I Цель

Цель политики — установить порядок, в каком Общество производит обработку персональных данных, обеспечивает безопасность и защиту персональных данных, обеспечивает информацию для субъектов данных о целях обработки персональных данных, правовом основании для этого, а также обеспечивает информацию субъектам данных об операторах обработки персональных данных Общества или нанятых им и других лицах, вовлеченных в обработку персональных данных.

II Используемые термины и сокращения

  • Обработка - любое действие, совершаемое с персональными данными (например, сбор, структурирование, хранение, адаптация, изменение, передача, удаление).
  • Оператор обработки персональных данных - физическое или юридическое лицо, публичное учреждение, агентство или другая структура, которая от имени Общества обрабатывает персональные данные.
  • Общество - SIA “ACM Project”.
  • Субъект данных - Физическое лицо (клиент, представитель, сотрудник клиента), которого возможно прямо или косвенно идентифицировать.
  • ЕЭЗ - Европейская экономическая зона.
  • ЕС - Европейский союз.
  • ЛР - Латвийская Республика.
  • Профилирование - автоматическая обработка персональных данных с целью оценки определенных черт личности
  • Персональные данные - любая информация, которая относится к идентифицированному или идентифицируемому физическому лицу — субъекту данных.
  • Нарушение защиты персональных данных - Нарушение правил безопасности, в результате которого происходит случайное или незаконное уничтожение, потеря, видоизменение, неразрешенное разглашение или доступ к отправленным, хранимым или иным образом обрабатываемым персональным данным.
  • Контролер данных - лицо (Общество), которое в отношение обработки персональных данных устанавливает цели и средства обработки персональных данных, а также отвечает за обработку персональных данных согласно требованиям, применимых нормативных актов.
  • ОРЗД - Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 о защите физических лиц в отношении обработки персональных данных и о свободном движении таких данных, отменяющий Директиву 95/46/ЕС (Общий регламент по защите данных).

III Основные положения

  • 1. В интерпретации этой политики Общество считается контролером данных.
  • 2. Общество осуществляет обработку персональных данных, соблюдая требования ОРЗД.
  • 3. Осуществляемая Обществом обработка персональных данных может иметь несколько законных оснований, например, согласие лица на обработку данных, договорные отношения между лицом и Обществом, выполнение относящегося к Обществу юридического обязательства в соответствии с требованиями применимых нормативных актов или обеспечение соблюдения законных интересов Общества.
  • 4. При подаче письменного заявления в Общество субъект данных имеет право ознакомиться со своими данными, потребовать их исправления, ограничения их обработки, право отозвать свое согласие и возразить против осуществляемой Обществом обработки данных, а также право на переносимость данных.
  • 5. В определенных случаях права лица могут быть не реализованы или ограничены, если это обосновано законными интересами Общества.

IV Изложение

6. Цели обработки данных

  • 6.1. Сбор данных осуществляется для конкретных, ясных и законных целей, и их дальнейшая обработка производится таким образом, который совместим с указанными целями.
  • 6.2. Общество осуществляет обработку данных в следующих целях:
  • 6.2.1. выполнение требований нормативных актов и идентификация лица; 6.2.2. управление отношениями с клиентами, кредиторами, дебиторами, партнерами и другими связанными лицами;
  • 6.2.3. удовлетворение требований кредиторов;
  • 6.2.4. предоставление услуг;
  • 6.2.5. обеспечение физической и информационной безопасности;
  • 6.2.6. защита интересов клиентов и Общества;
  • 6.2.7. управление рисками;
  • 6.2.8. управление персоналом.

7. Категории субъектов данных

  • 7.1. Категории физических лиц, персональные данные которых обрабатывает Общество:
  • 7.1.1. клиенты Общества (нынешние и бывшие), кредиторы, дебиторы и связанные с ними лица (представители, уполномоченные лица, бенефициары, сотрудники и т. п.);
  • 7.1.2. сотрудники Общества (нынешние и бывшие) и кандидаты;
  • 7.1.3. деловые партнеры, агенты, поставщики товаров и услуг, консультанты и связанные с ними лица (представители, уполномоченные лица, бенефициары, сотрудники и т. п.);
  • 7.1.4. посетители офисов Общества и прилегающей к ним территории.

