Запитання й відповіді про зобов’язання обробника

1. Чи опублікувала ваша компанія повідомлення або положення про конфіденційність?

• Офіційне Положення про конфіденційність HP опубліковано на веб-сторінках hp.com. Перелік положень різними мовами наведено ТУТ.

2. Чи реєструє ваша компанія всі дії з обробки?

• HP веде й постійно оновлює журнал дій з обробки. Компанія HP впровадила засоби з метою забезпечення конфіденційності й ведення журналів для відповідності вимогам, зокрема журналів обробки, оцінювання впливу на захист даних і конфіденційності на рівні проектування.

3. Де розташовано об’єкти, за допомогою яких ваша компанія надає послуги? Чи передає ваша компанія особисті дані до інших країн за межами ЄЕЗ?

• HP є глобальною компанією, у багатьох наших бізнес-процесах використовується глобальна операційна модель. Компанія HP може передати особисті дані, які їй було надіслано, в інший регіон країни або за її межі з метою консолідації й зберігання даних, а також для спрощення керування інформацією про клієнтів. Будь-який доступ до особистих даних або їх передавання в інший регіон країни чи за кордон обов’язково відбувається з дотриманням застосовних місцевих законів і договірних зобов’язань. HP бере участь у кількох програмах, які дозволяють передавати за кордон особисті дані юридичним особам HP в усьому світі. Додаткові відомості про участь компанії HP в цих програмах наведено на веб-сторінці Положення про конфіденційність HP.

4. Чи є законними механізми передачі даних вашою компанією?

• Згідно з регламентом GDPR, компанія HP використовує ухвалені механізми передачі даних.
  • Як контролер даних компанія HP має ухвалені зобов’язуючі корпоративні правила, які гарантують, що особисті дані працівників, постачальників і клієнтів-споживачів HP захищені в разі передавання до будь-якої компанії HP. HP, як і раніше, входить до 100 компаній світу, що отримали визнання органів влади ЄС із питань захисту даних за свої зобов’язуючі корпоративні правила. Додаткові відомості й зобов’язуючі корпоративні правила HP наведено ТУТ.
  • Форум APEC (Азійсько-Тихоокеанське економічне співробітництво), що об’єднує 21 економіку, впроваджує систему міжнародних правил конфіденційності (CBPR). Ці правила забезпечують захист конфіденційності в разі передачі особистих даних у регіоні. Методи забезпечення конфіденційності HP відповідають системі CBPR APEC, зокрема вимогам щодо прозорості, звітності й вибору стосовно збирання та використання особистих даних. Додаткові відомості про CBPR і участь HP наведено ТУТ.
  • Компанія HP пройшла також самостійну сертифікацію за програмою EU/US Privacy Shield. Додаткові відомості про програму Privacy Shield і участь HP наведено ТУТ.
  • Додаткові відомості про участь компанії HP в цих програмах наведено на веб-сторінці Положення про конфіденційність HP.

5. Чи є у вашій компанії посада відповідального за захист і конфіденційність даних або аналогічна?

• Головний відповідальний за конфіденційність і захист даних у компанії HP повинен забезпечувати дотримання GDPR та інших законів про конфіденційність і захист даних у всьому світі. Представники служби забезпечення конфіденційності HP перебувають у Європейському Союзі й контактують із суб’єктами даних і органами влади з питань захисту даних, розташованими в ЄС.

6. Чи є у вашій компаній офіційний задокументований план із запобігання інцидентам безпеки, який включає питання порушення захисту особистих даних?

• Корпорація HP запровадила й підтримує процедури для забезпечення захищеності й конфіденційності інформації та фізичних об’єктів, а також для повідомлень про конфіденційність.
• Фізичні, технологічні й інформаційні інциденти безпеки опрацьовуються переважно за допомогою глобального процесу повідомлень про інциденти. Після отримання звіту про інцидент група передає його відповідальній стороні в HP, і всі сторони дотримуються затверджених процедур для кожного типу інцидентів. Ці процедури засновані на найкращих методах роботи в галузі, вимогах нормативно-правових актів і специфіці клієнта в межах певного договору.
• Про всі інциденти кібербезпеки повідомляють службі кібербезпеки HP відповідно до процесу з цілодобовою онлайновою підтримкою. У компанії HP передбачено задокументований процес ескалації для керування інцидентами безпеки, проте в загальному випадку після повідомлення про інцидент компанія HP негайно застосовує протоколи коригувальних дій і проводить ретельне розслідування з метою визначити, чи відбувся несанкціонований доступ. Якщо буде виявлено несанкціонований доступ до особистих даних, про інцидент повідомлять службу забезпечення конфіденційності HP, глобальну юридичну службу та інші внутрішні підрозділи HP, які приймуть рішення стосовно вирішення проблеми й сповіщення.

