ПОЛИТИКА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

На основании Положения (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в связи с обработкой персональных данных и о свободном перемещении таких данных и об отмене Директива 95/46/EC (Общий регламент по защите данных) и Законa о выполнении Общего положения о защите данных (Официальный вестник 42/2018) Правление RENAISSANCE CAPITAL d.o.o утверждает 3 января 2023 г.

ПОЛИТИКА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

ЦЕЛЬ ПОЛИТИКИ

Политика защиты персональных данных RENAISSANCE CAPITAL d.o.o (далее в тексте «Политика») является основополагающим актом, посредством которого устанавливается основа для защиты персональных данных и правила, касающиеся защиты физических лиц в отношении сбора и обработки персональных данных в деятельности RENAISSANCE CAPITAL d.o.o и связанных с ней компаний RENAISSANCE REAL ESTATE d.o.o, RENAISSANCE BIOENERGY d.o.o, Petrinja Chicken Company d.o.o и LUXCONSULT d.o.o (далее: члены Группы RC). Политика применяется ко всем членам Группы RC после того, как они приняли ее на основании решений своих компетентных органов.

Целью Политики является установление процессов защиты и управления персональными данными сотрудников, субъектов данных, деловых партнеров членов Группы RC, а также иных лиц, чьи данные обрабатываются.

Политика применяется ко всей обработке персональных данных в рамках Группы RC, за исключением случаев, когда обрабатываются анонимные данные или обработка носит такой характер, что невозможно идентифицировать физическое лицо.

ОПРЕДЕЛЕНИЯ

Персональные данные – все данные, относящиеся к физическому лицу, личность которого установлена или может быть установлена («субъект данных»); физическое лицо, личность которого можно установить — это лицо, которое может быть идентифицировано прямо или косвенно, особенно с помощью таких идентификаторов, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или с помощью одного или нескольких факторов, присущих физической, физиологической, генетической, психической, экономической, культурной или социальной личности этого человека.

Обработка — любая процедура или набор процедур, выполняемых с персональными данными или наборами персональных данных с помощью автоматизированных или неавтоматизированных средств, таких как сбор, запись, организация, структурирование, хранение, адаптация или модификация, поиск, проверка, использование, сопоставление или объединение, ограничение, стирание или уничтожение, раскрытие путем передачи, распространения или иным предоставлением.

Ограничение обработки – пометка сохраненных персональных данных с целью ограничения их обработки в будущем.

Профилирование — любая форма автоматизированной обработки персональных данных, заключающаяся в использовании персональных данных для оценки определенных личных аспектов, связанных с физическим лицом, особенно для анализа или прогнозирования аспектов, связанных с производительностью труда, экономическим положением, здоровьем, личными предпочтениями, интересами, надежностью, поведением, местонахождением или перемещением этого лица;

Псевдономизация - обработка персональных данных таким образом, что персональные данные уже нельзя отнести к конкретному субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно и с учетом технических и организационных мер, обеспечивающих конфиденциальность персональных данных, чтобы данные не могли быть отнесены к лицу, личность которого установлена или может быть установлена

Руководитель обработки — физическое или юридическое лицо, орган государственной власти, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; когда цели и средства такой обработки определяются законодательством Союза или законодательством государства-члена, руководитель обработки или особые критерии его назначения могут быть предусмотрены законодательством Союза или законодательством государства-члена;

Исполнитель обработки - физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени руководителя обработки.

Получатель - физическое или юридическое лицо, орган государственной власти, агентство или иной орган, которому раскрываются персональные данные, независимо от того, является ли оно третьим лицом.

Третье лицо - физическое или юридическое лицо, орган государственной власти, агентство или другой орган, который не является субъектом данных, руководителем обработки, исполнителем обработки данных или лицами, уполномоченными обрабатывать персональные данные под непосредственным руководством руководителя обработки данных или исполнителя обработки данных.

