Booky business и GDPR – наша приверженность защите данных

Booky business стремится выполнять свои обязательства в соответствии с Общим регламентом защиты данных (GDPR).

GDPR представляет собой значительные изменения в европейском законодательстве о конфиденциальности данных за последние 20 лет. Он повышает уровень контроля граждан ЕС над своими личными данными и обязывает организации ужесточить меры конфиденциальности и защиты данных. Мы поддерживаем инициативу GDPR и рассматриваем ее как важный шаг вперед.

Наши клиенты могут быть уверены, что мы придаем высший приоритет соблюдению GDPR. Мы вложили значительные усилия в обеспечение соответствия GDPR за несколько месяцев до его вступления в силу (25 мая 2022 года). В этой статье мы хотели бы поделиться конкретными шагами и инициативами, которые мы приняли и продолжаем принимать для обеспечения выполнения наших обязательств по GDPR.

Инициатива «Дискавери» GDPR устанавливает множество требований по сбору, хранению и использованию персональных данных, и, следовательно, необходима идентификация и классификация данных о «субъектах данных».

Мы четко определили все персональные данные, которые мы собираем. Booky business представляет собой уникальный продукт с четко определенной областью применения. Персональные данные, которые мы собираем, четко описаны в нашей политике конфиденциальности. Мы собираем только те данные, которые считаем необходимыми для системы бронирования, обеспечивающей высокий уровень функциональности, надежности, безопасности и поддержки.

Отметим, что Booky business не обрабатывает и не хранит необработанные данные кредитных карт. Эти данные обрабатываются через платежный шлюз и никогда не сохраняются в инфраструктуре Booky business.

Некоторые персональные данные предоставляются ограниченному числу сторонних обработчиков данных, которые мы используем для поддержки и улучшения наших услуг. В соответствии со статьей 28 (3) GDPR мы заключили соответствующие соглашения об обработке данных со всеми этими сторонними обработчиками (включая Стандартные договорные положения ЕС, где это необходимо).

Мы провели классификацию конфиденциальности собираемых нами персональных данных Согласно пункту 51 GDPR, «Персональные данные, которые по своей природе являются особенно чувствительными в отношении основных прав и свобод, заслуживают особой защиты…». К таким данным относятся расовое или этническое происхождение, политические взгляды, религия или философские убеждения, членство в профсоюзе, генетические/медицинские данные, определенные виды фотографий и видео, здоровье и сексуальная жизнь, уголовные судимости и правонарушения, производительность труда, экономическое положение, личные предпочтения и интересы, надежность или поведение, а также местоположение или перемещения.

Мы осознанно не собираем такие чувствительные данные, и условия наших мероприятий явно запрещают заведениям вводить подобные данные в Booky business.

Инициатива «Управление» Согласно требованиям GDPR, мы четко информируем субъектов данных о целях сбора их персональных данных. Мы также обязуемся прекращать обработку по запросу, получать согласие при необходимости, отвечать на запросы об исправлении/удалении/переносе персональных данных и обеспечивать переносимость данных в удобочитаемом формате. Кроме того, мы обязуемся ограничивать обработку персональных данных по запросу.

Мы предоставляем субъектам данных прозрачную информацию о предполагаемой обработке персональных данных в нашей политике конфиденциальности.

Мы готовы прекратить/ограничить обработку по запросу. Наша политика конфиденциальности была обновлена с учетом того, что Booky business будет уважать права субъекта данных на прекращение или ограничение обработки его личных данных. Мы готовы сотрудничать и с самим субъектом данных, и с любыми связанными с ним «площадками», чтобы удовлетворить юридические требования к аудиту, налогообложению и бизнесу. При необходимости мы также пересылаем запрос любому из наших сторонних обработчиков.

Обратите внимание, что наша политика конфиденциальности также включает информацию о продолжительности хранения резервных копий данных и данных журналов, что гарантирует полное прекращение хранения и обработки по истечении соответствующего времени.

У нас существует законная основа для сбора и обработки персональных данных. Согласно пункту 32 GDPR, у нас уже имеется законная основа для сбора и обработки персональных данных, поскольку мы требуем «четкого утвердительного акта, устанавливающего свободно данное, конкретное, информированное и недвусмысленное указание субъекта данных на согласие с обработкой его персональных данных». Данное согласие в большинстве случаев предоставляется самим субъектом данных при первом взаимодействии с Booky business (например, при регистрации в системе или при бронировании места).

