ЧАСТЬ А: Общие сведения
Применимость
Этот документ представляет собой текущую действующую версию политики соответствия GDPR, вступающую в силу с 25 мая 2021 года и применимую к деятельности InfoBytes Daily, которая состоит из следующей организации.
2 International Drive, Рай Брук, Нью-Йорк 10573, США
Введение
Основная деятельность InfoBytes Daily заключается в оказании поддержки своим клиентам путем привлечения эффективных потенциальных клиентов на целевых рынках.
Генерация потенциальных клиентов осуществляется посредством интеллектуального исследования рынка, собирающего соответствующие данные для определения надежных покупательских намерений корпораций по различным каналам, в том числе через деловых партнеров, использующих соответствующие технологии в маркетинге в социальных сетях, веб-маркетинге, маркетинге по электронной почте и телемаркетинге.
В процессе этой деятельности InfoBytes Daily выступает посредником, повышающим ценность маркетинговой цепочки B2B. Информация о кампании предоставляется Клиентами, которая дорабатывается и преобразуется в агитационные материалы для распространения на потенциальном рынке.
Распространение среди конечных целевых клиентов путем размещения материалов кампании в соответствующих СМИ осуществляется через внешних издателей, которые генерируют потенциальных клиентов. Часть потенциальных клиентов генерируется за счет собственной издательской деятельности и использования инновационных инструментов корпоративного маркетинга, разработанных командой исследований и разработок InfoBytes Daily.
Лиды, генерируемые издателями, интеллектуально фильтруются для улучшения их качества и преобразуются в действенные маркетинговые цели, прежде чем передаваться клиентам.
InfoBytes Daily разработала собственные продукты, процессы и системы генерации информации, которые включают в себя развитие надежных поставщиков и обученную рабочую силу, что в совокупности отражает ценностное предложение, которое InfoBytes Daily привносит в маркетинговую экосистему B2B по всему миру. Поддержание и развитие этого опыта и его использование для использования коммерческих возможностей представляет собой законный интерес InfoBytes Daily.
В настоящем Кодексе соответствия GDPR, принятом InfoBytes Daily, говорится, что InfoBytes Daily придерживается концепции «Конфиденциальность как фундаментальное право гражданина демократического общества» во всем мире и добросовестно реализует все принципы конфиденциальности, предусмотренные GDPR, где это применимо.
InfoBytes Daily, однако, раскрывает, что ее законный интерес заключается в том, чтобы она осуществляла законную деловую деятельность по всему миру в качестве посредника на рынке B2B, и что InfoBytes Daily имеет демократическое право вести свой бизнес добросовестно, не вступая в конфликт с правами. отдельных физических лиц, чья конфиденциальность защищается в соответствии с GDPR.
InfoBytes Daily также сообщает, что ее бизнес-модель требует сбора только Данных юридических лиц, которые находятся вне сферы действия GDPR, и данных деловых контактов, которые не являются личными данными, но могут частично включать личную информацию, но не включают личные данные детей. и Персональные данные, которые классифицируются как «Особые категории» согласно GDPR.
Воздействие GDPR
InfoBytes Daily Group — это, по сути, «маркетинговый посредник B2B», который работает по всему миру, привлекая потенциальных клиентов в маркетинге и обслуживая клиентов во многих странах. InfoBytes Daily не работает на потребительском рынке и, следовательно, ни прямо, ни косвенно не собирает личную информацию субъектов данных ЕС. Данные, которые собирает InfoBytes Daily, обычно относятся к категории «Данные деловых контактов корпоративных сотрудников», которые, среди прочего, содержат имя, рабочий адрес электронной почты и номер рабочего телефона.
Часть потенциальных клиентов B2B-маркетинга генерируется в странах ЕС и Великобритании. Некоторые Клиенты, находящиеся в ЕС/Великобритании, также могут воспользоваться услугами InfoBytes Daily. В настоящее время большая часть взаимодействий с клиентами происходит в США, а большая часть взаимодействий с деловыми партнерами, привлекающими потенциальных клиентов, — в Индии.
Таким образом, воздействие InfoBytes Daily на GDPR признается, когда данные о деловых контактах собираются от бизнес-организаций, работающих в регионах ЕС/Великобритании.