Согласие субъекта – любое добровольное, специальное, информированное и недвусмысленное выражение пожелания субъекта данных, посредством которого он путем заявления или прозрачным положительным действием дает свое согласие на обработку относящихся к нему персональных данных.

Повреждение персональных данных - нарушение безопасности, которое приводит к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным, которые были переданы, сохранены или иным образом обработаны

Обязующие корпоративные правила — означает политику защиты персональных данных, которой придерживается руководитель обработки или исполнитель обработки, установленный на территории государства-члена, для передачи или наборов передач персональных данных руководителю обработки или исполнителю обработки в одной или нескольких третьих странах в рамках группы предпринимателей или группы компаний, которые занимаются совместной экономической деятельностью

Надзорный орган – Агентство по защите персональных данных Республики Хорватия

Каналы дистрибуции - представляют собой средства и методы, с помощью которых обеспечивается доступ, заключение контрактов и/или использование продуктов и услуг RENAISSANCE CAPITAL и членов Группы RC, а также представляют собой отправку коммерческих предложений и информации, связанной с продуктами и услугами.

Специалист по защите персональных данных – сотрудник RENAISSANCE CAPITAL d.o.o., назначенный приказом Правления компании в соответствии со статьей 37 Общего положения по защите данных.

ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

При обработке персональных данных субъектов данных, RENAISSANCE CAPITAL и члены Группы RC обязаны соблюдать принципы, перечисленные ниже, для того чтобы обработка считалась законной, и каждый член Группы RC как руководитель обработки персональных данных, несет ответственность за соблюдение принципов обработки и должен быть в состоянии их доказать («принцип достоверности»).

Члены группы RC обрабатывают персональные данные в соответствии со следующими принципами:

• Законность и справедливость - в соответствии с действующим законодательством и соблюдением всех прав субъектов данных,
• Прозрачность - предоставление субъектам данных всей необходимой информации и по запросу обеспечить выполнение их прав
• С ограничением цели - персональные данные, собранные для конкретных, явных и законных целей, не будут обрабатываться способом, который не соответствует этим целям.
• С ограничением хранения - персональные данные субъекта данных будут храниться в форме, позволяющей идентифицировать субъекта данных настолько, насколько это необходимо для целей, для которых обрабатываются персональные данные (за исключением обязательств, вытекающих из Закона об архивных материалах и архивах) или для законного интереса (например, в случае судебного разбирательства)
• Сокращение объема данных - персональные данные собираются таким образом, чтобы они были подходящими, актуальными и ограничивались тем, что необходимо по отношению кцели, для которой они обрабатываются.
• Точность - персональныеданные должны быть точными и актуальными, при принятииразумных мер для обеспечения того, чтобы персональные данные, которые являются неточными, были удалены или изменены без задержки.
• Целостность и конфиденциальность - данные обрабатываются таким образом, чтобы обеспечить надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки и от случайной потери, уничтожения или повреждения путем применения соответствующих технических или организационных мероприятий.

Сотрудники членов Группы RC будут получать доступ к данным субъектов данных в зависимости от их полномочий и должностей для выполнения обязательств в соответствии со своими должностями. При заключении договоров о деловом сотрудничестве с другими юридическими лицами, члены Группы RC позаботятся о регулировании обработки персональных данных с помощью договорных положений и определения соответствующих ролей договаривающихся сторон в отношении обработки персональных данных.

ЗАКОННОСТЬ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Для оказания услуг субъекту данных члены Группы RC должны обработать набор персональных данных, необходимых для предоставления той или иной услуги — в противном случае они не смогут предоставить услугу.

