Политика защиты данных

Введение
STARS International University® необходимо собирать и использовать определённую информацию о физических лицах. Эти данные могут включать клиентов, поставщиков, деловых партнёров, сотрудников и других лиц, с которыми организация взаимодействует или с которыми может потребоваться контакт.

Данная политика описывает, каким образом персональные данные должны быть собраны, обработаны и сохранены для соответствия стандартам защиты данных университета и выполнения требований законодательства.

Цели данной политики

Политика защиты данных обеспечивает, что STARS International University®:

Соблюдает законодательство о защите данных и следует лучшим практикам;
Защищает права сотрудников, клиентов и партнёров;
Демонстрирует прозрачность в том, как хранятся и обрабатываются данные физических лиц;
Защищает себя от рисков утечек данных.

Закон о защите данных

Закон о защите данных определяет, как организации, включая STARS International University®, должны собирать, обрабатывать и хранить персональную информацию.

Эти правила применяются независимо от того, хранятся ли данные в электронном виде, на бумаге или на других носителях.

Для соблюдения законодательства персональная информация должна собираться и использоваться честно, храниться в безопасности и не раскрываться незаконно.

Закон о защите данных основывается на восьми ключевых принципах. Согласно этим принципам, персональные данные должны:
Обрабатываться честно и законно;
Собираться только для определённых, законных целей;
Быть релевантными и не чрезмерными;
Быть точными и актуальными;
Не храниться дольше, чем это необходимо;
Обрабатываться в соответствии с правами субъектов данных;
Быть защищёнными надлежащими способами;
Не передаваться за пределы Европейской экономической зоны (EEA), если страна или территория, куда они передаются, не обеспечивают адекватный уровень защиты.

Люди, риски и ответственность

Область применения политики

Данная политика распространяется на:

Главный офис STARS International University®;

Все филиалы STARS International University®;

Всех сотрудников и волонтёров STARS International University®;

Всех подрядчиков, поставщиков и других лиц, работающих от имени STARS International University®.

Политика охватывает все данные, которые компания хранит и которые относятся к идентифицируемым лицам, даже если эти данные технически не подпадают под действие Закона о защите данных. Это могут быть:

Имена физических лиц;

Почтовые адреса;

Адреса электронной почты;

Номера телефонов;

Любая другая информация, связанная с физическими лицами.

Риски, связанные с защитой данных

Данная политика помогает защищать STARS International University® от следующих рисков:

Нарушения конфиденциальности (например, неуместное раскрытие информации);
Нарушения права выбора (например, все лица должны иметь возможность выбирать, как их данные используются компанией);
Ущерб репутации (например, в случае успешной хакерской атаки на конфиденциальные данные).

Ответственность

Каждый, кто работает в STARS International University® или сотрудничает с университетом, несёт ответственность за обеспечение того, чтобы данные собирались, хранились и обрабатывались надлежащим образом. Каждая команда, работающая с персональными данными, должна гарантировать, что данные обрабатываются в соответствии с данной политикой и принципами защиты данных.

Однако за ключевые области ответственности отвечают следующие лица:

Руководящий состав несёт конечную ответственность за выполнение STARS International University® своих юридических обязательств.
Ответственное лицо по защите данных отвечает за:
Информирование руководящего состава о вопросах защиты данных, рисках и связанных проблемах;
Проверку процедур и политик защиты данных в согласованные сроки;
Организацию обучения и консультирования для всех, на кого распространяется данная политика;
Обработку запросов от сотрудников и других лиц, охваченных данной политикой;
Решение запросов от субъектов данных на доступ к их информации (так называемые «запросы на доступ к данным»);
Проверку и утверждение всех договоров с третьими сторонами, которые могут обрабатывать конфиденциальные данные университета.

Менеджер по IT

Отвечает за (включая обязанности ответственного лица по защите данных на локальном уровне):

Обеспечение того, чтобы все системы, сервисы и оборудование, используемые для хранения данных, соответствовали стандартам безопасности;
Регулярную проверку и сканирование аппаратного и программного обеспечения для обеспечения их надёжной работы;
Оценку сторонних сервисов, которые компания рассматривает для хранения или обработки данных (например, облачных сервисов).

Менеджер по маркетингу

Отвечает за :

Утверждение заявлений о защите данных, прикрепляемых к коммуникациям, таким как электронные письма и письма;
Решение запросов о защите данных от журналистов или медиа;
Обеспечение соблюдения инициативами в области маркетинга принципов защиты данных.

Общие рекомендации для сотрудников

Только те сотрудники, которым необходим доступ к данным для выполнения своей работы, могут иметь доступ к информации, подпадающей под действие данной политики.

Данные не должны распространяться неофициально. Для получения доступа к конфиденциальной информации сотрудники должны обратиться к своим руководителям. STARS International University® предоставляет обучение для всех сотрудников, чтобы помочь им понять их ответственность при обработке данных.

Сотрудники должны обеспечивать защиту всех данных, принимая разумные меры предосторожности и следуя следующим рекомендациям:

Использовать надёжные пароли, которые никогда не должны передаваться другим лицам;

Личные данные не должны раскрываться неуполномоченным лицам внутри или вне компании;

Данные должны регулярно проверяться и обновляться, если они устарели. Если данные больше не нужны, они должны быть удалены или уничтожены.

В случае сомнений сотрудники должны обращаться за помощью к своим руководителям или ответственному лицу по защите данных

Хранение данных

Бумажные документы или файлы должны храниться в безопасном месте, где неавторизованные лица не могут их увидеть.
Когда документы не используются, они должны быть заперты в ящике или шкафу.
Бумажные документы и распечатки не должны оставаться там, где их могут увидеть посторонние, например, на принтере.
Распечатки данных должны быть уничтожены в шредере, если они больше не нужны.

Использование данных

Персональные данные не имеют ценности для STARS International University®, если компания не может их использовать. Однако использование данных связано с наибольшими рисками их потери, порчи или кражи:

При работе с персональными данными сотрудники должны следить за тем, чтобы экраны их компьютеров всегда блокировались при оставлении без присмотра.
Персональные данные не должны передаваться неофициально. В частности, их нельзя отправлять по электронной почте, так как этот способ передачи данных не является безопасным.
Данные должны быть зашифрованы перед передачей в электронном виде. Менеджер по ИТ может объяснить, как передавать данные уполномоченным внешним контактам.
Персональные данные никогда не должны передаваться за пределы Европейской экономической зоны.
Сотрудники не должны сохранять копии персональных данных на своих компьютерах. Доступ и обновление данных должны происходить только из центральной базы.

Раскрытие данных по другим причинам

В некоторых случаях Закон о защите данных допускает раскрытие персональных данных правоохранительным органам без согласия субъекта данных. В таких случаях STARS International University® раскроет запрашиваемые данные. Однако ответственное лицо по защите данных должно убедиться в легитимности запроса, обратившись за поддержкой к совету директоров и юристам компании, если это необходимо.

Предоставление информации

STARS International University® стремится обеспечить осведомлённость физических лиц о том, что их данные обрабатываются, и понимание ими следующих аспектов:

Как используются их данные;
Как они могут реализовать свои права.

С этой целью в университете действует положение о конфиденциальности, в котором излагается порядок использования университетом данных, касающихся отдельных лиц.

SIU/003-DP; Revision №: 01; Date: 16.03.2021