Настоящее Положение «Порядок работы с персональными данными» (далее именуется как «Процедура») определяет круг обязанностей работников ООО «Органон» (далее – «Общество») при сборе и последующей обработке ПДн (далее – «ПДн»). Настоящая Процедура разработана с учетом Федерального закона от 27.07.2006 № 152-ФЗ «О ПДн» (далее – «Закон о ПДн»[1]), а также Глобальных политик Органон [2]:
- Глобальная политика об обеспечении конфиденциальности и защиты ПДн № 13.2 (Global Privacy and Data Protection Policy 13.2), доступна для скачивания по ссылке;
- Стандарт внедрения функции по защите ПДн (Privacy Function Deployment Standard) (ссылка на документ будет добавлена по мере его доступности);
- Глобальный свод правил по защите ПДн (Global Privacy Rulebook), доступный по ссылке и состоящий из:
- Стандарта при сборе ПДн (Data Collection Standard);
- Стандарта при использовании ПДн (Data Use Standard);
- Стандарта при обращении с ПДн (Data Handling Standard);
- Стандарта по обмену ПДн (Data Sharing Standard);
- Стандарта при установлении контактов (Contact Standard);
- Инструкции к Глобальному своду правил по защите ПДн (Global Privacy Rulebook Specifications), которые предусматривают правила для отдельных случаев использования ПДн, доступные по;
- Процедура глобального управления поставщиками 5.0 – Соответствие поставщиков требованиям и оценка рисков (Global Supplier Management (GSM) Procedure 5.0 – Supplier Compliance and Risk Assessments) (ссылка на документ будет добавлена по мере его доступности);
- Стандартная операционная процедура Оценка соблюдений соблюдения требований по обработке ПДн поставщиком (Supplier Privacy Assessment, SPA), доступная по ссылке;
- Инструкция по оценке воздействия на защиту ПДн (Privacy Impact Assessment Specification), доступная по ссылке;
- Стандартная операционная процедура Отчеты об инцидентах с ПДн (Privacy Incident Reporting), доступная по ссылке.
Каждый Работник Общества несет персональную ответственность за соблюдение норм и правил, указанных в настоящей Процедуре.
1. ОСНОВНЫЕ ТЕРМИНЫ И СОКРАЩЕНИЯ |
Употребляемые в настоящей Процедуре термины имеют указанные ниже значения: Глобальные политики / правила / стандарты / процедуры / решения Общества – разработанные и принятые на уровне материнской компании Органон документы, правила или требования.Конфиденциальность ПДн – обязанность оператора и иных лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.(использование) ПДн (Incidental sharing (use) of personal data) – случаи, когда третьей стороне передаются только имя и контактная информация Работников для заключения и сопровождения договора, а также для коммуникации с третьей стороной [3].Обработка означает любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение ПДн.ПДн, или лицо, обрабатывающее ПДн по поручению оператора (data processor) – лицо, которому Оператор ПДн дал поручение (инструкцию) по тому как обрабатывать ПДн; Обработчик не определяет ни состав ПДн, которые будут обрабатываться, ни цели их обработки ПДн. (data controller, data operator) – лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.Передача ПДн – распространение, предоставление, доступ к ПДн. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).Работники – физические лица, заключившие трудовой договор с Обществом.Субъекты, субъекты ПДн – Работники и члены их семей, бывшие Работники, кандидаты на работу; контрагенты, потенциальные контрагенты – физические лица и индивидуальные предприниматели; представители, подписанты договоров от лица контрагентов, являющихся юридическими лицами, к которым относятся соответствующие ПДн, обрабатываемые Обществом, и иные лица, чьи ПДн обрабатываются Обществом. – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.Третья сторона, или третье лицо – любое третье по отношению к Обществу юридическое лицо или индивидуальный предприниматель – поставщик, партнер или иной контрагент Общества, с которым заключен договор, а также другая компания из группы компаний Органон. |
2. РОЛИ И ОБЯЗАННОСТИ |