Таким образом, в целях законной обработки персональных данных члены Группы RC обрабатывают персональные данные при соответствии одному из следующих условий:

• обработканеобходима для исполнения договорав котором одной из сторон является субъект данных, или для принятия мер по запросу субъекта данных перед заключением договора
• обработка необходима для выполнения юридических обязательств руководителя обработки - например, в случае сбора данных, связанных с Законом о предотвращении отмывания денег и финансирования терроризма (члены Группы RC будут собирать и обрабатывать набор данных, и если субъект данных откажется передать запрошенный набор данных, члены группы RC не смогут предоставлять услуги)
• обработка необходима для целей законных интересов руководителя обработки или третьего лица, за исключением случаев, когда эти интересы сильнее, чем интересы или основные права и свободы субъект данных, которые требуют защиты персональных данных, особенно если субъект данных ребенок. Под законным интересом подразумевается, например, принятие мер по защите лиц, помещений или имущества членов Группы RC, включая контроль или учет входа, выхода и доступа в служебные помещения или охраняемые помещения, включая обработку персональных данных с помощью видео системы наблюдения в служебных помещениях или индивидуальную обработку с целью управления операционными или репутационными рисками, а также обработку с целью прямого маркетинга в той мере, в какой субъект данных не возражал бы против такой обработки,
• обработка необходима для защиты основных интересов субъекта данных или другого физического лица;
• обработка необходима для выполнения задачи, представляющей общественный интерес, или для осуществления официальных полномочий руководителя обработки,
• субъект данных дал согласие на обработку своих персональных данных для одной или нескольких специальных целей - согласие должно быть дано добровольно и быть доказуемым, написанным понятным языком. Субъект данных может отозвать согласие в любое время, о чем он должен быть проинформирован заранее, а процедура отзыва так же проста, как и процедура согласия.

Каждое организационное подразделение в составе членов Группы RC обязано определять законность любой обработки персональных данных, которая находится в пределах их юрисдикции, и будет включать в себя сотрудника по защите персональных данных, который будет консультировать их.

ПРАВА СУБЪЕКТОВ ДАННЫХ

Если персональные данные, относящиеся к субъекту данных, собираются от субъекта данных, руководитель обработки данных во время обработки предоставляет всю следующую информацию субъекту данных: личность и контактные данные руководителя обработки данных, контактные данные специалиста по защите данных, цели обработки, для которых используются персональные данные, а также правовое основание обработки, законные интересы, получатели или категории получателей персональных данных, намерение передать персональные данные в третью страну (при наличии), срок в котором будут храниться личные данные или критерии хранения, права связанные с согласием, потенциальное существование автоматизированного принятия решений, которое включает создание профиля и значимую информацию о логике, о которой речь идет, а также важность и ожидаемые последствия такой обработки для субъекта данных и наличие прав, перечисленных ниже. В случае, если данные не собираются напрямую от субъектов данных, источник персональных данных указывается вместе с вышеуказанной информацией.

Члены Группы RC обрабатывают данные в соответствии с перечисленными ниже правами субъекта данных:

• Право на забвение. Субъект данныхимеет право требоватьот руководителя обработки удаление персональных данных относящихся к нему, без неоправданной задержки, а руководитель обработки обязан удалить персональные данные без неоправданной задержки, если выполняется одно из следующих условий:
• персональные данные больше не нужны в отношении целей, для которых они были собраны или иным образом обработаны;
• субъект данныхотзывает согласие, на котором основана обработка, и нет другого правового основания для обработки;
• субъект данныхподает возражение против обработки соответственнос статьей 21 и нет более веских законных причин для обработки,
• персональные данные были обработаны незаконно;
• личные данные должны быть удалены для выполнения юридических обязательств
• Право на ограничение обработки -Субъект данныхимеет право получить от руководителя ограничение обработки, если выполняется одно из следующих условий:
• субъект данныхоспаривает достоверность персональных данных,
• обработка является незаконной, и субъект данныхвозражает против удаления персональных данных и вместо этого требует ограничения их использования;
• руководителю обработкиданных больше не нужны персональныеданные для целей обработки, но субъект данных запрашивает их для установления, осуществления или защиты юридических требований;
• субъект данныхподал возражение против обработки и ожидает подтверждения того, что законные причины руководителя обработкиданных превышают причины субъекта данных.
• Право на исправление - субъект данныхимеет право требоватьот руководителя обработки данных исправление неверных данных, касающихся его, без неоправданной задержки, а также заполнить неполные личные данные.
• Право на возражение - субъект данныхимеет право в любое время возразить против обработки относящихся к нему персональных данных. Затем членыГруппы RC не могут больше обрабатывать персональные данные, если они не докажут, что существуют веские законные причины для обработки, выходящие за рамки интересов или прав субъекта данных, или для установления или отклонения юридических требований. Когда персональные данные обрабатываются на основе законного интереса в целях прямого маркетинга, субъект данных в каждом моменте имеет право возражать против обработки персональных данных, относящихся к нему, в целях такого маркетинга, который включает создание профиля в той мере, в какой это связано с таким прямым маркетингом.

