Страна:
Україна
Язык:

Partner Portal

AJAX GDPR FAQ

Основные понятия 

Что означает GDPR?

Общий регламент о защите данных (General Data Protection Regulation; GDPR; Регламент ЕС 2016/679) — регламент в рамках законодательства Европейского Союза (ЕС) по защите персональных данных и приватности в странах ЕС и Европейской экономической зоны (ЕЭЗ). Несмотря на то, что он разработан и принят в ЕС, регламент накладывает обязательства по защите персональных данных на организации любой страны, если они используют или собирают персональные данные, касающиеся резидентов стран-членов ЕС.

Что относится к персональным данным?

Персональные данные — это любая информация о физическом лице, которое можно идентифицировать прямо или косвенно. Собранная из различных источников информация, которая может помочь идентифицировать определенное лицо, — это также персональные данные.

Персональные данные, которые были обезличены, зашифрованы или псевдонимизированы, но которые можно использовать для повторной идентификации личности, также подпадают под действие закона. 

Приведем несколько примеров персональных данных: 

  • имя и фамилия;
  • адрес;
  • адрес электронной почты;
  • номер удостоверения личности;
  • данные о месте проживания/пребывания;
  • IP-адрес;
  • идентификаторы файлов cookie;
  • рекламный идентификатор телефона.

Что подразумевается под обработкой данных?

Определение «Обработка данных» охватывает широкий спектр действий с персональными данными, включая ручные или автоматические. К ним относятся: сбор, запись, упорядочение, структурирование, хранение, адаптация, а также изменение, изъятие, ознакомление, использование, раскрытие путем передачи, распространение или предоставление доступа другим способом, объединение или комбинирование, ограничение, удаление и уничтожение персональных данных. Если вы выполняете какие-либо действия с информацией упомянутым выше способом, это означает, что вы обрабатываете данные.

Какая разница между оператором данных и контроллером данных?

Контролёр данных — организация, учреждение или физическое лицо, определяющее нормы и порядок обработки персональных данных. На практике это означает, что контроллер данных определяет, как и для каких целей организация будет их использовать. Чаще всего контролером данных является физическое лицо или организация, собирающая данные и определяющая, каким образом они будут использованы.

В отличие от оператора данных. В соответствии с GDPR, оператор данных — это организация, учреждение или физическое лицо, внедряющее установленные контролером данных нормы обработки данных. Обычно оператором данных является сторона, обрабатывающая данные по указанию и по усмотрению контроллера данных. Оператор данных не является владельцем данных, которые он обрабатывает, и не контролирует их. То есть оператор данных не имеет права изменять содержание данных, определять, как их использовать, и должен действовать только согласно инструкции.

Предлагаем несколько контрольных вопросов, которые помогут понять разницу между функциями контроллера и оператора данных:

Контроллер данных принимает следующие решения:

  • какая организация в первую очередь собирает данные и имеет для этого законные основания;
  • с какой целью будут использованы персональные данные;
  • нужно ли разглашать данные и если да, то кому именно;
  • применяются ли права доступа субъектов и других лиц, а также есть ли исключения;
  • как долго хранить данные или нужно ли изменять их способом, не предусмотренным правилами.

Оператор данных принимает следующие решения:

  • какие методы используются ддя сбора и хранения персональных данных;
  • как защищены данные;
  • какие средства используются для передачи персональных данных одной организацией другой;
  • как происходит сбор персональных данных;
  • какой метод применяется для обеспечения соблюдения графика хранения;
  • как происходит удаление персональных данных.

Какие условия обработки персональных данных по GDPR?

