«ТМФ Груп» очень серьезно относится к конфиденциальности своих (потенциальных) деловых отношений, (потенциальных) сотрудников и другого персонала. Мы неукоснительно защищаем доверенные нам персональные данные. С этой целью мы усовершенствовали и ввели новые технические и организационные меры для выполнения Общего регламента (ЕС) по защите персональных данных 2016/679 (далее — «ОРЗПД»).
Меры, принимаемые «ТМФ Груп» для обеспечения постоянного выполнения ОРЗПД
Чтобы обеспечить справедливую и прозрачную обработку персональных данных с учетом особых обстоятельств и контекста обработки персональных данных, мы усовершенствовали уже внедренные, а также ввели в действие новые технические и организационные меры, позволяющие в максимальной степени минимизировать потенциальные риски для персональных данных.
Чтобы обеспечить выполнение ОРЗПД, мы подготовили новые и обновили действующие внутренние политики и руководства, а также ввели в действие меры, соответствующие, в частности, принципам проектируемой защиты данных и защиты данных по умолчанию. Среди прочего, такие меры направлены на: (i) минимизацию обработки персональных данных, (ii) повышение безопасности обработки персональных данных, (iii) прозрачность процесса обработки персональных данных, (iv) обеспечение адекватного и своевременного реагирования на запросы субъектов персональных данных, (v) поддержку процедур своевременного реагирования на инциденты, а также (vi) контроль над обработкой персональных данных в целях обеспечения надлежащей законной обработки.
При разработке, дизайне, выборе и использовании бизнес-приложений или при оказании услуг и поставке продуктов нашим клиентам (что подразумевает обработку персональных данных) мы гарантируем выполнение собственных правовых обязательств применительно к ОРЗПД. Принципы проектируемой защиты данных и защиты данных по умолчанию соблюдаются на протяжении всего процесса. Организационные и технические меры, которые принимает «ТМФ Груп» и которые перечислены ниже, постоянно оцениваются и совершенствуются.
Сопутствующие организационные меры ОРЗПД
- Введена в действие система управления конфиденциальностью, в которой вводится должность Руководителя службы обеспечения конфиденциальности информации, а также предусмотрено наличие Отдела по вопросам конфиденциальности, которые обеспечивают соблюдение ОРЗПД, а также регионального законодательства по соблюдению конфиденциальности в тех юрисдикциях, в которых мы работаем.
- Во внешние и внутренние политики по конфиденциальности были включены требования ОРЗПД.
- Мы внедрили процессы, процедуры и руководства в целях поддержки запросов наших клиентов, потенциальных клиентов и сотрудников в части так называемых прав согласно Главе III ОРЗПД: право на переносимость данных, право на уничтожение персональных данных («право на забвение»), право на получение информации и на прозрачность данных, право на доступ к данным и на исправление данных, право на ограничение обработки данных и право на возражение против (автоматической) обработки персональных данных.
- Лучшие в отрасли и обладающие высокой репутацией эксперты внедрили систему учета данных (систему учета обработки данных, или «СУОД») в соответствии с отраслевыми стандартами в финансовом секторе. Упомянутый учет ведется в соответствии с ОРЗПД и обеспечивает представление о потоках данных в организации. Обязательные обновления СУОД являются частью организационных процессов.
- По мере необходимости и по запросу (чтобы обеспечить выполнение клиентами требований законодательства) может проводиться Оценка воздействия на защиту данных (далее — «ОВЗД»). Частью внутренних процессов является быстрое сканирование на предмет ОВЗД и проведение полной ОВЗД.
- Доступны руководства, процедуры и процессы, позволяющие контролировать инциденты с персональными данными. Контроль над указанными процедурами и разрешением инцидентов осуществляют Должностные лица, ответственные за конфиденциальность и безопасность.
- Соглашения о предоставлении услуг, которые мы заключаем с клиентами и поставщиками (лицами, действующими по поручению оператора персональных данных), отражают требования ОРЗПД. Мы стремимся сотрудничать только с теми лицами, действующими по поручению оператора персональных данных, которые предоставляют достаточные гарантии, в частности, касательно наличия у них профессиональных знаний, надежности и ресурсов. Мы требуем, чтобы такие лица внедряли технические и организационные меры, соответствующие требованиям ОРЗПД и наших клиентов, включая требования к безопасности обработки персональных данных.
- Надзорный орган в «ТМФ Груп» в Нидерландах (руководство «ТМФ Груп») утвердил Обязательные корпоративные правила «ТМФ Груп» (далее — «ОКП») для внутригрупповой передачи персональных данных между контролером и оператором из стран или в страны, где не может быть обеспечена надлежащая защита персональных данных по сравнению с той, что применяется в Европейском союзе.
- Соблюдение требований ОРЗПД каждым региональным офисом должно являться предметом регулярных внутренних проверок, проводимых под руководством Руководителя службы обеспечения конфиденциальности информации.
- Проведены тренинги и информационно-просветительные кампании для всех сотрудников, и все сотрудники должны проходить обязательные тренинги по ОРЗПД. Указанные тренинги обновляются ежегодно.
- Прямые маркетинговые кампании «ТМФ Груп» полностью соответствуют требованиям ОРЗПД. Это значит, что они проводятся после предварительной оценки соответствия требованиям конфиденциальности и под наблюдением специалистов по маркетингу, знакомых с требованиями ОРЗПД.
Меры технического характера и меры безопасности в связи с требованиями ОРЗПД
- Все сотрудники подписали заявления о соблюдении конфиденциальности и все они обязаны соблюдать внутреннюю политику компании.
- Работа персонала с ИТ-системами и физическими хранилищами персональных данных (далее — «Хранилище»), а также доступ к таковым являются раздельными, защищенными и проводятся в соответствии с (многочисленными) требованиями в отношении аутентификации.
- Введено разделение функций и обязанностей персонала, которое позволяет снизить вероятность того, что один человек сможет нарушить нормальное осуществление каких-либо критических процессов.
- Каждый сотрудник выполняет исключительно установленные для его соответствующей должности и рода деятельности должностные обязанности.
- Права доступа для персонала к ИТ-системам и Хранилищу соответствуют предварительно сформулированным и документально подтвержденным коммерческим потребностям, а должностные требования прилагаются к идентификаторам пользователей.
- Управление аккаунтами сотрудников осуществляет исключительно уполномоченный персонал, и периодически проводятся соответствующие проверки того, как осуществляется указанное управление аккаунтами.
Мы рекомендуем клиентам, поставщикам и партнерам ознакомиться с Политикой по защите персональных данных и сопроводительным Заявлением о преемственности, которые соответствуют требованиям ОРЗПД и содержат описание применяемых группой компаний «ТМФ Груп» технических мер и мер по обеспечению безопасности, наряду с Обязательными корпоративными правилами, которые позволяют нам осуществлять передачу персональных данных внутри Группы без каких-либо дополнительных юридических или технических ограничений.
По всем прочим запросам, касающимся заключения договоров, просим обращаться в ваш региональный офис или наш профильный отдел по следующему адресу: dataprotection@tmf-group.com.