Вопросы и ответы по обязательствам стороны, занимающейся обработкой данных

1

Часто задаваемые вопросы

  1. Существует ли в вашей компании опубликованное заявление/уведомление о конфиденциальности, которое доступно для просмотра?
    • Официальное заявление о конфиденциальности HP можно найти на веб-страницах на сайте hp.com. Можно найти список заявлений на различных языках ЗДЕСЬ.

  1. Ведете ли вы журнал по всем выполняемым операциям?
    • Компания HP постоянно обновляет журнал выполняемых операций. Мы внедрили средства управления конфиденциальностью и ведения учета для ведения документации по многим операциям, на которые распространяются нормативные требования, включая журнал обработки, оценки влияния защиты данных, а также встроенные функции для обеспечения конфиденциальности.

  1. В каких географических регионах вы планируете предоставлять услуги? Передаете ли вы персональные данные в другие страны за пределы ЕЭЗ?
    • HP является глобальной компанией, и во многих наших бизнес-процессах используется глобальная операционная модель. Персональные данные, предоставляемые компании HP, могут передаваться в другой штат или страну с целью консолидации данных, хранения, упрощения управления информацией о заказчиках. Любой доступ к персональным данным или передача их через границы штата или государства должны осуществляться в соответствии с действующим местным законодательством и требованиями контракта. Компания HP участвует во многих программах, которые предполагают международную передачу персональных данных в представительства HP по всему миру. Чтобы подробнее узнать о нашем участии в этих программах, обратитесь к разделу Заявление HP о конфиденциальности.

  1. Используете ли вы законные механизмы для передачи данных?
    • В соответствии с требованиями GDPR, компания HP использует утвержденные механизмы передачи данных.
      • Как контролер данных компания HP утвердила обязательные корпоративные правила, которые призваны обеспечить адекватные гарантии того, что персональные данные сотрудников, поставщиков и клиентов HP остаются защищенными во время передачи в любую из компаний HP. Благодаря обязательным корпоративным правилам компания HP входит в список, включающий менее 100 компаний по всему миру, которые признаны органом ЕС по надзору за соблюдением законодательства о защите персональных данных. Получить дополнительную информацию и проверить обязательные корпоративные правила HP можно ЗДЕСЬ.
      • В организации Азиатско-тихоокеанского экономического сотрудничества (АТЭС), в которую входит 21 стран, внедрена система международных правил конфиденциальности, которая обеспечивает защиту конфиденциальности передаваемых персональных данных внутри региона. Способы обеспечения конфиденциальности, применяемые компанией HP, соответствуют системе правил трансграничной конфиденциальности АТЭС (СПТК), в том числе требованиям к прозрачности, контролируемости и предоставлению пользователям выбора в отношении сбора и использования их персональных данных. Получить дополнительную информацию о правилах трансграничной конфиденциальности и проверить участие компании HP можно ЗДЕСЬ.
      • Компания HP также прошла самостоятельную сертификацию по программе защиты конфиденциальности передаваемых данных между ЕС и США. Получить дополнительную информацию о программе и проверить участие в ней компании HP можно ЗДЕСЬ.
      • Чтобы подробнее узнать о нашем участии в этих программах, обратитесь к разделу Заявление HP о конфиденциальности.

  1. Существует ли в вашей компании менеджер по защите данных и обеспечения конфиденциальности или аналогичная должность?
    • Руководитель службы обеспечения конфиденциальности информации и защиты данных HP вместе со своими сотрудниками уполномочен обеспечить соблюдение DPR и других законов по обеспечению конфиденциальности и защите данных во всем мире. Представители службы обеспечения конфиденциальности HP находятся в Европейском союзе и выступают в качестве контактных лиц для субъектов данных и представителей органов по защите данных в ЕС.

  1. Имеется ли у вас официальный документ с планом управления инцидентами в области безопасности, включая похищение персональных данных?
    • Компания HP установила и строго следует процедурам по обеспечению безопасности и конфиденциальности, которые способствуют повышению информационной, физической безопасности, а также информированности пользователей по вопросам конфиденциальности.
    • Инциденты в области безопасности, независимо от того, связаны ли они с физическим проникновением, технологиями или похищением информации, анализируются в основном с помощью процедуры глобальных отчетов по инцидентам. После получения отчета по инциденту группа направляет его ответственному лицу в HP, и все стороны следуют определенным процедурам для инцидентов каждого типа. Эти процедуры составляются на основе передовых отраслевых практик, юридических требований и спецификаций заказчиков по каждому контракту.
    • Обо всех инцидентах в области кибербезопасности необходимо сообщать в отдел HP Cybersecurity в соответствии с процедурой, для которой предоставляется ежедневная круглосуточная оперативная поддержка. Компания HP документально описала процедуру эскалации для управления инцидентами безопасности, однако, в целом, после получения отчета по инциденту компания HP немедленно реализует протоколы действий по устранению и проводит тщательное расследование, чтобы выяснить, имел ли место какой-либо несанкционированный доступ. В случае выявления фактов несанкционированного доступа к персональным данным инцидент передается в отдел HP Privacy Office, Глобальный комитет по юридическим вопросам и другим внутренним заинтересованным лицам в HP, которые будут принимать решения относительно решения и уведомления.