Статья 6 GDPR содержит перечень условий (также известных как основания), при которых обрабатывать персональные данные законно:

  1. Согласие. Согласие означает, что субъект данных согласился на обработку своих персональных данных для одной или нескольких конкретных целей. Понятие цели имеет здесь ключевое значение. Если субъект данных (физическое лицо) дает согласие на обработку, не зная конкретную цель/цели в полном объеме и не получив информацию в понятной форме, то такое согласие не является правовым основанием для обработки, поскольку оно должно быть предоставлено добровольно, быть конкретным, осознанным и однозначным. Кроме того, согласие не может предоставляться в комплекте. Итак, общее правило заключается в том, что для каждого действия по обработке данных в рамках одной более широкой операции требуется отдельное согласие.
  2. Обработка нужна для выполнения или подготовки к заключению договора, стороной которого является субъект данных. Организация может полагаться на это законное основание, при необходимости обработать чьи-либо персональные данные для выполнения договорных обязательств или по обращению к организации о предоставлении определенных услуг перед заключением договора (например, предоставить ценовое предложение).
  3. Обработка данных нужна для соблюдения правового обязательства . Обработка разрешается, если контроллер имеет установленную законом обязанность, которая предусматривает обработку определенных персональных данных. Такое соблюдение правового обязательства, требующего обработки данных и которому подлежит контролер, также не является новым.
  4. Обработка данных нужна ради сохранения жизни. Это основание также называется «жизненно важный интерес». В этом случае физическое лицо не обязательно должно быть субъектом данных; это также может быть другое физическое лицо. Конечно, не контролер должен определять, что составляет жизненно важный интерес. Это основание в большей степени касается опасных для жизни обстоятельств, когда нет других законных оснований для обработки, но когда отказ от обработки персональных данных по сути приведет к гибели человека, если оператор не примет меры, а поэтому ему нужно знать некоторую информацию о физическом лице, находящемся в опасности.
  5. Обработка данных нужна для выполнения задачи в общественных интересах или осуществления определенных официальных полномочий. Организация может опираться на это законное основание, если необходимо обрабатывать персональные данные «в ходе исполнения служебных полномочий». Это касается государственных функций и полномочий, определяемых законодательством, или выполнения конкретной задачи, определяемой законодательством, в интересах общества.
  6. Контролер имеет законный интерес относительно обработки персональных данных человека. Обработка персональных данных в этом контексте не обязательно должна быть оправдана правовым обязательством или осуществляться в соответствии с условиями договора с физическим лицом. В таких случаях обработка персональных данных может быть оправданной на основании законного интереса. Так, например, оператор имеет законный интерес, обрабатывая данные в рамках отношений с клиентом с целью прямого маркетинга, чтобы предотвратить мошенничество или обеспечить сетевую и информационную безопасность IТ-систем. 

Как работает согласие по GDPR? 

Есть строгие правила относительно согласия субъекта данных на обработку информации:

  • Согласие должно быть предоставлено добровольно, быть конкретным, осознанным и однозначным.
  • Запросы на получение согласия должны быть четко отделены от других вопросов, а также сформулированы четко и просто.
  • Субъекты данных имеют право отозвать ранее предоставленное согласие в любое время, и это решение нужно уважать. Невозможно просто изменить правовое основание обработки данных каким-либо другим обоснованием.
  • Нужно сохранять документальное подтверждение согласия.

Какие личные права предусмотрены GDPR?

GDPR предоставляет физическим лицам такие права:

  1. Право быть проинформированным (физические лица имеют право быть проинформированными о том, каким образом компании собирают и используют их персональные данные, в течение какого времени они планируют их хранить, и с кем они собираются делиться этими данными).
  2. Право на доступ (физические лица имеют право знать, какую именно информацию собрали компании, как они хранят и обрабатывают эти данные, и что они собираются с ними делать).
  3. Право на исправление (физические лица имеют право вносить дополнения к неполным данным и исправлять неправильные данные).
  4. Право на удаление (физические лица имеют право окончательно удалить персональные данные. Также это известно как «право на забвение»).
  5. Право на ограничение обработки (если физические лица не могут требовать от контроллеров данных удаления своих персональных данных, они могут ограничить способность контроллеров обрабатывать их).
  6. Право на перенос данных (физические лица имеют право получать и повторно использовать свои персональные данные в собственных целях).
  7. Право на возражение (физические лица имеют право при определенных обстоятельствах возражать против обработки своих персональных данных).
  8. Права по автоматизированному принятию решений и профилированию (физические лица имеют право при принятии важных решений требовать вмешательства человека, вместо использования алгоритмов).

