Заявление компании Hypertherm в отношении Общего регламента EC по защите данных (GDPR)

Заявление

Общий регламент EC по защите данных (General Data Protection Regulation, GDPR), который вступил в силу 25 мая 2018 года, призван усилить безопасность и защиту персональных данных в Европейском Союзе. С момента вступления в силу этого регламента утрачивают силу директива ЕС о конфиденциальности и соответствующие законодательные акты на национальных уровнях. GDPR накладывает дополнительные требования на компании, которые собирают и хранят персональные данные резидентов ЕС.

Наши обязательства

Компания Hypertherm приветствует вступление в силу GDPR. Мы всецело стремимся обеспечить безопасность и защиту персональных данных, которые мы обрабатываем, в соответствии с требованиями GDPR. Успех нашей компании основан на том, что наши ассоциированные партнеры, клиенты и другие заинтересованные лица полностью доверяют нам в том, что мы обеспечиваем наивысшее качество в своей работе. Это относится и к нашей возможности обеспечить высокий уровень защиты данных и их безопасность. Прежде всего имеются в виду персональные данные наших ассоциированных партнеров, клиентов и третьих сторон, которые доверяют нам. Для компании Hypertherm это не просто обязанность выполнять требования национального и международного законодательства, но и обязанность применять аналогичные стандарты, процессы и процедуры при работе внутри Hypertherm. Это позволяет нам обеспечить прозрачность, прогнозируемость и последовательность, которые от нас ожидают заинтересованные лица. В этом заявлении мы изложили наши подготовительные процедуры и меры по обеспечению соответствия требованиям GDPR. Кроме того, изложены меры по разработке и внедрению новых подготовительных действий по защите данных, ролей, политик, процедур, принципов контроля и других мер, которые помогут обеспечить максимально возможное и постоянное соответствие требованиям регулирования.

Подготовительные процедуры

Наши политики в отношении защиты данных направлены на то, чтобы заинтересованные лица были уверены в том, что их данные остаются в безопасности. Мы реализовали ряд мер, чтобы обеспечить взаимодействие с заинтересованными сторонами и обработку их данных в соответствии с принципами конфиденциальности. Наши подготовительные меры в отношении выполнения требований GDPR в нашей организации включают в себя:

  • Аудит данных. Мы проводим аудит информации, как это предусмотрено GDPR, путем сопоставления данных и использования информации из хранилищ данных. Аудит позволяет нам определить персональные данные, которые мы храним, их источник, причины и способы их обработки, а также условия, при которых они могут быть разглашены, и стороны, которым они могут быть разглашены.

  • Политики и процедуры. Политики и процедуры в отношении защиты данных, которые обеспечивают соответствие требованиям и стандартам GDPR, а также любые действующие законы о защите данных, включая: –

    • Защита данных. Мы провели ревизию и внесли изменения в свой основной документ по политике и процедуре защиты данных с тем, чтобы обеспечить соответствие стандартам и требованиям GDPR. Реализованы меры по управлению и подотчетности, призванные гарантировать, что мы понимаем, распространяем и подтверждаем свои обязательства. Основное внимание удалено обеспечению конфиденциальности и прав субъектов защиты персональных данных.

    • Хранение и стирание данных. Мы обновили нашу политику хранения данных и составили план, предусматривающий реализацию принципов «минимизация данных» и «ограничение хранения», а также процедур хранения, архивации и уничтожения персональных данных, соответствующих нормам регулирования и этическим принципам.

    • Нарушение в системе защиты персональных данных. Нашими процедурами в отношении нарушения обращения с персональными данными предусмотрены определенные меры, которые позволяют нам в максимально сжатые сроки выявить, оценить и расследовать любые нарушения в системе обработки персональных данных, и составить о них отчет. Это эффективные процедуры, которые доведены до ведома всех наших сотрудников. Поэтому все они знают о том, что конкретно нужно делать при выявлении нарушений, и кому сообщать об этом.

    • Передача данных за пределы ЕС и раскрытие третьим сторонам. В тех случаях, когда Hypertherm хранит или передает персональные данные за пределы ЕС, мы применяем строгие процедуры и меры защиты, обеспечивающие безопасность, шифрование и целостность данных.  Мы работаем над внедрением систем и процессов, которые помогут нам в анализе стран на предмет наличия в них адекватных правовых норм по защите персональных данных. Кроме того, мы вводим положения в отношении обязывающих корпоративных правил, стандартные положения по защите данных или кодексы поведения для тех стран, в которых нет достаточной правовой защиты персональных данных. Мы проводим строгие комплексные проверки (due diligence) всех получателей персональных данных, чтобы убедиться в том, что у них реализованы должные меры защиты данных, обеспечены права субъектов защиты данных, а также в том, что у них есть действенные средства правовой защиты для субъектов защиты данных, которые они могут предоставить в случае необходимости.

    • Запрос о наличии информации о субъекте персональных данных (Subject Access Request, SAR). Мы изменили процедуры SAR: теперь в них учтен новый требуемый 30-дневный период предоставления запрошенной информации и регламентировано бесплатное предоставление такой информации. В наших новых процедурах подробно описана проверка субъекта защиты персональных данных, действия по обработке запроса на доступ и исключения, которые применяются, чтобы обеспечить соответствие обмена данными с субъектом защиты персональных данных требованиям регулирования.

