Политика конфиденциальности

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1. Определения используемых терминов
Компания ООО MARX, рег.номер 40003729697, юр. aдрес: Ritupes 30, кв. 5, Рига, LV-
1019, именуемое в дальнейшем «Компания», которая является работодателем для
любого работника, нанятого на основании Трудового договора.
Непосредственный руководитель
Представитель Компании, указанный в трудовом договоре соответствующего
Сотрудника или назначенный Компанией в качестве непосредственного
руководителя Сотрудника
Сотрудник
Физическое лицо, работающее в Компании
Руководство Правление, Управляющий директор и / или любое другое лицо в Компании,
которому были назначены функции управления и определены полномочия по
управлению.
Политика
Это политика обработки персональных данных и информационной безопасности.
Третье лицо Физическое, юридическое или иное лицо, не связанное с Компанией

2. Цель и сфера действия политики
2.1. Целью политики обработки персональных данных и информационной безопасности является
защита сотрудников, партнеров и клиентов Компании от прямых или косвенных, преднамеренных
или непреднамеренных незаконных или вредительских действий, путем обработки информации и
данных, находящихся в распоряжении соответственных лиц, а также путем использования
определенного оборудования для выполнения своих рабочих обязанностей.
2.2. Политика предоставляет субъекту данных информацию об основании, назначении, объеме,
защите и времени обработки персональных данных.
2.3. Политика регулирует обработку информации в любых системах или носителях данных,
участвующих в обработке данных / информации внутри Компании, независимо от того, связана ли
обработка данных / информации с внутренними коммерческими операциями Компании или
внешними связями Компании с какими-либо третьими лицами.
2.4. Настоящая Политика также регулирует, как сотрудники Компании используют имеющееся у
них оборудование и инструменты при выполнении своих обязанностей.
2.5. Политика может применяться в сочетании с любыми другими политиками, правилами,
процедурами и / или руководствами, периодически принимаемыми и реализуемыми Компанией.
2.6. Все вопросы, связанные с обработкой персональных данных, системой защиты информации и
вопросами защиты информации / данных, не охватываемыми настоящей Политикой, должны быть
переданы на рассмотрение Совета директоров Компании.

3. Классификация информации
3.1. Любая информация / данные, которые становятся доступными Сотрудникам при исполнении
ими своих обязанностей, если такая информация / данные связаны с Компанией и ее деятельностью,
клиентами или партнерами, рассматривавается как конфиденциальная информация, защищенная
соответствующими нормативными актами о защите конфиденциальной информации, коммерческой
/ коммерческой тайны и личных данных.
3.2. В целях обеспечения надлежащей защиты информации и данных Компания осуществляет
внутреннюю классификацию информации. Информация / данные защищены независимо от того,
находится ли такая информация у Сотрудника в печатном виде, на любом устройстве хранения
данных, в аудио / видео материалах или любым другим способом.
3.3. Компания использует следующую общую классификацию информации:
Категория Описание Сфера применения (включая, но не ограничиваясь)
Публичная информация
Информация, которая может обрабатываться и распространяться внутри или за пределами Компании без какого-либо негативного влияния на Компанию, ее партнеров, клиентов и / или связанные стороны.
(а) ) Публичная финансовая отчетность, предоставляемая государственным учреждениям.
(б) Информация, доступная в общедоступных ресурсах или иным образом общедоступная, если только она не стала общедоступной, из за того что Сотрудник действовал с нарушениями требований безопасности информации / данных.
Внутренняя информация
Любая информация, любое использование которой происходит с нарушением соответствующих нормативных актов или любых других нормативных требований Компании может нанести ущерб интересам Компании и / или
любого из ее Сотрудников, партнеров, клиентов.
(а) Любые документы, разработанные и / или подготовленные Сотрудником Компании, структурным подразделением;
(б) Любые каталоги (контакты, информация и т. д, Созданные и / или используемые Компанией в деловых целях;
(в) Любые внутренние служебные отчеты, уведомления, заявления, выводы, разработанные для коммерческих целей Компании.
Конфиденциальная информация
Любая информация, которая имеет важное значение для Компании, любых ее клиентов и / или партнеров или связанных сторон, чье несанкционированное раскрытие может негативно повлиять на бизнес, операции, репутацию, статус Компании, ее членов / акционеров, клиентов и / или деловых партнеров. и
такое раскрытие может нанести серьезный вред любому из этих лиц.
(а) Политики, процедуры, внутренние правила, решения правления;
(б) Информация, предоставляемая Работнику, определена как коммерческая тайна Компании;
(в)Другая финансовая, информация о ресурсах персонала, юридическая, маркетинговая, природная информация, процедуры продаж, планы и операции;
(г) Бизнеса, производственные планы ;
(д) Персональные идентификационные данные;
(е)Информация, которая защищает конфиденциальность соглашения подписанного каждым Сотрудником
(ж) Информация, которая защищает конфиденциальность соглашений или договоров о сотрудничестве, заключенных Компанией в ходе своей деятельности.