Субъект данных вправе в любое время потребовать реализации любого из своих прав. Член Группы RC – руководитель по обработке предоставляет информацию субъекту данных на основании его запроса о предпринятых действиях без неоправданной задержки и не позднее, чем в течение одного месяца с момента получения запроса. При необходимости этот срок может быть продлен еще на два месяца с учетом сложности и количества запросов. Руководитель по обработке информирует субъекта данных о любом таком продлении в течение одного месяца с момента получения запроса вместе с причинами отсрочки. Если субъект данных делает запрос в электронной форме, информация должна быть предоставлена в электронном виде, если это возможно, в случае, если субъект данных не требует иного.

Субъект данных, который после обращения к члену Группы RC не воспользовался своими правами или считает, что его право на защиту персональных данных было нарушено, может обратиться в Агентство по защите персональных данных с требованием установить факт нарушения права на защиту персональных данных на: www.azop.hr.

Информация, предоставленная для осуществления прав субъектов данных, предоставляется бесплатно. Если запросы субъекта данных явно необоснованные или чрезмерны, особенно из-за их частого повторения, руководитель обработки данных может:

• взимать разумную комиссию с учетом административных расходов, связанных с предоставлением информации, уведомлением или действиями по запросу;
• или отказаться от выполнения запроса.

ОБЯЗАННОСТИ ЧЛЕНОВ ГРУППЫ RC

Члены Группы RC выступают в одних бизнес-процессах как руководители обработки данных, а в других как совместные руководители по обработке, а также могут быть и в роли исполнителей обработки.

Член Группы RC является руководителем обработки в бизнес-процессах, где она самостоятельно определяет цель и способ обработки персональных данных, а также является руководителем по совместной обработке в бизнес-процессах, где вместе с другими руководителями определяет цель и способ обработки персональных данных субъектов данных. Отдельный член Группы RC также может быть исполнителем обработки в ситуациях, когда он обрабатывает данные от имени руководителя обработки.

Членами Группы RC постоянно применяются соответствующие технические и организационные меры защиты с учетом характера, объема и цели обработки, в том числе:

• постоянно принимаются организационные и технические меры для защиты персональных данных субъектов данных, по возможности применяются криптографические методы защиты данных, постоянно совершенствуются системы защиты и предотвращения утечки данных (через межсетевые экраны, пароли, антивирусные программы, шифрование и т. д.),
• оборудование, на котором хранятся персональные данные, размещено в безопасной среде с ограниченным физическим доступом,
• сотрудникам членов Группы RC строго запрещается использовать персональные данные, кроме как в целях, для которых они собираются,
• сотрудники членов Группы RC обязаны сохранять конфиденциальность информации, которую они получают при выполнении своих рабочих задач.
• реализация Политики управления персональными данными, а также Процедур и инструкций, связанных с защитой персональных данных, регулярно проверяется внутри членов Группы RC, и проверка осуществляется Специалистом по защите данных, Отделением по соответствию и Офисом внутреннего аудита,
• члены Группы RC регулярно проводят обучение, чтобы повысить осведомленность о важности защиты персональных данных.

