Политика конфиденциальности

1. Введение

1.1. В целях обслуживания клиентов компании Saxo Bank A/S (далее — «Saxo Bank», «мы» или «нас») требуется осуществлять сбор персональных данных наших клиентов и (или) потенциальных клиентов, а также сотрудников.

В свете вышесказанного Saxo Bank стремится обеспечить высокий уровень защиты данных, поскольку конфиденциальность является ключевым фактором сохранения доверия наших клиентов, сотрудников и поставщиков, а значит, и обеспечения успешной работы Saxo Bank в будущем.

Обеспечение высокого уровня защиты персональных данных требует внедрения соответствующих технических и организационных мер. Saxo Bank внедрил ряд внутренних и внешних политик защиты данных, которые обязаны соблюдать сотрудники Saxo Bank.

Помимо этого, Saxo Bank обязуется отслеживать, проверять и документировать внутреннее соблюдение политик защиты данных и соответствующих установленных законом требований по защите данных, включая Общий регламент по защите данных («GDPR»).

Saxo Bank также обязуется принимать необходимые меры для более полного соблюдения требований по защите данных внутри организации. Такие меры включают распределение обязанностей, информирование и обучение персонала, который участвует в операциях по обработке данных. Следует учесть, что настоящая политика конфиденциальности будет периодически пересматриваться с учетом новых обязательств. Использование любых персональных данных, будет регулироваться последней версией политики.

Настоящая политика конфиденциальности совместно с рекомендациями по обработке персональных данных представляет собой общую структуру обработки персональных данных в Saxo Bank.

1.2. «Персональные данные» означает любую информацию, которая может относиться к идентифицированному или идентифицируемому физическому лицу («субъект данных»). Идентифицируемое физическое лицо — это лицо, которое можно идентифицировать, напрямую или опосредованно, в частности, по идентификатору, такому как имя, данные о местоположении, номер телефона, возраст, пол. Это могут быть сотрудник, претендент на должность, клиенты, поставщики и прочие деловые партнеры. Сюда также относятся особые категории персональных данных (данные личного характера) и конфиденциальная информация, такая как информация о состоянии здоровья, номер счета, идентификационный номер, данные о местоположении, онлайн-идентификатор и один или несколько факторов, характерных для физической, физиологической, генетической, ментальной, экономической, культурной или социальной идентичности такого физического лица.

1.3. Несмотря на то что информация о компаниях или предприятиях по сути не относится к персональным данным, следует учесть, что контактные данные в таких компаниях или предприятиях, например имя, должность, адрес рабочей электронной почты, номер рабочего телефона и т. п., считаются персональными данными.

1.4. Saxo Bank собирает и использует персональные данные в различных законных деловых целях, включая установление и ведение взаимоотношений с клиентами и поставщиками, выполнение заявок на приобретение, прием на работу и управление всеми аспектами трудоустройства, обмен информацией, выполнение правовых обязательств или требований, исполнение договоров, предоставление услуг клиентам и т. п.

1.5. Персональные данные всегда должны:

  • обрабатываться на законных основаниях, должным образом и прозрачно по отношению к субъекту данных;
  • собираться в четко указанных и законных целях и не будут впоследствии обрабатываться в каких-либо иных целях, которые не соответствуют таковым;
  • соответствовать целям обработки, иметь отношение к ним и использоваться только в той мере, в какой это необходимо для таковых;
  • точными и, если необходимо, актуальными; необходимо принять все возможные меры, для того чтобы персональные данные, которые являются неточными в отношении целей обработки, удалялись или обновлялись в разумные сроки;
  • храниться в форме, обеспечивающей идентификацию субъектов данных только в течение срока, требуемого в целях, для которых выполняется обработка таких персональных данных;
  • обрабатываться таким образом, который обеспечивает безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки и от случайной утери, взлома или повреждения, с применением соответствующих технических и организационных мер.

1.6. Saxo Bank обязуется нести ответственность за соблюдение вышеуказанного и быть в состоянии продемонстрировать такое соблюдение в рамках ответственности Saxo Bank.

2. Правовые основания для обработки персональных данных

2.1. Обработка персональных данных требует правового основания. Наиболее превалирующими правовыми основаниями для обработки персональных данных в Saxo Bank являются:

  • согласие субъектов данных для одной или нескольких конкретных целей;
  • исполнение условий контракта, стороной которого является субъект данных;
  • правовое обязательство или требование;
  • законные интересы, преследуемые Saxo Bank.

2.2. Согласие

2.2.1. Если сбор, регистрация и последующая обработка персональных данных клиентов, поставщиков, прочих деловых партнеров и сотрудников основывается на согласии такого лица на обработку его персональных данных для одной или нескольких конкретных целей, Saxo Bank должен быть в состоянии продемонстрировать, что субъект данных дал согласие на обработку таких персональных данных.