4. Системы, задействованные в обработке данных / информации
4.1. Любые информационные системы, включая, не только компьютерную технику, но и
программное обеспечение любого рода, операционные системы, любые носители данных, сетевые
учетные записи, учетные записи электронной почты, браузерные системы и любые другие
технические основы и инструменты, используемые Компанией, считаются собственностью
Компании.
4.2. Каждый Сотрудник обязан использовать такое техническое оборудование и инструменты с
должной заботой и вниманием и только в целях, связанных с деятельностью Компании.
Единственным исключением является случай, когда Компания предоставила Сотруднику
техническое оборудование (например, мобильный телефон), дав согласие на его использование и в
личных целях.

5. Правовые основы обработки персональных данных
5.1. Компания обрабатывает персональные данные на основе следующих правовых основ:
5.1.1. заключение и исполнение договора;
5.1.2. реализация нормативных актов;
5.1.3. в соответствии с согласием субъекта данных;
5.1.4. в целях реализации законных интересов Компании, вытекающих из обязательств,
существующих между Компанией и клиентом, или из заключенного соглашения или закона.

6. Цели обработки персональных данных
6.1. Компания обрабатывает персональные данные:
6.1.1. идентификация клиента;
6.1.2. подготовка, заключение, дополнение, переключение и расторжение договоров;
6.1.3. обслуживание клиентов;
6.1.4. исполнение обязательств по заключенным договорам;
6.1.5. администрирование расчетов;
6.1.6. взыскание задолженности;
6.1.7. продвижение и распространение услуг;
6.1.8. проведение опросов клиентов;
6.1.9. подготовка отчетов;
6.1.10. бухгалтерский учет, планирование и статистика;
6.1.11. для анализа операций клиента в соответствии с Законом о предупреждении легализации
незаконно нажитых средств и финансирования терроризма (далее — Закон ) и с Системой
внутреннего контроля в соответствии требованиями Закона об аутсорсинге бухгалтеров,
6.1.12. предоставление информации органам государственного управления и субъектам
оперативной деятельности в определенных случаях и размерах, предусмотренных нормативными
актами Латвийской Республики.

7. Категории получателей персональных данных
7.1. Компания не раскрывает третьим лицам личные данные клиентов или любую предоставленную
информацию, в течение срока действия услуги и договора, включая информацию о полученных
услугах, за исключением:
7.1.1. если необходимо передать данные третьей стороне в рамках договора, заключенного для
выполнения функции, необходимой для исполнения договора или делегированной по закону,
например, расчеты в банке;
7.1.2. составление счетов и доставка их клиенту;
7.1.3. рассылка клиенту корреспонденции по почте;
7.1.4. согласно четкому и ясному согласию клиента;
7.1.5. В порядке и в размерах, установленных действующими в Латвийской Республике
нормативными актами, лицам по их обоснованному запросу, предусмотренному действующими в
Латвийской Республике нормативными актами;
7.1.6. В случаях, предусмотренных действующими в Латвийской Республике нормативными
актами, для защиты законных интересов Компании, например, путем обращения в суд или другие
государственные органы против лица, нарушившего законный интерес Компании.

