Принципы соответствия GDPR

Полный обзор принципов соблюдения GDPR и нашей приверженности защите персональных данных

В Eesti Firma (юридическое наименование Eesti Firma OÜ, рег. номер 14164797, адрес Vesivärava 50, 10152 Таллин, Эстония) защита ваших персональных данных – наш главный приоритет. Наша приверженность конфиденциальности основана на ключевых принципах, закреплённых в Общем регламенте по защите данных (ЕС) 2016/679 (GDPR).

Эти принципы направляют все решения о том, как мы обрабатываем ваши данные, и лежат в основе наших внутренних процедур. Ниже мы подробно раскрываем каждый принцип, объясняя его применение на практике и описывая ваши права как субъекта данных. Обращаем внимание: подробная информация о конкретных способах обработки и мерах защиты данных представлена в нашей Политике конфиденциальности.

Законность, справедливость и прозрачность

Мы обрабатываем персональные данные законно, справедливо и прозрачно по отношению к вам. Это означает, что любая обработка данных осуществляется на законных основаниях, честно и открыто для вас как субъекта данных. В рамках этого принципа мы придерживаемся следующих подходов:

Законность: Мы собираем и используем ваши персональные данные только при наличии понятного и законного основания. Иными словами, каждая операция с данными осуществляется строго в соответствии с законодательством. Наши правовые основания включают ваше информированное согласие (когда оно необходимо), исполнение договорных обязательств, выполнение требований закона или наши обоснованные деловые интересы, которые не нарушают ваших прав. Вы всегда будете уведомлены о правовом основании обработки ваших данных.
Справедливость: Мы обеспечиваем честное отношение к обработке данных. Это означает, что мы не собираем данные обманным путём и не используем их во вред вам. Мы никогда не вводим вас в заблуждение относительно целей сбора информации или способов её использования. Кроме того, мы учитываем ваши интересы и права – например, гарантируем недискриминационное обеспечение ваших прав (таких как право на доступ к данным), независимо от условий обслуживания. Обработка данных ведётся так, чтобы не наносить несправедливого ущерба вашей приватности.
Прозрачность: Мы ведём открытую и понятную коммуникацию о том, зачем и как используются ваши данные. Все сведения об обработке предоставляются ясным языком, без избыточного юридического жаргона. Наша политика конфиденциальности и другие уведомления всегда легко доступны, чтобы вы в любой момент могли узнать, какие данные мы собираем, на каких основаниях и для каких целей. При необходимости мы используем многоуровневый подход к информированию – выделяем основные моменты и предоставляем подробности через дополнительные ссылки или всплывающие подсказки. Мы постоянно обновляем наши сведения, чтобы они оставались актуальными, и информируем вас о любых важных изменениях. Благодаря такой прозрачности вы точно знаете, как обрабатываются ваши персональные данные.

Ограничение целей

Мы собираем и используем персональные данные только для конкретных, заранее определённых и законных целей, о которых вас заранее уведомляем. Это означает, что ваши данные будут применяться исключительно в тех целях, ради которых они были собраны. Мы не используем персональную информацию каким-либо новым образом, несовместимым с изначальными целями. Например, если вы предоставили нам свой адрес электронной почты для получения обновлений нашего сервиса, мы не передадим его партнёру для рассылки рекламы без вашего ведома и согласия.

Все цели обработки чётко документируются – в наших внутренних реестрах и публичных документах (например, в Политике конфиденциальности) указано, для чего собираются те или иные данные. Если возникнет потребность использовать данные для новой цели, которая не соответствует первоначальной, мы заранее получим от вас отдельное согласие или обеспечим иную законную основу обработки. Таким образом, вы можете быть уверены, что ваши персональные данные не будут использованы неожиданным для вас образом, выходящим за рамки изначально оговоренных целей.