2.2.2. Согласие должно быть конкретным, недвусмысленным и предоставленным добровольно после получения необходимых разъяснений.
Субъект данных должен четко предоставить согласие на обработку его персональных данных посредством заявления или явного подтверждающего действия.

2.2.3. Запрос на согласие должен быть представлен таким образом, чтобы можно было четко отличить его от других вопросов, в четкой и легкодоступной форме с использованием простого и понятного языка.

2.2.4. Для обработки специальных категорий персональных данных (данные личного характера) согласие также должно быть явно выраженным.

2.2.5. Субъект данных имеет право отозвать свое согласие в любой момент, и после такого отзыва мы обязуемся прекратить сбор и/или обработку персональных данных такого лица, если мы не обязаны или не имеем права это делать на другом правовом основании.

2.3. Исполнения контракта.

2.3.1. Сбор и обработка персональных данных в связи с исполнением условий контракта, стороной которого является субъект данных, или для выполнения действий по запросу субъекта данных до подписания контракта являются законными. Это относится ко всем контрактным обязательствам и соглашениям, подписанным Saxo Bank, включая таковые в ходе предконтрактного периода, независимо от результата переговоров по подписанию контракта.

2.4. Правовые обязательства

2.4.1. Saxo Bank обязан выполнять различные правовые обязательства и требования, которые основаны на законодательстве Европейского союза или его стран-участниц. Подобные правовые обязательства, которые распространяются на Saxo Bank, могут выступать достаточным законным основанием для обработки персональных данных.

2.4.2. Подобные правовые обязательства включают обязательства сбора, регистрации и (или) предоставления определенных типов информации о сотрудниках, клиентах и т. п. Подобные правовые требования становятся для нас правовым основанием для обработки персональных данных, однако важно отметить, что положения, предоставляющие Saxo Bank право на обработку определенных персональных данных или требующие таковой, также устанавливают требования в отношении хранения, разглашения и удаления.

2.5. Правомерные интересы

2.5.1. Данные будут обрабатываться только тогда, когда это требуется в целях законных интересов, преследуемых Saxo Bank, и такие интересы или фундаментальные права имеют преимущественное юридическое действие по отношению к правам субъекта данных. Saxo Bank обязуется, принимая решение в отношении обработки данных, убедиться, что законные интересы имеют преимущественное юридическое действие по отношению к правам и свободам физического лица и что обработка не причинит ущерба. Например, обработка персональных данных потенциального клиента в целях расширения бизнеса и развития новых деловых отношений относится к законным интересам Saxo Bank. Субъекту данных необходимо предоставить информацию о конкретном законном интересе, если обработка основывается на настоящем положении. См. раздел 4.1 ниже.

3. Обработка и передача персональных данных

3.1. Saxo Bank в роли контролирующей организации, обрабатывающей персональные данные

3.1.1. Saxo Bank будет считаться контролирующей организацией, обрабатывающей персональные данные, в такой мере, чтобы мы могли принимать решение, каким образом будут обрабатываться персональные данные субъекта данных, например, когда субъект данных подписывает соглашение с Saxo Bank.

3.2. Использование обработчиков данных

3.2.1. Внешние обработчики данных — это компании, которые обрабатывают персональные данные от имени Saxo Bank и в соответствии с указаниями Saxo Bank, например в отношении систем учета кадров, сторонних поставщиков информационных технологий и т. п. Когда Saxo Bank привлекает для обработки персональных данных обработчиков данных, Saxo Bank требует, чтобы такие компании как минимум обеспечивали тот же уровень защиты данных, что и Saxo Bank. Если это условие не может быть гарантировано, Saxo Bank обязуется выбрать другого обработчика данных.

3.3. Соглашения по обработке данных

3.3.1. Перед передачей персональных данных обработчику данных Saxo Bank обязуется заключить письменное соглашение об обработке данных с обработчиком данных. Соглашение об обработке данных обеспечивает контроль со стороны Saxo Bank в отношении обработки персональных данных, которая осуществляется за пределами Saxo Bank и за которую Saxo Bank несет ответственность.

3.3.2. Если обработчик данных или сообработчик данных расположен за пределами ЕС/ЕЭЗ, применяются условия пункта 3.4.4, приведенного ниже.

3.4. Разглашение персональных данных

3.4.1. Прежде чем разглашать персональные данные другим лицам, Saxo Bank обязан определить, связан ли получатель с нами соглашениями о сотрудничестве. Кроме того, нам разрешается передавать персональную информацию внутри структуры Saxo Bank только в том случае, когда такое разглашение основано на законной деловой цели.

3.4.2. Saxo Bank обязан обеспечить наличие у получателя законной цели для получения персональных данных и требовать, чтобы передача персональных данных была ограничена и сведена к необходимому минимуму.

