ПОЛІТИКА ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ
Мета, сфера застосування та користувачі
PetsHeath, далі іменована "Компанія", прагне дотримуватися чинних законів та нормативних актів, що стосуються захисту персональних даних у країнах, де працює Компанія. Ця Політика встановлює основні принципи, відповідно до яких Компанія опрацьовує персональні дані споживачів, клієнтів, постачальників, ділових партнерів, співробітників та інших осіб, а також вказує на обов'язки її бізнес-підрозділів та працівників при обробці персональних даних.
Ця Політика поширюється на Компанію та її прямо або опосередковано контрольовані стовідсоткові дочірні підприємства, що ведуть бізнес у Європейській економічній зоні (ЄЕЗ) або обробляють персональні дані суб'єктів даних до ЄЕЗ.
Користувачами цього документа є всі працівники, постійні або тимчасові, а також всі підрядники, які працюють від імені Компанії.
Визначення
Наступні визначення термінів, що використовуються в цьому документі, взяті із статті 4 Загального регламенту Європейського Союзу із захисту даних:
Персональні дані: Будь-яка інформація, що стосується ідентифікованої фізичної особи або такої: що може бути ідентифікована (" Суб'єкт даних"), яка може бути ідентифікована, прямо або опосередковано, зокрема, шляхом посилання на ідентифікатор, такий як ім'я, ідентифікаційний номер, дані про місцезнаходження, онлайн-ідентифікатор або один чи кілька факторів, характерних для фізичної, фізіологічної, генетичної, психічної, економічної, культурної або соціальної ідентичності цієї фізичної особи.
Чутливі персональні дані: Персональні дані, які за своєю природою є особливо чутливими щодо основних прав і свобод, заслуговують на особливий захист, оскільки контекст їх обробки може створити значні ризики для основних прав і свобод. Такі персональні дані включають персональні дані, що розкривають расове чи етнічне походження, політичні погляди, релігійні чи філософські переконання, членство у профспілці, генетичні дані, біометричні дані з метою однозначної ідентифікації фізичної особи, дані про здоров'я або дані про сексуальне життя чи сексуальну орієнтацію фізичної особи.
Контролер даних : Фізична або юридична особа, державний орган, агентство або будь-який інший орган, який самостійно чи спільно з іншими визначає цілі та засоби обробки персональних даних.
Оброблювач даних : Фізична або юридична особа, державний орган, агентство або будь-який інший орган, який обробляє персональні дані за дорученням Контролера даних.
Обробка : Операція або набір операцій, що виконуються над персональними даними або наборами персональних даних, як автоматизованими засобами чи ні, такі як збирання, запис, організація, структурування, зберігання, адаптація або зміна, вилучення, консультування, використання, розкриття шляхом передачі, поширення чи іншого надання доступу, вирівнювання чи комбінування, обмеження, стирання чи знищення даних.
Анонімізація: Незворотна деідентифікація персональних даних таким чином, що особа не може бути ідентифікована з використанням розумного часу, витрат та технологій ні контролером, ні будь-якою іншою особою для ідентифікації цієї особи. Принципи обробки персональних даних не застосовуються до анонімізованих даних, оскільки вони не є персональними даними.
Псевдонімізація: Обробка персональних даних таким чином, що персональні дані більше не можуть бути віднесені до конкретного суб'єкта даних без використання додаткової інформації, за умови, що така додаткова інформація зберігається окремо та підлягає технічним та організаційним заходам, які гарантують, що персональні дані не будуть віднесені до ідентифікованої або придатної до ідентифікації фізичної особи. Псевдонімізація зменшує, але не повністю усуває можливість пов'язати персональні дані з суб'єктом даних. Оскільки псевдонімізовані дані однаково є персональними даними, обробка псевдонімізованих даних має відповідати принципам обробки персональних даних.
Транскордонне оброблення персональних даних: Обробка персональних даних, що відбувається в контексті діяльності установ у більш ніж одній державі-члені ЄС контролера або обробника в Європейському Союзі, де контролер або обробник заснований у більш ніж одній державі-члені ЄС; або обробка персональних даних, що відбувається в контексті діяльності однієї установи контролера або обробника в Союзі, але яка суттєво зачіпає або може суттєво торкнутися суб'єктів даних у більш ніж одній державі-члені ЄС;
Контролюючий орган: Незалежний державний орган, створений державою-членом ЄС відповідно до статті 51 GDPR ЄС;
Ведучий наглядовий орган: Наглядовий орган, який несе основну відповідальність за здійсненням транскордонної діяльності з обробки даних, наприклад коли суб'єкт даних подає скаргу на обробку своїх персональних даних; він відповідає, зокрема, за отримання повідомлень про порушення даних, за повідомлення про ризиковану діяльність з обробки даних і матиме всі повноваження щодо своїх обов'язків щодо забезпечення дотримання положень GDPR ЄС;
Кожен " місцевий наглядовий орган ", як і раніше, вироблятиме і контролюватиме на своїй території будь-яку місцеву обробку даних, яка стосується суб'єктів даних або яка здійснюється контролером чи оброблювачем з ЄС або не з ЄС, коли їх обробка спрямована на суб'єктів даних, що проживають на його території. У їх завдання та повноваження входить проведення розслідувань та застосування адміністративних заходів та штрафів, підвищення обізнаності громадськості про ризики, правила, безпеки та права щодо обробки персональних даних, а також отримання доступу до будь-яких приміщень контролера та обробника, включаючи будь-яке обладнання та засоби обробки даних.