Минимизация данных

Мы придерживаемся принципа минимизации данных, что означает сбор только той персональной информации, которая действительно необходима для заявленных целей обработки. На практике это реализуется следующим образом:

Мы запрашиваем у вас только минимальный объем данных, достаточный для предоставления запрашиваемой услуги или исполнения договора. Формы и опросы на нашем сайте разработаны так, чтобы не собирать лишних сведений. Например, если для регистрации на вебинар нам нужно ваше имя и электронную почту, мы не будем требовать указать дополнительные данные, не относящиеся к этой цели.
Принцип «ничего лишнего» помогает нам сократить риски для вашей приватности. Чем меньше данных хранится и обрабатывается, тем ниже вероятность утечки или несанкционированного доступа. Мы не будем собирать информацию “на всякий случай”, запасая данные, которые могут пригодиться когда-нибудь в будущем. Все запросы информации тщательно обоснованы конкретной необходимостью.
Мы также регулярно пересматриваем набор собираемых данных и убираем из процессов любые поля или запросы, которые не являются необходимыми. Таким образом, мы гарантируем, что при любых взаимодействиях запрашиваем у вас только то, без чего действительно не обойтись для достижения указанных целей.

Точность

Поддержание персональных данных в точном и актуальном состоянии – ещё один наш ключевой принцип. Мы прилагаем все разумные усилия, чтобы информация о вас была правильной, полной и актуальной, ведь от этого зависит качество наших услуг и ваше доверие. В рамках обеспечения точности мы реализуем следующие меры:

Регулярное обновление: Если ваши персональные данные изменились (например, вы обновили контактный номер или адрес), мы оперативно внесём эти изменения в наши системы. Мы стремимся не допускать ситуации, когда решения принимаются на основе устаревшей или неверной информации.
Исправление ошибок: Если вы обнаружите, что какие-то сведения о вас неверны или неактуальны, вы всегда можете уведомить нас – мы быстро внесём исправления. Кроме того, у вас есть право на исправление (корректировку) неточных данных, и мы полностью ему следуем, обеспечивая удобные способы сообщить нам об ошибке.
Проверка критичных данных: В случаях, когда точность данных особенно важна (например, для выполнения финансовых операций или оказания юридически значимой услуги), мы можем предпринять дополнительные шаги для проверки и подтверждения информации. Это может включать запрос подтверждающих документов или сверку данных с вами. Все эти меры направлены на то, чтобы в наших базах хранилась исключительно достоверная информация.
Удаление неточных сведений: Согласно требованиям GDPR, неверные или неполные данные, которые не подлежат исправлению, должны быть удалены без неоправданной задержки. Мы соблюдаем это правило: если какая-либо информация окажется неточной в контексте целей обработки и её нельзя скорректировать, мы удалим её, чтобы предотвратить возможные негативные последствия.

Ваше содействие также важно для поддержания точности: пожалуйста, сообщайте нам, если какие-либо ваши персональные данные изменились или требуют исправления. Мы ценим вашу проактивность, ведь точные данные – залог эффективного обслуживания и защиты ваших прав.

Ограничение срока хранения

Мы храним персональные данные не дольше, чем это необходимо для достижения целей, ради которых они собраны. Этот принцип ограничения срока хранения означает, что у каждой категории данных есть определённый период хранения, по истечении которого информация будет безопасно удалена или обезличена. Как мы это обеспечиваем:

Чёткие сроки хранения: Для разных типов персональных данных мы устанавливаем обоснованные сроки хранения с учётом цели обработки, наших юридических и договорных обязательств, а также требований законодательства. Например, данные о транзакциях могут храниться столько, сколько нужно по налоговым или бухгалтерским нормам, в то время как данные, собранные для предоставления разовой услуги, будут храниться короче. Все такие сроки отражены во внутренних политиках, и мы придерживаемся их строго.
Регулярный пересмотр: Мы периодически пересматриваем наши политики хранения, чтобы убедиться, что они актуальны. Если бизнес-процессы меняются или законодательство обновляется, мы корректируем сроки хранения данных соответственно. Такой аудит позволяет выявить персональные данные, которые больше не нужны. Мы проводим проверки на наличие неиспользуемых либо устаревших данных и удаляем их, если они не требуются ни для каких законных целей.
Безопасное удаление: По завершении срока хранения (или если данные стали не нужны ранее) мы удаляем персональные данные таким образом, чтобы их невозможно было восстановить или идентифицировать. В некоторых случаях, если удаление прямо сейчас невозможно из-за технических ограничений, мы сначала обезличиваем данные (отделяем их от вашей личности), а затем удаляем, когда это станет возможным. Мы также можем сохранять данные дольше установленного срока, только если это разрешено законом – например, когда данные хранятся в архивных целях в общественных интересах, для научных или статистических целей в соответствии со статьёй 89(1) GDPR. Но даже в таких случаях мы обеспечиваем надлежащие гарантии конфиденциальности.

