Политика конфиденциальности

1. Общие положения

1.1. Политика конфиденциальности ООО «ДатаФорт» (далее – Компания) является внутренним нормативным документом Компании, устанавливающим общий подход, основные принципы и организацию системы контроля и управления в отношении обработки персональных данных в Компании.

1.2. Настоящей Политикой и иными внутренними нормативными документами Компании устанавливаются минимальные стандарты, которым необходимо следовать. В случаях, когда какими-либо законодательными или нормативными актами, или положениями действующего законодательства РФ устанавливаются более высокие стандарты, необходимо следовать таким более высоким стандартам.

1.3. Настоящая Политика распространяется на Компании, ее положения являются обязательными для исполнения всеми работниками Компании, Бизнес-партнерами, а также лицами, не являющимися работниками Компании и привлеченными ею для выполнения определенных трудовых функций в интересах, под управлением и контролем Компании.

2. Термины и определения

В настоящей Политике используются следующие термины и определения:

Группа компаний VEON Ltd. (Группа VEON) – группа юридических лиц, включающая в себя ПАО «ВымпелКом» и любое юридическое лицо, прямо или косвенно, управляемое или находящееся под контролем VEON Ltd.;

Единоличный исполнительный орган (ЕИО) – исполнительный орган управления Компании (Генеральный директор), без доверенности действующий от имени Компании, представляющий интересы Компании, совершающий сделки от ее имени, утверждающий штаты, издающий приказы и дающий указания, обязательные для исполнения всеми работниками Компании в соответствии со своими полномочиями по Уставу;

Инцидент информационной безопасности (Инцидент) – появление одного или нескольких нежелательных, либо неожиданных событий информационной безопасности, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы информационной безопасности;

Кибербезопасность – процесс использования мер безопасности для обеспечения конфиденциальности, целостности и доступности данных;

Компания – ООО «ДатаФорт»;

Конфиденциальность персональных данных – обязательное для выполнения Оператором или иным лицом, получившим доступ к персональным данным, требование не допускать раскрытия персональных данных третьим лицам, и их распространения без согласия Субъекта персональных данных или наличия иного законного основания;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Оператор – Компания, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

ПАО «ВымпелКом» – Публичное акционерное общество «Вымпел-Коммуникации»;

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

Работники (работники Компании) – штатные работники Компании с полной или частичной занятостью, независимо от занимаемой ими должности в Компании;

Дирекция информационной безопасности – штатные работники Компании занимающиеся обеспечением информационной безопасности в организации.

Согласие на обработку персональных данных – добровольное, конкретное, информированное и сознательное волеизъявление физического лица – субъекта персональных данных (или его представителя) на обработку персональных данных, выраженное свободно, своей волей и в своем интересе;

Субъект персональных данных – определенное или определяемое физическое лицо. Полный перечень субъектов персональных Компании приведен в “Обработка перс данных”;

Структурное подразделение – объединение нескольких должностных позиций и/или подразделений по признаку общности решаемых задач и регулярно выполняемых работ;

Третье лицо – любое лицо (физическое или юридическое), которое не является Контролируемым лицом или работником Компании (включая привлеченных физических лиц для выполнения трудовых функций в Компании), и с которым Компания взаимодействует (в том числе благотворительные организации и партнеры по спонсорской деятельности, Бизнес-партнеры, клиенты);

Юридическое подразделение Группы VEON – структурное подразделение Группы VEON, возглавляемое Главным юрисконсультом Группы VEON (Group General Counsel).

3. Содержание Политики

3.1. Конфиденциальность – это защита информации, относящейся к физическим лицам. Компания обязуется защищать частную жизнь в соответствии с применимым законодательством о защите персональных данных. Компания гарантирует, что вся передача, обработка и использование персональных данных осуществляется в соответствии с настоящей Политикой и применимыми законами о защите данных. Компания соблюдает принципы конфиденциальности при обработке персональных данных, изложенные в настоящей Политике.

