1. Введение

Настоящая Политика устанавливает обязательства Mike Lane Mods Limited («Компания») в отношении защиты данных и прав клиентов («субъектов данных») в отношении их персональных данных в соответствии с Регламентом ЕС 2016/679, Общим регламентом защиты данных («GDPR»). »).

GDPR определяет «персональные данные» как любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»); идентифицируемое физическое лицо - это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько факторов, специфичных для физических, физиологических , генетическая, ментальная, экономическая, культурная или социальная принадлежность этого физического лица.

Настоящая Политика устанавливает обязательства Компании в отношении сбора, обработки, передачи, хранения и удаления персональных данных. Компания, ее сотрудники, агенты, подрядчики или другие стороны, работающие от имени Компании, должны постоянно соблюдать изложенные здесь процедуры и принципы.

Компания привержена не только букве закона, но и духу закона и придает большое значение правильному, законному и справедливому обращению со всеми личными данными, уважая законные права, конфиденциальность и доверие всех. лица, с которыми он имеет дело.

2. Принципы защиты данных

Настоящая Политика направлена ​​на обеспечение соблюдения GDPR. GDPR устанавливает следующие принципы, которым должна соответствовать любая сторона, обрабатывающая персональные данные. Все личные данные должны быть:

2.1 Обработка законным, справедливым и прозрачным образом по отношению к субъекту данных.
2.2 Собирается для определенных, явных и законных целей и не обрабатывается в дальнейшем способом, несовместимым с этими целями. Дальнейшая обработка в целях архивирования в интересах общества, научных или исторических исследований или статистических целей не считается несовместимой с первоначальными целями.
2.3 Адекватные, актуальные и ограниченные тем, что необходимо в отношении целей, для которых они обрабатываются.
2.4 Точные и, при необходимости, актуальные. Необходимо предпринять все разумные шаги для обеспечения того, чтобы персональные данные, которые являются неточными с учетом целей, для которых они обрабатываются, были удалены или исправлены без задержки.
2.5 Хранятся в форме, позволяющей идентифицировать субъекты данных не дольше, чем это необходимо для целей, для которых обрабатываются личные данные. Персональные данные могут храниться в течение более длительных периодов времени, поскольку персональные данные будут обрабатываться исключительно для целей архивирования в общественных интересах, научных или исторических исследованиях или статистических целях, при условии реализации соответствующих технических и организационных мер, требуемых GDPR в для защиты прав и свобод субъекта данных.
2.6. Обработка осуществляется способом, обеспечивающим надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения с использованием соответствующих технических или организационных мер.

3. Права субъектов данных

GDPR устанавливает следующие права, применимые к субъектам данных (дополнительные сведения см. В указанных частях этой политики):

3.1 Право на получение информации (Часть 12).
3.2 Право доступа (Часть 13);
3.3 Право на исправление (Часть 14);
3.4 Право на стирание (также известное как «право на забвение») (Часть 15);
3.5 Право на ограничение обработки (Часть 16);
3.6 Право на переносимость данных (Часть 17);
3.7 Право на возражение (Часть 18); и
3.8 Права в отношении автоматизированного принятия решений и профилирования (части 19 и 20).

4. Законная, справедливая и прозрачная обработка данных

4.1 GDPR направлен на обеспечение того, чтобы персональные данные обрабатывались законно, справедливо и прозрачно, без ущемления прав субъекта данных. GDPR гласит, что обработка персональных данных является законной, если применяется хотя бы одно из следующих условий:
4.1.1 Субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;
4.1.2 Обработка необходима для выполнения договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения с ним договора;
4.1.3 Обработка необходима для соблюдения юридического обязательства, которому подчиняется контролер данных;
4.1.4 Обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица;
4.1.5 Обработка необходима для выполнения задачи, выполняемой в общественных интересах или при исполнении официальных полномочий, возложенных на контролера данных; или
4.1.6 Обработка необходима для целей законных интересов, преследуемых контролером данных или третьей стороной, за исключением случаев, когда такие интересы перекрываются основными правами и свободами субъекта данных, которые требуют защиты персональных данных, в частности где субъект данных - ребенок.