Подход к соблюдению GDPR
Чтобы обеспечить применение максимально строгих норм к обработке данных, которые подвергаются риску соответствия GDPR, InfoBytes Daily принимает политику обработки конфиденциальных данных GDPR (GSD) как «конфиденциальных данных», проходящих через ресурсы InfoBytes Daily, маркировка входящих данных подходящим тегом для классификации их как GSD, где это применимо.
Защита конфиденциальности субъектов данных и безопасность информации, связанной с защитой конфиденциальности в отношении данных с тегами GSD, учитываются при разработке структуры поддержки.
Хотя данные обрабатываются в определенных местах, а техническая инфраструктура для обработки GSD расположена в таких определенных местах, на уровне предприятия была создана осведомленность о GDPR, и она будет продолжать поддерживаться, чтобы принципы настоящего Кодекса поведения GDPR распространялись на всю компанию. организация, выходящая за рамки обработки GSD, включая маркетинговые, финансовые и управленческие функции, которые могут располагаться в разных местах с собственной технической и административной инфраструктурой.
Чтобы эффективно обеспечить безопасность всей инфраструктуры обработки данных, Компания приняла комплексную политику информационной безопасности, которая включает в себя множество подполитик, касающихся доступа к данным, их обработки, хранения, передачи и т. д.
Обязательства по конфиденциальности
InfoBytes Daily признает, что «конфиденциальность» является важным демократическим правом в гражданском обществе. Будучи ответственным юридическим лицом, InfoBytes Daily стремится защищать конфиденциальность всех физических лиц, чьи личные данные поступают в корпоративное хранилище данных для обработки.
Учитывая присутствие клиентов в ЕС/Великобритании и мониторинг деятельности корпоративных сотрудников, проживающих в ЕС/Великобритании, InfoBytes Daily решила принять стандарты соответствия GDPR для защиты конфиденциальности всех физических лиц, которые могут взаимодействовать с группу, даже если такое взаимодействие осуществляется только в качестве сотрудников различных хозяйствующих субъектов, преследующих бизнес-цели своих соответствующих бизнес-организаций.
Законный интерес
Основная деятельность InfoBytes Daily предполагает обработку данных, связанных с приобретением различных продуктов для корпоративного использования. Спектр деятельности включает сбор, агрегирование, анализ, сегментацию и мониторинг намерений. В процессе такой обработки InfoBytes Daily повышает ценность необработанных данных, собранных из бизнес-среды, и преобразует их в ценную информацию, помогающую принимать бизнес-решения.
Собранные необработанные данные признаются данными, принадлежащими субъекту данных и к которым применимы права Субъекта данных в соответствии с GDPR. Добавленная стоимость данных, возникающая во время процесса, возникает благодаря собственным возможностям обработки данных InfoBytes Daily, на которые InfoBytes Daily имеет определенный уровень претензий на интеллектуальную собственность.
Если какие-либо данные были псевдонимизированы, псевдонимизированные данные с добавленной стоимостью должны рассматриваться как данные, в отношении которых InfoBytes Daily имеет законный интерес к использованию для дальнейшего исследования. Непсевдонимизированные данные, даже в состоянии добавленной стоимости, подлежат осуществлению прав Субъекта данных, таких как доступ, исправление, ограничение, переносимость и удаление. Псевдонимизированные данные, если таковые имеются, не будут классифицироваться как чувствительные к GDPR.
InfoBytes Daily обладает законным деловым интересом, признанным в соответствии со статьей 6(1)(f) правил GDPR ЕС, в сборе и обработке данных, связанных с бизнесом, таких как фирмография и данные о деловых контактах должностных лиц, принимающих решения в коммерческих организациях.
Кроме того, деятельность InfoBytes Daily включает операции внутри и за пределами стран ЕС и, следовательно, подвергается законодательным обязательствам разных стран, связанным с обработкой данных, а также другим законам, применимым к бизнесу в целом и деятельности, связанной с ИТ, в частности, как это предусмотрено статьей 6(1)(c) правил ЕС GDPR.
Кроме того, InfoBytes Daily приняла деловую практику законной обработки, включающую принципы GDPR ЕС, изложенные в статье 6, включая получение информированного явного согласия, когда это необходимо, и соблюдение требований договорных обязательств с субъектами данных, если таковые имеются.
Таким образом, политики InfoBytes Daily в отношении конфиденциальности и защиты данных структурированы с использованием конкретных средств контроля конфиденциальности и информационной безопасности, которые решают проблему идентификации конфиденциальных данных GDPR на этапе их происхождения и входа в систему InfoBytes Daily и маркировки их на протяжении всего жизненного цикла. обработка.
