Политика конфиденциальности

1. Определения используемых терминов 

2. Цель и объем политики конфиденциальности

2.1. Целью политики обработки персональных данных и информационной безопасности Общества является защита сотрудников, партнеров и клиентов Общества от незаконных или вредных действий лиц, прямых или косвенных, преднамеренных или бессознательных, при обработке информации и данных, поступающих в распоряжение заинтересованных лиц, а также при использовании определенного оборудования для выполнения своих трудовых обязанностей.

2.2. Политика конфиденциальности предоставляет субъекту данных информацию об основаниях, намерениях, объемах, защите и сроках обработки персональных данных.

2.3. Политика конфиденциальности регулирует обработку информации в любых системах или любых носителях, участвующих в обработке данных/информации в Обществе, независимо от того, связана ли обработка данных/информации с внутренними коммерческими операциями Общества или внешними отношениями Общества с любыми третьими сторонами.

2.4. Данная политика конфиденциальности также регулирует использование работниками Общества имеющегося у них оборудования и инструментов в рамках выполнения своих рабочих обязанностей.

2.5. Политика конфиденциальности может применяться вместе с любыми другими политиками, правилами, процедурами и/или руководящими принципами, которые периодически принимаются и применяются в Обществе.

2.6. По всем вопросам обработки персональных данных, систем информационной безопасности и вопросам безопасности информации/данных, не оговоренным в настоящей Политике конфиденциальности, следует обращаться в Правление Общества.

3. Классификация информации

3.1. Любая информация/данные, которые становятся доступными сотрудникам при выполнении их должностных обязанностей, если такая информация/данные связаны с Обществом и его деятельностью, клиентами или партнерами, считается принадлежащей Обществу конфиденциальной информацией, которая, следовательно, защищена соответствующими применимыми нормативными актами о защите конфиденциальной информации, торговой/коммерческой тайны и персональных данных.

3.2. Чтобы обеспечить надлежащую защиту информации и данных, Общество проводит внутреннюю классификацию информации. Информация/данные защищены независимо от того, поступила ли такая информация в распоряжение работника в виде печатных материалов, на любых устройствах хранения данных, в виде аудио/видео материалов или любым другим способом.

3.3. Общество использует следующую общую классификацию информации:

4. Системы, участвующие в обработке данных/информации

4.1. Любые информационные системы, включая, помимо прочего, компьютерное оборудование, любое программное обеспечение, операционные системы, любые виды носителей, сетевые учетные записи, учетные записи электронной почты, браузерные системы и любые другие технические базы и инструменты, используемые в деятельности Общества, считаются собственностью Общества.

4.2. Каждый сотрудник обязан использовать такое техническое оборудование и инструменты с должной тщательностью и вниманием, исключительно в целях, связанных с коммерческой деятельностью Общества. Единственным исключением являются случаи, когда Общество предоставило сотруднику техническое оборудование (например, устройство мобильного телефона), дав явное согласие на его использование в личных целях.

5. Правовые основы обработки персональных данных

Общество обрабатывает персональные данные на следующих правовых основаниях:

5.1. заключение и исполнение договора;

5.2. для исполнения нормативных актов;

5.3. по согласию субъекта данных;

5.4. для реализации законных интересов Общества, вытекающих из обязательств между Обществом и клиентом или заключенного договора или закона.

6. Цели обработки персональных данных

Общество обрабатывает персональные данные:

6.1. для идентификации клиентов;

6.2. для подготовки, заключения, дополнения, перезаключения и расторжения договоров;

6.3. для обслуживания клиентов;

6.4. для выполнения обязательств по заключенным договорам;

6.5. для администрирования счетов;

6.6. для взыскания долгов;

6.7. для распространения использования услуг;

6.8. для проведения опросов клиентов;

6.9. для подготовки отчетов;

6.10. для учета, планирования и статистики;

6.11. для предоставления информации органам государственного управления и субъектам оперативной деятельности в случаях и объемах, установленных действующими в Латвийской Республике нормативными актами.