8. Категории данных

  • 8.1. Данные следующих категорий могут быть предоставлены самими субъектами данных, могут быть получены при использовании клиентом услуг Общества, а также от третьих лиц (например, публичные или частные регистры):
  • 8.1.1. идентификационные данные лица (имя, фамилия, персональный код, дата и место рождения, данные идентификационного документа);
  • 8.1.2. контактная информация лица (почтовый адрес, телефон, адрес электронной почты, логин Skype, IPадрес и др.);
  • 8.1.3. аудио- / визуальные данные (например, записи телефонных разговоров Общества и клиентов, записи с камер видеонаблюдения, размещенных на принадлежащих Обществу объектах и прилегающей к ним территории);
  • 8.1.4. данные связанных лиц (например, представители или уполномоченные лица клиента или партнера, члены семьи сотрудников и другие связанные с ними лица);
  • 8.1.5. данные, которые получены в рамках трудовых отношений с сотрудниками Общества (например, информация о заработной плате, предыдущих местах работы, образовании и т.п.).

9. Операторы обработки данных и категории получателей данных

  • 9.1. Для достижения отдельных или нескольких целей обработки данных Общества имеет право договориться с оператором обработки данных, заключив письменный договор и передав ему часть персональных данных. Этот оператор несет ответственность за безопасность обрабатываемых персональных данных и соответствие их установленной цели.
  • 9.2. Общество может разглашать данные физических лиц следующим получателям данных:
  • 9.2.1. члены органов управления, сотрудники, представители, уполномоченные лица Общества;
  • 9.2.2. государственные учреждения, государственные должностные лица, следственные органы, суды, прокуратура, субъекты оперативной деятельности, сиротские суды, нотариусы, судебные исполнители, судебные и следственные учреждения другой страны-участницы и зарубежного государства, органы налогового администрирования, арбитражные суды, учреждения, разрешающие споры во внесудебном порядке — участники финансового рынка (биржи, депозитарии, деловые партнеры Общества или клиентов и т. п.);
  • 9.2.3. Партнеры по сотрудничеству, агенты, поставщики товаров и услуг, аудиторы, ревизоры, консультанты Общества.

10. Автоматизированная обработка и принятие решений

  • 10.1. В определенных случаях Общество осуществляет профилирование и принятие решений, если это предусмотрено применимыми нормативными актами, или это необходимо для выполнения ранее заключенного договора с клиентом, или такая обработка персональных данных обоснована законными интересами Общества.

11. Объем обработки данных и сроки хранения данных

  • 11.1. Общество хранит данные физических лиц не дольше, чем это обоснованно необходимо для целей, для которых обрабатываются конкретные персональные данные. Сроки хранения персональных данных определяются на основании применимых нормативных актов или законных интересов Общества.
  • 11.2. Данные о клиентах хранятся, пока действует договор об оказании услуг, заключенный между Обществом и клиентом. После завершения договора, заключенного между Обществом и клиентом, эти данные хранятся еще 10 лет в рамках исполнения Обществом обязанности хранить подтверждающие документы согласно требованиям нормативных актов, регулирующих бухгалтерию, общему сроку давности исковых требований и возможности, что клиент может повторно изъявить желание заключить договор с Обществом об оказании услуг.
  • 11.3. Визуальные данные хранятся не более 4 недель (28 дней) после из записи. По истечении указанного срока соответствующие данные удаляются, кроме случаев, когда определенную запись во время срока ее хранения затребовало правоохранительное учреждение для расследования преступления или же Общество, зафиксировав признаки преступления или угрозы имуществу Общества или жизни, здоровью или имуществу сотрудников Общества, отдельно сохранило запись в качестве доказательства, которое будет использовано для защиты прав и интересов Общества в установленном нормативными актами порядке.
  • 11.4. Общество оставляет за собой право удалять отдельную информацию до установленного срока, если это не запрещено применимыми нормативными актами.