5. Конкретные, явные и законные цели

5.1 Компания собирает и обрабатывает персональные данные, указанные в части 22 настоящей Политики. Это включает:
5.1.1 Персональные данные, собранные напрямую от субъектов данных; а также
5.1.2 Персональные данные, полученные от третьих лиц.
5.2 Компания собирает, обрабатывает и хранит персональные данные только для конкретных целей, изложенных в Части 22 настоящей Политики (или для других целей, прямо разрешенных GDPR).
5.3 Субъекты данных постоянно информируются о цели или целях, для которых Компания использует их персональные данные. Пожалуйста, обратитесь к Части 12 для получения дополнительной информации об информировании субъектов данных.

6. Адекватная, актуальная и ограниченная обработка данных

Компания будет собирать и обрабатывать персональные данные только для и в той мере, в какой это необходимо для конкретной цели или целей, о которых субъекты данных были проинформированы (или будут проинформированы), как указано в Части 5 выше и как изложено в Части 21 ниже. .

7. Точность данных и своевременное обновление данных.

7.1 Компания обеспечивает точность и актуальность всех собираемых, обрабатываемых и хранимых персональных данных. Это включает, но не ограничивается, исправление личных данных по запросу субъекта данных, как указано в Части 14 ниже.
7.2 Точность личных данных проверяется при их сборе и в дальнейшем через регулярные промежутки времени. Если какие-либо личные данные окажутся неточными или устаревшими, будут незамедлительно предприняты все разумные меры для изменения или удаления этих данных, в зависимости от обстоятельств.

8. Хранение данных

8.1 Компания не должна хранить персональные данные дольше, чем это необходимо в свете цели или целей, для которых эти персональные данные были первоначально собраны, сохранены и обработаны.
8.2 Когда личные данные больше не требуются, будут приняты все разумные меры для их безотлагательного удаления или иного удаления.
8.3. Полную информацию о подходе Компании к хранению данных, включая периоды хранения для определенных типов персональных данных, хранящихся в Компании, см. В нашей Политике хранения данных.

9. Безопасная обработка

Компания обеспечивает безопасность и защиту всех собранных, хранимых и обрабатываемых персональных данных от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения. Более подробная информация о технических и организационных мерах, которые должны быть приняты, приводится в частях 22–27 настоящей Политики.

10. Подотчетность и учет

10.1 Компания несет ответственность за надзор за реализацией настоящей Политики и за соблюдение этой Политики, других политик Компании, связанных с защитой данных, а также GDPR и другого применимого законодательства о защите данных.

10.2 Компания должна вести письменные внутренние записи о сборе, хранении и обработке всех персональных данных, которые должны включать следующую информацию:
10.2.1 Название и подробные сведения о Компании и любых соответствующих сторонних обработчиках данных;
10.2.2 Цели, для которых Компания собирает, хранит и обрабатывает персональные данные;
10.2.3 Подробная информация о категориях персональных данных, собираемых, хранимых и обрабатываемых Компанией, а также о категориях данных, к которым относятся эти персональные данные;
10.2.4 Подробная информация о любой передаче персональных данных в страны, не входящие в ЕЭЗ, включая все механизмы и гарантии безопасности;
10.2.5 Подробная информация о том, как долго личные данные будут храниться Компанией (см. Политику хранения данных Компании); и
10.2.6 Подробное описание всех технических и организационных мер, принимаемых Компанией для обеспечения безопасности персональных данных.