 7. Категории получателей персональных данных

Общество не разглашает третьим лицам персональные данные клиентов или любую информацию, полученную в ходе оказания услуг и действия договора, в том числе информацию о полученных услугах, за исключением:

7.1. если соответствующему третьему лицу нужно передать данные в рамках заключенного договора для выполнения какой-либо функции, необходимой для выполнения договора или делегированной законом, например, банку в рамках расчетов;

7.2. выставление счетов и доставка клиенту;

7.3. отправка почтовых отправлений клиенту;

7.4. по четкому и ясному согласию клиента;

7.5. Лицам, предусмотренным действующими в Латвийской Республике нормативными актами, по их обоснованному запросу в порядке и объеме, установленном действующими в Латвийской Республике нормативными актами;

7.6. В случаях, предусмотренных действующими в Латвийской Республике нормативными актами, для защиты законных интересов Общества, например, при обращении в суд или другие государственные органы против лица, которое нарушило законные интересы данного Общества.

8. Срок хранения персональных данных

8.1. Общество хранит и обрабатывает персональные данные клиентов до тех пор, пока существует хотя бы один из следующих критериев:

8.1.1 действует договор, заключенный с клиентом;

8.1.2. на время, пока в порядке, установленном действующими в Латвийской Республике нормативными актами, Общество или клиент могут реализовать свои законные интересы, например, подать иск в суд;

8.1.3. пока у одной из сторон есть юридические основания для хранения данных;

8.1.4. пока действует согласие клиента на соответствующую обработку персональных данных, если нет других правовых оснований для обработки данных.

8.2. Когда заканчиваются указанные в пункте 8.1 данной Политики конфиденциальности обстоятельства, личные данные клиента удаляются.

9. Согласие клиента на обработку персональных данных и право на отзыв согласия

9.1. Согласие клиента на обработку персональных данных, правовым основанием которого является согласие, клиент может дать лично в офисе Общества по адресу Рига, ул. Крустпилс 31 или написав на электронную почту safe@seifs.lv.

9.2. Клиент имеет право отозвать данное согласие на обработку персональных данных таким же образом, каким оно было дано - в офисе Общества по адресу Рига, ул. Крустпилс 31 или по электронной почте safe@seifs.lv.

9.3. Отзыв согласия не влияет на обработку данных, осуществленную в то время, когда было получено согласие клиента.

9.4. Согласие клиента не требуется и отзыв согласия не влияет на обработку данных, осуществленную на других правовых основаниях, например, на основании заключенного договора.

10. Обязанности Сотрудников Общества

10.1. Любая информация/данные, поступающие в распоряжение Сотрудника при выполнении его должностных обязанностей, считаются конфиденциальными и используются в качестве конфиденциальных при соблюдении их защиты в соответствии с настоящей Политикой конфиденциальности и не передаются третьим лицам до тех пор, пока руководство не сообщит, что такая информация стала достоянием общественности или была иным образом классифицирована как информация, которая больше не защищена в порядке, предусмотренном настоящей Политикой конфиденциальности.

10.2. Все персональные данные и другая информация, с помощью которой может быть идентифицировано физическое лицо, собираются и обрабатываются только в том случае, если это необходимо и в той мере, в какой это необходимо для выполнения должностных обязанностей работника, при условии, что такие действия выполняются в пределах полномочий, предоставленных работнику, и в соответствии с требованиями защиты данных, предусмотренными законом (в частности, в соответствии с регламентом Европейского парламента и Совета (ЕС) 2016/679 (27 апреля 2016 года) о защите физических лиц в отношении обработки персональных данных и свободного перемещения таких данных и об отмене директивы 95/46/EC (Общее положение о защите данных)).

10.3. Любые запросы и/или запросы на обработку данных, полученные Сотрудником при выполнении своих должностных обязанностей от владельцев данных – физических лиц, незамедлительно направляются руководству для дальнейшего рассмотрения.