Сводя к минимуму срок хранения персональных данных, мы снижаем риск того, что информация будет использована не по назначению или станет уязвимой для утечки по прошествии времени. Вы можете быть уверены, что мы не храним ваши данные дольше необходимого и строго соблюдаем установленные временные рамки.

Целостность и конфиденциальность

Мы принимаем все меры для обеспечения целостности и конфиденциальности ваших персональных данных, то есть их защиты от несанкционированного доступа, изменений, разглашения или уничтожения. Этот принцип безопасности данных реализуется комплексно – техническими и организационными средствами. Что мы делаем для защиты ваших данных:

Современные технологии защиты: Мы применяем соответствующие технические меры безопасности для защиты персональной информации. В их числе – шифрование данных, брандмауэры, антивирусные решения, системы обнаружения вторжений и другие инструменты кибербезопасности. Эти меры соразмерны характеру и объёму обрабатываемых данных, а также потенциальным рискам. Например, чувствительные данные могут храниться в зашифрованном виде, а доступ к системам с персональными данными ограничен строго авторизованными лицами. Мы регулярно оцениваем риски и обновляем средства защиты, чтобы противостоять новым угрозам. Наша ИТ-инфраструктура мониторится на предмет уязвимостей, и мы своевременно устанавливаем обновления и патчи для предотвращения инцидентов.
Организационные меры и контроль доступа: Помимо технологий, у нас внедрены строгие организационные правила обращения с данными. Доступ к вашим персональным данным имеют только те сотрудники или уполномоченные лица, которым это необходимо для выполнения рабочих обязанностей (принцип «необходимого минимума»). Каждый такой сотрудник действует в рамках своих полномочий и проходит обучение по требованиям безопасности данных. Мы заключаем соглашения о неразглашении (NDA) со всеми сотрудниками и сторонними подрядчиками, которые могут иметь доступ к информации, чтобы юридически закрепить их обязанность хранить данные в тайне. Регулярно проводятся тренинги и инструктажи по лучшим практикам защиты данных, чтобы персонал был осведомлён о современных угрозах и способах их предотвращения.
Планы действий и контроль: Мы разработали внутренние процедуры на случай инцидентов безопасности. В маловероятном случае утечки или нарушения целостности данных у нас есть план реагирования: от немедленного устранения уязвимости до уведомления надзорных органов и самих субъектов данных, если это потребуется по закону. Мы ведём учёт всех инцидентов, связанных с персональными данными, и разбираем их причины, чтобы не допустить повторения. Кроме того, наша система безопасности регулярно проверяется – мы проводим внутренние и внешние аудиты, тестирования на проникновение и другие проверки, убеждаясь, что уровень защиты остаётся высоким и отвечает актуальным стандартам.

Придерживаясь этого принципа, мы гарантируем, что ваши персональные данные хранятся и обрабатываются максимально защищённо. Целостность данных означает, что информация остаётся неизменной и точной в системе, а конфиденциальность – что к ней не получат доступ посторонние. В совокупности эти меры помогают нам поддерживать высокий уровень доверия и безопасности.

Ответственность

Eesti Firma OÜ полностью осознаёт свою ответственность за соблюдение принципов GDPR и способна это соблюдение продемонстрировать. Принцип подотчётности подразумевает, что мы не только выполняем нормы, но и можем подтвердить на практике и документально наше соответствие требованиям. Вот как реализуется ответственность у нас в компании:

Встроенное соответствие: Мы интегрировали требования GDPR во все бизнес-процессы. Каждый сотрудник, работающий с персональными данными, знает и соблюдает принципы защиты информации. У нас разработаны чёткие политики и инструкции, регулирующие сбор, использование, передачу и хранение данных, и эти документы доведены до сведения персонала. Принципы GDPR встроены в корпоративную культуру, что обеспечивает единый высокий стандарт работы с данными на каждом уровне.
Назначен ответственный за данные: В соответствии с законодательством, у нас назначен специалист по защите данных (Data Protection Officer, DPO) – Илья Никифоров, чьи контакты приведены ниже. Его задача – контролировать соблюдение требований GDPR внутри компании, консультировать сотрудников по вопросам конфиденциальности и выступать контактным лицом для вас и надзорных органов. Наличие DPO – одно из подтверждений нашей ответственности и серьёзного отношения к защите данных.
Внутренние аудиты и оценка рисков: Мы регулярно проводим внутренние проверки (а при необходимости привлекаем внешних аудиторов) на предмет соответствия наших практик требованиям GDPR. Анализируются возможные риски для безопасности и приватности, по результатам проверок принимаются меры для улучшения. Такой постоянный контроль и улучшение позволяют нам поддерживать актуальность мер защиты и реагировать на изменения – будь то новые угрозы, рост объёма данных или изменения в законодательстве.
Обучение и осведомлённость: Мы инвестируем в образование сотрудников по теме защиты данных. Периодически проводятся обучающие сессии, рассылки и тестирования знаний, чтобы каждый был в курсе последних достижений и требований отрасли. От действий людей во многом зависит безопасность данных, поэтому мы создаём культуру, в которой каждый понимает свою роль и ответственность.
Готовность отчитаться: В любой момент мы готовы продемонстрировать соответствие GDPR как вам, так и надзорным органам. Наша прозрачность проявляется и в этом: вы можете обратиться с запросом относительно ваших данных, и мы предоставим всю необходимую информацию. Аналогично, при проверке со стороны уполномоченных органов мы имеем подготовленные документы и процессы, подтверждающие нашу подотчётность. Мы понимаем, что доверие клиентов напрямую зависит от нашей ответственности, поэтому данный принцип – краеугольный камень работы компании.

Заключение

Наша фундаментальная приверженность защите вашей конфиденциальности и сохранению вашего доверия означает, что соответствие требованиям GDPR для нас – не просто формальность, а часть повседневной работы. Соблюдение всех перечисленных принципов – законности, справедливости, прозрачности, ограничения целей, минимизации данных, точности, ограничения сроков хранения, целостности и конфиденциальности, а также подотчётности – гарантирует, что ваши персональные данные обрабатываются максимально корректно и безопасно. Мы делаем больше, чем требуется по закону, потому что ценим ваше доверие.

Следуя духу GDPR, мы продолжаем улучшать наши практики защиты данных и оперативно реагируем на изменения нормативных требований. Вы можете быть уверены: ваша личная информация в надёжных руках, и мы постоянно работаем над тем, чтобы это оставалось так и впредь.

Обновления и юридическая информация

Мы оставляем за собой право периодически обновлять или изменять настоящий документ, чтобы отражать изменения в нашей практике обработки данных, требования законодательства или нормативных актов. Все обновления будут публиковаться на этой странице, и дата последнего обновления (указана ниже) будет изменена соответствующим образом. Мы рекомендуем вам время от времени просматривать этот раздел, чтобы быть в курсе актуальной версии наших принципов соответствия GDPR.

Учтите, что данный документ дополняет нашу Политику конфиденциальности и другие связанные документы, но не заменяет их. В случае расхождений приоритет имеет Политика конфиденциальности. Данный документ носит информационный характер и направлен на разъяснение наших подходов к соблюдению GDPR.

Контактная информация

Если у вас есть какие-либо вопросы, замечания или запросы, касающиеся защиты персональных данных или того, как мы обрабатываем вашу информацию, пожалуйста, свяжитесь с нами. Мы всегда готовы помочь и ценим обратную связь.

Компания: Eesti Firma OÜ
Уполномоченное лицо по защите данных (DPO): Илья Никифоров
Email: info@eestifirma.ee
Телефон: +372 641 7777
Адрес: ул. Vesivärava 50, Таллин, Эстония, 10152

Мы стремимся отвечать на все обращения оперативно и в полном объёме. Если вы запрашиваете сведения о ваших данных или реализации ваших прав, мы предоставим ответ в сроки, установленные GDPR (как правило, в течение 1 месяца). Спасибо, что доверяете Eesti Firma OÜ защиту ваших данных – мы, со своей стороны, делаем всё возможное, чтобы это доверие оправдать.

Eesti Firma OÜ
GDPR
General Data Privacy Regulation
Регламент (ЕС) 2016/679
Защита личных данных

Настоящие принципы соответствия GDPR были разработаны и утверждены юристом, специалистом по защите данных (DPO) и соучредителем компании Eesti Firma OÜ – Ильей Никифоровым, который отвечает за мониторинг соблюдения компанией законодательства о защите персональных данных, а также внедрение лучших комплаенс-практик в деятельности компании. Положения данного документа касаются каждого клиента компании без исключения. В случае возникновения вопросов или необходимости дополнительных разъяснений просим вас обращаться напрямую в службу поддержки Eesti Firma.