Расширение сферы соответствия экосистеме обработки данных
Кроме того, соблюдая законодательную цель защиты фундаментального права на неприкосновенность частной жизни, провозглашенного в GDPR ЕС, сохраняются соответствующие технические и организационные/административные меры контроля, чтобы гарантировать, что все последующие деловые партнеры, которые могут иметь доступ к конфиденциальным данным GDPR для обработки от имени InfoBytes Daily также соответствует требованиям GDPR.
InfoBytes Daily признает, что в большинстве случаев своей деятельности она не является «контролером данных», а является «обработчиком данных» для целей GDPR. Он может брать на себя роль «совместного контролера», когда использует услуги субподрядчиков для любой части своей обработки.
С учетом этих ролей политика и средства управления InfoBytes Daily структурированы так, чтобы обеспечить соблюдение GDPR, включая поддержание соответствующих технических и организационных / административных мер контроля, чтобы быть должным образом информированными о деятельности своих деловых партнеров по соблюдению GDPR, а также делиться с ними собственными данными InfoBytes Daily. Меры по обеспечению соответствия GDPR, если это может быть необходимо.
Ограничения этого документа
В следующих параграфах представлена общая политика InfoBytes Daily по соблюдению GDPR на корпоративном уровне, подчеркивающая подход InfoBytes Daily к достижению удовлетворительного уровня соответствия принципам GDPR в ее деятельности.
Этот политический документ предназначен для ограниченного обмена с заинтересованными сторонами, включая коммерческие организации за пределами InfoBytes Daily, и, следовательно, исключает конфиденциальную информацию об обработке, когда это важно для защиты интеллектуальной собственности организации.
Любой запрос на раскрытие информации, помимо указанной здесь, будет рассматриваться в соответствии с Политикой раскрытия данных InfoBytes Daily, и такие запросы могут быть направлены Менеджеру по конфиденциальности через недостоверную аутентифицированную электронную почту.
Часть B: Конкретные положения политики
1. Установленная ответственность
InfoBytes Daily назначила менеджера по конфиденциальности, который будет контактным лицом для обработки всех запросов и жалоб субъектов данных. Учитывая текущий уровень риска, связанного с конфиденциальными данными GDPR в InfoBytes Daily, считается, что основная деятельность InfoBytes Daily не предполагает крупномасштабного и систематического мониторинга субъектов данных ЕС, а также не предлагает каких-либо услуг физическим лицам в ЕС и, следовательно, нет необходимости назначать «сотрудника по защите данных», как это предусмотрено GDPR.
Комитет по управлению информационной безопасностью (ISGC) будет отвечать за информационную безопасность, включая соблюдение GDPR. Это будет высший орган, определяющий политику InfoBytes Daily, ответственный за разработку всех политик информационной безопасности, включая политику GDPR, и будет следить за необходимостью в установленном порядке назначать любого человека или консультанта сотрудником по защите данных.
2. Классификация данных
InfoBytes Daily не занимается маркетингом среди отдельных физических лиц и, следовательно, обычно не собирает личные данные, подпадающие под нормативные положения GDPR. Однако все потенциально идентифицируемые персональные данные, такие как адрес электронной почты и номер телефона сотрудника организации, классифицируются как «чувствительные к GDPR», если бизнес-подразделение или сотрудник самостоятельно находятся в ЕС/Великобритании.
Соответственно, весь набор данных деловых контактов, связанный с адресом физического местоположения в ЕС/Великобритании, идентифицируется как конфиденциальные данные GDPR (GSD) и помечается тегами во время дальнейшей обработки внутри организации.
При отсутствии информации о физическом местонахождении субъекта данных физическое местонахождение соответствующей бизнес-организации будет считаться значимым.
3. Аудит данных
До 25 мая 2018 года и в дальнейшем с ежемесячными интервалами или по иному решению ISGC сохраненные наборы данных будут проверены на предмет обнаружения любого GSD и проверки связанных с ним требований соответствия, например, необходимо ли архивировать, удалять или иным образом данные. специально охраняется.
Любой набор данных GSD, не сопровождаемый соответствующим «Согласием» или «Заявлением о законном интересе», будет рекомендован к удалению.
При подтверждении такие данные будут удалены.