В более редких сценариях, где администраторы заведений создают пользователей вручную, они обязаны соблюдать наши условия, в которых указано, что они должны получить согласие от физического лица и предоставить доказательства такого согласия по запросу Booky business или надзорных органов. Мы рекомендуем администраторам площадок использовать механизм «приглашений» для управления процессом согласия между Booky business и пользователями.

Предоставление механизмов для упражнения прав субъектов данных Наша политика конфиденциальности теперь включает подробную информацию о том, как субъекты данных могут осуществить свои права в соответствии с GDPR.

Инициатива «Защита» Согласно требованиям GDPR, контроллеры данных должны гарантировать, что их деятельность и технологии построены с учетом принципов защиты данных, обеспечивают конфиденциальность, целостность и доступность персональных данных, а также обнаруживают и реагируют на утечки данных. Мы проектируем с защитой данных и конфиденциальностью по умолчанию.

Наша основная сервисная и хостинговая платформа Microsoft Azure регулярно проверяется на соответствие глобальным стандартам конфиденциальности данных и сетевой безопасности. Наша команда разработчиков и операционная группа уделяют особое внимание вопросам конфиденциальности и защиты данных при разработке новых функций и внесении изменений.

Мы гарантируем безопасность, конфиденциальность, целостность и доступность персональных данных, используя передовые технологические меры в рамках всего нашего стека услуг.

В нашем документе о защите и безопасности данных представлена подробная информация о применяемых нами технологических мерах для обеспечения безопасности и защиты данных во всех аспектах наших услуг. Мы стремимся к «глубокой защите», предусматривая несколько уровней избыточных мер безопасности, каждый из которых тщательно тестируется. Эти меры включают, среди прочего, прозрачное шифрование данных (TDE) в нашей базе данных и строгую связь HTTPS между клиентами и серверами на всех уровнях.

У нас в наличии передовые механизмы, которые помогут предотвратить утечку персональных данных и автоматически уведомить соответствующие органы при ее обнаружении. В соответствии с нашим документом о защите и безопасности данных, мы провели тщательный аудит производственной базы данных и внедрили расширенную систему обнаружения угроз, автоматически выявляющую аномальный доступ и потенциально уязвимые запросы, такие как SQL-инъекции. В случае возможного нарушения, наша оперативная группа моментально уведомляется, и мы обещаем уведомить субъектов данных, а также предоставить информацию регулирующим органам в течение 72 часов.

Мы выполняем регулярное тестирование безопасности нашего стека услуг. Наш текущий автоматизированный набор модульных, интеграционных, регрессионных и приемочных тестов охватывает все меры безопасности, реализованные в нашем стеке. Развертывание или обновление продукта не происходит, пока не будут успешно пройдены все автоматические тесты.

В некоторых случаях наши меры безопасности предоставляются нашим хостинг-провайдером, Microsoft Azure, и подвергаются проверке со стороны этого провайдера.

В конечном итоге, мы регулярно привлекаем независимых подрядчиков по обеспечению безопасности для оценки безопасности наших услуг, придавая высший приоритет исправлениям безопасности в рамках нашей методологии разработки.

Инициатива «Отчет» В соответствии с требованиями GDPR, мы поддерживаем аудиторский журнал для демонстрации нашего соблюдения нормативам. Этот журнал также ограничивает передачу данных в третьи страны, обеспечивая необходимые гарантии. Мы также активно отслеживаем и регистрируем передачу персональных данных сторонним поставщикам услуг.

Мы ведем учет запросов субъектов данных. Наш учет включает в себя характер запросов, таких как запросы на просмотр или исправление личных данных, а также документацию о результатах этих запросов. Эти записи могут быть предоставлены надзорным органам в случае необходимости, чтобы демонстрировать наше соблюдение GDPR.

Мы заключили соглашения об обработке данных с нашими сторонними поставщиками услуг. Для обеспечения соблюдения GDPR, мы подписали соглашения об обработке данных (DPA) с нашими сторонними поставщиками услуг (субобработчиками). Эти соглашения гарантируют, что наши субподрядчики также выполняют свои обязательства в соответствии с GDPR.

Loading spinner
Предыдущая статья
Как начать рассылки
Следующая статья
Надежность наших данных — наш приоритет