Что такое семь принципов GDPR?

Согласно регламенту GDPR, существует семь основных принципов защиты данных и подотчетности:

  1. Законность, справедливость и прозрачность — обработка данных должна быть законной, справедливой и прозрачной в отношении субъекта данных.
  2. Ограничения относительно целей — обрабатывать данные нужно исключительно в законных целях, которые четко указали субъекту во время сбора данных.
  3. Минимизация данных — стоит собирать и обрабатывать только такое количество данных, которое является абсолютно необходимым для определенных целей.
  4. Точность — персональные данные должны быть точными и актуальными.
  5. Ограничения по хранению — хранить персональные данные только в течение времени, необходимого для достижения указанных целей.
  6. Целостность и конфиденциальность — обрабатывать данные нужно путем обеспечения надлежащей безопасности, целостности и конфиденциальности (например, с помощью шифрования).
  7. Подотчетность — контроллер данных несет ответственность за соблюдение всех этих принципов GDPR.


Требует ли GDPR, чтобы персональные данные резидентов стран ЕС оставались на территории ЕС?

GDPR не содержит прямого ограничения на использование персональных данных резидентов стран-членов ЕС исключительно на территории ЕС. Однако защита персональных данных в ЕС работает по принципу «GDPR хранит данные», то есть правила защиты персональных данных продолжают применяться независимо от того, куда эти данные попадают. Также этот принцип действует, если персональные данные передаются в страну, которая не является членом ЕС.

Обработка данных в Ajax

Обрабатывает ли Ajax мои персональные данные? 

Да, Ajax может обрабатывать ваши персональные данные. Ниже приведены основные направления использования вашей информации:

  1. через наши охранные устройства (например, Hub или другие);
  2. через наши мобильные приложения (в частности, Ajax Security System и Ajax PRO: Tool for Engineers) и приложения для ПК (мы называем их нашими Продуктами или Услугами);
  3. если вы посетите веб-сайт https://ajax.systems/;
  4. в рамках делового сотрудничества между вами и Ajax (независимо от того, являетесь ли вы прямым или косвенным партнером, или субподрядчиком Ajax);
  5. во время персонализированной коммуникации между вами и Ajax (например, собеседования, встречи и т. д.);
  6. при предоставлении услуг в рамках дополнительного функционала Ajax Services (в частности, Ajax SIM, Ajax Cloud Storage и т. д.).

Какие именно типы данных может обрабатывать Ajax?

Ajax обрабатывает разные типы данных в зависимости от сценария сотрудничества с вами.

Через наши охранные устройства мы можем обработать такие данные:

  • Информация о вашем Hub (например, его модель и серийный номер, сетевая информация, включая IP-адрес, журналы активности, предыдущую и текущую конфигурации устройства, а также место его расположения).
  • Телеметрические данные и данные об окружающей среде.

С целью предоставления пользователям информации о системе в виде статусов и событий, мы обрабатываем Телеметрические данные.

Под понятием «Телеметрические данные» (далее также — «Телеметрия») подразумеваются данные и показатели, которые автоматически собираются, передаются и измеряются датчиками, встроенными в наши устройства с целью определения состояния окружающей среды, исправности, а также выявления возможных аномалий в работе устройств.

Во время использования вами наших Продуктов или Услуг мы можем обработать такие данные:

  • Ваша личная информация (имя, фамилия, адрес электронной почты, номер телефона и фото учетной записи).
  • Информация, которую вы предоставляете нам из телефонной книги вашего устройства, приглашая пользователей к Продукту (например, электронная почта или номер телефона лица, которое вы приглашаете к Продукту).
  • Уникальные идентификаторы для наших Услуг (например, ваши логин и пароль).
  • Уникальные идентификаторы пользователей, которых вы подключили к Продукту, а именно: имя пользователя, роль пользователя в Продукте и его адрес электронной почты; информация о ваших мобильных устройствах и ПК, а именно: тип устройства, операционная система и системный язык.
  • Данные о местоположении, чтобы отправлять вам напоминания о постановке/снятии системы с охраны, при активированной функции геозоны в нашем приложении.
  • Для пользователей Android и iOS — SMS с кодом авторизации, необходимым при регистрации или изменении учетной записи.
  • Информация об использовании вами наших Продуктов и Услуг (например, запросы из приложения на наш сервер).