8. Продолжительность хранения персональных данных
8.1. Компания хранит и обрабатывает персональные данные клиентов, пока существует хотя бы
один из следующих критериев:
8.1.1. действует договор с клиентом;
8.1.2. в течении времени, пока Компания или клиент могут осуществлять свои законные
интересы, например, подавать иск в суд в соответствии с процедурами, указанными в действующих
нормативных актах Латвийской Республики;
8.1.3. в течении времени, пока одна из сторон имеет правовую основу для хранения данных;
8.1.4. до тех пор, пока существует согласие клиента на обработку данных, при условии, что нет
другой правовой базы для обработки данных.
8.2. При прекращении обстоятельств, указанных в пункте 8.1. Политики, персональные данные
клиента будут удалены.

9. Согласие клиента на обработку данных и право на отзыв
9.1. Согласие клиента на обработку персональных данных, юридическим основанием которого
является согласие, клиент может высказать лично в офисе Компании по адресу: улица Ломоносова,
1, Рига, LV-1019, Латвия, или по электронной почте: [email protected]
9.2. Клиент имеет право отозвать согласие, предоставленное на обработку данных, таким же
образом, как согласие было дано — в офисе Компании по адресу: улица Ломоносова, 1, Рига, LV-
1019, Латвия, или по электронной почте: [email protected] Отзыв согласия не влияет на обработку
данных в момент получения согласия клиента.
9.3. Согласие клиента не требуется, и его отзыв не влияет на обработку данных на других правовых
основаниях, таких как заключенный договор.

10. Обязанности работников Компании
10.1. Любая информация / данные, которые предоставляются Работнику в ходе выполнения его
обязанностей, считаются конфиденциальными и используются как конфиденциальные при условии
их защиты в соответствии с настоящей Политикой и не подлежат разглашению третьим лицам до
тех пор, пока руководство не заявит, что такая информация стала публичной или иным образом
пере классифицируется как информация, которая больше не защищена настоящей Политикой.
10.2. Все персональные данные и другая информация, которая может использоваться для
идентификации физического лица, должна собираться и обрабатываться только в том случае, если
это необходимо и в объеме, необходимом для выполнения обязанностей Работника, при условии,
что такие действия выполняются в рамках доверенности, предоставленноой Работнику, и в
соответствии с нормативными требованиями к защите данных (в частности, в соответствии с
Регламентом Европейского парламента и Совета (ЕС) 2016/679 от 27 апреля 2016 года о защите
физических лиц в отношении обработки персональных данных и о свободном перемещении таких
данных и с отменой Директивы 95/ 46 / EC (Общие положения о защите данных)).
10.3. Любые запросы данных и / или запросы на обработку данных, полученные Сотрудником от
владельцев данных — физических лиц в ходе выполнения его / ее обязанностей, — должны быть
немедленно переданы Руководству для дальнейшего рассмотрения.
10.4. Каждый Сотрудник обязан соблюдать настоящую Политику, а также соблюдать требования
применимых местных, региональных или международных нормативных актов для обработки и
защиты информации / данных. Несоблюдение политики считается существенным нарушением
трудового порядка и в результате чего, по усмотрению Компании, может быть вынесено
дисциплинарное взыскание или увольнение Сотрудника. Это также может привести к
административной или уголовной ответственности Сотрудника.

