів, а відтак йому потрібно знати деяку інформацію про фізичну особу, яка перебуває в небезпеці.
- Обробка даних потрібна, щоб виконувати завдання в суспільних інтересах або здійснювати певні офіційні повноваження. Організація може спиратися на цю законну підставу, якщо потрібно обробляти персональні дані «під час виконання службових повноважень». Це стосується державних функцій та повноважень, які визначає законодавство, або виконання конкретної задачі в інтересах суспільства, яка визначена законодавством.
- Контролер має законний інтерес щодо обробки персональних дaних людини. Обробка персональних даних у цьому контексті не обов'язково має бути виправдана правовим зобов'язанням або здійснюватися на виконання умов договору з фізичною особою. У таких випадках обробка персональних даних може бути виправданою на підставі законного інтересу. Так, наприклад, оператор має законний інтерес, коли він обробляє дані в межах відносин з клієнтом з метою прямого маркетингу, щоб запобігти шахрайству або забезпечити мережеву й інформаційну безпеку ІТ-систем.
Як працює згода за GDPR?
Є суворі правила щодо згоди суб'єкта даних на обробку інформації:
- Згода має бути надана добровільно, бути конкретною, усвідомленою та однозначною.
- Запити на отримання згоди мають бути чітко відокремлені від інших питань і сформульовані чітко і просто.
- Суб'єкти даних мають право відкликати раніше надану згоду в будь-який час, і це рішення потрібно поважати. Неможливо просто змінити правову підставу обробки даних будь-яким іншим обґрунтуванням.
- Потрібно зберігати документальне підтвердження згоди.
Які особисті права передбачені GDPR?
GDPR надає фізичним особам такі права:
- Право бути поінформованим (фізичні особи мають право бути поінформованими про те, як компанії збирають та використовують їхні персональні дані, протягом якого часу вони планують їх зберігати та з ким вони збираються ділитися цими даними);
- Право на доступ (фізичні особи мають право знати, яку саме інформацію зібрали компанії, як вони зберігають та обробляють ці дані, і що вони збираються з ними робити);
- Право на виправлення (фізичні особи мають право вносити доповнення до неповних даних та виправляти неправильні дані);
- Право на видалення (фізичні особи мають право остаточно видалити персональні дані. Також це відоме як «право на забуття»);
- Право на обмеження обробки (якщо фізичні особи не можуть вимагати від контролерів даних видалити свої персональні дані, вони можуть обмежити здатність контролерів обробляти ці дані);
- Право на перенесення даних (фізичні особи мають право отримувати та повторно використовувати свої персональні дані з власною метою в різних послугах);
- Право на заперечення (фізичні особи мають право за певних обставин заперечувати проти обробки своїх персональних даних);
- Права щодо автоматизованого прийняття рішень та профілювання (фізичні особи мають право під час прийняття важливих рішень вимагати втручання людини, замість використання алгоритмів).
Що таке сім принципів GDPR?
Згідно з регламентом GDPR, є сім основних принципів захисту даних та підзвітності:
- Законність, справедливість та прозорість — обробка даних має бути законною, справедливою та прозорою щодо суб'єкта даних.
- Обмеження щодо цілей — обробляти дані потрібно виключно в законних цілях, які чітко вказали суб'єкту під час збору даних.
- Мінімізація даних — варто збирати й обробляти лише таку кількість даних, яка є абсолютно необхідною для визначених цілей.
- Точність — персональні дані мають бути точними та актуальними.
- Обмеження щодо зберігання — зберігати персональні дані лише протягом часу, потрібного для досягнення зазначених цілей.
- Цілісність та конфіденційність — обробляти дані потрібно шляхом забезпечення належної безпеки, цілісності та конфіденційності (наприклад, за допомогою шифрування).
- Підзвітність — контролер даних несе відповідальність за дотримання всіх цих принципів GDPR.
Чи вимагає GDPR, щоб персональні дані резидентів країн ЄС залишалися на території ЄС?
GDPR не містить прямого обмеження на використання персональних даних резидентів країн-членів ЄС лише на території ЄС. Однак захист персональних даних в ЄС працює за принципом «GDPR зберігає дані», тобто правила захисту персональних даних продовжують застосовуватися незалежно від того, куди ці дані потрапляють. Також цей принцип діє, якщо персональні дані передаються до країни, яка не є членом ЄС.
Обробка даних в Ajax
Чи обробляє Ajax мої персональні дані?
Так, Ajax може обробляти ваші персональні дані. Є 4 основні сценарії, за яких ми можемо використовувати ваші дані:
- через наші охоронні пристрої (наприклад, Hub або інші);
- через наші мобільні застосунки (зокрема, Ajax Security System та Ajax PRO: Tool for Engineers) і застосунки для ПК (ми називаємо їх нашими продуктами або послугами);
- якщо ви відвідаєте вебсайт https://ajax.systems/
- в межах ділової співпраці між вами та Ajax (незалежно від того, чи ви є прямим або непрямим партнером чи субпідрядником Ajax)
Які саме типи даних може обробляти Ajax?
Ajax обробляє різні типи даних залежно від сценарію співпраці з вами.
Через наші охоронні пристрої ми можемо обробити такі дані:
- Інформація про ваш Hub (наприклад, його модель і серійний номер, інформація мережі, включно з IP-адресою, журналами активності пристрою, попередньою та поточною конфігурацією пристрою, а також місцем його розташування).
- Телеметричні дані та дані про навколишнє середовище.
Із метою надання користувачам інформації про систему у вигляді статусів і подій, ми обробляємо Телеметричні дані.
Під поняттям “Телеметричні дані” (надалі також “Телеметрія”) мається на увазі дані та показники, які автоматично збираються, передаються та вимірюються датчиками, вбудованими в наші пристрої з метою визначення стану навколишнього середовища, справності, а також виявлення можливих аномалій у роботі пристроїв.
Під час використання наших продуктів або послуг ми можемо обробити такі дані:
- Ваша особиста інформація (зокрема, ім'я, прізвище, адреса електронної пошти, номер телефону та фото облікового запису).
- Інформація, яку ви надаєте нам з телефонної книги вашого пристрою, запрошуючи користувачів до продукту (наприклад, електронна пошта або номер телефону особи, яку ви запрошуєте до продукту).
- Унікальні ідентифікатори для наших послуг (наприклад, ваші логін і пароль).
- Унікальні ідентифікатори користувачів, яких ви підключили до продукту, а саме: ім'я користувача, роль користувача в продукті та його адреса електронної пошти; інформація про ваші мобільні пристрої та ПК, а саме: тип пристрою, операційна система та системна мова.
- Дані про місце розташування, щоб надсилати вам нагадування про встановлення/зняття системи з охорони, за активованої функції геозони в нашому застосунку.
- Для користувачів Android та iOS — SMS із кодом авторизації, потрібним під час реєстрації або зміни облікового запису.
- Інформація про використання вами наших продуктів і послуг (як-от запити з застосунку до нашого сервера).
Коли ви відвідуєте наш вебсайт, ми можемо обробити такі дані:
- Інформація, яку ви надаєте під час заповнення форм, що може містити ваші персональні дані та контактну інформацію.
- Ідентифікатори файлів cookie (через інструмент, що відповідає вимогам GDPR).
- IP-адреса, щоб визначити країну вашого місця перебування.
У разі ділової співпраці ми можемо обробити такі дані:
- Особисті та контактні дані представників бізнесу (ім'я, посада, адреса електронної пошти та номер телефону).
Яка ціль та правові підстави для обробки даних?
- Усі дані, які ми отримуємо через наші охоронні пристрої або під час використання вами наших продуктів чи послуг , обробляються лише з метою надання вам необхідних охоронних послуг. Це означає, що ми обробляємо всі ці дані для виконання умов укладеного з вами договору. Це також означає, що ми не збираємо жодних даних, які не є необхідними безпосередньо для надання вам таких послуг.
- Якщо ви вирішите підписатися на нашу розсилку, ми будемо надсилати вам електронні листи з деякою інформацією про нас та наші оновлення. Ми покладаємося на вашу згоду, яку ви надаєте, підтверджуючи підписку. Крім того, ми персоналізуємо ці електронні повідомлення на основі наявної у нас інформації про вас, щоб зробити їх актуальнішими та кориснішими.
- Якщо ви надали спільний доступ до журналів операцій вашого застосунку, то в разі виникнення проблем ми опрацюємо їх, щоб розвʼязати вашу технічну проблему і поліпшити наші продукти та послуги. Ми обробляємо їх, виходячи з нашого законного інтересу, задля більшої конкурентоспроможності наших ринкових пропозицій.