"Основна установа щодо контролера" з установами в більш ніж одній державі-члені, місце її центральної адміністрації в Союзі, якщо тільки рішення про цілі та засоби обробки персональних даних не приймаються в іншій установі контролера в Союзі, і остання установа має повноваження для реалізації таких рішень, у цьому разі установа, яка прийняла такі рішення, має вважатися основним установою;
"Основна установа щодо обробника" з установами у більш ніж одній державі-члені, місце її центрального управління в Союзі, або, якщо обробник не має центрального управління в Союзі, установа обробника в Союзі, де відбувається основна діяльність з обробки в контексті діяльності установи обробника в тій мірі, в якій на обробника поширюються конкретні зобов'язання відповідно до цього Регламенту;
Групове підприємство: Будь-яка холдингова компанія разом зі своєю дочірньою компанією.
Основні принципи щодо обробки персональних даних.
Принципи захисту визначають основні обов'язки організацій, що працюють з персональними даними. Стаття 5(2) GDPR стверджує, що " контролер повинен нести відповідальність за дотримання принципів і бути в змозі продемонструвати це".
Законність, справедливість та прозорість
Персональні дані повинні оброблятися законно, справедливо та прозоро стосовно суб'єкта даних.
Обмеження призначення
Персональні дані повинні збиратися для певних, явних і законних цілей і не повинні оброблятись у подальший спосіб, несумісний з цією метою.
Мінімізація даних
Персональні дані мають бути адекватними, релевантними та обмежуватися тим, що необхідно у зв'язку з цілями, для яких вони обробляються. Компанія повинна застосовувати анонімізацію або псевдонімізацію до персональних даних, якщо це можливо, щоб знизити ризики для відповідних суб'єктів даних.
Достовірність
Персональні дані повинні бути достовірними та, при необхідності, підтримуватися в актуальному стані; повинні бути вжиті розумні кроки для забезпечення того, щоб недостовірні персональні дані з урахуванням цілей їх обробки були своєчасно видалені або виправлені.
Обмеження терміну зберігання
Персональні дані повинні зберігатися не довше, ніж це необхідно для цілей, для яких здійснюється обробка персональних даних.
Цілісність та конфіденційність
Зважаючи на стан технологій та інших доступних заходів безпеки, вартість реалізації, а також ймовірність та серйозність ризиків для персональних даних, Компанія повинна вживати відповідних технічних або організаційних заходів для обробки Персональних даних таким чином, щоб забезпечити належну безпеку персональних даних, включаючи захист від випадкового або незаконного знищення, втрати, зміни, несанкціонованого доступу чи розкриття.
Підзвітність
Контролери даних повинні нести відповідальність за дотримання вищевказаних принципів і бути в змозі продемонструвати їхнє дотримання.
Побудова захисту даних у підприємницькій діяльності
Щоб продемонструвати відповідність принципам захисту даних, організація має вбудувати захист даних у свою господарську діяльність.
Повідомлення суб'єктів даних
(Див. розділ "Посібник із добросовісної обробки даних").
Вибір та згода суб'єкта даних
(Див. розділ "Посібник із добросовісної обробки даних").
Збір даних
Компанія повинна прагнути до збору якнайменшої кількості персональних даних. Якщо персональні дані збираються у третьої сторони, Компанія повинна переконатися, що персональні дані зібрані на законних підставах.
Використання, зберігання та утилізація
Цілі, методи, обмеження зберігання та термін зберігання персональних даних повинні відповідати інформації, що міститься в повідомленні про конфіденційність. Компанія повинна підтримувати точність, цілісність, конфіденційність та актуальність персональних даних залежно від мети обробки. Адекватні механізми безпеки, призначені для захисту персональних даних, повинні використовуватися для запобігання крадіжці, неправильному використанню або зловживанню персональними даними, а також для запобігання витоку персональних даних. Компанія забезпечує дотримання вимог, зазначених у цьому розділі.