Руководство Руководство Общества несет общую ответственность за внедрение и исполнение программы по защите ПДн Общества на рынках, бизнес-подразделениях или департаментах, за которые они отвечают. Назначает одного или нескольких специалистов по защите ПДн (Privacy Steward) для контроля и обеспечивания соблюдения требований в области обработки ПДн. (Privacy Steward) Специалисты по защите ПДн координируют реализацию программы по защите ПДн на уровне Общества, включая поддержку, повышение осведомленности и проведение тренингов, инвентаризацию процессов обработки ПДн, а также является связующим звеном при аудитах (Organon Corporate Audit & Assurannce Services) или Глобального офиса по защите ПДн. Специалисты по защите ПДн назначаются для HH и MA&OR (Medical Affairs and Outcome research). Узнать, кто является Специалистом по защите ПДн, можно по ссылке (Privacy Steward list). Глобальный офис по защите ПДн (Global Privacy Office (GPO)) Глобальный офис по защите ПДн лидирует программу по защите ПДн, оценивает ее эффективность и возникающие риски, разрабатывает и внедряет глобальные политики и стандарты, разрешает проблемы и работает с инцидентами с ПДн. Сайт Глобального офиса по защите ПДн доступен по ссылке. Владелец бизнес–процесса (Business process owner) Владельцы бизнес-процессов обязаны соблюдать требования и ограничения СОП № 06, настоящей Процедуры, иных локальных и глобальных политик и процедур, а также законодательства в области защиты ПДн в отношении тех бизнес-процессов / проектов / IT систем / мобильных приложений и т.д., внедрение которых они инициируют. Владельцы бизнес-процессов ответственны за то, чтобы их бизнес-процессы соответствовали всем применимым требованиям в части ПДн. В частности, владелец бизнес-процесса обязан проводить Оценку воздействия на защиту ПДн для каждого нового или меняющегося бизнес-процесса, включающего обработку ПДн (см. раздел 5 настоящей Процедуры); проходить все необходимые проверки соответствия третьих лиц требованиям по защите ПДн, с которыми Общество заключает договоры (см. раздел 9 настоящей Процедуры), и инициировать заключение Дополнительного соглашения о конфиденциальности и безопасности персональных данных, когда применимо (см. раздел 10 настоящей Процедуры). Работники Работники Общества при работе с ПДн обязаны следовать принципам и правилам, установленным в СОП № 06, настоящей Процедурой, иными локальными и глобальными политиками и процедурами. В частности, Работники обязаны следить за тем, чтобы ПДн не раскрывались третьим лицам и не передавались без отсутствия должных правовых оснований; рапортовать о любых нарушениях в области обработки ПДн – Инцидентах с ПДн (см. раздел 11 настоящей Процедуры). |
3. СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ |
Под сбором ПДн понимается получение ПДн непосредственно от субъекта ПДн либо через специально привлеченных для этого третьих лиц.Сбор и последующая обработка ПДн Общества может осуществляться только с соблюдением следующих условий:Существует законное правовое основание для сбора ПДн. Перечень правовых оснований для обычных категорий ПДн предусмотрен в статье 6 Закона о ПДн (например, ПДн можно обрабатывать на основании согласия субъекта ПДн, для выполнения функций, полномочий и обязанностей, возложенных на Общество законом; для исполнения договора с субъектом ПДн и т. д.)Перечень правовых оснований для специальных категорий ПДн (например, информации о состоянии здоровья) предусмотрен в статье 10 Закона о ПДн (например, согласие субъекта ПДн, данное в письменной форме, и др.).Существует заранее определенная конкретная и законная цель для обработки ПДн. Будет обрабатываться только минимально необходимый набор ПДн, отвечающий цели их обработки.При сборе ПДн граждан Российской Федерации обеспечена запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн в базах данных, расположенных на территории Российской Федерации («требование о локализации ПДн»).Пройдена процедура Оценки воздействия на защиту ПДн, если применимо (см. раздел 5 настоящей Процедуры).Глобальные требования к сбору ПДн указаны Стандарте при сборе ПДн (Data Collection Standard), доступном по ссылке. |
4. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ |
Согласие субъекта должно быть дано свободно, его волей и в его интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным.В тексте согласия должно быть указано, кто является оператором ПДн, должны быть перечислены категории собираемых ПДн (например, ФИО, дата рождения, паспортные данные и т.д.), цели и способы их обработки, операции, совершаемые с ПДн, третьи лица, которым могут передаваться ПДн, а также срок обработки ПДн. Согласие также должно содержать указание на способ, по которому субъект ПДн сможет отозвать свое согласие или реализовать другие свои права в части ПДн. Таким способом может быть, например, указание на возможность обратиться к представителю Общества или написать по адресу электронной почты rudataprivacy@organon.com. В ряде случаев, указанных в законе, (например, согласие на передачу ПДн Работников Общества; при передаче ПДн в США и другие страны, не обеспечивающие адекватную защиту прав субъектов ПД (подробнее о трансграничной передаче см. раздел 7 настоящей Процедуры); при сборе специальных категорий ПДн и т. д.) согласие на обработку ПДн должно быть собрано в письменной форме. Письменная форма согласия субъекта ПДн это специальная форма согласия субъекта ПДн. Согласия в письменной форме должны отвечать требованиям части 4 статьи 9 Закона о ПДн, т. е. содержать в себе:ФИО и адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;ФИО и адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);наименование и адрес Общество как Оператора, получающего согласие;одну цель обработки ПДн (в соответствии с актуальной правоприменительной практикой необходимо получение одного письменного согласия на одну цель обработки ПДн);перечень ПДн, на обработку которых дается согласие;наименование или фамилию, имя, отчество и адрес третьего лица, осуществляющего обработку ПДн по поручению (обработчика) Общества как Оператора, если обработка будет поручена такому лицу;перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых способов обработки ПДн;срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;подпись субъекта ПДн (собственноручная или электронная подпись, соответствующая требованиям Федерального закона «Об электронной подписи» № 63-ФЗ).В случаях, когда законом не предусмотрен сбор согласия субъекта ПДн в письменной форме, согласие может быть получено в любой форме, которая позволит впоследствии доказать Обществу получение согласия на конкретных условиях от конкретного субъекта ПДн. При сборе согласия на обработку ПДн на сайтах или в мобильных приложениях путем проставления галочки запрещается использовать поля с уже предпроставленной галочкой.В электронных письмах и иных сообщениях, направленных на основании согласия субъекта ПДн, должна быть предусмотрена функция / опция отписаться от рассылки. |
5. ПРОЦЕДУРА ОЦЕНКИ ВОЗДЕЙСТВИЯ НА ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ |
Владелец бизнес-процесса должен пройти процедуру Оценки воздействия на защиту ПДн (Privacy Impact Assessment (PIA) на этапе планирования нового бизнес-процесса с ПДн или внесения в него изменений, привлечении нового поставщика, внедрении новой системы, что затронет обработку ПДн. Оценка воздействия на защиту ПДн помогает учесть риски в области защиты ПДн и внедрить необходимые технические и организационные меры при разработке бизнес-процесса, что обеспечивает т. н. «проектируемую защиту ПДн» (privacy by design) и помогает предотвращать Инциденты с ПДн (об этом подробнее см. раздел 11 настоящей Процедуры).Проведение Оценки воздействия на защиту ПДн регулируется Инструкцией по оценке воздействия на защиту ПДн (Privacy Impact Assessment Specification), доступной по ссылке.Оценка воздействия на защиту ПДн производится при помощи Privacy Advisor Tool (PAT), глобального решения, сделанного в форме опросника. Privacy Advisor Tool (PAT) доступен по ссылке.Инициировать заполнение Privacy Advisor Tool (PAT) должен владелец бизнес-процесса, который является штатным Работником Общества и отвечает за соответствие бизнес-процесса всем применимым требованиям. Подробнее прочитать о роли владельца бизнес-процесса и о том, как определить, кто является владельцем бизнес-процесса в проведении Privacy Impact Assessment (PIA) можно по ссылке. Сайт, посвященный Privacy Impact Assessment (PIA), доступен по ссылке. В частности, сайт содержит критерии и описание процесса для проведения Оценки воздействия на защиту ПДн и обучающие видео. |
6. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ |
Передача ПДн третьим лицам возможна только на основании согласия субъектов ПДн (см. раздел 4 настоящей Процедуры).В соответствии с требованиями Трудового кодекса РФ, передача ПДн Работников Общества третьим лицам возможна только на основании их согласия, полученного в письменной форме (см. пункт 4.3 настоящей Процедуры), за исключением случаев, предусмотренных законодательством РФ. Передача ПДн третьей стороне, равно как и получение ПДн от третьей стороны, возможны только при прохождении ей всех необходимых проверок соответствия требованиям по обработке ПДн (assessments) до заключения договора (см. раздел 9 настоящей Процедуры). Если по договору с третьей стороной будет происходить только Минимальный обмен ПДн, то проведение проверок в части обработки ПДн не требуется. Передача ПДн третьей стороне, равно как и получение ПДн от третьей стороны, возможны только на при заключении Дополнительного соглашения о конфиденциальности и безопасности персональных данных к основному договору с третьей стороной (см. раздел 10 настоящей Процедуры). Если по договору с третьей стороной будет происходить только Минимальный обмен ПДн, то заключение Дополнительного соглашения о конфиденциальности и безопасности персональных данных не требуется. Для третьих лиц сумма платежей по договору, с которыми составляет более 40 тыс. долларов США в год, или договор с которыми более одного года, а стоимость проекта при этом более такого одобренного порога, проверки соответствия требованиям об обработке ПДн и заключение Дополнительного соглашения о конфиденциальности и безопасности персональных данных инициируются отделом Закупок. |
7. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ |
Трансграничная передача ПДн третьей стороне осуществляется в общем порядке на территорию:стран, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных;стран, находящихся в «Перечне иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц и обеспечивающих адекватную защиту прав субъектов персональных данных», утвержденном Приказом Роскомнадзора от 15.03.2013 № 274.Трансграничная передача ПДн в иные страны, включая, США, Индию, Китай, Беларусь и т. д., возможна только при наличии правовых оснований, указанных в части 4 статьи 12 Закона о ПДн (например, при наличии согласия субъекта ПДн в письменной форме (см. пункт 4.3 настоящей Процедуры) или, если передача осуществляется для исполнения договора, стороной которого является субъект ПДн, и др.). |
8. КАТЕГОРИЗАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ |
Общество обязано сохранять конфиденциальность ПДн, которые оно обрабатывает. Работники обязаны задавать правильную категорию секретности для каждого документа или письма, в котором содержатся ПДн, так как это определяет, какие именно элементы защиты будут использованы при хранении и передаче такой информации.Существуют четыре категории секретности ПДн:Публичная информация (Public);Для служебного пользования (Proprietary);Конфиденциально (Confidential);Очень важно (Sensitive).Категория Публичная информация (Public) присваивается ПДн, сделанным общедоступными субъектом ПДн для широкого круга лиц. При определении категорий Для служебного пользования (Proprietary), Конфиденциально (Confidential) и Очень важно (Sensitive) необходимо руководствоваться примерами из Классификации Персональных данных (Personal Data Element Classification), доступной по ссылке, а также Руководством по стандартам информационной безопасности, доступном по ссылке. |
9. ПРОВЕРКИ ТРЕТЬИХ ЛИЦ |
Проведение проверок соответствия третьих лиц различным требованиям предусмотрено Процедурой глобального управления поставщиками 5.0 – Соответствие поставщиков требованиям и оценка рисков (Global Supplier Management (GSM) Procedure 5.0 – Supplier Compliance and Risk Assessments).В части обработки ПДн проводится Оценка соблюдения требований по обработке ПДн поставщиком (Supplier Privacy Assessment (SPA)), которая проводится для поставщика заново каждые три года. Помимо этого, в случае электронного обмена любой информацией, включая ПДн, с третьей стороной, а также при подключении третьей стороны к IT инфраструктуре Общества также необходимо проводить Оценку рисков информационной безопасности (Information Risk Assessment). В отношении поставщиков сумма платежей по договору, с которыми составляет более 40 тыс. долларов США в год, или договор с которыми заключен на более, чем один год, а стоимость проекта при этом более такого одобренного порога, указанные проверки инициируются отделом Закупок.