Когда вы посещаете наш веб-сайт, мы можем обработать такие данные:

  • Информация, предоставляемая при заполнении форм, которая может содержать ваши персональные данные и контактную информацию.
  • Идентификаторы файлов cookie (через инструмент, соответствующий требованиям GDPR).
  • IP-адрес, чтобы определить страну вашего местоположения.

При деловом сотрудничестве:

  • личные и контактные данные представителей бизнеса (имя, должность, адрес электронной почты и номер телефона);
  • запросы партнеров и их уполномоченных представителей (например, отправленные на электронную почту поддержки, через приложения, мессенджеры и т. д.);
  • визитки партнеров.

Во время персонализированной коммуникации, проведения собеседований, встреч:

Если вы решите обратиться к нам и подать заявку на трудоустройство в Ajax, кроме данных, собранных способом, описанным выше, мы также можем собирать и обрабатывать дополнительные персональные данные, которыми вы делитесь в ходе общения и/или в предоставленных документах (резюме/CV, сопроводительное письмо и т. д.), в том числе (но не исключительно):

  • личную информацию (имя, фамилия, номер телефона, адрес электронной почты, фотографию);
  • уникальные идентификаторы (например, имя пользователя, логин);
  • данные о предыдущем опыте работы;
  • информацию об образовании и обучении;
  • сертификаты, дипломы, справки;
  • хобби, увлечения, другие личные предпочтения.

Для такой обработки перечень (объем) персональных данных и другой информации может быть дополнительно изменен, детализирован, расширен в течение всего процесса. В то же время сбор и обработка необходимых персональных данных ограничены целями такой обработки и осуществляются в соответствии с требованиями законодательства.

Кроме того, при обработке данных в рамках деловой или персонализированной коммуникации, обработки запросов и визиток партнеров, проведения встреч, собеседований и т. д., а также для оптимизации внутренних операций и процессов, Ajax может использовать технологии на базе искусственного интеллекта (далее также — «ИИ»). 

Данные, обрабатываемые искусственным интеллектом, в отдельных случаях могут включать персональные данные, идентифицирующие личность, в том объеме и количестве, которые:

а) являются общедоступными; 

б) были добровольно предоставлены вами. 

В то же время доступ к данным, которые были добровольно предоставлены вами Ajax, строго ограничен сотрудниками Ajax. ИИ не имеет возможности идентифицировать ваши данные, а лишь осуществляет обработку таких запросов, в том числе от пользователей/клиентов Ajax и т. д. Решения по управлению данными, которые мы получаем из запросов пользователей/клиентов Ajax и визиток партнеров, принимаются исключительно сотрудниками Ajax.

Для указанной обработки на базе искусственного интеллекта мы привлекаем поставщиков услуг, которые имеют необходимый уровень защиты персональных данных. 

Отметим, что обработка таких данных со стороны Ajax ограничена и осуществляется исключительно с целью повышения эффективности внутренних операций, и в рамках смежных целей.

Какова цель и правовые основания для обработки данных?