Розкриття інформації третім сторонам
Щоразу, коли Компанія використовує стороннього постачальника або ділового партнера для обробки персональних даних від її імені, Компанія повинна гарантувати, що цей обробник забезпечить заходи безпеки для захисту персональних даних, що відповідають цим ризикам.
Компанія повинна на договірній основі вимагати від постачальника або ділового партнера забезпечити такий самий рівень захисту даних. Постачальник або діловий партнер повинен обробляти персональні дані тільки для виконання своїх договірних зобов'язань перед Компанією або за дорученням Компанії та не для будь-яких інших цілей. Коли Компанія обробляє персональні дані спільно з незалежною третьою стороною, Компанія має чітко вказати свої відповідні обов'язки та обов'язки третьої сторони у відповідному договорі або будь-якому іншому юридичному документі.
Транскордонна передача персональних даних
Перед передачею персональних даних за межі Європейської економічної зони (ЄЕЗ) необхідно використовувати адекватні запобіжні заходи, включаючи підписання угоди про передачу даних (з SCC), як це вимагає Європейський Союз, і, якщо потрібно, отримати дозвіл від відповідного органу захисту даних.
Права суб'єктів даних на доступ до інформації
Виступаючи як контролер даних, Компанія надає суб'єктам даних розумний механізм доступу до своїх персональних даних і повинна дозволити їм оновлювати, виправляти, видаляти або передавати свої Персональні дані, якщо це необхідно або вимагається згідно із законом.
Перенесення даних
Суб'єкти даних мають право на запит отримати копію даних, які вони нам надали, у структурованому форматі та безкоштовно передати ці дані іншому контролеру. Компанія зобов'язана забезпечити, щоби такі запити оброблялися протягом одного місяця, не були надмірними та не торкалися прав на персональні дані інших осіб.
Право бути забутим
На запит Суб'єкт даних має право отримати від Компанії видалення своїх персональних даних. Коли Компанія виступає як Контролер, вона повинна вжити необхідних дій (включаючи технічні заходи) для інформування третіх сторін, які використовують або обробляють ці дані, щоб виконати запит.
Посібник з добросовісної обробки даних
Персональні дані можуть оброблятись лише за наявності явного дозволу керівництва Компанії.
Компанія повинна прийняти рішення про необхідність проведення оцінки впливу на захист даних для кожного виду діяльності з обробки даних.
Повідомлення для суб'єктів даних
У момент збору або перед збором персональних даних для будь-якого виду діяльності з обробки, включаючи, але не обмежуючись продажем продуктів, послуг або маркетинговою діяльністю, Компанія належним чином інформує суб'єктів даних про наступне: типи персональних даних, що збираються, цілі обробки, права суб'єктів даних щодо їх персональних даних, термін зберігання, потенційна міжнародна передача даних, якщо дані будуть передані третім особам, та заходи безпеки Компанії для захисту персональних даних. Ця інформація надається через Повідомлення про конфіденційність.
Отримання згоди
Якщо обробка персональних даних здійснюється на підставі згоди суб'єкта даних або на інших законних підставах, Компанія повинна надати суб'єктам даних варіанти надання згоди, а також поінформувати та забезпечити можливість відкликання згоди (у разі, якщо згода використовується як законна підстава для обробки) у будь-який час.
Особисті дані повинні оброблятися тільки з метою, для якої вони були початково зібрані.
Організація та обов'язки
Відповідальність за забезпечення належної обробки персональних даних лежить на кожному, хто працює в Компанії або з Компанією та має доступ до персональних даних, що обробляються.
Основні сфери відповідальності за обробку персональних даних покладаються керівництво Компанії.
Реагування на інциденти, пов'язані з витоком персональних даних
Коли Компанія дізнається про передбачуване або фактичне порушення персональних даних, вона має провести внутрішнє розслідування та вчасно вжити відповідних заходів щодо виправлення ситуації. У разі виникнення ризику для прав і свобод суб'єктів даних, Компанія повинна повідомити відповідні органи захисту даних без невиправданої затримки і, по можливості, протягом 72 годин.
Аудит та підзвітність
Будь-який співробітник, який порушив цю Політику, буде підданий дисциплінарному стягненню, а також співробітник може бути притягнутий до цивільної чи кримінальної відповідальності, якщо його поведінка порушує закони чи нормативні акти.
Колізійні норми
Ця Політика спрямована на дотримання законів та нормативних актів за місцем заснування та в країнах, в яких Компанія здійснює свою діяльність. У разі виникнення розбіжностей між цією Політикою та чинними законами та нормативними актами, останні мають переважну силу.