11. Управление доступом и защитой
11.1. Сотрудники могут получить доступ к любому из доступных Сотрудникам устройств, если это
необходимо для выполнения их обязанностей в рамках их ответственности. Право доступа к любой
системе не означает, что Сотрудник уполномочен просматривать или использовать всю
информацию в соответствующей системе.
11.2. Используемый идентификатор пользователя уникален и определяет конкретного Cотрудника.
Каждый Сотрудник несет ответственность за все действия, связанные с его / ее учетной записью,
поэтому основной обязанностью является обеспечение того, чтобы идентификатор Сотрудника не
был доступен третьим лицам и даже другим Сотрудникам, если иное не установлено Компанией.
11.3. Пароли безопасности системы создаются с должной тщательностью, при условии, что их
нельзя легко отгадать, они не содержат личные данные и регулярно меняются (не реже одного раза
в 3 (три) месяца). Каждый Сотрудник несет личную ответственность за соответствие своего пароля
безопасности настоящей Политике и любым другим положениям Компании.
11.4. Сотрудник имеет доступ к конфиденциальной информации / данным только в том случае, если
такие полномочия предусмотрены в трудовом договоре работника и / или если Компания
предоставила такие полномочия работнику.

12. Меры безопасности
12.1. Все данные и информация, собираемые и обрабатываемые в любой форме (печатной,
электронной и т. Д.), подпадают под действие настоящей Политики и любых нормативных
требований в отношении сбора, обработки, защиты и хранения данных / информации и хранятся в
безопасном месте, указанном Компанией. срок хранения, установленный действующим
законодательством и / или Компанией.
12.2. Сотрудникам запрещено хранить любую конфиденциальную информацию на своих
устройствах, за исключением информации, которая временно требуется для конкретной, связанной
с работой деятельности. Вся необходимая конфиденциальная и идентифицирующая личность
информация должна храниться только в утвержденных ИТ-специалистами облачных хранилищах и
внутренней сети Компании. Следует избегать любой загрузки таких данных на локальные
устройства и только в том случае, если это оправдано необходимостью обработки информации для
рабочих целей.
12.3. Должным образом уполномоченный ИТ-персонал Компании имеет право фильтровать и
контролировать доступ сотрудников к Интернету и действия, выполняемые сотрудниками в
Интернете, в соответствии с требованиями применимых законов и нормативных актов.
12.4. Любые мобильные, портативные (включая ноутбуки, планшеты, смартфоны и другие
портативные устройства), а также любые облачные хранилища должны быть утверждены ИТ-
специалистами Компании и надлежащим образом защищены от несанкционированного доступа.
12.5. В оборудовании и инструментах Компании может быть установлено и использованы только
лицензированные и авторизированные системы и программатура . Перед загрузкой или установкой
любого программного обеспечения на устройства, принадлежащие и используемые Сотрудниками в
целях, описанных в настоящей Политике, вы должны получить разрешение ИТ-персонала.
12.6. В тех случаях, когда сотрудники используют личные (домашние) устройства для доступа к
корпоративным ресурсам Компании (таким как управление взаимоотношениями с клиентами
(CRM), электронная почта, онлайновые / облачные базы данных), Сотрудники обязаны соблюдать
эти требования Политики, как если бы они использовали оборудование предоставляемое
Компанией. Поэтому запрещено хранить на устройстве любые данные и информацию, относящиеся
к Компании; любая обработка данных разрешена только через облачные и онлайн-хранилища,
используемые Компанией.
12.7. В любом случае, категорически запрещается использовать устройства общего доступа
(например, в интернет-кафе, библиотеках и т. Д.), За исключением случаев, когда это критически и
срочно необходимо в связи с работой, и прямой руководитель сотрудника дал четкое письменное
согласие на такую деятельность.
12.8. В случае если Сотруднику предоставляется доступ к системе хранения файлов клиента или
партнера Компании, Сотрудник обязан использовать инструменты доступа, предоставленные
клиентом или партнером, и следовать инструкциям по требованиям к безопасной обработки
информации / данных (включая системы шифрования, использование паролей, ограничения на
использование данных). , использование особенных мест нахождения т. д.).
12.9. Как только Компания считает, что защищенные данные / информация больше не нужны для
работы Компании, такие данные / информация должны быть удалены, все их копии должны быть
удалены, а Сотрудники, участвующие в обработке соответствующей информации / данных, должны
быть проинформированы об их обязанности удалить / уничтожить и вернуть информацию / данные
Компании, которые им больше не нужно для выполнения своей работы и, в частности, вернуть в
Компанию все данные, удалить и уничтожить копии в случае увольнения соответствующего
Сотрудника.
12.10. Никакая информация / данные, упомянутые в настоящей Политике, не должны отправляться
по электронной почте, пересылаться или иным образом передаваться Третьему лицу, если только
это не необходимо для выполнения обязанностей Работника и только в той степени, которая
необходима для выполнения таких обязанностей. В случае пересылки или передачи данных третьим
сторонам крайне важно обеспечить защиту данных и принять все необходимые меры безопасности.
12.11. Компания проводит аудит систем, используемых для обработки информации / данных, для
мониторинга постоянного соблюдения настоящей Политики и применимых нормативных
требований.