  • Все данные, которые мы получаем через наши охранные устройства или при использовании вами наших Продуктов или Услуг , обрабатываются только с целью предоставления вам необходимых охранных услуг. Это означает, что мы обрабатываем все эти данные для выполнения условий заключенного с вами договора. Это также означает, что мы не собираем никаких данных, которые не являются необходимыми непосредственно для предоставления вам таких услуг.
  • Если вы решите подписаться на нашу рассылку, мы будем присылать вам электронные письма с некоторой информацией о нас и наших обновлениях. Мы полагаемся на ваше согласие, которое вы предоставляете, подтверждая подписку. Кроме того, мы персонализируем эти электронные сообщения на основе имеющейся у нас информации о вас, чтобы сделать их более актуальными и полезными.
  • Если вы предоставили общий доступ к журналам операций вашего приложения, то при возникновении проблем мы обработаем их, чтобы решить вашу техническую проблему, и улучшить наши Продукты и Услуги. Мы обрабатываем их, исходя из нашего законного интереса, для большей конкурентоспособности наших рыночных предложений.
  • Мы используем данные, которые вы предоставляете нам из телефонной книги вашего устройства, приглашая пользователей к Продукту (например, адрес электронной почты или номер телефона лица, которое вы приглашаете к Продукту), чтобы отправить приглашение исключительно этим лицам.
  • Все данные, которые вы добровольно предоставляете нам при отправке запросов по электронной почте, через приложения, мессенджеры, передавая визитки, резюме/CV, а также данные, которые являются общедоступными, мы обрабатываем с целью обеспечения эффективности внутренних процессов, установления делового сотрудничества и/или осуществления персонализированной коммуникации.

Где хранится информация?

Персональные данные пользователей, которые собирает Ajax, хранятся в облачном хранилище, расположенном в Ирландии, Германии и Франции (в пределах ЕЭЗ); выбор места хранения данных (в Ирландии, Германии и Франции) зависит от доступности инфраструктуры AWS.

Другие персональные данные, которые собирает Ajax, могут также храниться на серверах и/или облачных хранилищах, расположенных в разных юрисдикциях. Это включает хранение таких данных у аффилированных лиц группы компаний Ajax, а также у третьих лиц — подрядчиков, провайдеров или вендоров услуг Ajax, чьи серверы расположены в других странах с адекватным уровнем защиты персональных данных и их безопасности.

Несмотря на то, что законодательство о защите персональных данных может отличаться в разных странах, Ajax использует описанные в этом и других внутренних документах средства защиты независимо от того, где такие данные хранятся.

В течение какого времени хранится информация?

Все данные хранятся в течение всего периода отношений с клиентом, за исключением:

  • списка событий в мобильных и компьютерных приложениях Ajax (для конечных пользователей и PRO), который ограничен 500 записями, а срок их хранения — не более 2 лет;
  • журнала событий Company Account в компьютерном приложении Ajax PRO Desktop, хранящегося в течение 2 лет. Медиафайлы в журнале событий Company Account хранятся от 7 дней до 2 лет, в зависимости от настроек профиля клиента.

Некоторые типы данных (например, имя, должность и контактная информация представителей, указанные в контрактах) могут храниться дольше, чем период сотрудничества, чтобы выполнить наши юридические обязательства.

Тип данных

Цель обработки 

Правовые основания

Срок хранения

Информация о централи Ajax Hub (модель и серийный номер, сетевая информация, включая журнал событий, текущая и предыдущая конфигурации устройства, его местонахождение)

Для корректной работы централи Ajax Hub, устройств и приложений Ajax 

Договор (контракт); в случае сервисной поддержки — законный интерес

В течение всего периода сотрудничества с клиентом или до момента удаления пользователем или по его запросу. 

Резервные копии хранятся до 12 месяцев.

Уникальные идентификаторы (имя пользователя, логин и пароль)

Для авторизации пользователя 

Договор (контракт)

В течение всего периода сотрудничества с клиентом или до момента удаления пользователем или по его запросу. 

Резервные копии хранятся до 12 месяцев.

Данные на основе местонахождения

Для корректной работы централи Ajax Hub, устройств и приложений Ajax 

Договор (контракт) и/или законный интерес

В течение всего периода сотрудничества с клиентом или до момента удаления пользователем или по его запросу. 

Резервные копии хранятся до 12 месяцев.

Информация об использовании наших Продуктов и Услуг (например, запросы от приложений к серверу)

Для корректной работы централи Ajax Hub, устройств и приложений Ajax 

Договор (контракт)

В течение всего периода сотрудничества с клиентом или до момента удаления пользователем или по его запросу. 