10.4. Каждый Сотрудник обязан соблюдать настоящую политику конфиденциальности, а также выполнять требования действующих местных, региональных или международных нормативных актов, которые предусматривают условия обработки и защиты информации/данных. Несоблюдение политики конфиденциальности считается существенным нарушением установленного порядка работы и может привести к дисциплинарному взысканию или увольнению Сотрудника по усмотрению Общества. Это также может привести к привлечению к административной или уголовной ответственности Сотрудника, совершившего данное правонарушение.

11. Управление доступом и защитой

11.1. Сотрудники могут получить доступ к любым устройствам, доступным Сотрудникам, если это необходимо для выполнения рабочих обязанностей в рамках ответственности соответствующих Сотрудников. Право доступа к любой системе не означает, что Сотрудник уполномочен просматривать или использовать всю информацию, содержащуюся в данной системе.

11.2. Сотрудник получает доступ к конфиденциальной информации /данным только в том случае, если такие полномочия предусмотрены трудовым договором соответствующего Сотрудника, и/или если Общество предоставило Сотруднику такие полномочия.

12. Меры безопасности

12.1. Все собранные и обработанные в любой форме (печатной, электронной и т.д.)) данные и информация подлежат требованиям настоящей Политики конфиденциальности и любого нормативного регулирования в отношении сбора, обработки, защиты и хранения данных/информации. Такие документы хранятся в указанном Обществом безопасном месте со сроком хранения, предусмотренным применимым законодательством и/или указанным Обществом.

12.2. Сотрудникам запрещается хранить любую конфиденциальную информацию на своих устройствах, за исключением информации, которая временно необходима для конкретной деятельности, связанной с работой. Вся необходимая конфиденциальная и личная информация должна храниться только в облачном хранилище, одобренном ИТ-персоналом Общества, и в общедоступной интрасети. Следует избегать любой загрузки таких данных на локальные устройства и делать это только в том случае, если это разумно необходимо в связи с обработкой информации для рабочих целей.

12.3. Должным образом уполномоченный ИТ-персонал Общества имеет право фильтровать и контролировать доступ Сотрудников в интернет и действия Сотрудников в интернете в соответствии с требованиями применимых нормативных актов.

12.4. Любые мобильные, портативные устройства (включая ноутбуки, планшеты, смартфоны и другие портативные устройства), а также любые облачные хранилища информации должны быть одобрены ИТ-персоналом Общества и должным образом защищены для предотвращения несанкционированного доступа.

12.5. Только лицензированные и авторизованные Обществом системы и программное обеспечение могут быть установлены и использованы на оборудовании и инструментах, используемых Обществом. Перед загрузкой или установкой любого программного обеспечения на устройства, принадлежащие и используемые Сотрудниками, для целей, описанных в данной политике конфиденциальности, необходимо получить разрешение ИТ-персонала.

12.6. В случаях, когда Сотрудники используют личные (домашние) устройства для доступа к корпоративным ресурсам компании (например, программа управления взаимоотношениями с клиентами (CRM), электронная почта, онлайн / облачные базы данных), Сотрудники обязаны соблюдать требования данной политики конфиденциальности точно так же, как если бы они использовали оборудование, предоставляемое Обществом. Следовательно, на устройстве запрещено хранить любые данные и информацию, относящиеся к Обществу; любая обработка данных разрешена только через облако и онлайн-хранилища, используемые Обществом.

12.7. В любом случае категорически запрещается использовать устройства общественного доступа (например, в интернет-кафе, библиотеках и т.д.).), если это не является критически и срочно необходимым в связи с работой, и непосредственный руководитель Сотрудника дал ясное письменное согласие на такую деятельность.

12.8. В случае предоставления Сотруднику права доступа к системе хранения файлов клиента или партнера по сотрудничеству, Сотрудник обязан использовать предоставленные клиентом или партнером средства доступа и соблюдать предоставленные инструкции относительно требований к безопасной обработке информации/данных (в том числе, использование систем шифрования, паролей, ограничения на использование данных, использование специально предназначенных мест и т.д.).).