АВТОМАТИЗИРОВАННОЕ ИНДИВИДУАЛЬНОЕ ПРИНЯТИЕ РЕШЕНИЙ

Члены Группы RC не применяют в своей деятельности автоматизированную обработку данных, которая повлекла бы за собой негативные юридические последствия для субъекта данных.

ОБРАБОТКА ОСОБЫХ КАТЕГОРИЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

Члены Группы RC в своей обычной деятельности не обрабатывают данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах или сексуальную ориентацию личности.

ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ДЕЛОВЫХ ОТНОШЕНИЯХ С КОММЕРЧЕСКИМИ СУБЪЕКТАМИ

Коммерческими субъектами в составе членов Группы RC могут быть любые юридические лица, органы государственной власти, органы местного или регионального самоуправления и их органы, ассоциации и учреждения, а также любые физические лица (непотребители), осуществляющие деятельность на территории их зарегистрированной экономической деятельности или самозанятости.

Члены группы RC собирают и обрабатывают данные о коммерческих организациях, транзакциях, использовании продуктов и услуг, а также персональные данные физических лиц (непотребителей), осуществляющих свою деятельность в рамках зарегистрированной деятельности или самозанятости, а также персональные данные физических лиц (потребителей), связанных с коммерческими субъектами (физические лица, собственники коммерческого субъекта, лица, уполномоченные представлять хозяйствующий субъект, доверенные лица и иные физические лица, персональные данные которых предоставлены коммерческим субъектом члену Группы RC для использования с целью установления и поддержания деловых отношений). Эти данные собираются, обрабатываются и передаются членами Группы RC в соответствии с законной обработкой данных в следующих случаях:

• удостоверения личности,
• предотвращения рисков, которые могут возникнуть в результате деловых отношений,
• гармонизации с правовой базой Республики Хорватии и Европейского Союза,
• заключения контрактов и использования продуктов и услуг, предоставляемых членами Группы RC,
• взыскания долгов,
• составления отчетов,
• статистической обработки,
• контакта с целью выполнения договорных отношений,
• обращения в маркетинговых целях.

Члены Группы RC могут обмениваться данными о коммерческих субъектах, которые включают персональные данные физических лиц (непотребителей), которые действуют в сфере своей зарегистрированной деятельности или самозанятости, а также и персональными данными физических лиц (потребителей), которые связаны с коммерческими субъектами при соблюдении законности обработки и в соответствии с принципами обработки, определенными:

• одним из членов Группы RC
• законодательными, надзорными и регулирующими органами на территории Республики Хорватия и за ее пределами,
• финансовыми учреждениями, с которыми сотрудничает член Группы RC,
• аудиторами и консультантами внутри и вне членов RC Group.

СРОК ХРАНЕНИЯ ДАННЫХ

Члены Группы RC обрабатывают и хранят персональные данные до тех пор, пока это необходимо для выполнения договорных и юридических обязательств. Специальным внутренним актом устанавливаются сроки хранения документации и данных, которые член Группы RC обрабатывает в своей деятельности. Например, в соответствии с Законом о бухгалтерском учете персональные данные хранятся в течение 11 лет с года окончания деловых отношений, а в соответствии с Законом о предотвращении отмывания денег и финансирования терроризма члены группы RC обязаны хранить его в течение 10 лет после прекращения деловых отношений, т.е. совершения периодических транзакций.

СПЕЦИАЛИСТ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Члены Группы RC назначили совместного Специалиста по защите персональных данных, который является независимым и отвечает за систему защиты персональных данных субъектов данных в рамках членов Группы RC. Он подчиняется непосредственно высшему руководству членов Группы RC и при исполнении своих задач обязан соблюдать секретность и конфиденциальность.