Резервные копии хранятся до 12 месяцев.

Информация, предоставленная при заполнении форм, которая может включать персональные и контактные данные

Для коммуникации, доставки продуктов, маркетинговых акций

Согласие

В течение всего периода сотрудничества с клиентом или до момента удаления пользователем или по его запросу. 

Резервные копии хранятся до 12 месяцев.

IP-адрес

Для корректной работы централи Ajax Hub, устройств и приложений Ajax 

Согласие или договор (контракт)

В течение всего периода сотрудничества с клиентом или до момента удаления пользователем или по его запросу. 

Резервные копии хранятся до 12 месяцев.

Имя, фамилия и контактная информация

Для корректной работы централи Ajax Hub, устройств и приложений Ajax 

Согласие

В течение всего периода сотрудничества с клиентом или до момента удаления пользователем или по его запросу. 

Резервные копии хранятся до 12 месяцев.

Изображения, сделанные с помощью устройств Ajax

Для корректной работы централи Ajax Hub, устройств и приложений Ajax 

Договор (контракт)

  • Мобильные приложения Ajax: срок хранения медиафайлов для аккаунтов как конечных пользователей, так и PRO составляет 2 года. Фотографии могут быть удалены ранее вместе со связанными с ними событиями, если достигнуто ограничение в 500 событий.
  • Компьютерные приложения Ajax: срок зависит от настроек (от 7 дней до 2 лет).
  • Ajax Translator: не сохраняет изображения, но ссылки активны в течение 7 дней с момента генерации.

Телеметрические данные и информация об окружающей среде 

Для корректной работы централи Ajax Hub, устройств и приложений Ajax, а также в целях аналитики 

Согласие или договор (контракт)

В течение всего периода сотрудничества с клиентом или до момента удаления пользователем или по его запросу. 

Резервные копии хранятся до 12 месяцев.

Информация, предоставляемая во время коммуникации с партнерами (например, визитки с контактной информацией, должность и т. д.)

Общение с целью делового сотрудничества, проведение встреч

Согласие и/или договор (контракт)

В течение всего периода сотрудничества с партнером или до момента удаления лицом, или по его запросу.

Данные о кандидате на вакантную должность и/или сотруднике

Общение с целью персонализированной коммуникации и сотрудничества, проведение собеседований

Согласие и/или договор (контракт)

В течение всего периода сотрудничества с кандидатом/сотрудником и/или до момента удаления по его запросу.

Кто имеет доступ к системе и информации в Ajax?

Ajax придерживается принципов минимизации доступности и наименьших привилегий в доступе к данным. Таким образом, доступ к данным могут иметь только сотрудники Ajax, ответственные за поддержку процесса оказания услуг и обеспечения проектов. Когда сотрудники Ajax получают доступ к данным, их оборудование защищено шифрованием и другими инструментами, отвечающими самым высоким техническим рыночным требованиям. Все работники подписали соглашение о неразглашении и ежегодно участвуют в оценке защищенности данных. Все действия персонала регистрируются, а журналы автоматически проверяются в режиме реального времени. Если возникает подозрение в злоупотреблении доступом, мы ограничиваем его и немедленно начинаем собственное расследование. Однако обращаем внимание, что Ajax никогда не получает доступ к данным при отсутствии для этого законных оснований. В некоторых случаях пользователь может поручить Ajax (на свой риск) предоставить доступ к данным пользователя сторонним провайдерам, назначенным пользователем (охранным компаниям, инженерам монтажа), через мобильные приложения или ПК. В таких случаях выбранные пользователем компании также получат доступ к данным, которые пользователь хочет передать.

Какие меры принимает Ajax, чтобы соответствовать мировому законодательству о защите данных? Как Ajax демонстрирует соответствие GDPR?