3.4.3. Saxo Bank обязан проявлять осторожность при передаче персональных данных физическим лицам, субъектам данных или юридическим лицам за пределами структуры Saxo Bank. Персональные данные разрешается разглашать третьим сторонам, выступающим в качестве отдельных контролирующих организаций, обрабатывающих персональные данные, только если имеется законная цель для такой передачи. Если получатель выступает в качестве обработчика данных, см. пункт 3.2, приведенный выше.

3.4.4. Если сторонний получатель находится за пределами ЕС/ЕЭЗ в стране, в которой не обеспечивается соответствующий уровень защиты данных, передача разрешается только при условии заключения соглашения о передаче между Saxo Bank и третьей стороной. Соглашение о передаче должно быть основано на Типовых договорных пунктах ЕС.

4. Права субъектов данных

4.1. Обязательства в отношении информации

4.1.1. Когда Saxo Bank осуществляет сбор и регистрацию персональных данных субъектов данных, Saxo Bank обязан информировать таких лиц:

  • о целях обработки, для которых предназначены персональные данные, а также о правовом основании для обработки;
  • о затрагиваемых категориях персональных данных;
  • о законных интересах, преследуемых Saxo Bank, если обработка основана на балансе интересов;
  • о получателях или категориях получателей персональных данных при наличии таковых;
  • если применимо, о том, что Saxo Bank намерен передать персональные данные в третью страну, и о правовых основаниях для такой передачи;
  • о периоде, в течение которого будут сохраняться персональные данные, или, если это невозможно, критерий, используемый для определения такого периода;
  • о наличии права запросить у Saxo Bank доступ к персональным данным, исправление или удаление таковых, ограничить обработку в отношении субъекта данных или опротестовать обработку, а также права на переносимость данных;
  • в случаях, когда обработка основана на согласии субъекта данных, о наличии права отозвать согласие в любой момент времени, не затрагивая законность обработки на основании согласия до отзыва такового;
  • о праве на подачу жалобы в Saxo Bank посредством надлежащей процедуры или в орган надзора;
  • о том, является ли предоставление персональных данных установленным законом или договорным требованием или требованием для заключения контракта, а также о том, обязан ли субъект данных предоставлять персональные данные, и о возможных последствиях отказа от предоставления таковых;
  • о наличии автоматического процесса принятия решений, включая профилирование, и предоставить содержательную информацию о применяемой логике, а также о важности и возможных последствиях такой обработки для субъекта данных.

4.2. Право доступа

4.2.1. Любое лицо, персональные данные которого обрабатывает Saxo Bank, включая в том числе сотрудников Saxo Bank, претендентов на должность, внешних поставщиков, потенциальных клиентов, деловых партнеров и т. п., имеет право запросить доступ к своим персональных данным, которые обрабатывает или хранит Saxo Bank.

4.2.2. Если Saxo Bank обрабатывает или хранит персональные данные о субъекте данных, субъект данных имеет право доступа к персональным данным и право знать причины обработки данных в соответствии с критериями, изложенными в пункте 4.1.1.

4.3. Субъект данных имеет право требовать от Saxo Bank исправления неточных персональных данных в отношении такого субъекта без неоправданных задержек.

4.4. Субъект данных имеет право требовать от Saxo Bank удалить персональные данные в отношении такого субъекта, а Saxo Bank обязан удалить персональные данные без неоправданных задержек, если не обязан сохранять какую-либо информацию в течение указанного периода времени согласно требованиям законодательства, например согласно требованиям финансовой инспекции или налоговых органов.

4.5. Субъект данных имеет право требовать от Saxo Bank ограничения обработки, если это применимо.

4.6. Субъект данных имеет право получить зарегистрированные персональные данные в структурированном, общепринятом и считываемом машиной формате.

4.7. Субъект данных имеет право в любое время опротестовать, с учетом конкретной персональной ситуации, обработку персональных данных в отношении такого субъекта, если обработка основана на балансе интересов, включая профилирование.

4.8. На любые запросы, получаемые от субъекта данных в отношении реализации прав, описываемых в данном пункте, следует отвечать в разумно кратчайшие сроки, но не позже 30 дней с момента получения таковых. Запросы следует немедленно перенаправлять в Центр обслуживания Saxo Bank. Специалист Saxo Bank, ответственный за защиту данных, обязан оказывать содействие Центру обслуживания в обработке запроса для соблюдения крайнего срока реагирования.

5. Специальная защита данных и защита данных по умолчанию

5.1. Новые продукты, услуги, технические решения и т. п. следует разрабатывать таким образом, чтобы они соответствовали принципам специальной защиты данных и защиты данных по умолчанию.

