1. Основные понятия
1.1. Компания ЗАО «Kompass Komfort LLC», общество, учрежденное в соответствии с законодательством Литовской Республики, местонахождение которого зарегистрировано по адресу ул. Перкункиемё 13-91, Литовская Республика, код предприятия 304424056, данные о котором накапливаются и хранятся в Реестре юридических лиц.
1.2. Субъект данных – означает физическое лицо, с личными данными которого работает Общество.
1.3. Личные данные – означают любую информацию, связанную с физическим лицом – Субъектом данных, личность которого известна или может быть прямо или косвенно установлена с помощью таких данных, как личный код, один или несколько признаков физического, физиологического, психологического, экономического, культурного или социального характера, характерные для лица.
1.4. Обращение с личными данными – означает любое действие, выполняемое с Личными данными: сбор, запись, накопление, хранение, классификация, группирование, объединение, изменение (дополнение или исправление), представление, опубликование, использование, логические и/или арифметические операции, поиск, распространение или иное действие или комплекс действий.
1.5. Автоматический способ – означает действия, полностью или частично выполняемые автоматическими средствами.
1.6. Работник – означает лицо, которое заключило с Обществом трудовой договор или договор подобного характера и по решению руководителя Общества назначено для обращения с Личными данными, или личные данные которого обрабатываются.
1.7. Распорядитель – означает юридическое или физическое лицо, которое уполномочено Обществом осуществлять обращение с личными данными. Распорядитель (-и) должны быть зарегистрированы в Инспекции.
1.8. Получатель данных – означает юридическое или физическое лицо, которому передаются Личные данные. Получатель (-и) данных должны быть зарегистрированы в Инспекции.
1.9. Инспекция – Государственная инспекция по защите данных Литовской Республики
2. Общие положения
2.1. Настоящий документ регламентирует действия Общества и его Работников при обращении с Личными данными с использованием автоматических средств для обращения с Личными данными, которые оборудованы на предприятии, а также устанавливает права Субъектов данных, факторы риска нарушения требований по защите Личных данных, средства осуществления защиты Личных данных и другие вопросы, связанные с обращением с Личными данными.
2.2. Личные данные должны быть точными, надлежащими и в таком объеме, который необходим для их сбора и дальнейшего обращения. Если в целях обращения с Личными данными необходимо, то Личные данные постоянно обновляются.
2.3. Цели обращения с Личными данными – прямой маркетинг и другие законные цели, определенные заранее перед сбором данных.
2.4. Общество с целью, указанной в пункте 2.3 Правил, работает со следующими Личными данными Субъектов данных:
(a) имя;
(b) фамилия;
(c) адрес электронной почты;
(d) номер телефона;
(e) место жительства (адрес);
3. Обращение с личными данными
3.1. Личные данные обрабатываются неавтоматическим способом и автоматическим способом с помощью средств для обращения с личными данными, оборудованными на предприятии.
3.2. Обрабатывать личные данные имеют право только Работники и Распорядители. Каждый Работник / Распорядитель, который назначен осуществлять обращение с Личными данными, обязан хранить в тайне Личные данные и соблюдать требования правовых актов по защите личных данных.
3.3. Работник / Распорядитель обязан: (a) хранить в тайне Личные данные; (b) обращаться с Личными данными, руководствуясь законами Литовской Республики, другими правовыми актами и настоящими Правилами; (c) не раскрывать, не передавать и никакими средствами не создавать условий для ознакомления с Личными данными ни одному лицу, который не уполномочен работать с Личными данными; (d) незамедлительно сообщать руководителю Общества о любой подозрительной ситуации, которая может угрожать безопасности Личных данных.
3.4. Работники, которые обрабатывают данные автоматическим способом, или с компьютеров которых можно выйти в местную сеть, где хранятся Личные данные, обязаны использовать пароли. Пароли периодически должны меняться, а также при определенных обстоятельствах (например, поменялся работник, возникла угроза взлома/проникновения, возникли подозрения, что пароль стал известен третьим лицам, и т.п.). Работник, работающий за конкретным компьютером, может знать только свой пароль.
3.5. Работник, отвечающий за обслуживание компьютеров, обязан обеспечивать, чтобы файлы с Личными данными не были «видны» (shared) с других компьютеров, и обновлять периодически антивирусные программы.
3.6. Работник, отвечающий за обслуживание компьютеров, делает копии файлов с данными, имеющихся в компьютерах. При потере или повреждении этих файлов ответственный работник должен их восстановить не позднее чем в течение нескольких рабочих дней.
3.7. Защиту Личных данных организует, обеспечивает и осуществляет руководитель Общества или назначенный им Работник.
3.8. Работник утрачивает право обрабатывать Личные данные, когда заканчивается Трудовой договор или договор подобного характера с Обществом, или когда руководитель Общества отзывает назначение Работника для осуществления обращения с Личными данными.
3.9. Распорядитель утрачивает право обрабатывать Личные данные, когда расторгается договор Распорядителя с Обществом.
4. Осуществление прав субъекта данных
4.1. Субъект данных, предъявляя документ, удостоверяющий личность, имеет право получить информацию о том, из каких источников и какие его Личные данные собраны, с какой целью они обрабатываются и кому предоставляются. Возможность ознакомиться с Личными данными предоставляется после подачи в Общество письменного прошения об ознакомлении с Личными данными по почте, факсу или эл. почте.