Чтобы соответствовать требованиям международного законодательства о защите персональных данных, Ajax применяет значительное количество мер, механизмов и процедур. Например, Ajax применяет принципы ограничения обработки данных (конфиденциальность по назначению и по умолчанию), минимизации данных, контроля за доступом, политики обработки данных (политики хранения, использования, удаления и т. д.). При передаче данных Ajax применяет различные меры, в том числе организационно-технические и стандартные договорные положения. Больше информации об этом вы можете найти в разделе Передача данных.

Как я могу реализовать свои права на приватность?

Для реализации ваших прав на приватность (удаление, возражение или получение информации о ваших персональных данных, ограничение обработки и т. д.) вы можете связаться с нами по адресу электронной почты privacy@ajax.systems.

Передача данных

Кому Ajax может предоставлять мои данные? Какие типы данных могут быть доступны и в каких случаях?

Обычно мы можем передавать ваши персональные данные только в случаях, когда это необходимо для предоставления вам заказанных услуг. Такие данные могут быть раскрыты нашим вендорам и поставщикам услуг, которые обеспечивают определенные сервисы для функционирования наших Продуктов и Услуг. В частности, это касается хостинга данных, технической поддержки, связи и т. д. Мы убеждаемся, что такие поставщики относятся к ним так же ответственно, как и мы сами.

Мы можем передавать ваши контактные данные (например, номер мобильного телефона, псевдоним и электронную почту) поставщикам услуг физической охраны, если вы обратитесь к нам с соответствующей просьбой, выбрав такого поставщика в нашем приложении. Обратите внимание, что такие поставщики услуг сами становятся контролерами данных и несут ответственность за ваши персональные данные. Несмотря на то, что мы выбираем надежных партнеров для нашего приложения, мы рекомендуем проверять их политику конфиденциальности, прежде чем обращаться к нам с просьбой передать ваши данные выбранным компаниям.

Для определенных задач Ajax может использовать услуги сторонних обработчиков за пределами ЕЭЗ. Такими задачами могут быть хостинг данных, техническая связь для регистрации, монтажа и других организационных мероприятий посредством электронной почты или телефона.

Ajax прилагает максимум усилий, чтобы обеспечить передачу данных с соблюдением всех действующих законов о защите персональных данных. Ajax заключила соглашения DPA со всеми субоператорами (включая SCC в случае трансграничной передачи данных), а также приняла дополнительные вспомогательные меры, применяемые при передаче и обработке данных. Все субоператоры Ajax имеют собственные положения о политике конфиденциальности и другие документы, связанные с соблюдением приватности, которые регулярно пересматриваются специалистами Ajax для обеспечения соответствия требованиям законодательства.

Список одобренных Ajax субоператоров:

Услуга

Поставщик

Назначение использования

Ссылка на политику конфиденциальности и договор о защите персональных данных (DPA)

AWS

Amazon

Хостинг данных и резервное копирование

https://aws.amazon.com/privacy/ 

https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html 

Twilio

Twilio Group

Программируемые SMS

https://www.twilio.com/legal/privacy 

https://sendgrid.com/resource/general-data-protection-regulation-2/

SendGrid

Twilio Group

Программируемое

общение по электронной почте

https://www.twilio.com/legal/privacy 

https://sendgrid.com/resource/general-data-protection-regulation-2/

Mailgun

Sinch Email

Транзакционная 

услуга электронной почты

https://www.mailgun.com/legal/privacy-policy/ 

https://www.mailgun.com/legal/dpa/ 

MongoDB

MongoDB Inc.

Поставщик услуг баз данных

https://www.mongodb.com/legal/privacy-policy

https://www.mongodb.com/legal/dpa

Google BigQuery

Google LLC

Аналитика, улучшение сервиса

https://policies.google.com/privacy

BlueDot

Twiso, Inc.

Записная книжка для коммуникации с кандидатами

https://www.bluedothq.com/privacy

Creatio

CREATIO EMEA LTD

CRM-система (унифицированная система для коммуникации) 

https://www.creatio.com/privacy-policy, https://www.creatio.com/GDPR

OpenAI

OpenAI, L.L.C.

Автоматизированный ответ на запросы

https://openai.com/security-and-privacy/

Что такое стандартные договорные положения?