В отношении прочих поставщиков владелец бизнес-процесса на этапе выбора поставщика или иного третьего лица, с которым планируется заключать договор, должен, руководствуясь указанной Процедурой глобального управления поставщиками 5.0 и настоящей Процедурой, определить, необходимо ли проведение указанных проверок и инициировать их при необходимости. Понять, необходимо ли проведение Оценки соблюдения требований по обработке ПДн поставщиком (Supplier Privacy Assessment (SPA)) можно на Supplier Privacy Assessment Lifecycle App, в разделе “Do I need a SPA?”. Оценка соблюдения требований по обработке ПДн поставщиком (Supplier Privacy Assessment (SPA)) проводится в отношении каждого третьего лица, которое в рамках работы по договору с Обществом будет собирать или иметь доступ к ПДн, а также, если третье лицо будет передавать Обществу ПДн как результат работы по договору в объеме, превышающем Минимальный обмен ПДн. Для Оценки соблюдения требований по обработке ПДн поставщиком (Supplier Privacy Assessment (SPA)) необходимы следующие шаги:Проверить, не проводилась ли Оценка соблюдения требований по обработке ПДн поставщиком (Supplier Privacy Assessment (SPA)) в отношении рассматриваемого третьего лица ранее на Supplier Privacy Assessment Lifecycle App, в разделе “SPA database lookup”. Дополнительно можно проверить базы данных поставщиков на SPA портале;Скачать последнюю версию Supplier Privacy Assessment (SPA) формы по ссылке (необходимо выбрать версию на английском языке);Передать Supplier Privacy Assessment (SPA) форму поставщику для заполнения. Форма должна быть заполнена на английском языке. Обратите внимание, что в рамках этой проверки оцениваются общие меры по защите ПДн, внедренные в компании поставщика;Когда поставщик вернет заполненную форму, необходимо убедиться, что ответы были предоставлены на все вопросы; если где-то был выбран ответ “Partially implemented”, то внесены даты планируемых изменений;На портале Supplier Privacy Assessment Lifecycle App, в разделе “Upload completed SPA”, необходимо внести информацию и прикрепить заполненную форму. В поле “Upload code” необходимо ввести числовое значение, которое появляется на последней странице заполненной Supplier Privacy Assessment (SPA) формы;Впоследствии на почту придет письмо с указанием уровня риска (низкий, средний или высокий) и дальнейшими инструкциями. |
10. ДОПОЛНИТЕЛЬНОЕ СОГЛАШЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ |
Владелец бизнес-процесса должен инициировать заключение Дополнительного соглашения о конфиденциальности и безопасности персональных данных (ДС о конфиденциальности ПДн) с каждой третьей стороной, которой передаются и / или от которой получаются ПДн, за исключением случаев Минимального обмена ПДн. Для третьих лиц, сумма платежей по договору с которыми составляет более 40 тыс. долларов США в год, или договор с которыми более одного года, а стоимость проекта при этом более такого одобренного порога, заключение ДС о конфиденциальности ПДн инициируется отделом Закупок.ДС о конфиденциальности ПДн должно быть подписано до того, как ПДн были переданы и / или получены при исполнении основного договора.Существуют две версии ДС о конфиденциальности ПДн: Дополнительное соглашение о конфиденциальности и безопасности персональных данных Оператор – Обработчик, также его называют поручение на обработку ПДн, так как Общество является оператором ПДн и определяет состав ПДн и цели их обработки, а третье лицо является обработчиком ПДн и будет обрабатывать ПДн по поручению и в соответствии с указаниями (инструкциями) Общества;Дополнительное соглашение о конфиденциальности и безопасности персональных данных Оператор – Оператор, где Общество и третье лицо обладают одинаковым статусом самостоятельных операторов ПДн.То, какое ДС о конфиденциальности ПДн необходимо выбрать, зависит от типа договорных отношений с третьей стороной, ее правовой позиции по этому вопросу, а также того, как именно будут обрабатываться ПДн собранные и / или полученные по основному договору. Обычно для договоров, где Общество привлекает третье лицо для оказания каких-либо услуг, необходимо заключение ДС о конфиденциальности ПДн Оператор – Обработчик. При возникновении вопросов необходимо привлекать Специалиста по защите ПДн для выбора правильной версии ДС о конфиденциальности ПДн.