GDPR и защита данных

Мы полностью соответствуем требованиям GDPR и обеспечиваем высочайший уровень защиты ваших персональных данных.

Действует с: 25 мая 2018 года | Последнее обновление: 14 августа 2025 года

Содержание

1. Наши обязательства по GDPR

Zoravixo полностью привержена принципам Общего регламента по защите данных (GDPR) и обеспечивает соответствие всем требованиям европейского законодательства о защите данных.

Принципы GDPR, которым мы следуем

Законность и прозрачность

Обработка данных на законных основаниях с полной прозрачностью процессов

Ограничение целей

Сбор данных только для определенных, явных и законных целей

Минимизация данных

Обработка только необходимых для достижения целей данных

Точность данных

Поддержание актуальности и исправление неточных данных

Дополнительные принципы

  • Ограничение хранения: данные хранятся не дольше необходимого
  • Целостность и конфиденциальность: обеспечение безопасности данных
  • Подотчетность: способность продемонстрировать соответствие

2. Контролер данных

Zoravixo выступает в качестве контролера данных в соответствии с GDPR для всех персональных данных, обрабатываемых в рамках предоставления наших услуг.

Контактные данные контролера

Zoravixo
ul. Prosta 32
00-838 Warszawa, Poland

Email: dpo@zoravixo.com
Phone: +48 22 307 94 58

Уполномоченный по защите данных

В соответствии со статьей 37 GDPR мы назначили Уполномоченного по защите данных (DPO).

Email DPO: dpo@zoravixo.com
Почтовый адрес: тот же, что и у контролера

Роль контролера данных

Как контролер данных, мы:

  • Определяем цели и средства обработки персональных данных
  • Обеспечиваем соответствие принципам защиты данных
  • Реализуем технические и организационные меры
  • Отвечаем на запросы субъектов данных
  • Уведомляем о нарушениях защиты данных

3. Ваши права как субъекта данных

Согласно GDPR, вы имеете следующие права в отношении ваших персональных данных. Мы обязуемся обеспечить реализацию этих прав в полном объеме.

Право на информацию

Получение прозрачной информации о том, как мы используем ваши данные

Статья 13-14 GDPR

Право на доступ

Получение копии ваших персональных данных и информации об их обработке

Статья 15 GDPR

Право на исправление

Исправление неточных персональных данных без неоправданной задержки

Статья 16 GDPR

Право на удаление

Удаление персональных данных при определенных обстоятельствах

Статья 17 GDPR

Право на ограничение

Ограничение обработки при оспаривании точности или законности

Статья 18 GDPR

Право на портабельность

Получение данных в структурированном, машиночитаемом формате

Статья 20 GDPR

Право на возражение

Возражение против обработки на основании законных интересов

Статья 21 GDPR

Право на жалобу

Подача жалобы в надзорный орган по защите данных

Статья 77 GDPR

Как реализовать свои права

Подача запроса
  • Email: dpo@zoravixo.com
  • Форма на сайте
  • Письменное обращение
Сроки ответа
  • Стандартный срок: 30 дней
  • Сложные случаи: до 60 дней
  • Срочные запросы: до 72 часов

5. Защита данных по дизайну и по умолчанию

В соответствии со статьей 25 GDPR мы внедряем принципы защиты данных по дизайну и по умолчанию во все наши системы и процессы.

Технические меры

Шифрование

  • TLS 1.3 для передачи данных
  • AES-256 для хранения данных
  • End-to-end шифрование для чувствительных данных
  • Управление ключами HSM

Контроль доступа

  • Многофакторная аутентификация
  • Ролевое управление доступом (RBAC)
  • Принцип минимальных привилегий
  • Регулярная ротация паролей

Мониторинг

  • Логирование всех действий с данными
  • Системы обнаружения вторжений
  • Автоматические уведомления о подозрительной активности
  • Регулярные аудиты безопасности

Резервное копирование

  • Зашифрованные резервные копии
  • Географически распределенное хранение
  • Регулярное тестирование восстановления
  • Автоматизированные процедуры

Организационные меры

Управление персоналом

  • Проверка сотрудников при найме
  • Соглашения о конфиденциальности
  • Регулярное обучение по защите данных
  • Четкие процедуры доступа к данным

Процессы и политики

  • Политики защиты данных
  • Процедуры реагирования на инциденты
  • Регулярные оценки рисков
  • Аудиты соответствия GDPR

6. Международные передачи данных

При необходимости передачи персональных данных за пределы Европейской экономической зоны (ЕЭЗ) мы обеспечиваем соответствующий уровень защиты согласно главе V GDPR.