4. Оценка воздействия GDPR
До 25 мая 2018 г. была проведена оценка пробелов в GDPR и приняты корректирующие меры в соответствии с требованиями. После 25 мая 2018 г. оценка воздействия на защиту данных (DPIA) будет проводиться каждый раз, когда реализуется новый значительный проект, как только ISGC определит необходимость.
5. Политика принятия новых проектов
25 мая 2018 года или после этой даты все новые деловые обязательства, связанные с обработкой данных, будут подлежать утверждению ISGC с помощью специальной записки об оценке воздействия GDPR, представленной DPO по согласованию с технической командой, отвечающей за обработку.
6. Политика хранения данных GSD
GSD должен храниться в системах, доступ к которым имеют только назначенные лица на строгом основании «необходимости знать».
На каждом наборе GSD должен быть указан Контроллер данных, от которого он был получен и который несет ответственность за сбор данных в соответствии с согласием или контрактом.
Любые конкретные ограничения, связанные с таким набором данных, также должны быть отмечены вместе с этим набором данных.
Хранилище Данных должно позволять находить и обрабатывать индивидуальный набор данных для реализации любых прав Субъекта данных, таких как запрос на исправление данных, переносимость данных, удаление данных или доступ к данным в любой момент в течение их жизненного цикла.
7. Политика доступа к данным GSD
Доступ к GSD должен осуществляться в соответствии с политикой контроля доступа, которая гарантирует, что каждый набор данных GSD будет иметь определенные параметры доступа, которые определяют, кто может получить доступ к данным и как они получают доступ к данным. Доступ к набору данных GSD будет разрешен только тем, кто указан в качестве сотрудников GSD.
Использование параметров доступа, таких как пароли, должно быть определено с необходимой степенью сложности и уникальности и дополнено тегами шифрования и идентификатора машины, чтобы доступ к данным GSD можно было получить только с определенного оборудования, закрепленного за авторизованным персоналом GSD.
Если хранение данных находится в облаке, должны использоваться только облачные сервисы, соответствующие GDPR, а также дополнительные меры контроля, которые могут потребоваться для обеспечения защиты данных при хранении и передаче от несанкционированного доступа.
GSD для конкретного проекта должен храниться таким образом, чтобы доступ к данным имели только сотрудники, связанные с данным проектом. Межпроектный доступ должен регулироваться по мере необходимости.
8. Политика хранения данных GSD
GSD должен храниться в активной технологической среде только в течение минимального периода, в течение которого он необходим для обработки. После этого данные должны быть надежно заархивированы в соответствии с требованиями, установленными в рамках законного интереса, например, до завершения цикла выставления счетов по проекту.
Впоследствии данные должны быть сохранены в безопасном архивировании или уничтожены в соответствии с установленными законными требованиями интересов Компании.
Должен проводиться ежемесячный анализ архивных данных для выявления данных, которые больше не требуются, и которые должны быть переданы в ISGC для получения инструкций по утилизации.
Юридические обязательства по хранению данных, которые могут возникнуть из-за любого дублирующего законодательства, должны быть учтены при оценке законных интересов.
9. Политика раскрытия данных GSD
Любой запрос на раскрытие GSD обычно поступает только от исходного Контроллера данных.
Признается, что запросы, полученные непосредственно от субъектов данных, подвержены риску фишинга, и такие запросы, если таковые имеются, должны направляться соответствующему Контролеру данных, который собрал данные от субъекта данных в соответствии с согласием или договором, который может существовать между ними.
Данные, подлежащие раскрытию, должны быть отправлены только Контроллеру данных для дальнейшей передачи Субъекту Данных после надлежащего подтверждения личности представителя Контроллера данных, который делает запрос.
В исключительных обстоятельствах, когда данные необходимо раскрыть непосредственно либо субъекту данных, либо его уполномоченному представителю, либо правоохранительному органу, должна быть обеспечена адекватная аутентификация личности лица, делающего запрос.
Все запросы на раскрытие данных должны быть одобрены ISGC до публикации данных, и запрос, а также оценочные документы должны рассматриваться как необходимая документация, соответствующая требованиям GDPR.
10. Политика управления инцидентами с данными GSD
«Инцидентом» в соответствии с настоящим кодексом является любое наблюдение, которое может указывать на то, что кодекс соответствия GSD или любые политики или процедуры, предусмотренные им, были нарушены, независимо от того, есть ли подозрения в компрометации каких-либо данных или нет.