11. Оценка воздействия на защиту данных

11.1 Компания должна проводить оценку воздействия на защиту данных для любых новых видов использования персональных данных, которые связаны с использованием новых технологий, и соответствующая обработка может привести к высокому риску для прав и свобод субъектов данных в соответствии с GDPR.
11.2 Оценка воздействия на защиту данных должна учитывать следующее:
11.2.1 Тип (ы) персональных данных, которые будут собираться, храниться и обрабатываться;
11.2.2 Цель (цели) использования персональных данных;
11.2.3 Цели Общества;
11.2.4. Как будут использоваться личные данные;
11.2.5 Стороны (внутренние и / или внешние), с которыми должны проводиться консультации;
11.2.6 Необходимость и соразмерность обработки данных целям, для которых они обрабатываются;
11.2.7 Риски для субъектов данных;
11.2.8 Риски, возникающие как внутри, так и для Компании; и
11.2.9 Предлагаемые меры по минимизации выявленных рисков и управлению ими.

12. Информирование субъектов данных

12.1 Компания должна предоставить информацию, указанную в Части 12.2, каждому субъекту данных:
12.1.1 Если персональные данные собираются непосредственно от субъектов данных, эти субъекты данных будут проинформированы о их цели во время сбора; и
12.1.2 Если персональные данные получены от третьего лица, соответствующие субъекты данных будут проинформированы о его цели:
а) если личные данные используются для связи с субъектом данных, при первом общении; или
б) если персональные данные должны быть переданы другой стороне, до того, как эта передача будет произведена; или
c) как можно скорее и в любом случае не позднее, чем через месяц после получения персональных данных.
12.2 Должна быть предоставлена ​​следующая информация:
12.2.1 Реквизиты Компании;
12.2.2 Цель (цели), для которых персональные данные собираются и будут обрабатываться (как указано в Части 21 настоящей Политики), и правовая основа, оправдывающая такой сбор и обработку;
12.2.3. Если применимо, законные интересы, которыми Компания оправдывает сбор и обработку персональных данных;
12.2.4 Если персональные данные не получены напрямую от субъекта данных, категории собираемых и обрабатываемых персональных данных;
12.2.5 Если персональные данные должны быть переданы одной или нескольким третьим лицам, сведения об этих сторонах;
12.2.6 Если персональные данные должны быть переданы третьей стороне, которая находится за пределами Европейской экономической зоны («ЕЭЗ»), подробности этой передачи, включая, но не ограничиваясь, действующие меры безопасности (см. Часть 28 настоящая Политика для получения дополнительной информации);
12.2.7 Подробная информация о хранении данных;
12.2.8 Подробная информация о правах субъекта данных в соответствии с GDPR;
12.2.9 Подробная информация о праве субъекта данных отозвать свое согласие на обработку своих персональных данных Компанией в любое время;
12.2.10 Подробная информация о праве субъекта данных на подачу жалобы в Офис уполномоченного по информации («надзорный орган» согласно GDPR);
12.2.11 Где это применимо, подробные сведения о любых юридических или договорных требованиях или обязательствах, требующих сбора и обработки персональных данных, а также подробные сведения о любых последствиях их непредоставления; и
12.2.12 Подробная информация о любом автоматическом принятии решений или профилировании, которые будут выполняться с использованием личных данных, включая информацию о том, как будут приниматься решения, значимости этих решений и любых последствиях.

13. Доступ к субъекту данных

13.1 Субъекты данных могут в любое время направлять запросы на доступ к субъектам («SAR»), чтобы узнать больше о личных данных, которые Компания хранит о них, о том, что она делает с этими личными данными и почему.
13.2 Субъекты данных, желающие отправить запрос на доступ к субъекту, могут сделать это в письменной форме по электронной почте admin@mikelanemods.com.
13.3 Ответы на SAR обычно должны быть сделаны в течение одного месяца с момента получения, однако этот срок может быть продлен до двух месяцев, если SAR сложный и / или поступают многочисленные запросы. Если требуется такое дополнительное время, об этом информируется субъект данных.
13.4 Компания не взимает плату за обработку обычных SAR. Компания оставляет за собой право взимать разумную плату за дополнительные копии информации, которая уже была предоставлена ​​субъекту данных, а также за явно необоснованные или чрезмерные запросы, особенно если такие запросы повторяются.