Механизмы передачи

Решения о адекватности

Передача в страны, признанные Европейской комиссией как обеспечивающие адекватный уровень защиты

Статья 45 GDPR

Стандартные договорные положения

Использование типовых договорных положений, утвержденных Европейской комиссией

Статья 46(2)(c) GDPR

Связывающие корпоративные правила

Внутренние правила группы компаний для международных передач

Статья 47 GDPR

Исключения

Специальные ситуации, требующие передачи данных без дополнительных гарантий

Статья 49 GDPR

Наши международные партнеры

Сервис Страна Механизм защиты Цель
Google Cloud США SCCs + DPA Хостинг и аналитика
AWS США SCCs + DPA Резервное копирование
Stripe США SCCs + DPA Обработка платежей

7. Реагирование на нарушения защиты данных

У нас разработана комплексная процедура реагирования на нарушения защиты персональных данных в соответствии со статьями 33-34 GDPR.

Процедура реагирования

1

Обнаружение

Выявление и документирование инцидента

2

Оценка

Анализ рисков и последствий

3

Уведомление

Уведомление регулятора и пользователей

4

Устранение

Меры по устранению и предотвращению

Уведомление надзорного органа

  • Срок: 72 часа с момента обнаружения
  • Исключение: если нарушение не влечет высокий риск
  • Содержание: описание инцидента, последствия, меры
  • Контакт: Польское управление по защите данных

Уведомление субъектов данных

  • Условие: высокий риск для прав и свобод
  • Срок: без неоправданной задержки
  • Способ: прямое уведомление или публичное сообщение
  • Язык: ясный и простой

8. Соответствие и сертификации

Мы постоянно работаем над обеспечением и подтверждением нашего соответствия требованиям GDPR и других стандартов защиты данных.

Текущие сертификации

ISO 27001

Международный стандарт по управлению информационной безопасностью

Статус: Сертифицированы | Обновление: Ежегодно

SOC 2 Type II

Аудит контролей безопасности, доступности и конфиденциальности

Статус: Сертифицированы | Обновление: Ежегодно

Программа соответствия GDPR

Регулярные аудиты

  • Ежемесячные внутренние аудиты
  • Ежеквартальные внешние оценки
  • Ежегодный комплексный аудит соответствия
  • Специальные аудиты при изменениях

Обучение персонала

  • Обязательное обучение GDPR для всех сотрудников
  • Специализированное обучение для DPO
  • Регулярные обновления и семинары
  • Тестирование знаний

Документация и записи

В соответствии со статьей 30 GDPR мы ведем подробные записи всех операций обработки данных:

  • Реестр операций обработки данных
  • Соглашения с обработчиками данных
  • Оценки влияния на защиту данных (DPIA)
  • Журналы согласий и их отзывов
  • Документация по нарушениям безопасности данных

9. Контакты по вопросам защиты данных

Уполномоченный по защите данных (DPO)

Наш DPO является вашим основным контактом по всем вопросам, связанным с защитой персональных данных и реализацией ваших прав согласно GDPR.

Email: dpo@zoravixo.com
Телефон: +48 22 307 94 58
Почтовый адрес:
Data Protection Officer
Zoravixo
ul. Prosta 32
00-838 Warszawa, Poland

Надзорный орган

Если вы не удовлетворены нашим ответом на ваш запрос, вы имеете право обратиться в надзорный орган по защите данных.

Urząd Ochrony Danych Osobowych
(Управление по защите персональных данных)

ul. Stawki 2
00-193 Warszawa, Poland

Телефон: +48 22 531 03 00
Email: kancelaria@uodo.gov.pl
Сайт: uodo.gov.pl

Время ответа на запросы

24ч

Подтверждение получения

30д

Стандартный ответ

72ч

Критические инциденты