Политика в отношении лиц, сообщающих о нарушениях, может использоваться для обеспечения того, чтобы любой наблюдатель, как внутри Компании, так и за ее пределами, незамедлительно сообщал об инцидентах.
Любой такой инцидент, о котором становится известно InfoBytes Daily, должен быть зарегистрирован в реестре управления инцидентами GSD и передан DPO для немедленного принятия мер.
DPO должен рассмотреть отчет об инциденте и принять незамедлительные меры для разрешения инцидента, а также сообщить об инциденте в ISGC.
ISGC незамедлительно созовет совещание и оценит инцидент, чтобы определить, связан ли он с каким-либо подозрением на утечку данных. При необходимости ISGC может заказать немедленную технико-правовую проверку для оценки риска инцидента. На основании оценки рисков ISGC принимает решение о необходимости дальнейших действий, включая отправку уведомления об утечке данных Контроллеру данных, связанного с Данными.
Инцидент, когда другой сотрудник организации получил доступ к GSD, считается инцидентом безопасности, а не обязательно «нарушением». Однако такие инциденты должны быть расследованы на предмет причины несанкционированного доступа, и если это непреднамеренный случайный доступ, он может быть решен с помощью соответствующих внутренних дисциплинарных мер в соответствии с кадровой политикой. Если данные не были удалены или к ним не получил доступ посторонний человек, инцидент можно классифицировать как внутреннюю аварию данных, не являющуюся нарушением.
В случае, если известно, что доступ или вынесенные данные находятся в зашифрованной форме и находятся в состоянии, в котором они не могут быть расшифрованы получателем, при условии соответствующего внутреннего расследования относительно безопасности соответствующего ключа дешифрования, доступ может быть засекречен как авария внутренних данных, не являющаяся нарушением.
11. Политика уведомления об утечке данных GSD
Инцидент «Нарушение данных» — это инцидент, в котором InfoBytes Daily после необходимого расследования узнала, что доступ к любому конкретному набору данных в рамках GSD был скомпрометирован, и внешний объект получил доступ или отправил набор GSD.
О таком инциденте утечки данных необходимо немедленно сообщить ISGC, который без дальнейших задержек уведомит Контроллера данных, связанного с набором данных, вместе с соответствующими подробностями инцидента.
В таком отчете должны быть указаны характер и степень нарушения, время и дата нарушения, сведения о затронутых субъектах данных, действия, предпринятые при обнаружении нарушения и т. д. При необходимости об утечке данных также может быть сообщено. в надзорный орган.
12. Политика управления правами субъектов данных GSD
Система обработки данных InfoBytes Daily включает в себя «конфиденциальность и безопасность», чтобы обеспечить соблюдение требований GDPR, особенно в отношении прав субъекта данных, предусмотренных GDPR.
Чтобы обеспечить соблюдение этих прав субъекта данных, таких как «Доступ», «Исправление», «Стирание», «Переносимость» и «Право налагать «Ограничения», InfoBytes Daily включила свои системы хранения и доступа GSD таким образом, чтобы набор данных, принадлежащий указанному субъекту данных, может быть извлечен отдельно и обработан.
Поэтому система была разработана с учетом самых строгих требований GDPR.
Всякий раз, когда от Субъекта данных поступает запрос на реализацию таких прав, в соответствии с Политикой раскрытия данных запрос сначала проверяется, а затем, если данные были получены от Контроллера данных, контроллеру данных будет предложено подтвердить раскрытие данных.
Обычно запрос обрабатывается при обмене данными с контроллером данных, и если его необходимо перенести, он возвращается контроллеру данных.
В исключительных обстоятельствах, когда InfoBytes Daily приходится обрабатывать запрос субъекта данных без сотрудничества с контролером данных, будут приняты соответствующие меры предосторожности для предотвращения неправомерного раскрытия информации, поскольку в законных интересах InfoBytes Daily будет возмещение любого возможного ущерба. неправомерное раскрытие информации.
13. Политика передачи данных GSD
Данные GSD обычно могут поступать в систему через интерфейс приложения (API). Доступ к интерфейсу осуществляется через безопасную систему доступа по паролю, дополненную подходящей двухфакторной аутентификацией, где выявляется значительный риск GSD.
Передача данных осуществляется на основе шифрования при условии управления безопасностью передачи, охватывающей известные уязвимости.