Если Общество будет единолично определять цели и способы обработки ПДн, которая необходима для исполнения основного договора, а третье лицо будет обрабатывать ПДн только для исполнения основного договора в соответствии с инструкциями Общества, то необходимо выбрать ДС о конфиденциальности ПДн Оператор – Обработчик. Например, подписание ДС о конфиденциальности ПДн Оператор – Обработчик необходимо в ситуациях, когда третье лицо будет проводить обучение для Работников Общества; осуществлять рассылку по базе контактов, предоставленной Обществу; искать кандидатов на вакансии Общества; оплачивать счета или вести иную документацию Общества; хранить ПДн, собранные Обществом, и т. д. Если третье лицо самостоятельно принимает решения по целям и способам обработки ПДн, то необходимо заключение ДС о конфиденциальности Оператор – Оператор. Например, подписание ДС о конфиденциальности ПДн Оператор – Оператор необходимо в ситуациях, когда третье лицо планирует самостоятельно использовать ПДн, полученные от Общества, для собственных целей; Общество получает лицензию на использование базы данных, принадлежащую третьему лицу. |
11. УПРАВЛЕНИЕ ИНЦИДЕНТАМИ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ |
Инцидент с ПДн (Privacy Incident) – это любое нарушение применимых требований, политик и процедур по работе с ПДн, включая Нарушение безопасности ПДн (Data Breach). Нарушение безопасности ПДн – это нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению ПДн или несанкционированные разглашению или доступу к ПДн. Работники обязаны незамедлительно докладывать о любом ставшем им известном Инциденте с ПДн. Процедура сообщения об Инцидентах с ПДн регулируется Стандартной операционной процедурой Сообщение об Инцидентах с ПДн (Privacy Incident Reporting), доступной по ссылке.Для сообщения об Инциденте с ПДн Работник должен:Уведомить соответствующего Специалиста по защите ПДн (HH и MA&OR).Заполнить форму, расположенную ссылке. Следовать инструкциям Глобального офиса по защите ПДн (Global Privacy Office, GPO), если применимо. Глобальный офис по защите ПДн (Global Privacy Office, GPO), основываясь на полученной информации об Инциденте с ПДн, а также руководствуясь Стандартной операционной процедурой Уведомление о Нарушении безопасности ПДн (Data Breach Notification), доступной по ссылке, совместно с другими подразделениями компании анализирует, является ли данный Инцидент с ПДн Нарушением безопасности ПДн для принятия решения о том, есть ли необходимость уведомлять органы государственной власти и / или субъектов ПДн о произошедшем. Раздел сайта Глобального офиса по защите ПДн, посвященный Инцидентам с ПДн, доступен по ссылке. |
12. ОГРАНИЧЕНИЯ ПРИ ИСПОЛЬЗОВАНИИ SHAREPOINT |
IT поддержку и безопасность, и Специалистом по защите ПДн. |
13. ИСПОЛЬЗОВАНИЕ COOKIE-ФАЙЛОВ |
Использование cookie-файлов и других отслеживающих технологий на сайтах и в приложениях регулируется глобальной Инструкцией по отслеживающим технологиям в Интернете (Internet Tracking Technologies Specification), доступной по ссылке.Каждый сайт или мобильное приложение Общества, где используются cookie-файлы или иные отслеживающие технологии, должен содержать cookie-баннер – всплывающее окно, содержащее уведомление об использовании cookie-файлов и их описание для данного сайта, ссылки на соответствующие глобальные и локальные политики, а также опции выбора определенных cookie-файлов. Cookie-баннер предоставляется сторонним поставщиком One Trust.Владельцам сайтов и приложений Общества запрещено использование таргетированных (targeting), или рекламных (advertising) cookie-файлов, а также cookie-файлов социальных сетей (social media). Каждый сайт Общества проходит периодическую проверку со стороны Глобального офиса по защите ПДн (Global Privacy Office (GPO)) на соблюдение данного требования. |
[2] Также данные глобальные политики доступны на портале по ссылке.
[3] Определение дано в Процедуре глобального управления поставщиками 5.0 – Соответствие поставщиков требованиям и оценка рисков (Global Supplier Management (GSM) Procedure 5.0 – Supplier Compliance and Risk Assessments), доступной по ссылке.