7. Чи може ваша компанія допомагати клієнтам з обробкою запитів суб’єктів даних і чи підтримує ваша компанія офіційно задокументований процес, щоб суб’єкти даних здійснювали свої права?

• Фізичні особи можуть здійснювати свої права, надсилати запити щодо конфіденційності або подавати скарги через службу забезпечення конфіденційності HP.
• Коли компанія HP обробляє особисті дані в інтересах клієнтів із дотриманням певних обмежень, вона допомагає клієнтам виконувати зобов’язання з реагування на запити від суб’єктів даних, що здійснюють свої права згідно з договірними вимогами.

8. Чи є у вашій компанії стандарт/політика забезпечення конфіденційності даних, що відповідає законам про захист даних, застосовним у тій юрисдикції, де працює ваша компанія?

• HP упродовж тривалого часу є лідером галузі з конфіденційності й захисту даних; окрім перевіреного асортименту продуктів, програмного забезпечення й служб для захищеності, наша компанія може допомагати клієнтам захищати особисті дані та відповідати вимогам. У компанії HP є внутрішні політики для забезпечення захищеності й точності особистих даних і доступу до них, а також заборонено поширювати особисті дані без виконання певних кроків. HP приділяє максимальну увагу розумінню вимог своїх клієнтів щодо конфіденційності й захищеності, а також упроваджує процеси, щоб надання продуктів і послуг допомагало клієнтам дотримуватися вимог законодавства.

9. Чи забезпечує ваша компанія навчання з питань конфіденційності для своїх працівників?

• Працівники й тимчасові робітники HP щороку проходять навчання з питань ділової етики. Ключовими елементами таких навчань є конфіденційність і захист даних. Для деяких посад, на яких потрібно працювати з особистими даними регулярно або за необхідності, щоб підтримувати певні бізнес-процеси, може знадобитися додаткове обов’язкове навчання.

10. Чи зобов’язані постачальники HP захищати особисті дані, якщо працюють із ними в інтересах HP?

• HP вимагає, щоб треті особи, зокрема постачальники й партнери, які обробляють особисті дані в інтересах HP, брали на себе договірні зобов’язання із захисту особистих даних, які вони отримують від HP. Третім особам забороняється використовувати особисті дані в будь-яких цілях, окрім надання послуг за інструкцією HP. Компанія HP впровадила також оцінювання відповідності вимогам на основі ризиків для постачальників, які працюють із даними HP або клієнтів HP.

11. Чи застосовуєте ви оцінювання конфіденційності на рівні проектування й вплив на конфіденційність даних під час розробки систем і продуктів?

• Ми посилюємо конфіденційність на рівні проектування у своїх операціях, щоб усі продукти, служби, сайти, системи й програми HP розроблялися та впроваджувалися тільки після ретельного аналізу можливих наслідків для конфіденційності. Іншим критично важливим процесом є оцінювання впливу на захист даних. За допомогою цього процесу компанія HP оцінює ризики для прав фізичних осіб і документує прийняття рішень щодо певних дій з обробки.

12. У який спосіб компанія HP допомагає своїм клієнтам захищати особисті дані й дотримуватися вимог законодавства?

• Компанія HP вживає певних заходів для захисту даних, які вона обробляє в інтересах клієнтів. Надаючи технічні послуги й послуги керування для друкувальних і персональних систем, компанія HP виконує свої зобов’язання й захищає всі особисті дані, які обробляє в інтересах своїх клієнтів. Компанія HP забезпечує, щоб кілька її пропозицій з обслуговування клієнтів відповідали стандарту сертифікації ISO 27001, зокрема розширює сферу сертифікації та додає до неї пропозицію служб керування друком і пропозицію пристрою як послуги.
• Компанія HP впровадила також платформу для контролю конфіденційності. Платформа охоплює понад 100 окремих видів діяльності, які стосуються дотримання регламенту GDPR. Ця платформа для контролю є ключовим елементом нашої програми забезпечення конфіденційності й захисту даних. Платформа для контролю пройшла незалежну зовнішню перевірку на основі вимог законодавства й стандартів галузі.