5.1.1. Специальная защита данных означает, что при разработке новых продуктов или услуг следует уделять должное внимание защите данных.

  • Saxo Bank обязуется принимать во внимание современный технический уровень, стоимость внедрения и характер, масштабы, контекст и цели обработки, а также риски различной степени вероятности и критичности в отношении прав и свобод физических лиц, обуславливаемых обработкой.
  • Saxo Bank обязуется как в момент определения способов обработки, так и в ходе собственно обработки применять соответствующие технические и организационные меры, например перевод в анонимную форму, которые предназначены для внедрения эффективным образом принципов защиты данных, таких как минимизация данных, и интеграции необходимых мер предосторожности в процесс обработки в целях соответствия требованиям защиты данных и защиты прав субъектов данных.

5.1.2. Защита данных по умолчанию требует внедрения соответствующих техник минимизации данных.

  • Saxo Bank обязуется применять соответствующие технические и организационные меры, для того чтобы по умолчанию обрабатывались только такие персональные данные, которые требуются для каждой конкретной цели обработки.
  • Подобное требование минимизации относится к объемам собираемых персональных данных, степени обработки, срокам хранения и доступности таковых.
  • Подобные меры призваны обеспечить предоставление доступа к персональным данным по умолчанию только после тщательного рассмотрения.

6. Записи процессов обработки

6.1. Saxo Bank в роли контролирующей организации, обрабатывающей персональные данные, обязуется сохранять записи процессов обработки, за которые отвечает Saxo Bank. В записях следует отражать следующую информацию:

  • имя и контактные данные субъекта данных;
  • цели обработки;
  • описание категорий субъектов данных и категорий персональных данных;
  • получателей, которым были или будут разглашены персональные данные, включая получателей в третьих странах или международных организациях;
  • если применимо, сведения о передачах персональных данных в третьи страны, включая указание такой третьей страны и, если это относится к данному случаю, данные о соответствующих мерах предосторожности;
  • если применимо, предусмотренные временные ограничения по удалению различных категорий данных;
  • если применимо, общее описание применяемых технических и организационных мер безопасности.

6.1.1. Saxo Bank обязуется предоставлять записи в соответствующие органы по защите данных по запросу.

7. Удаление персональных данных

7.1. Saxo Bank обязуется удалять персональные данные, когда исчезает законная цель для продолжения обработки или хранения персональных данных или когда Saxo Bank больше не обязан хранить персональные данные в соответствии с применимыми требованиями законодательства.

7.2. Подробное описание периодов хранения в отношении различных категорий персональных данных приводится в политике сохранения и совместного использования данных Saxo Bank.

8. Оценка рисков

8.1. Если обработка Saxo Bank персональных данных, вероятно, подвергает высокой степени риска тех лиц, чьи персональные данные обрабатываются, следует провести оценку воздействия защиты данных («DPIA»).

8.1.1. Проведение DPIA подразумевает, что Saxo Bank, учитывая характер, масштаб, контекст и цели обработки, а также риски различной степени вероятности и критичности в отношении прав и свобод физических лиц, применит соответствующие технические и организационные меры для проведения обработки в соответствии с требованиями защиты данных и будет в состоянии продемонстрировать таковое.

8.2. Технические и организационные меры должны пересматриваться и обновляться по мере необходимости, но не реже, чем один раз в шесть месяцев.

8.2.1. Соблюдение утвержденных правил поведения или утвержденных механизмов сертификации может использоваться в качестве элемента демонстрации соблюдения соответствующих технических и организационных мер в соответствии с данным пунктом.

9. Профилирование

9.1. «Профилирование» в контексте настоящей Политики конфиденциальности - это использование автоматизированного процесса анализа персональных данных для оценки или прогнозирования поведения человека. Saxo Bank может использовать профилирование в следующих случаях:

  • помочь выявить потенциальные случаи финансовых преступлений;
  • предоставлять клиентам информацию о продуктах и услугах Saxo Bank, которые, могут представляют для них интерес;
  • для оценки кредитоспособности.
 

10. Национальные требования

10.1. Saxo Bank обязуется соблюдать как GDPR, так и локальные (национальные) законы о защите данных.

10.2. Если национальное законодательство требует более высокого уровня защиты персональных данных, чем GDPR, следует соблюдать более строгие требования. Если политики или рекомендации Saxo Bank более строгие, чем местное законодательство, следует соблюдать наши политики или рекомендации.

11. Контактные данные и сведения о подаче жалоб

11.1. Если у вас возникнут вопросы в отношении содержимого настоящей политики, свяжитесь со специалистом Saxo Bank, по электронному адресу support@accountservices.saxo.

11.2. Если вы хотите подать жалобу в отношении обработки Saxo Bank персональных данных, обратитесь в Агентство по защите данных Дании.