3.2. Принципы конфиденциальности:

Законность: обеспечить наличие законного основания (например, согласие на обработку ПДн, наличие договора или законного интереса) для передачи, обработки и использования персональных данных;
Прозрачность: предоставить соответствующее уведомление лицам, чьи персональные данные передаются, обрабатываются или используются;
Ограниченность: иметь конкретные и ограниченные цели обработки персональных данных. Любая дополнительная цель обработки должна быть как законной, так и связанной с первоначальными целями, для которых были собраны персональные данные;
Минимизация обработки данных: производить обработку только такого объема персональных данных, который необходим для достижения соответствующей цели;
Достоверность: хранить персональные данные достоверными и актуальными;
Хранение: хранить персональные данные не дольше, чем это необходимо по закону или по иным юридически обоснованным и законным основаниям;
Права субъектов персональных данных: субъекты персональных данных должны быть обеспечены информацией о своих правах, связанных с персональными данными и простыми средствами их осуществления;
Трансграничная передача: передача персональных данных за пределы РФ, на территории которой они собираются, может осуществляться только в соответствии с законодательством о персональных данных;
Третьи лица: все третьи лица и контрагенты, которые передают, обрабатывают или используют персональные данные от имени Компании или Группы VEON, должны быть должным образом оценены в процессе проведения закупочных мероприятий на соответствие требованиям настоящей Политики. С третьими лицами должен быть заключен договор, обеспечивающий защиту персональных данных в соответствии с требованиями настоящей Политики и законодательством РФ о персональных данных;
Безопасность: персональные данные должны быть защищены с помощью организационных и технических мер от несанкционированного доступа, использования, изменения, потери, раскрытия или передачи;
Обучение и осведомленность: все работники Компании должны быть проинформированы и пройти обучение в отношении своих обязанностей по обеспечению соблюдения настоящей Политики и иных принятых на ее основе документов при передаче, обработке и использовании персональных данных.

3.3. Конфиденциальность – это право человека, которое становится все более важным в современном цифровом мире, особенно для бизнеса, который осуществляет Компания. Таким образом, приверженность Компании и Группы VEON в целом принципам конфиденциальности должна распространяться как на саму Компанию, так и на ее клиентов, работников, деловых партнеров и инвесторов. Соблюдение конфиденциальности должно быть неотъемлемой частью деловой деятельности Компании.

3.4. В целях соблюдения настоящей Политики и обеспечения гарантий выполнения ее требования, а также требований законодательства о защите персональных данных Компания обязуется контролировать соблюдение конфиденциальности. Меры по контролю за соблюдением конфиденциальности должны соответствовать содержанию настоящей Политики, международным стандартам и передовой практике создания мер по обеспечению контроля за соблюдением конфиденциальности. Ответственным лицом за соблюдением конфиденциальности в Компании является Директор по информационной безопасности.

3.5. Подразделение Группы VEON по внутреннему аудиту и комплаенсу и Юридическое подразделение Группы VEON имеют право проводить оценку соответствия Компании настоящей Политике. Руководители Компании должны будут периодически подтверждать соответствие Компании требованиями настоящей Политики. Дирекция по внутреннему аудиту может предоставить руководителю Компании, руководителю подразделения Группы VEON по внутреннему аудиту и комплаенсу, руководителю Юридического подразделения Группы VEON независимую оценку соблюдения требований настоящей Политики и ее эффективности.

3.6. Краткий список мер, направленных на осуществление контроля за соблюдением конфиденциальности, представлен в Таблице № 1 настоящей Политики.