Само приложение вместе с присущими ему элементами хранения и обработки, а также API защищено от несанкционированного доступа и злонамеренных атак с помощью соответствующего вредоносного ПО и защищенной системы управления доступом.
Если набор GSD также передается Заказчику или Субподрядчику, передача осуществляется по зашифрованным каналам связи либо через API, либо по зашифрованной электронной почте.
14. Политика маркетингового использования GSD
Когда InfoBytes Daily использует GSD в каких-либо маркетинговых целях посредством электронной почты, телефонных звонков или иным образом, мы принимаем меры для обеспечения наличия соответствующего согласия или контракта, позволяющего осуществлять такое общение.
InfoBytes Daily также настаивает на том, чтобы ее партнеры (лидогенераторы, субподрядные процессоры и клиенты) не использовали GSD, кроме как в соответствии с имеющимися разрешениями.
При отсутствии однозначного согласия данные о деловых контактах не собираются у лидогенераторов, не передаются клиентам и не обрабатываются субподрядчиками.
Такие данные уничтожаются в первую очередь при попадании в систему InfoBytes Daily и идентифицируются как «GSD без надлежащего согласия на обработку».
15. Политика согласия GSD
Вся информация, классифицированная как GSD в силу того, что субъект данных находится в ЕС/Великобритании или его/ее работодатель находится в ЕС/Великобритании, принимается только в том случае, если субъект данных предоставил явное согласие в соответствии с форматом, требуемым GDPR.
В сценарии до появления GDPR такие согласия обычно собирались в соответствии с принципами обработки персональных данных, которые включали Уведомление о конфиденциальности. В таком Уведомлении о конфиденциальности указывалось, какая информация собирается, цель сбора, время, в течение которого она будет храниться, как она будет защищена, является ли информация точной, будет ли она передана за пределы ЕС для обработки и т. д. Некоторые согласия основывались на принципе «согласия» в качестве настройки по умолчанию.
В соответствии с GDPR важно, чтобы персональные данные собирались только на основе явного согласия, где «Отказ» является опцией по умолчанию, и только на основании положительного действия, указывающего на согласие, согласие будет принято.
Кроме того, в уведомлении о конфиденциальности также должно быть указано, что субъект данных имеет определенные права, такие как «Право на получение информации о личности последующих обработчиков», «Право на доступ и исправление», «Право на переносимость и удаление».
Ввиду новых требований все согласия, полученные в формате до GDPR, будут считаться недействительными, и такие данные будут удалены InfoBytes Daily.
Внешние издатели, которые генерируют потенциальных клиентов для InfoBytes Daily, должны подтвердить в своих контрактах, что они будут предоставлять только потенциальных клиентов, созданных с использованием новой формы согласия, в случае, если субъект данных находится в ЕС/Великобритании.
16. Политика коммуникации с заинтересованными сторонами GSD
InfoBytes Daily работает через множество внешних организаций, которые являются заинтересованными сторонами в программе соответствия InfoBytes Daily GDPR. К таким организациям относятся ее Заказчики, Лидогенераторы, Субподрядчики и т. д.
Для эффективного соблюдения требований не следует обмениваться данными GSD при любом общении с заинтересованными сторонами, за исключением безопасной передачи и только уполномоченным представителям.
Хотя общение через API контролируется политикой доступа, любое другое общение по электронной почте должно контролироваться политикой обмена сообщениями по электронной почте.
По сути, политика обмена сообщениями по электронной почте должна определять, что обмен любой информацией о соответствии GSD или GDPR с заинтересованной стороной должен осуществляться только через уведомленный контактный адрес электронной почты, который в большинстве случаев будет DPO другой организации, где это необходимо. Переписка по электронной почте может быть зашифрована и аутентифицирована. с цифровой подписью.
17. Политика GSD по выявлению законных интересов
InfoBytes Daily признает, что определенные права субъектов данных, такие как удаление или исправление данных, могут противоречить требованиям законных интересов InfoBytes Daily или могут противоречить законам о хранении данных, которые в противном случае могут быть применимы к данным с учетом другие законодательные обязательства.
Во всех случаях реализации прав субъекта данных InfoBytes Daily оценит запрос, прежде чем предпринимать дальнейшие действия. В случае, если InfoBytes Daily признает необходимость отклонить запрос или изменить его для принятия, причины будут задокументированы, и ISGC составит примечание о законных интересах GSD.