Стандартные договорные положения (SCC) — это стандартизированные и предварительно утвержденные типовые положения о защите данных, которые позволяют контролерам и обработчикам соблюдать свои обязательства в соответствии с законодательством ЕС о защите данных. Они могут быть включены контролерами и обработчиками в их договорные договоренности с другими сторонами, например коммерческими партнерами. Эти положения можно использовать на добровольной основе для демонстрации соответствия требованиям по защите данных, что требует обязательного договорного обязательства их соблюдения. Европейская Комиссия имеет полномочия принимать SCC (1) по взаимоотношениям между контролерами и обработчиками и (2) о передаче персональных данных в страны за пределами ЕЭЗ.

Что такое дополнительные меры?

Дополнительные меры — это специально внедренные технические и организационные процедуры, направленные на достижение эффективного уровня защиты передаваемых данных, аналогичного обработке данных в пределах ЕЭЗ.

Ajax реализовала, в частности, но не ограничиваясь, следующие организационные мероприятия:

  • регулярные обучающие тренинги и проверки уровня осведомленности сотрудников Ajax; 
  • автоматизированная система мониторинга нарушений и уязвимостей в режиме реального времени; 
  • постоянное логирование всех процессов; 
  • регулярная проверка и валидация Ajax Systems на наличие уязвимостей.

Ajax реализовала, в частности, но не ограничиваясь, следующие технические меры: 

  • Меры по предотвращению доступа посторонних лиц к системам обработки данных, имеющихся в помещениях и сооружениях (включая базы данных, серверы приложений и соответствующее аппаратное обеспечение), где обрабатываются персональные данные, включая создание зон безопасности, ограничение путей доступа, установление авторизации доступа для работников и третьих лиц, блокирование дверей (электрические доводчики дверей и т. д.).
  • Меры по предотвращению использования систем обработки данных посторонними лицами, включая процедуры определения и аутентификации пользователей, процедуры защиты идентификаторов/паролей, шифрование носителей архивных данных.
  • Меры по обеспечению доступа лиц, имеющих право пользоваться системой обработки данных, только к тем персональным данным, которые соответствуют их правам доступа, и гарантирование того, что персональные данные невозможно прочитать, скопировать, изменить или удалить без соответствующего разрешения, включая внутренние политики и процедуры, схемы контроля авторизации, дифференцированные права доступа (профили, роли, транзакции и объекты), мониторинг и регистрацию доступов, дисциплинарные меры в отношении работников, осуществляющих доступ к персональным данным без соответствующего разрешения.
  • Меры по предотвращению несанкционированного считывания, копирования, изменения или удаления персональных данных во время электронной передачи, транспортировки или хранения на носителях (ручных или электронных), а также относительно возможности проверки того, каким компаниям или другим юридическим лицам предоставляются персональные данные, включая шифрование, регистрацию, транспортную безопасность. Все персональные данные шифруются алгоритмом AES256 в состоянии покоя и подлежат передаче через HTTPS с шифрованием AES128 и TLS 1.2.
  • Мероприятия по мониторингу того, были ли и кем именно введены, изменены или изъяты (удалены) данные из систем обработки данных, включая системы регистрации и отчетности, аудиторские следы и документацию.
  • Меры по обеспечению защиты персональных данных от случайного уничтожения или потери (физической/логической), в частности процедуры резервного копирования, источника бесперебойного питания (UPS), удаленного хранения, системы антивирусной защиты/брандмауэра, плана аварийного восстановления, плана устойчивого развития бизнеса.
  • Меры, направленные на отдельную обработку персональных данных, собранных для различных целей, включая разделение баз данных, ограничение использования, разделение функций (производство/тестирование).

Что такое оценка эффективности передачи данных?

Оценка результативности передачи данных (TIA) — это анализ, который выполняет контроллер или оператор данных относительно последствий для безопасности передачи персональных данных в страны за пределами ЕС/ЕЭЗ, или страны, на которые распространяется решение об адекватности передачи данных.

GDPR White Paper