Таблица № 1

№ пп	Наименование контроля	Описание
1.	Трансграничная передача персональных данных	Перед трансграничной передачей персональных данных, проверяется соответствие всем законодательным требованиям в отношении такой передачи
2.	Наличие перечня персональных данных	В Компании ведется учет обрабатываемых персональных данных, в случаях, предусмотренных действующим законодательством РФ, информация об обрабатываемых персональных данных предоставляются контролирующим органам
3.	Права субъекта персональных данных	В Компании внедрены процедуры, позволяющие субъектам персональных данных реализовывать свои права, предусмотренные действующим законодательством РФ, в т.ч. ответы на запросы субъектов персональных данных
4.	Управление	Определены ответственные за соблюдением требований законодательства и внутренних нормативных документов Компании, касающихся обработки персональных данных, в соответствии с внутренней организационной структурой Компании, распределением полномочий внутри Компании в соответствии с нормативными документами Компании и Группы VEON
5.	Управление Инцидентами и нарушениями	Внедрены Процедуры управления инцидентами и нарушениями, которые определяют, как управлять утечками персональных данных
6.	Политика и Процедура	В Компании принята Политика конфиденциальности, отвечающая минимальным требованиям, изложенным в Политике конфиденциальности Группы VEОN, а также требованиям законодательства РФ о персональных данных. Данные документы доведены до сведения лиц, которые должны быть с ней ознакомлены в соответствии с требованиями законодательства РФ
7.	Предварительный отбор контрагентов	В Компании внедрен процесс, который гарантирует, что третьи лица перед обработкой персональных данных для Группы VEON или Компании будут оценены с точки зрения соответствия требованиям законодательства РФ в области персональных данных
8.	Оценка конфиденциальности	Внедрена система оценки мер по соблюдению требований к конфиденциальности (в соответствии с законодательством о персональных данных и политикой конфиденциальности Группы VEON) на этапах разработки новых продуктов, процессов, решений, процессов, инициатив, связанных с обработкой персональных данных
9.	Соглашения о соблюдении конфиденциальности	Организовано включение в договоры, заключаемые с третьими лицами, требований правового, организационного, технического характера, предъявляемых к обработке персональных данных до передачи персональных данных этому третьему лицу
10.	Прозрачность и доступность информации о конфиденциальности	Обеспечено наличие и доступность ясных, понятных и соответствующих требованиям законодательства информации/сообщений/уведомлений, касающихся обработки персональных данных всех категорий субъектов персональных данных
11.	Записи данных	В Компании ведется учет фактов нарушений, связанных с персональными данными. Информация о фактах нарушений должна храниться в соответствии с требованиями законодательства, а также внутренних документов Компании
12.	Регуляторный мониторинг	Дирекция информационной безопасности Компании на регулярной основе должен отслеживать внедрение новых правил, регулирования, нормативных требований в отношении конфиденциальности и своевременно оценивать потенциальное влияние на Компанию и ее затраты на их исполнение
13.	Составление отчетов	Периодические отчеты Компании о состоянии соблюдения конфиденциальности со стороны лиц, ответственных за соблюдение конфиденциальности, должны рассматриваться на заседаниях Директора по информационной безопасности и Генерального директора
14.	Хранение	Хранение персональных данных в Компании осуществляется в соответствии с корпоративным стандартом «Хранение деловой документации», требованиями законодательства РФ
15.	Меры безопасности для персональных данных.	В Компании должны осуществляться соответствующие технические и организационные меры для обеспечения безопасности персональных данных, минимизации рисков, связанных обработкой персональных данных
16.	Назначение ответственного за взаимодействие с органами по контролю за защитой данных	В Компании официально назначено подразделение, которое является контактным лицом и поддерживает взаимодействие с органами власти, отвечающими за вопросы конфиденциальности / защиты данных
17.	Обучение	В Компании внедрена обязательная программа обучения и коммуникации по вопросам конфиденциальности, которая обеспечивает осведомленность работников о требованиях, вытекающих из настоящей Политики и соответствующих политик, и процедур Группы VEON, а также законодательства о персональных данных.

3.7. Роли и обязанности

3.7.1. Владелец Политики конфиденциальности в Группе VEON (Главный финансовый директор Группы VEON);

Обеспечивает деятельность Совета директоров Группы VEON, связанную с политикой конфиденциальности;
Разрабатывает и поддерживает актуальной Политику конфиденциальности Группы VEON;
Несет общую ответственность за эффективность реализации Политики конфиденциальности Группы VEON в VEON Ltd. и Компаниях.

3.7.2. Владелец Политики конфиденциальности в Компании – Директор по информационной безопасности, Дирекция информационной безопасности.

Несет ответственность за соблюдение в Компании настоящей Политики и законодательства о персональных данных;
Осуществляет внедрение и реализацию внутренних документов в отношении конфиденциальности в Компании, ссылающихся на настоящей Политику и международные стандарты, и лучшие практики, обеспечивающие соблюдение законодательства о персональных данных;
Следит за соблюдением в Компании настоящей Политики, а также иных внутренних документов, принятых на ее основе в Компании;
Информирует о статусе реализации настоящей Политики ЕИО Компании;
Сообщает заинтересованным подразделениям Компании и ЕИО обо всех случаях, которые могут повлечь нарушение законодательства о персональных данных, влекущее за собой существенную потенциальную материальную ответственность для Компании, а также о любых других вопросах, связанных с персональными данными или данными клиентов, которые могут иметь значение для репутации или деятельности Компании или Группы VEON, а также любой иной существенный вопрос, связанный с обработкой персональных данных. Эти сообщения должны включать в себя предложения по смягчению последствий наступления рисков нарушений законодательства о персональных данных.