4.2. Общество, получив запрос от Субъекта данных об обращении с его Личными данными, отвечает, обрабатываются ли связанные с ним Личные данные, и представляет Субъекту данных запрашиваемые данные не позднее чем в течение 30 календарных дней со дня обращения Субъекта данных. По прошению Субъекта данных такие данные предоставляются письменно по указанному адресу или адресу эл. почты.
4.3. Возможность исправить, удалить свои Личные данные или приостановить действия по обращению со своими Личными данными предоставляется Субъекту данных после подачи в Общество письменного прошения по почте, факсу или эл. почте или в устной просьбе, если можно идентифицировать Субъекта данных. Общество, получив такое прошение, незамедлительно проверяет Личные данные и по просьбе Субъекта данных незамедлительно исправляет неверные, неподробные, неточные Личные данные.
4.4. Общество незамедлительно сообщает Субъекту данных об исправлении, удалении Личных данных, выполненном или не выполненном по его просьбе.
4.5. Общество обеспечивает осуществление и всех других прав, гарантий и интересов субъектов личных данных, которые гарантируются законами и другими правовыми актами Литовской Республики.
5. Факторы риска нарушения требований по защите личных данных
5.1. Нарушение требований по защите личных данных – это действия или бездействие, которые могут вызвать или вызывают нежелательные последствия, а также противоречат императивным нормам законов, регламентирующих защиту личных данных. Степень влияния нарушения требований по защите личных данных, ущерба и последствий в каждом конкретном случае устанавливает комиссия, созданная руководителем Общества или его уполномоченным лицом.
5.2. Факторы риска нарушения требований по защите личных данных: (a) непреднамеренные, когда защита Личных данных нарушается вследствие случайных причин (ошибка при обработке информации, носителей информации, удаление записей данных, установка неправильных маршрутов (адресов) при передаче данных и т.п. или сбой в системах из-за сбоя в электроснабжении, из-за компьютерного вируса и т.п., нарушение правил внутреннего распорядка, недочеты обслуживания системы, тестирование программного обеспечения, ненадлежащий надзор за носителями информации, ненадлежащая способность и защита линий, интегрирование компьютеров в сеть, из-за недостаточной защиты компьютерных программ, передачи материалов факсом и пр.);
(b) преднамеренные, когда защита Личных данных нарушается сознательно (незаконное проникновение в помещения, хранилища носителей личных данных, информационные системы, компьютерную сеть Общества/гостиницы, злостное нарушение установленных правил при обработке Личных данных, сознательное распространение компьютерного вируса, кража Личных данных, незаконное пользование правами другого Работника и пр.);
(c) неожидаемые случайные события (молния, пожар, наводнение, затопление, бури, перегорела электропроводка, воздействие перепадов температуры и/или влажности, влияние грязи, пыли и магнитных полей, случайные технические аварии, другие непреодолимые и/или неконтролируемые действия и т.п.).
6. Меры по осуществлению защиты личных данных
6.1. В целях обеспечения защиты Личных данных, Общество осуществляет или предусматривает осуществление следующих мер по защите Личных данных:
(a) административные (обеспечение безопасного обращения с документами и компьютерными данными и их архивами, а также установление порядка организации работы в различных областях деятельности, ознакомление персонала с защитой Личных данных при трудоустройстве и прекращении работы или подобных отношений и пр.);
(b) защита технического и программного обеспечения (администрирование служебных станций, информационных систем и баз данных, контроль рабочих мест, помещений Общества, защита операционных систем, защита от компьютерных вирусов и пр.);
(c) защита коммуникаций и компьютерных сетей (данных общего пользования, программ, фильтрация (firewalling) пакетов нежелательных данных и пр.).
6.2. Технические и программные средства защиты личных данных должны обеспечивать: (a) установку хранилища для копий баз данных и операционных систем, установку копировальной техникой и контроль за соблюдением; (b) технологию непрерывного процесса обращения с данными (обработки данных); (c) стратегию восстановления работы систем в непредвиденных случаях (управление неожиданностями); (d) физическое (логическое) отделение среды тестирования программ от процессов в рабочем режиме; (e) авторизированное использование данных, их неуязвимость.
6.3. Все Работники, имеющие право обращаться с Личными данными или организовывать и осуществлять их защиту, обязаны строго соблюдать меры по защите Личных данных и соответствующие правила, инструкции или требования распорядка, установленные в Обществе.
7. Срок обращения с Личными данными
7.1. Общество осуществляет обращение с Личными данными клиента в течение 2 лет с момента последнего подсоединения к эл. магазину.
7.2. Когда Личные данные становятся ненужными в целях обращения с ними, они удаляются, кроме тех, которые в установленных законодательством случаях должны быть переданы в государственные архивы.
8. Ответственность
8.1. К работникам, которые нарушают настоящие Правила или требования закона Литовской Республике о защите личных данных, других правовых актов, регламентирующих обращение и защиту Личных данных, применяются меры ответственности, предусмотренные в законодательстве Литовской Республики.
9. Заключительные положения
9.1. Надзор за соблюдением правил и при необходимости их пересмотр поручается руководителю Общества или его уполномоченному лицу.
9.2. Ответственные Работники ознакамливаются с Правилами под роспись.