13. Запрещенная деятельность
13.1. За исключением особо предусмотренных случаев, любое оборудование, системы или
инструменты, принадлежащие Компании, ее клиентам или партнерам, ни в коем случае и ни при
каких обстоятельствах не могут использоваться для целей, отличных от обязанностей Работника,
или в целях не связанных с деятельностью Компаниии.
13.2. Следующие действия строго запрещены без исключений:
13.2.1. нарушение прав любого лица или Компании, защищенных правами интеллектуальной
собственности, включая, помимо прочего, установку, копирование, распространение или хранение
любого нелегального программного обеспечения, онлайн-платформ, любого другого электронного
контента, не лицензированного Компанией, в любых системах или оборудовании Компании;
13.2.2. несанкционированное копирование материалов, защищенных авторским правом;
13.2.3. нарушение прав любого лица чрезмерным и ненужным сбором и обработкой персональных
данных субъекта;
13.2.4. доступ к данным, серверу или учетной записи для целей, не связанных с деятельностью
Компании или выполнением обязанностей соответствующего Сотрудника;
13.2.5. экспорт программного обеспечения, технической информации, программного обеспечения
или технологий шифрования, нарушая соответственные международные или национальные законы
и / или нарушая принципы Компании;
13.2.6. экспорт любых данных или информации, которая имеет имущественную и / или
конфиденциальную ценность, в Компанию, если такой экспорт не является необходимым в ходе
деятельности Компании или рабочих обязанностей Работника, и / или, если это нарушает
внутренние правила Компании, применимые законы и положения;
13.2.7. Раскрытие пароля учетной записи сотрудника другим лицам и разрешение другим лицам
использовать такую учетную запись (включая, помимо прочего, членов семьи сотрудника);
13.2.8. создание мошеннических продуктов, товаров или услуг через учетную запись Компании;
13.2.9. реализация нарушений или разрывов безопасности сети. Такие нарушения безопасности
включают, помимо прочего, доступ к данным, если Сотрудник не является их предполагаемым
получателем, или регистрацию на сервере или в учетной записи, для которой Сотрудник не имеет
явного разрешения на доступ, если только такие права доступа не предоставлены Сотруднику в
отношении участия соответствующего Сотрудника в конкретном проекте Компании;
13.2.10. использование любой программы / скрипта / команды или отправка любого рода сообщения
с намерением прервать или отключить сеанс работы пользователя любым способом.

14. Сообщение об инцидентах безопасности
14.1. О всех происшествиях или потенциальных инцидентах, связанных с безопасностью обработки
информации / данных, следует немедленно сообщать руководству, которое при необходимости
принимает все меры для предотвращения потенциального ущерба, устранения последствий
причиненного ущерба и восстановления прежнего состояния безопасности.
14.2. Там, где это применимо, руководство должно предоставлять дополнительную информацию о
нарушениях данных / информационной безопасности властям и физическим лицам, участвующим в
процессе, в соответствии с требованиями применимого законодательства и / или законодательства
Европейского Союза.