Специалист по защите персональных данных выполняет как минимум следующие задачи:

• информирует и консультирует руководителя обработки или исполнителя обработки и сотрудников, которые выполняют обработку, об их обязательствах в соответствии с Общим Положением о защите данных и другими положениями, касающимися защиты персональных данных,
• следит за соблюдением правил в области защиты данных, политики руководителя обработки или исполнителя обработки в отношении защиты персональных данных, включая распределение обязанностей, повышает осведомленность и обучает персонал, участвующий в процедурах обработки и связанных с ними проверках,
• предоставляет консультации по оценке воздействия на защиту данных и мониторингу ее исполнения,
• взаимодействует с надзорным органом,
• выступает в качестве контактного лица для надзорного органа по вопросам, касающимся обработки.

Специалист по защите персональных данных также является основным контактным лицом для субъектов данных, которые хотят воспользоваться своими правами или отправить запрос, связанный с защитой персональных данных, запросить дополнительную информацию, подать жалобу, связанную с защитой персональных данных.

Субъекты данных могут связаться со Специалистом по защите персональных данных по адресу электронной почты: dpo@renaissance.hr .

ОЦЕНКА ВОЗДЕЙСТВИЯ НА ЗАЩИТУ ДАННЫХ

Каждый отдельный член Группы RC обязан, когда он является руководителем обработки, проводить оценку воздействия, если существует вероятность того, что какой-либо тип обработки вызовет высокий риск для прав и свобод субъекта данных до начала обработки персональных данных (например, при использовании новых технологий или технологических решений для обработки персональных данных или обработки персональных данных сотрудников с использованием приложений или систем контроля работы и т.п.). Специалист по защите данных установит процесс и окажет поддержку во время проведения рассматриваемой оценки.

Оценка воздействия содержит как минимум:

• описание предполагаемых процессов обработки и цели обработки, включая законный интерес,
• оценку необходимости и соразмерности процедур обработки по отношению к их целям,
• оценка рисков для прав и свобод субъектов данных,
• меры, призванные решить проблему риска - меры защиты, меры безопасности и механизмы, обеспечивающие защиту персональных данных.

УЧЕТ ДЕЯТЕЛЬНОСТИ ПО ОБРАБОТКЕ

Члены Группы RC ведут свои записи об обработке в электронном виде и содержат как минимум следующие данные:

• имя и контактную информацию руководителя обработки данных или исполнителя обработки и каждого руководителя обработки данных, от имени которого действует исполнитель, и Специалиста по защите данных,
• цель обработки,
• описание категорий субъектов данных и категорий персональных данных,
• категории получателей, которым будут раскрыты персональные данные, включая третьи страны или название международной организации,
• прогнозированные сроки для удаления различных категорий данных, если это возможно,
• общее описание технических и организационных мер безопасности.

Специалист по защите персональных данных отвечает за ведение записей об обработке и установление процесса управления записями обработки, а все организационные подразделения в рамках отдельных членов Группы RC несут ответственность за предоставление точной и своевременной информации для поддержания записей в актуальном состоянии.

ИНЦИДЕНТЫ

Члены Группы RC ежедневно принимают процессуальные и технологические меры для защиты персональных данных субъектов данных. Сотрудники обязаны уведомить Специалиста по защите персональных данных в случае инцидента, представляющего собой нарушение персональных данных.

В случае если существует вероятность того, что нарушение повлечет за собой угрозу правам и свободам человека, Член Группы RC информирует об этом Агентство по защите персональных данных в течение 72 часов после того, как ему стало известно о инциденте, а также об этом сообщает и самому субъекту данных.

Член Группы RC в порядке исключения не обязан информировать самого субъекта данных:

• если к персональным данным были применены соответствующие технические меры (шифрование - это сделает данные неразборчивыми для неуполномоченных лиц)
• или предпринял последующие меры для обеспечения того, чтобы высокий риск для прав и свобод субъекта данных больше не возникал.
• если это повлечет за собой несоразмерные усилия, и в таком случае будет применено публичное уведомление или аналогичная мера, которая будет информировать субъектов данных столь же эффективным способом.

ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Специалист по защите персональных данных обязан регулярно проверять и обновлять Политику защиты персональных данных, а также предлагать Правлению соответствующие изменения или дополнения.

Политика вступает в силу и применяется с момента ее утверждения.