14. Исправление личных данных

14.1 Субъекты данных имеют право потребовать от Компании исправления любых их персональных данных, которые являются неточными или неполными.
14.2 Компания должна исправить соответствующие персональные данные и сообщить субъекту данных об этом исправлении в течение одного месяца после того, как субъект данных проинформирует Компанию о проблеме. В случае сложных запросов срок может быть продлен до двух месяцев. Если требуется такое дополнительное время, об этом информируется субъект данных.
14.3 В случае если какие-либо затронутые личные данные были раскрыты третьим лицам, эти стороны должны быть проинформированы о любых исправлениях, которые должны быть внесены в эти личные данные.

15. Удаление личных данных

15.1 Субъекты данных имеют право потребовать, чтобы Компания удалила личные данные, которые она хранит о них, в следующих случаях:
15.1.1 Компании больше не нужно хранить эти персональные данные в отношении целей, для которых они были первоначально собраны или обработаны;
15.1.2 Субъект данных желает отозвать свое согласие на хранение и обработку Компанией его персональных данных;
15.1.3 Субъект данных возражает против того, чтобы Компания хранит и обрабатывает их персональные данные (и нет преимущественного законного интереса, позволяющего Компании продолжать делать это) (см. Часть 18 настоящей Политики для получения дополнительных сведений о праве на возражение);
15.1.4 Персональные данные были обработаны незаконно;
15.1.5 Персональные данные необходимо удалить, чтобы Компания могла выполнить определенное юридическое обязательство.
15.2 Если у Компании нет разумных оснований для отказа в удалении персональных данных, все запросы на удаление должны быть выполнены, а субъект данных уведомлен об удалении в течение одного месяца с момента получения запроса субъекта данных. В случае сложных запросов срок может быть продлен до двух месяцев. Если требуется такое дополнительное время, об этом информируется субъект данных.
15.3 В случае, если какие-либо личные данные, которые должны быть удалены в ответ на запрос субъекта данных, были раскрыты третьим сторонам, эти стороны должны быть проинформированы об удалении (если это невозможно или потребует несоразмерных усилий).

16. Ограничение обработки персональных данных

16.1 Субъекты данных могут потребовать, чтобы Компания прекратила обработку своих персональных данных о них. Если субъект данных делает такой запрос, Компания сохраняет только тот объем личных данных, касающихся этого субъекта данных (если таковой имеется), который необходим для обеспечения того, чтобы соответствующие личные данные не обрабатывались в дальнейшем.
16.2 В случае если какие-либо затронутые персональные данные были раскрыты третьим сторонам, эти стороны должны быть проинформированы о применимых ограничениях на их обработку (если это невозможно или потребует несоразмерных усилий).

17. Возражения против обработки персональных данных

17.1 Субъекты данных имеют право возражать против обработки Компанией их персональных данных на основе законных интересов, прямого маркетинга (включая профилирование).
17.2 Если субъект данных возражает против обработки Компанией его персональных данных на основании его законных интересов, Компания должна немедленно прекратить такую ​​обработку, если не будет продемонстрировано, что законные основания Компании для такой обработки преобладают над интересами, правами и свободами субъекта данных. , или что обработка необходима для предъявления исков.
17.3 Если субъект данных возражает против обработки Компанией его персональных данных в целях прямого маркетинга, Компания должна немедленно прекратить такую ​​обработку.

18. Собираемые, хранящиеся и обрабатываемые персональные данные

Компания собирает, хранит и обрабатывает следующие персональные данные (подробности о хранении данных см. В Политике хранения данных Компании):

Тип данных: контактные данные клиента через форму запроса на веб-сайте - имя, адрес электронной почты и сообщение
Назначение данных: служит способом связи для клиентов, а также методом сбора запросов о продажах через веб-сайт Компании.

Тип данных: сведения о клиенте через интернет-магазин - имя, название компании (необязательно), адрес доставки, адрес для выставления счетов, номер телефона (необязательно), адрес электронной почты.
Назначение данных: необходимы для обработки, доставки, управления и поддержки существующих и будущих заказов, общения с клиентами, финансов и выставления счетов.