12.9. Как только, по усмотрению Общества, защищенные данные/информация больше не нужны для деятельности Общества, такие данные / информация удаляются, уничтожаются все их копии, а Сотрудники, участвующие в обработке соответствующей информации /данных, соответствующим образом информируются об их обязательстве удалять/уничтожать и возвращать обществу информацию/данные, которые им больше не нужны для выполнения своих трудовых обязанностей, и, в частности, возвращать Обществу, удалять и уничтожать копии, если с соответствующим работником прекращаются трудовые правоотношения.

12.10. Никакая информация/данные, упомянутые в настоящей Политике конфиденциальности, не пересылаются, не передаются и не предоставляются третьим лицам каким-либо иным образом, за исключением случаев, когда это необходимо для выполнения должностных обязанностей Сотрудника, и только в той мере, в какой это необходимо для выполнения таких обязанностей. В случае пересылки или передачи данных третьим лицам необходимо обеспечить защиту данных и принять все соответствующие меры безопасности.

12.11. Общество проверяет системы, применяемые при обработке информации/данных, для контроля постоянного соблюдения настоящей Политики конфиденциальности и применимых нормативных требований.

13. Запрещенные действия

13.1. За исключением особо предусмотренных исключений, никакое оборудование, системы или инструменты, принадлежащие Обществу, его клиентам или партнерам по сотрудничеству, ни при каких обстоятельствах не должны использоваться в целях, не связанных с должностными обязанностями Сотрудника или деятельностью Общества.

13.2. Следующие действия строго запрещены, без исключений:

13.2.1. нарушение прав любого лица или Общества, защищенного правами интеллектуальной собственности, включая, помимо прочего, установку, копирование, распространение или хранение любого незаконного программного обеспечения, онлайн-платформ, любого другого электронного контента, на который Общество не имеет лицензии на использование, в любых системах или оборудовании Общества;

13.2.2. несанкционированное копирование материалов, защищенных авторским правом;

13.2.3. нарушение прав любого лица путем чрезмерного и без необходимости сбора и обработки персональных данных соответствующего субъекта;

13.2.4. доступ к данным, серверу или учетной записи для целей, не связанных с коммерческой деятельностью Общества или выполнением должностных обязанностей соответствующего Сотрудника;

13.2.5. экспорт программного обеспечения, технической информации, шифрующего программного обеспечения или технологий для шифрования в нарушение применимых международных или национальных нормативных актов и / или инструкций Общества;

13.2.6. экспорт любых данных или информации, имеющих имущественную и/или конфиденциальную ценность для Общества, если такой экспорт не требуется в ходе коммерческой деятельности Общества или выполнения должностных обязанностей Сотрудника, и / или если он нарушает внутренние правила Общества, применимые нормативные акты;

13.2.7. Раскрытие пароля учетной записи Сотрудника другим лицам и разрешение другим лицам использовать такую учетную запись (включая, помимо прочего, членов семьи Сотрудника);

13.2.8. создание мошеннических предложений продукции, товаров или услуг с использованием счета Общества;

13.2.9. осуществление нарушений безопасности или прерываний сетевой связи. Такие нарушения безопасности включают, но не ограничиваются доступом к данным, если Сотрудник не является их предполагаемым получателем, или входом на сервер или учетную запись, к которой Сотрудник не имеет права доступа, если такое право доступа не предоставлено Сотруднику в связи с участием соответствующего Сотрудника в конкретном проекте Общества;

13.2.10. использование любой программы/сценария/команды или отправка любого сообщения с намерением любым способом помешать или отключить рабочий сеанс пользователя.

14. Сообщение об инцидентах безопасности

14.1. О любых инцидентах безопасности или возможных инцидентах, связанных с обработкой информации/данных, необходимо незамедлительно сообщать Руководству, которое, соответственно, принимает все меры по предотвращению возможного ущерба, устранению последствий причиненного ущерба и восстановлению прежнего состояния безопасности.

14.2. Если применимо, Руководство обязано обеспечить дальнейшее сообщение о нарушении данных/информационной безопасности органам власти и вовлеченным физическим лицам, как это предусмотрено применимыми нормативными актами и/или законодательством Европейского Союза.