- Ми використовуємо дані, які ви надаєте нам з телефонної книги вашого пристрою, запрошуючи користувачів до продукту (наприклад, адресу електронної пошти або номер телефону особи, яку ви запрошуєте до продукту), щоб надіслати запрошення виключно цим особам.
Де зберігається інформація?
Усі типи ваших даних, які збирає Ajax, зберігаються в хмарному сховищі, розташованому в Ірландії, Німеччині та Франції (у межах ЄЕЗ); вибір місця зберігання даних (в Ірландії, Німеччині та Франції) залежить від доступності інфраструктури AWS.
Протягом якого часу зберігається інформація?
Усі дані зберігаються протягом усього періоду відносин з клієнтом, за винятком пам'яті пуш-сповіщень, яка обмежена 500-ми транзакціями. Для журналу подій акаунту PRO Desktop строк зберігання повідомлень про події становить 2 роки. Однак деякі типи даних (наприклад, ім'я, посада та контактна інформація представників, зазначені в контрактах) можуть зберігатися довше, ніж період співпраці, аби виконати наші юридичні зобов'язання.
Тип даних | Мета обробки даних | Правові підстави | Строк зберігання |
Інформація про Hub (модель і серійний номер, інформація мережі, включно з журналами активності пристрою, попередньою та поточною конфігурацією пристрою, місцем розташування) | Для забезпечення належного функціонування Hub, пристроїв і застосунків | Договір, у випадку сервісної підтримки — законний інтерес | На весь період взаємовідносин з клієнтом або до моменту видалення за запитом/виконанням користувачем. Зберігання резервних копій протягом 12 місяців |
Унікальні ідентифікатори (логін та пароль) | Авторизація користувача | Договір | На весь період взаємовідносин з клієнтом або до моменту видалення за запитом/виконанням користувачем. Зберігання резервних копій протягом 12 місяців |
Дані на основі місця розташування | Для забезпечення належного функціонування Hub, пристроїв і застосунків | Договір та/або законний інтерес | На весь період взаємовідносин з клієнтом або до моменту видалення за запитом/виконанням користувачем. Зберігання резервних копій протягом 12 місяців |
Інформація про використання наших продуктів і послуг (як-от запити з застосунку до сервера) | Для забезпечення належного функціонування Hub, пристроїв і застосунків | Договір | На весь період взаємовідносин з клієнтом або до моменту видалення за запитом/виконанням користувачем. Зберігання резервних копій протягом 12 місяців |
Інформація, що надається під час заповнення форм, яка може містити персональні дані та контактну інформацію | Спілкування, послуги з доставлення продуктів, маркетингові акції | Згода | На весь період взаємовідносин з клієнтом або до моменту видалення за запитом/виконанням користувачем. Зберігання резервних копій протягом 12 місяців |
IP-адреса | Для забезпечення належного функціонування Hub, пристроїв і застосунків | Договір або згода | На весь період взаємовідносин з клієнтом або до моменту видалення за запитом/виконанням користувачем. Зберігання резервних копій протягом 12 місяців |
Ім'я, прізвище та контактна інформація | Для забезпечення належного функціонування Hub, пристроїв і застосунків | Згода | На весь період взаємовідносин з клієнтом або до моменту видалення за запитом/виконанням користувачем. Зберігання резервних копій протягом 12 місяців |
Зображення з пристроїв Ajax | Для забезпечення належного функціонування Hub, пристроїв і застосунків | Договір | - Мобільний застосунок — строк зберігання медіафайлів для облікового запису користувача та PRO-акаунту становить 2 роки. Фото можуть бути видалені раніше разом з відповідними подіями, якщо буде досягнуто обмеження на кількість подій у мобільному застосунку (500 подій). - PRO Desktop (акаунт компанії) — залежно від налаштувань (від 7 днів до 2 років). - Ajax Translator не зберігає зображення, але посилання діють протягом 7 днів з моменту їх створення |
Хто має доступ до системи й інформації в Ajax?