Тип данных: сведения о клиенте в личном сообщении - имя, адрес, адрес электронной почты.
Назначение данных: необходимы для обработки, доставки, управления и поддержки существующих и будущих заказов, общения с клиентами, финансов и выставления счетов.

19. Безопасность данных - передача личных данных и коммуникации

Компания должна обеспечить принятие следующих мер в отношении всех сообщений и других передач, связанных с личными данными:
19.1 Все электронные письма, содержащие личные данные, должны быть зашифрованы;
19.2. Все электронные письма, содержащие личные данные, должны быть помечены как «конфиденциальные»;
19.3. Персональные данные могут передаваться только по защищенным сетям; передача по незащищенным сетям запрещена ни при каких обстоятельствах;
19.4. Персональные данные не могут передаваться по беспроводной сети, если существует разумно осуществимая проводная альтернатива;
19.5. Персональные данные, содержащиеся в теле электронного письма, отправленного или полученного, должны быть скопированы из тела этого электронного письма и надежно храниться. Само письмо следует удалить. Все временные файлы, связанные с ним, также должны быть удалены;

20. Безопасность данных - Хранение

Компания обеспечивает принятие следующих мер в отношении хранения персональных данных:
20.1 Все электронные копии личных данных должны храниться в безопасном месте с использованием паролей и 256-битного шифрования Advanced Encryption Standard (AES);
20.2. Все бумажные копии личных данных, а также любые электронные копии, хранящиеся на физических съемных носителях, должны надежно храниться в запертом ящике, ящике, шкафу или подобном;
20.3 Все личные данные, хранящиеся в электронном виде, должны регулярно создаваться резервные копии, причем резервные копии должны храниться на месте и за его пределами. Все резервные копии должны быть зашифрованы с использованием 256-битного шифрования Advanced Encryption Standard (AES). Восстановление данных должно быть возможным удаленно в случае локального бедствия или другого нарушения нормальных процедур доступа;
20.4 Никакие личные данные не должны храниться на каком-либо мобильном устройстве (включая, помимо прочего, ноутбуки, планшеты и смартфоны), независимо от того, принадлежит ли такое устройство Компании или иным образом; а также
20.5 Никакие личные данные не должны передаваться на какое-либо устройство, лично принадлежащее сотруднику, и личные данные могут быть переданы только на устройства, принадлежащие агентам, подрядчикам или другим сторонам, работающим от имени Компании, если соответствующая сторона согласилась полностью соблюдать букве и духе настоящей Политики и GDPR (которые могут включать демонстрацию Компании того, что были приняты все подходящие технические и организационные меры).
20.6 При утилизации старых компьютеров или другого оборудования, содержащего личные данные, следует предпринять тщательные шаги для полного удаления данных. Это должно включать удаление всех данных с устройства, выполнение сброса настроек до заводских, а также физическое уничтожение и безопасную утилизацию жестких дисков, где это необходимо.

21. Безопасность данных - удаление

Если какие-либо личные данные должны быть удалены или иным образом уничтожены по какой-либо причине (включая случаи, когда копии были сделаны и больше не нужны), они должны быть надежно удалены и утилизированы. Персональные данные, хранящиеся в бумажной форме, подлежат перекрестному измельчению и переработке или утилизации. Для получения дополнительной информации об удалении и утилизации личных данных, пожалуйста, обратитесь к Политике хранения данных Компании.