Примеры существенных вопросов, связанных с обработкой персональных данных:

Передача персональных данных: любая транзакция, включающая предоставление законных прав третьей стороне в отношении персональных данных и/или данных клиента, собранных посредством операций любого юридического лица Группы VEON;
Нарушения данных: любой несанкционированный доступ третьих лиц, влияющий на персональные данные и / или данные клиентов в количестве более (например, 500) лиц;
Трансграничная передача персональных данных: любая трансграничная передача персональных данных или данных клиента, которые могут нарушать законы о персональных данных;
Любой проект с персональными данными, который планирует охватить значительную часть клиентской базы Компании и который может нарушить законодательство о персональных данных.

3.7.3. ЕИО Компании:

Рассматривает вопросы принятия настоящей Политики в Компании;
Осуществляет надзор за реализацией Политики в Компании;
Рассматривает и дает рекомендации в отношении рисков соблюдения конфиденциальности и предлагаемых мер по смягчению их последствий;
Инициирует эскалацию любых проблем, связанных c существенными рисками соблюдения конфиденциальности и предлагаемыми мерами по смягчению их последствий.

3.7.4. В Компании изданы дополнительные внутренние документы о распределении ответственности между подразделениями за обработку персональных данных, уточняющие полномочия и обязанности подразделений, связанных с обработкой персональных данных.

4. Внедрение и исполнение Политики

4.1. Руководители Компании и каждый работник Компании должны исполнять требования данной Политики. Генеральный директор Компании является конечным владельцем и ответственным лицом за внедрение настоящей Политики.

4.2. Директор по информационной безопасности является уполномоченным лицом, ответственным за реализацию, поддержание в актуальном состоянии настоящей Политики, обеспечивает её дальнейшее развитие, регулярные проверки, обновления, осуществляет мониторинг соответствия деятельности Компании настоящей Политике и Политике конфиденциальности Группы VEON.

5. Консультации и информирование о нарушениях

5.1. Если работнику Компании необходима консультация по настоящей Политике, а также, если работник Компании считает, что положения Политики были нарушены кем-либо, ему следует обратиться к работнику ПАО «ВымпелКом» или в Подразделение Группы VEON по внутреннему аудиту и комплаенсу, написав сообщение по адресу compliance@veon.com. Также работник может оставить сообщение о нарушении по ссылке: www.veon.com/speakup. Компания не приемлет никаких мер воздействия или преследования в отношении лиц, добросовестно сообщивших о предполагаемых нарушениях.

5.2. Компания расследует случаи предполагаемых нарушений настоящей Политики в соответствии с внутренними нормативными документами, регулирующими порядок проведения расследований. К работнику Компании, нарушившему требования настоящей Политики, могут быть применены дисциплинарные меры вплоть до увольнения.

6. Заключительные положения

Настоящая Политика, а также все изменения к ней, утверждаются Генеральным директором компании и вступают в силу после их опубликования.

Настоящая Политика может устанавливать требования, являющиеся дополнительными по отношению к действующему законодательству. Тем не менее, ничто в настоящей Политике не может быть истолковано как основание для замены, изменения, подмены или иного отклонения от действующего законодательства, относящегося к предмету настоящей Политики. В случае любого расхождения или несоответствия между положениями настоящего документа и действующего законодательства в части исполнения и трактовки настоящего документа, положения действующего законодательства будут иметь преимущественную силу.

Обо всех нарушениях требований настоящей Политики необходимо сообщать Владельцу Политики. Любые решения или действия, которые приводят к снижению требований по соблюдению конфиденциальности по сравнению с теми, которые установлены настоящей Политикой подлежат рассмотрению и одобрению Генерального директора компании и Дирекции информационной безопасности.

Вопросы толкования настоящей Политики следует адресовать в ПАО «ВымпелКом».

Внутренние документы, утвержденные в Компании до введения в действие настоящей Политики, подлежат приведению их владельцами в соответствие с требованиями настоящей Политики.