Ajax дотримується принципів мінімізації доступності та найменших привілеїв у доступі до даних. Так, доступ до даних можуть мати лише працівники Ajax, відповідальні за підтримку процесу надання послуг і забезпечення проєктів. Коли працівники Ajax отримують доступ до даних, їхнє обладнання захищене шифруванням та іншими інструментами, що відповідають найвищим технічним ринковим вимогам. Усі працівники підписали угоду про нерозголошення і щороку беруть участь в оцінюванні захищеності даних. Усі дії персоналу реєструються, а журнали автоматично перевіряються в режимі реального часу. Якщо виникає підозра у зловживанні доступом, ми його обмежуємо і негайно розпочинаємо власне розслідування. Проте звертаємо увагу, що Ajax ніколи не отримує доступ до даних за відсутності для цього законних підстав. У деяких випадках користувач може доручити Ajax (на власний ризик) надати доступ до даних користувача стороннім провайдерам, призначеним користувачем (охоронним компаніям, інженерам монтажу), через мобільні застосунки або ПК. У таких випадках обрані користувачем компанії також отримають доступ до даних, які користувач хоче передати.
Яких заходів вживає Ajax, щоб відповідати світовому законодавству про захист даних? Як Ajax демонструє відповідність GDPR?
Щоб відповідати вимогам міжнародного законодавства про захист персональних даних, Ajax застосовує значну кількість заходів, механізмів і процедур. Наприклад, Ajax застосовує принципи обмеження обробки даних (конфіденційність за призначенням і за замовчуванням), мінімізації даних, контролю за доступом, політики обробки даних (політики зберігання, використання, видалення тощо). Під час передавання даних Ajax застосовує різні заходи, зокрема організаційно-технічні та стандартні договірні положення. Ви можете знайти більше інформації про це в розділі Передавання даних.
Як я можу реалізувати свої права на приватність?
Для реалізації ваших прав на приватність (видалення, заперечення або отримання інформації про ваші персональні дані, обмеження обробки тощо) ви можете зв'язатися з нами за адресою електронної пошти support@ajax.systems.
Передавання даних
Кому Ajax може надавати мої дані? Які типи даних можуть бути доступними і в яких випадках?
Зазвичай ми можемо передавати ваші персональні дані лише у випадках, коли це потрібно для надання вам замовлених послуг. Такі дані можуть бути розкриті нашим вендорам і постачальникам послуг, які забезпечують певні сервіси для функціонування наших продуктів і послуг. Зокрема, це стосується хостингу даних, технічної підтримки, зв'язку тощо. Ми переконуємося, що такі постачальники ставляться до них так само відповідально, як і ми самі.
Ми можемо передавати ваші контактні дані (наприклад, номер мобільного телефону, псевдонім та електронну пошту) постачальникам послуг фізичної охорони, якщо ви звернетеся до нас з відповідним проханням, вибравши такого постачальника в нашому застосунку. Зверніть увагу, що такі постачальники послуг самі стають контролерами даних і несуть відповідальність за ваші персональні дані. Попри те, що ми обираємо надійних партнерів для нашого застосунку, ми рекомендуємо перевіряти їхню політику конфіденційності, перш ніж звертатися до нас із проханням передати ваші дані до обраних компаній.
Для певних потреб Ajax може використовувати послуги сторонніх обробників за межами ЄЕЗ. Такими потребами можуть бути хостинг даних, технічний зв'язок для реєстрації, монтажу й інших організаційних заходів за допомогою електронної пошти або телефону.
Ajax докладає всіх можливих зусиль, щоб забезпечити передачу даних з дотриманням усіх чинних законів про захист персональних даних. Так, Ajax уклала угоди DPA з усіма субоператорами (включно з SCC у разі транскордонної передачі даних), а також вжила додаткових допоміжних заходів, що застосовуються під час передачі й обробки даних. Усі субоператори Ajax мають власні положення щодо політики конфіденційності й інші документи, пов'язані з дотриманням приватності, які регулярно переглядають фахівці Ajax для забезпечення відповідності вимогам законодавства.
Список схвалених Ajax субоператорів:
Послуга | Постачальник | Призначення використання | Посилання на політику конфіденційності та договір про захист персональних даних (DPA) |
AWS | Amazon | Хостинг даних та резервне копіювання | https://aws.amazon.com/privacy/ https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html |
Twilio | Twilio Group | Програмовані SMS | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
SendGrid | Twilio Group | Програмоване спілкування електронною поштою | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
Mailgun | Sinch Email | Транзакційна послуга електронної пошти | https://www.mailgun.com/legal/privacy-policy/ https://www.mailgun.com/legal/dpa/ |
MongoDB | MongoDB Inc | Постачальник послуг баз даних | https://www.mongodb.com/legal/privacy-policy https://www.mongodb.com/legal/dpa |
Google BigQuery | Google LLC | Аналітика, покращення сервісу | https://policies.google.com/privacy |
Що таке стандартні договірні положення?