  • Правовые основы обработки персональных данных. Мы анализируем все процедуры обработки на предмет наличия правового основания обработки персональных данных и обеспечиваем соответствие всех процедур таким основаниям. Там, где это необходимо, мы сохраняем записи действий по обработке, обеспечивая таким образом соответствие статье 30 GDPR.

  • Политика конфиденциальности. Согласно требованиям GDPR мы предоставляем уведомление о конфиденциальности, чтобы все лица, персональные данные которых мы обрабатываем, знали о причинах сбора и обработки таких данных, процедуре их обработки, своих правах, правилах раскрытия информации, а также о мерах по защите их данных. https://www.hypertherm.com/policies/

  • Получение согласия. Мы внесли изменения в механизмы получения согласия на обработку персональных данных таким образом, чтобы обеспечить полную прозрачность для пользователей в отношении того, какие данные они предоставляют, каковы причины сбора этих данных, а также в отношении процедур обработки данных. Кроме того, для обработки данных нам нужно получить ясное и однозначное согласие пользователя. Мы разработали строгие процессы фиксации согласия на сбор и обработку персональных данных, которые позволяют нам гарантировать, что согласие было дано осознанно. Кроме того, записываются дата и время. В любое время пользователь может отозвать свое согласие.

  • Прямой маркетинг. Мы изменили процессы, связанные с прямым маркетингом, в том числе внедрили механизмы получения явного согласия на рекламные подписки, обеспечили ясное уведомление и метод для отказа от рассылки, а также функции по отмене подписки на все рекламные материалы.

  • Оценка воздействия на защиту данных (Data Protection Impact Assessments, DPIA). Для обработки персональных данных, которые относятся к категории с высоким риском, требуют расширенной обработки или содержат особо конфиденциальные данные (данные уголовных дел), мы разработали строжайшие процедуры и шаблоны оценки, по которым мы оцениваем воздействие в полном соответствии с требованиями статьи 35 GDPR. Мы внедрили процессы документирования, в рамках которых записывается каждая оценка. Помимо этого они позволяют нам оценить риск, связанный с операциями обработки, и предпринять меры по уменьшению риска для субъекта защиты персональных данных.

  • Особые категории данных. Процедуры обработки данных особых категорий полностью соответствуют требованиям статьи 9 GDPR. В частности, мы обеспечиваем шифрование и защиту всех таких данных. Данные особых категорий обрабатываются только при необходимости и только после определения соответствующего правового основания согласно статье 9(2). В тех случаях, когда в качестве основания для этого мы полагаемся на ваше согласие, такое согласие должно быть явным и подтверждено подписью. При этом явно указывается право изменить или отозвать такое согласие.

Права субъекта защиты персональных данных

В дополнение к описанным выше процедурам мы предоставляем информацию рядом других способов, чтобы обеспечить право субъекта защиты персональных данных на доступ к любым его персональным данным, которые обрабатывает Hypertherm, а также на запрос следующей информации:

  • Персональные данные, которые мы храним
  • Цель обработки данных
  • Категории затрагиваемых персональных данных
  • Период, в течение которого мы храним персональные данные
  • Источник получения данных, если они не были получены непосредственно от субъекта защиты персональных данных
  • Право на исправление или дополнение неполных или неточных данных путем соответствующего запроса
  • Право отправить запрос на стирание персональных данных (если уместно) или ограничение их обработки в соответствии с законодательством о защите данных, а также заявить несогласие по поводу используемых нами процедур прямого маркетинга и получать информацию обо всех механизмах автоматического принятия решений
  • Право подать жалобу; контактная информация лиц, которые занимаются рассмотрением жалоб

Меры по обеспечению безопасности персональных данных

Компания Hypertherm очень серьезно относится к защите прав и персональных данных пользователей и предпринимает все разумные меры и процедуры предосторожности для защиты персональных данных, которые мы обрабатываем.  У нас реализованы надежные политики и процедуры по безопасности данных, обеспечивающие защиту персональных данных от несанкционированного доступа, внесения изменений, разглашения и уничтожения. Безопасность обеспечивается соответствующими мерами на нескольких уровнях, в частности таким мерами, как элементы управления доступом, политика в отношении пароля, шифрования, ограничения и типы аутентификации.       

Роли GDPR

Hypertherm назначила комплексную глобальную группу специалистов по разработке и внедрению дорожной карты обеспечения соответствия требованиям GDPR. Это группа отвечает за повышение уровня осведомленности о GDPR в организации, оценку готовности выполнять требования GDPR, выявление «узких мест», внедрение новых политик, процедур и мер.

В компании Hypertherm есть ясное понимание того, что постоянная осведомленность сотрудников и их понимание — ключевой фактор обеспечения соответствия требованиям GDPR. Поэтому наши сотрудники также принимают участие в соответствующих подготовительных планах. В рамках работы по обеспечению соответствия требованиям GDPR мы подготовили памятку для сотрудников, которая была распространена до 25 мая 2018 года.

Дополнительная информация

Если у вас есть какие-либо вопросы о нашей подготовке к работе согласно требованиям GDPR, обращайтесь по указанному ниже адресу электронной почты: EthicsPoint - Hypertherm, Inc.

Мы всецело стремимся защитить ваши персональные данные и обеспечить прозрачность информации, которую мы храним.