22. Безопасность данных - использование личных данных

Компания обеспечивает принятие следующих мер в отношении использования персональных данных:
22.1 Никакие личные данные не могут быть переданы неофициально, и если сотруднику, агенту, субподрядчику или другой стороне, работающей от имени Компании, требуется доступ к любым личным данным, к которым у них еще нет доступа, такой доступ должен быть официально запрошен у компания;
22.2 Никакие личные данные не могут быть переданы каким-либо сотрудникам, агентам, подрядчикам или другим сторонам, независимо от того, работают ли такие стороны от имени Компании или нет, без разрешения Компании;
22.3 С персональными данными следует обращаться осторожно в любое время, и их нельзя оставлять без присмотра или на виду у неуполномоченных сотрудников, агентов, субподрядчиков или других сторон в любое время;
22.4. Если личные данные просматриваются на экране компьютера, и компьютер, о котором идет речь, должен оставаться без присмотра в течение любого периода времени, пользователь должен заблокировать компьютер и экран перед тем, как покинуть его; а также
22.5 Если личные данные, которыми владеет Компания, используются в маркетинговых целях, Компания несет ответственность за получение соответствующего согласия и за то, чтобы ни один субъект данных не отказался от участия, будь то напрямую или через стороннюю службу, такую ​​как ТЭЦ.

23. Безопасность данных - ИТ-безопасность

Компания обеспечивает принятие следующих мер в отношении ИТ и информационной безопасности:
23.1 Все пароли, используемые для защиты личных данных, следует регулярно менять, и в них не должны использоваться слова или фразы, которые можно легко угадать или иным образом скомпрометировать. Все пароли должны содержать комбинацию прописных и строчных букв, цифр и символов;
23.2 Ни при каких обстоятельствах никакие пароли не должны записываться или передаваться сотрудникам, агентам, подрядчикам или другим сторонам, работающим от имени Компании, независимо от стажа работы или отдела. Если пароль забыт, его необходимо сбросить соответствующим способом. ИТ-персонал не имеет доступа к паролям;
23.3 Все программное обеспечение (включая, помимо прочего, приложения и операционные системы) должно обновляться. ИТ-персонал Компании несет ответственность за установку любых и всех обновлений, связанных с безопасностью, в кратчайшие разумные и практически возможные сроки, за исключением случаев, когда для этого есть веские технические причины;

24. Организационные меры

Компания обеспечивает принятие следующих мер в отношении сбора, хранения и обработки персональных данных:
24.1 Все сотрудники, агенты, подрядчики или другие стороны, работающие от имени Компании, должны быть полностью осведомлены как о своих индивидуальных обязанностях, так и об обязанностях Компании в соответствии с GDPR и настоящей Политикой, и им должна быть предоставлена ​​копия этой Политики;
24.2 Только сотрудники, агенты, субподрядчики или другие стороны, работающие от имени Компании, которым необходим доступ и использование личных данных для правильного выполнения возложенных на них обязанностей, имеют доступ к личным данным, хранящимся в Компании;
24.3 Все сотрудники, агенты, подрядчики или другие стороны, работающие от имени Компании, обрабатывающие персональные данные, будут соответствующим образом обучены этому;
24.4 Все сотрудники, агенты, подрядчики или другие стороны, работающие от имени Компании, обрабатывающие персональные данные, будут надлежащим образом контролироваться;
24.5 Все сотрудники, агенты, подрядчики или другие стороны, работающие от имени Компании, обрабатывающие персональные данные, должны быть обязаны и поощряться проявлять осторожность, осторожность и осмотрительность при обсуждении связанных с работой вопросов, связанных с персональными данными, будь то на рабочем месте или на рабочем месте. иначе;
24.6. Методы сбора, хранения и обработки персональных данных должны регулярно оцениваться и анализироваться;
24.7 Все личные данные, хранящиеся в Компании, должны периодически проверяться, как указано в Политике хранения данных Компании;
24.8 Производительность сотрудников, агентов, подрядчиков или других сторон, работающих от имени Компании, обрабатывающих персональные данные, должна регулярно оцениваться и проверяться;
24.9 Все сотрудники, агенты, подрядчики или другие стороны, работающие от имени Компании и обрабатывающие персональные данные, будут обязаны делать это в соответствии с принципами GDPR и настоящей Политики по контракту;
24.10 Все агенты, подрядчики или другие стороны, работающие от имени Компании, обрабатывающие персональные данные, должны гарантировать, что все и все их сотрудники, участвующие в обработке персональных данных, находятся на тех же условиях, что и соответствующие сотрудники Компании, возникающие. вне этой Политики и GDPR; а также
24.11 Если какой-либо агент, подрядчик или другая сторона, работающая от имени Компании, обрабатывающая личные данные, не выполняет свои обязательства в соответствии с настоящей Политикой, эта сторона должна возместить и обезопасить Компанию от любых затрат, ответственности, убытков, убытков, претензий или судебных разбирательств, которые могут возникнуть. из той неудачи.