  1. Обладаете ли вы полномочиями оказывать помощь заказчикам по запросам, связанным с субъектами данных, и существует ли формально описанная процедура реализации их прав субъектом данных?
    • Отдельные лица могут реализовывать свои права, отправлять запросы по вопросам конфиденциальности или подавать жалобы путем обращения в отдел защиты конфиденциальности HP.
    • В тех случаях, когда компания HP выполняет обработку персональных данных от имени заказчиков, за рядом некоторых ограничений, компания HP поможет своим заказчикам удовлетворить свои обязательства ответить на запросы от субъектов данных, которые хотят реализовать свои права в соответствии требованиями контракта.

  1. Существует ли в вашей компании стандарт или политика в отношении конфиденциальности данных, которая соответствуют действующему законодательству в области защиты данных для юрисдикции, где работает ваша компания?
    • Компания HP давно занимает лидирующие позиции в отрасли в области конфиденциальности и защиты данных; благодаря нашим надежным продуктам, программному обеспечению и услугам безопасности мы поддерживаем наших заказчиков и партнеров в деле защиты персональных данных и помогаем им обеспечить соблюдение нормативных требований. В компании HP действуют внутренние политики, которые описывают правила доступа, обеспечение безопасности и достоверности персональных данных, запрещают предоставление персональных данных третьим сторонам без соблюдения предписанной процедуры. Одним из приоритетов для компании HP является понимание требований заказчиков в области безопасности и конфиденциальности и организация процессов, позволяющих предоставлять продукты и услуги в соответствии с потребностями заказчиков в области соблюдения нормативных требований.

  1. Предлагается ли в вашей компании обучение сотрудников по вопросам соблюдения конфиденциальности?
    • Постоянные и временные сотрудники HP ежегодно проходят обучение деловой этике, одним из основных компонентов которого является конфиденциальность и защита данных. Сотрудникам, выполняющим определенные должностные функции, связанные с регулярной обработкой персональных данных или «по мере необходимости» при выполнении определенных бизнес-операций, может также потребоваться пройти дополнительное обязательное обучение.

  1. Обязаны ли поставщики HP обеспечивать защиту персональных данных при выполнении обработки этих данных от имени HP?
    • Компания HP требует, чтобы третьи стороны, включая поставщиков и партнеров, занимающиеся обработкой персональных данных от имени HP, по контракту были обязаны защищать все персональные данные, которые они получили от нас, и им запрещается использовать персональные данные для любых целей, кроме как для предоставления услуг в соответствии с инструкциями HP. Компания HP также внедрила оценку соблюдения требований в зависимости от риска для поставщиков, которые занимаются обработкой данных HP или заказчиков HP.

  1. Внедряете ли вы встроенные функции обеспечения конфиденциальности и оценку влияния на конфиденциальность данных в процесс разработки систем и продуктов?
    • Мы используем встроенные функции по обеспечению конфиденциальности в своих операциях, чтобы гарантировать разработку и внедрение продукции, услуг, веб-сайтов, систем и приложений HP только после тщательного рассмотрения потенциальных последствий несоблюдения конфиденциальности. Еще одним очень важным процессом является Оценка влияния защиты данных. В ходе этого процесса мы оцениваем риски нарушения прав отдельных лиц, а также документально фиксируем принимаемые решения по определенных операциям обработки.

  1. Что делает компания HP, чтобы поддержать наших заказчиков в деле защиты персональных данных и помочь им обеспечить соблюдение нормативных требований?
    • Мы применяем меры безопасности по отношению к данным, которые мы обрабатываем для наших заказчиков. Как поставщик технических услуг и услуг правления для печатных и персональных систем компания HP стремится выполнять свои обязательства и обеспечивать защиту персональных данных, которые мы обрабатываем для наших заказчиков. Мы изменяем несколько наших предложений по услугам для заказчиков, чтобы обеспечить их соответствие стандарту на сертификацию ISO 27001, включая расширение области сертификации и добавление предложений в области управляемых услуг печати и устройств как услуги.
    • Компания HP также внедрила платформу управления конфиденциальностью, включающую более 100 отдельных операций, связанных с обеспечением соответствия требованиям Общих положений о защите данных. Данная платформа управления составляет основу нашей программы по обеспечению конфиденциальности и защиты данных. Данная платформа управления прошла независимую оценку на основе юридических требований и отраслевых стандартов.

5

Ссылки на связанные документы: