Посмотреть меню юридических вопросов

Политика конфиденциальности

1. Введение

Для получения версий на немецком и французском языках см. Другие формы и документы — Региональные документы

1.1 В целях обслуживания клиентов компании Saxo Bank A/S (далее — «Saxo Bank», «мы» и его формы) требуется осуществлять сбор персональных данных наших клиентов и (или) потенциальных клиентов, а также сотрудников.

В свете вышесказанного Saxo Bank стремится обеспечить высокий уровень защиты данных, поскольку конфиденциальность является ключевым фактором обретения и сохранения доверия наших клиентов, сотрудников и поставщиков, а значит, и обеспечения успешной работы Saxo Bank в будущем.

Обеспечение высокого уровня защиты персональных данных требует внедрения соответствующих технических и организационных мер. Saxo Bank внедрил ряд внутренних и внешних политик защиты данных, которые обязаны соблюдать сотрудники Saxo Bank.

Помимо этого, Saxo Bank обязуется отслеживать, проверять и документировать внутреннее соблюдение политик защиты данных и соответствующих установленных законом требований в области защиты данных, включая Общий регламент в области защиты данных («GDPR»).

Saxo Bank также обязуется принимать необходимые меры для более полного соблюдения требований в области защиты данных внутри организации. Такие меры включают распределение обязанностей, информирование и обучение персонала, который участвует в операциях по обработке данных. Учтите, что политика конфиденциальности время от времени будет пересматриваться для учета любых новых обязательств. Хранение и обработка персональных данных будут регулироваться нашей последней политикой.

Настоящая политика конфиденциальности совместно с рекомендациями по обработке персональных данных представляет собой общую структуру обработки персональных данных в Saxo Bank.

1.2 «Персональные данные» означает любую информацию, которая может относиться к идентифицированному или идентифицируемому физическому лицу («субъект данных»). Идентифицируемое физическое лицо — это лицо, которое можно идентифицировать, напрямую или опосредованно, в частности, по идентификатору, такому как имя, данные о местоположении, номер телефона, возраст, пол. Это могут быть сотрудник, претендент на должность, клиенты, поставщики и прочие деловые партнеры. Сюда также относятся особые категории персональных данных (данные личного характера) и конфиденциальная информация, такая как информация о состоянии здоровья, номер счета, идентификационный номер, данные о местоположении, онлайн-идентификатор и один или несколько факторов, характерных для физической, физиологической, генетической, ментальной, экономической, культурной или социальной идентичности такого физического лица.

1.3 Несмотря на то, что информация о компаниях или деловых предприятиях по сути не относится к персональным данным, следует учесть, что контактные данные в таких компаниях или деловых предприятиях, например имя, должность, адрес рабочей электронной почты, номер рабочего телефона и т. п., считаются персональными данными.

1.4 Saxo Bank собирает и использует персональные данные в различных законных деловых целях, включая установление и ведение взаимоотношений с клиентами и поставщиками, выполнение заявок на приобретение, прием на работу и управление всеми аспектами трудоустройства, обмен информацией, выполнение правовых обязательств или требований, исполнение договоров, предоставление услуг клиентам и т. п.

1.5 Персональные данные в любом случае будут:

  • обрабатываться на законных основаниях, должным образом и прозрачно по отношению к субъекту данных;
  • собираться в указанных явных и законных целях и не будут впоследствии обрабатываться в каких-либо иных целях, которые не соответствуют таковым;
  • соответствовать целям обработки, иметь отношение к ним и использоваться только в той мере, в какой это необходимо для таковых;
  • точными и, если необходимо, актуальными; необходимо принять все возможные меры для того, чтобы персональные данные, которые являются неточными в отношении целей обработки, удалялись или исправлялись в разумные сроки;
  • храниться в форме, обеспечивающей идентификацию субъектов данных только в течение срока, требуемого в целях, для которых выполняется обработка таких персональных данных;
  • обрабатываться таким образом, который обеспечивает безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки и от случайной утери, разрушения или повреждения, с применением соответствующих технических и организационных мер.

1.6 Saxo Bank обязуется нести ответственность за соблюдение вышеуказанного и быть в состоянии продемонстрировать такое соблюдение в рамках ответственности Saxo Bank.

2. Правовые основания для обработки персональных данных

2.1 Для обработки персональных данных требуется правовое основание. Наиболее частыми правовыми основаниями для обработки персональных данных в Saxo Bank являются:

  • согласие субъекта данных для одной или нескольких конкретных целей;
  • исполнение условий контракта, стороной которого является субъект данных;
  • правовое обязательство или требование;
  • законные интересы, преследуемые Saxo Bank;

2.2 Согласие

2.2.1 Если сбор, регистрация и последующая обработка персональных данных клиентов, поставщиков, прочих деловых партнеров и сотрудников основываются на согласии такого лица на обработку его персональных данных для одной или нескольких конкретных целей, Saxo Bank должен иметь возможность подтвердить, что субъект данных дал согласие на обработку таких персональных данных.

2.2.2 Согласие должно быть конкретным, недвусмысленным и предоставленным добровольно после получения необходимых разъяснений.
Субъект данных должен активным образом предоставить согласие на обработку его персональных данных посредством заявления или явного подтверждающего действия.

2.2.3 Запрос на согласие должен быть представлен таким образом, чтобы можно было четко отличить его от других вопросов, в четкой и легкодоступной форме с использованием простого и понятного языка.

2.2.4 Для обработки специальных категорий персональных данных (данные личного характера) согласие также должно быть явно выраженным.

2.2.5 Субъект данных имеет право отозвать свое согласие в любой момент, и после такого отзыва мы обязуемся прекратить сбор или обработку персональных данных такого лица, если мы не обязаны или не имеем права это делать на другом правовом основании.

2.3 Исполнение контракта:

2.3.1 Сбор и обработка персональных данных в связи с исполнением условий контракта, стороной которого является субъект данных, или для выполнения действий по запросу субъекта данных до подписания контракта являются законными. Это относится ко всем контрактным обязательствам и соглашениям, подписанным Saxo Bank, включая таковые в ходе предконтрактного периода, независимо от результата переговоров по подписанию контракта.

2.4 Выполнение правовых обязательств

2.4.1 Saxo Bank обязан выполнять различные правовые обязательства и требования, которые основаны на законодательстве Европейского союза или его стран-участниц. Подобные правовые обязательства, которые распространяются на Saxo Bank, могут выступать достаточным законным основанием для обработки персональных данных.

2.4.2 Подобные правовые обязательства включают обязательства сбора, регистрации и (или) предоставления определенных типов информации о сотрудниках, клиентах и т. п. Подобные правовые требования становятся для нас правовым основанием для обработки персональных данных, однако важно отметить, что положения, предоставляющие Saxo Bank право на обработку определенных персональных данных или требующие таковой, также устанавливают требования в отношении хранения, разглашения и удаления персональных данных.

2.5 Законные интересы

2.5.1 Данные будут обрабатываться только тогда, когда это требуется в целях законных интересов, преследуемых Saxo Bank, и такие интересы или фундаментальные права имеют преимущественное юридическое действие по отношению к правам субъекта данных. Принимая решение в отношении обработки данных, Saxo Bank убедится, что законные интересы имеют преимущественное юридическое действие по отношению к правам и свободам физического лица и что обработка не причинит незаконного ущерба. Например, обработка персональных данных потенциального клиента в целях расширения бизнеса и развития новых деловых отношений относится к законным интересам Saxo Bank. Субъекту данных необходимо предоставить информацию о конкретном законном интересе, если обработка основывается на настоящем положении. См. раздел 4.1 ниже.

3. Обработка и передача персональных данных

3.1 Saxo Bank в роли контролирующей организации, обрабатывающей персональные данные

3.1.1 Saxo Bank будет считаться контролирующей организацией, обрабатывающей персональные данные, в такой мере, чтобы мы могли принимать решение, каким образом будут обрабатываться персональные данные субъекта данных, например, когда субъект данных подписывает соглашение с Saxo Bank.

3.2 Использование обработчиков данных

3.2.1 Внешние обработчики данных — это компании, которые обрабатывают персональные данные от имени Saxo Bank и в соответствии с указаниями Saxo Bank, например в отношении систем учета кадров, сторонних поставщиков информационных технологий и т. п. Когда Saxo Bank привлекает для обработки персональных данных обработчиков данных, Saxo Bank требует, чтобы такие компании как минимум обеспечивали тот же уровень защиты данных, что и Saxo Bank. Если это условие не может быть гарантировано, Saxo Bank обязуется выбрать другого обработчика данных.

3.3 Соглашения по обработке данных

3.3.1 Перед передачей персональных данных обработчику данных Saxo Bank обязуется заключить письменное соглашение об обработке данных с обработчиком данных. Соглашение об обработке данных обеспечивает контроль со стороны Saxo Bank в отношении обработки персональных данных, которая осуществляется за пределами Saxo Bank и за которую Saxo Bank несет ответственность.

3.3.2 Если обработчик данных или сообработчик данных расположен за пределами ЕС/ЕЭЗ, применяются условия пункта 3.4.4, приведенного ниже.

3.4 Разглашение персональных данных

3.4.1 Прежде чем разглашать персональные данные другим лицам, Saxo Bank обязан определить, связан ли получатель с нами соглашениями о сотрудничестве. Кроме того, нам разрешается передавать персональную информацию внутри структуры Saxo Bank только в том случае, когда такое разглашение обосновано законной деловой целью.

3.4.2 Saxo Bank обязан обеспечить наличие у получателя законной цели для получения персональных данных и требовать, чтобы передача персональных данных была ограничена и сведена к необходимому минимуму.

3.4.3 Saxo Bank обязан проявлять осторожность при передаче персональных данных физическим лицам, субъектам данных или юридическим лицам за пределами структуры Saxo Bank. Персональные данные разрешается разглашать третьим сторонам, выступающим в качестве отдельных контролирующих организаций, обрабатывающих персональные данные, только если имеется законная цель для такой передачи. Если получатель выступает в качестве обработчика данных, см. пункт 3.2, приведенный выше.