25. Передача личных данных в страну за пределами ЕЭЗ

25.1 Компания может время от времени передавать («передача» включает предоставление удаленного доступа) личные данные в страны за пределами ЕЭЗ.
25.2 Передача персональных данных в страну за пределами ЕЭЗ осуществляется только в том случае, если применяется одно или несколько из следующих условий:
25.2.1 Передача осуществляется в страну, территорию или один или несколько конкретных секторов в этой стране (или в международную организацию), которые, по мнению Европейской комиссии, обеспечивают адекватный уровень защиты персональных данных;
25.2.2 Передача осуществляется в страну (или международную организацию), которая обеспечивает соответствующие гарантии в форме юридически обязывающего соглашения между государственными органами или органами; обязательные корпоративные правила; стандартные положения о защите данных, принятые Европейской комиссией; соблюдение утвержденного кодекса поведения, утвержденного надзорным органом (например, Комиссаром по информации); сертификация в соответствии с утвержденным механизмом сертификации (в соответствии с GDPR); договорные положения, согласованные и утвержденные компетентным надзорным органом; или положения, включенные в административные договоренности между государственными органами или органами, уполномоченными компетентным надзорным органом;
25.2.3 Передача осуществляется с осознанного согласия соответствующих субъектов данных;
25.2.4 Передача необходима для выполнения договора между субъектом данных и Компанией (или для преддоговорных шагов, предпринятых по запросу субъекта данных);
25.2.5 Передача необходима по важным причинам общественного интереса;
25.2.6. Передача необходима для предъявления исков;
25.2.7 Передача необходима для защиты жизненно важных интересов субъекта данных или других лиц, если субъект данных физически или юридически не может дать свое согласие; или
25.2.8 Передача осуществляется из реестра, который в соответствии с законодательством Великобритании или ЕС предназначен для предоставления информации общественности и открыт для доступа общественности в целом или иным образом тем, кто может проявить законный интерес в доступ к реестру.

26. Уведомление о взломе данных

26.1 Если происходит нарушение личных данных и такое нарушение может привести к риску для прав и свобод субъектов данных (например, финансовые убытки, нарушение конфиденциальности, дискриминация, репутационный ущерб или другой значительный социальный или экономический ущерб), Компания должен гарантировать, что Управление комиссара по информации будет проинформировано о нарушении без промедления и в любом случае в течение 72 часов после того, как стало известно о нем.
26.2 В случае, если нарушение личных данных может привести к высокому риску (то есть более высокому риску, чем тот, который описан в Части 29.2) для прав и свобод субъектов данных, Компания должна гарантировать, что все затронутые субъекты данных проинформирован о нарушении напрямую и без неоправданной задержки.
26.3 Уведомления о нарушении данных должны включать следующую информацию:
26.3.1 Категории и приблизительное количество соответствующих субъектов данных;
26.3.2 Категории и приблизительное количество соответствующих записей персональных данных;
26.3.3 Название и контактные данные контактного лица Компании, где можно получить дополнительную информацию;
26.3.4 вероятные последствия нарушения;
26.3.5 Подробная информация о мерах, принятых или предлагаемых к принятию Компанией для устранения нарушения, включая, при необходимости, меры по смягчению его возможных неблагоприятных последствий.

27. Реализация политики.

Настоящая Политика считается действующей с 1 мая 2018 года. Никакая часть настоящей Политики не имеет обратной силы и, таким образом, применяется только к вопросам, возникающим в эту дату или после нее.