Стандартні договірні положення (SCC) — це стандартизовані та попередньо затверджені типові положення про захист даних, які дають змогу контролерам та обробникам дотримуватися своїх зобов'язань відповідно до законодавства ЄС про захист даних. Вони можуть бути включені контролерами й обробниками в їхні договірні домовленості з іншими сторонами, наприклад, комерційними партнерами. Ці положення можна використовувати на добровільній основі для демонстрації відповідності вимогам щодо захисту даних, що вимагає обов'язкового договірного зобов'язання їх дотримуватися. Європейська Комісія має повноваження ухвалювати SCC (1) щодо взаємовідносин між контролерами та обробниками та (2) щодо передачі персональних даних до країн поза межами ЄЕЗ.
Що таке додаткові заходи?
Додаткові заходи — це спеціально впроваджені технічні й організаційні процедури, спрямовані на досягнення ефективного рівня захисту переданих даних, аналогічного обробці даних у межах ЄЕЗ.
Ajax реалізував, зокрема, але не обмежуючись, такі організаційні заходи:
- регулярні навчальні тренінги та перевірки рівня обізнаності працівників Ajax;
- автоматизована система моніторингу порушень та вразливостей в режимі реального часу;
- постійне логування всіх процесів;
- регулярна перевірка та валідація Ajax Systems на наявність вразливостей.
Ajax реалізував, зокрема, але не обмежуючись, такі технічні заходи:
- Заходи для запобігання доступу сторонніх осіб до систем обробки даних, наявних у приміщеннях та спорудах (включно з базами даних, серверами застосунків та відповідним апаратним забезпеченням), де обробляють персональні дані, включно зі створенням зон безпеки, обмеженням шляхів доступу, встановленням авторизації доступу для працівників і третіх осіб, блокуванням дверей (електричні дотягувачі дверей тощо).
- Заходи для запобігання використанню систем обробки даних сторонніми особами, включаючи процедури визначення й автентифікації користувачів, процедури захисту ідентифікаторів/паролів, шифрування носіїв архівних даних.
- Заходи щодо гарантування доступу осіб, які мають право користуватися системою обробки даних, лише до тих персональних даних, які відповідають їхнім правам доступу, і що персональні дані неможливо прочитати, скопіювати, змінити або видалити без відповідного дозволу, включаючи внутрішні політики та процедури, схеми контролю авторизації, диференційовані права доступу (профілі, ролі, транзакції та об'єкти), моніторинг та реєстрацію доступів, дисциплінарні заходи щодо працівників, які здійснюють доступ до персональних даних без відповідного дозволу.
- Заходи щодо запобігання несанкціонованому зчитуванню, копіюванню, зміні або видаленню персональних даних під час електронної передачі, транспортування або зберігання на носіях (ручних або електронних), а також щодо можливості перевірити, яким компаніям або іншим юридичним особам надаються персональні дані, включаючи шифрування, реєстрацію, транспортну безпеку. Усі персональні дані шифруються алгоритмом SHA256 в стані спокою і підлягають передачі через HTTPS з шифруванням SHA128 і TLS 1.2.
- Заходи щодо моніторингу того, чи були і ким саме введені, змінені або вилучені (видалені) дані із систем обробки даних, включаючи системи реєстрації та звітності, аудиторські сліди та документацію.
- Заходи для забезпечення захисту персональних даних від випадкового знищення або втрати (фізичної/логічної), зокрема процедури резервного копіювання, джерела безперебійного живлення (UPS), віддалене зберігання, системи антивірусного захисту/брандмауера, план аварійного відновлення, план сталого розвитку бізнесу.
- Заходи, спрямовані на окрему обробку персональних даних, зібраних для різних цілей, включаючи розділення баз даних, обмеження використання, розділення функцій (виробництво/тестування).
Що таке оцінювання результативності передавання даних?
Оцінювання результативності передавання даних (TIA) — це аналіз, який виконує контролер або оператор даних щодо наслідків для безпеки передачі персональних даних до країн поза межами ЄС/ЄЕЗ, або країн, на які поширюється рішення про адекватність передавання даних.