Если данные не обязаны быть активными, они могут быть надежно заархивированы до истечения законного интереса.
Причины использования аргумента законного интереса для обработки запроса субъекта данных должны быть переданы Контролеру данных, который несет ответственность за Субъект данных, для дальнейшей передачи субъекту данных.
18. Политика управления персоналом GSD
GSD будет рассматриваться как набор данных, требующий исключительного и особого внимания с точки зрения информационной безопасности, пока он находится на хранении InfoBytes Daily.
Следовательно, GSD будет соответствующим образом помечаться и обрабатываться по мере необходимости специально обученным набором сотрудников.
Эти сотрудники и системы, в которых GSD будут храниться, получать к ним доступ и обрабатываться, будут управляться безопасно с учетом уровня риска, связанного с GSD.
Назначение людей на эту обработку GSD и их удаление должно осуществляться с использованием соответствующих мер безопасности, включая более высокий уровень проверки биографических данных, обучение, идентификацию физического доступа, политику санкций и т. д.
Кадровая политика должна быть соответствующим образом обновлена для сотрудников GSD, если это может потребоваться.
19. Политика псевдонимизации GSD
Признано, что псевдонимизация — это стратегия снижения рисков при обработке GSD.
Персональные данные, преобразованные в псевдоним, не считаются «Личными данными» для целей регулирования GDPR, при условии, что процесс псевдонимизации адекватно структурирован.
Принимая во внимание текущий уровень подверженности своей деятельности рискам GDPR; InfoBytes Daily в настоящее время не считает необходимым использовать псевдонимизацию в качестве стратегии снижения рисков.
20. Политика GSD DRP-BCP
InfoBytes Daily признает важность эффективного плана аварийного восстановления и непрерывности бизнеса для своих операций, включая операции, связанные с обработкой GSD.
InfoBytes Daily будет поддерживать адекватное резервное копирование данных GSD и разумную возможность поддерживать непрерывность бизнеса в случае каких-либо непредвиденных обстоятельств.
21. Политика документации соответствия GSD
Меры по обеспечению соответствия GDPR должны быть задокументированы, чтобы они были доступны для проверки. Документация о соответствии должна храниться не менее 6 лет с момента ее создания.
Если какой-либо документ является потенциальным доказательством требований правоохранительных органов или защиты законных интересов InfoBytes Daily, такой документ будет храниться до тех пор, пока сохраняется требование.
22. Политика аудита GSD
Группа аудита внутренней безопасности InfoBytes Daily должна проверять информационные активы InfoBytes Daily не реже одного раза в год для оценки уровня безопасности и соответствия GDPR и другим нормативным требованиям.
Возможность проведения внешнего аудита может рассматриваться на основе оценки ISGC всякий раз, когда происходит существенное изменение профиля деятельности.
InfoBytes Daily оставляет за собой право проводить аудит объектов любого из своих субподрядчиков для обеспечения соблюдения договорных обязательств.
Однако InfoBytes Daily признает, что полномочия по аудиту объектов субподрядчика являются полномочиями и должны использоваться только в исключительных обстоятельствах. Это не уменьшает ответственности субподрядчика за соблюдение требований соответствия на его стороне согласно предоставленным контрактным гарантиям.
23. Политика рассмотрения жалоб GSD
InfoBytes Daily предоставит многоуровневую политику рассмотрения жалоб для разрешения споров, если таковые имеются, с каким-либо субъектом данных. Такие жалобы будут рассматриваться DPO на первом уровне, ISGC на втором уровне и Комитетом по онлайн-разрешению споров, созданным для этой цели Советом на третьем уровне.
Любые запросы от надзорного органа GDPR обрабатываются DPO и при необходимости передаются в ISGC.
Любые споры с Заказчиками, Издателями или Субподрядчиками разрешаются в соответствии с соответствующими договорными соглашениями.
24. Политика сетевой безопасности
Чтобы гарантировать безопасность ИТ-инфраструктуры, используемой Компанией, InfoBytes Daily должна принять надежную политику информационной безопасности, включая брандмауэры, системы обнаружения вторжений, систему предотвращения вредоносных программ и исправления системы и т. д. по мере необходимости.
Назначенный менеджер по информационной безопасности несет ответственность за поддержание сетевой безопасности.
PS: Этот Кодекс может время от времени пересматриваться.