12. Права субъекта данных

  • 12.1. Банк обеспечивает следующие права субъекта данных:
  • 12.1.1. обработка данных субъекта может быть осуществлена только с его согласия или при наличии других законных оснований;
  • 12.1.2. субъект имеет право получать информацию об осуществляемой Банком обработке персональных данных и реализации прав субъекта данных;
  • 12.1.3. субъект имеет право получить подтверждение, если его данные не обрабатываются;
  • 12.1.4. субъект данных имеет право доступа к своим данным, а также право получать информацию о цели и юридическом основании обработки данных, категории данных, получателе данных, сроке хранения, информацию о других источниках данных, если персональные данные получены от третьих лиц, установленном профиле (в случае профилирования), гарантии, если данные отправлены третьей стороне или международной организации;
  • 12.1.5. субъект имеет право получить информацию о том, связано ли предоставление персональных данных с законом или договором, является ли предоставление данных предпосылкой заключения договора, а также информацию о том, что субъект должен предоставить персональные данные, и о последствиях в случае, если эти данные не будут предоставлены;
  • 12.1.6. субъект имеет право узнать об автоматическом принятии решений, включая профилирование, и о его последствиях;
  • 12.1.7. субъект имеет право узнать заранее о новой цели обработки данных;
  • 12.1.8. субъект имеет право возразить против обработки данных и отозвать свое согласие на обработку данных;
  • 12.1.9. субъект имеет право потребовать исправления данных, если данные являются некорректными;
  • 12.1.10. субъект имеет право на перенос данных;
  • 12.1.11. субъект имеет право потребовать удаления данных, если это не противоречит законодательству ЛР и ЕС;
  • 12.1.12. подать жалобу в Государственную инспекцию данных ЛР об использовании персональных данных, если субъект данных считает, что нарушены его права и интересы согласно нормативным актам, применимым в Защите персональных данных;
  • 12.1.13. быть информированным, если в отношение его персональных данных произошло нарушение безопасности персональных данных, которое может создать высокий риск для прав и свобод субъекта данных.
  • 12.2. Общество обеспечивает выполнение перечисленных прав субъекту данных, которого Общество соответствующим образом идентифицировало.

13. Защита личных данных

  • 13.1. Общество обеспечивает конфиденциальность персональных данных и проводит необходимые технические и организационные мероприятия для обеспечения защиты персональных данных от рисков различной вероятности и степени влияния (например, несанкционированный доступ, противозаконная обработка, случайное уничтожение и/или потеря) относительно прав и свобод субъекта данных, учитывая имеющийся уровень технического оснащения, применяемую в отрасли практику, стоимость внедрения и способ, объем и цели обработки персональных данных.
  • 13.2. Общество регулярно пересматривает проводимые мероприятия по обеспечению безопасности и обновляет используемые технические средства и организационные мероприятия.

14. Резидентство данных

  • 14.1. Общество обрабатывает данные на территории ЛР.
  • 14.2. Передача персональных данных третьим лицам (вне зависимости от резидентства получателя данных — ЛР, ЕС, ЕЭЗ или за ее пределами) регламентируется нормативными актами ЛР или договором, заключенным между Обществом и третьим лицом, который включает условия неразглашения данных и безопасности обмена данными.
  • 14.3. Отправка данных в третью страну или международную организацию возможна на основании:
  • 14.3.1. принятого Европейской комиссией решения об уровне защиты данных третьей страны;
  • 14.3.2. соответствующих гарантий (например, применяя обязательные корпоративные нормы (binding corporate rules) или утвержденные Европейской комиссией стандартные положения о защите данных);
  • 14.3.3. исключительных законных оснований.

15. Реализация прав субъекта данных и связь с Обществом

  • 15.1. Субъект данных может подать свои вопросы, требования и жалобы Обществу, направив их по электронной почте на Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript., или SIA “ACM Project”, по почте на адрес ул. Vangažu iela 22 Rīga, LV-1024, Riga Латвия.
  • 15.2. При общении с субъектом данных Общество имеет право проводить дополнительные мероприятия для идентификации, а также для документирования факта идентификации субъекта данных, а также для документирования факта предоставленной информации или совершения других действий.
  • 15.3. Общество имеет право отказаться исполнять права субъекта данных в установленных нормативными актами случаях, а также в случае, когда субъект данных необоснованно отказывается предоставить идентифицирующую его информацию. 16. Доступность Политики, ее сила и поправки

16.1. Политика доступна на сайте Общества harmonymaja.lv