3.4.4 Если сторонний получатель находится за пределами ЕС/ЕЭЗ в стране, в которой не обеспечивается соответствующий уровень защиты данных, передача данных разрешается только при условии заключения соглашения о передаче данных между Saxo Bank и третьей стороной. Соглашение о передаче данных должно быть основано на Типовых договорных пунктах ЕС.

4. Права субъектов данных

4.1 Обязательства в отношении информации

4.1.1 Когда Saxo Bank осуществляет сбор и регистрацию персональных данных субъектов данных, Saxo Bank обязан информировать таких лиц:

  • о целях обработки, для которых предназначены персональные данные, а также о правовом основании для обработки;
  • о затрагиваемых категориях персональных данных;
  • о законных интересах, преследуемых Saxo Bank, если обработка основана на балансе интересов;
  • о получателях или категориях получателей персональных данных при наличии таковых;
  • если применимо, о том, что Saxo Bank намерен передать персональные данные в третью страну, и о правовых основаниях для такой передачи;
  • о периоде, в течение которого будут сохраняться персональные данные, или, если это невозможно, критерий, используемый для определения такого периода;
  • о наличии права запросить у Saxo Bank доступ к персональным данным, исправление или удаление таковых, ограничить обработку в отношении субъекта данных или опротестовать обработку, а также права на перенос данных;
  • в случаях, когда обработка основана на согласии субъекта данных, о наличии права отозвать согласие в любой момент времени, не затрагивая законность обработки на основании согласия до отзыва такового;
  • о праве на подачу жалобы в Saxo Bank посредством надлежащей процедуры или в орган надзора;
  • о том, является ли предоставление персональных данных установленным законом или договорным требованием или требованием для заключения контракта, а также о том, обязан ли субъект данных предоставлять персональные данные, и о возможных последствиях отказа от предоставления таковых;
  • о наличии автоматического процесса принятия решений, включая профилирование, и предоставить содержательную информацию о применяемой логике, а также о важности и возможных последствиях такой обработки для субъекта данных.

4.2 Право доступа

4.2.1 Любое лицо, персональные данные которого обрабатывает Saxo Bank, включая, помимо прочего, сотрудников Saxo Bank, претендентов на должность, внешних поставщиков, потенциальных клиентов, деловых партнеров и т. п., имеет право запросить доступ к своим персональным данным, которые обрабатывает или хранит Saxo Bank.

4.2.2 Если Saxo Bank обрабатывает или хранит персональные данные о субъекте данных, субъект данных имеет право доступа к персональным данным и право знать причины обработки данных в соответствии с критериями, изложенными в пункте 4.1.1.

4.3 Субъект данных имеет право требовать от Saxo Bank исправления неточных персональных данных в отношении такого субъекта без неоправданных задержек.

4.4 Субъект данных имеет право требовать от Saxo Bank удалить персональные данные в отношении такого субъекта, а Saxo Bank обязан удалить персональные данные без неоправданных задержек, если не обязан сохранять какую-либо информацию в течение указанного периода времени согласно требованиям законодательства, например согласно требованиям финансовой инспекции или налоговых органов.

4.5 Субъект данных имеет право требовать от Saxo Bank ограничения обработки данных, если это применимо.

4.6 Субъект данных имеет право получить зарегистрированные персональные данные в структурированном, общепринятом и считываемом машиной формате, если это применимо.

4.7 Субъект данных имеет право в любое время опротестовать, с учетом конкретной персональной ситуации, обработку персональных данных в отношении такого субъекта, если обработка основана на балансе интересов, включая профилирование.

4.8 На любые запросы, получаемые от субъекта данных в отношении реализации прав, описываемых в данном пункте, следует отвечать в разумно кратчайшие сроки, но не позже 30 дней с момента получения таковых. Запросы следует немедленно перенаправлять в Центр обслуживания Saxo Bank. Специалист Saxo Bank, ответственный за защиту данных, обязан оказывать содействие Центру обслуживания в обработке запроса для соблюдения крайнего срока реагирования.

5. Специальная защита данных и защита данных по умолчанию

5.1 Новые продукты, услуги, технические решения и т. п. следует разрабатывать таким образом, чтобы они соответствовали принципам специальной защиты данных и защиты данных по умолчанию.

5.1.1 Специальная защита данных означает, что при разработке новых продуктов или услуг следует уделять должное внимание защите данных.

  • Saxo Bank обязуется принимать во внимание современный технический уровень, стоимость внедрения и характер, масштабы, контекст и цели обработки, а также риски различной степени вероятности и критичности в отношении прав и свобод физических лиц, обуславливаемых обработкой.
  • Saxo Bank обязуется как в момент определения способов обработки, так и в ходе собственно обработки применять соответствующие технические и организационные меры, например перевод в анонимную форму, которые предназначены для внедрения эффективным образом принципов защиты данных, таких как минимизация данных, и интеграции необходимых мер предосторожности в процесс обработки данных в целях соответствия требованиям защиты данных и защиты прав субъектов данных.

5.1.2 Защита данных по умолчанию требует внедрения соответствующих техник минимизации данных.

  • Saxo Bank обязуется применять соответствующие технические и организационные меры для того, чтобы по умолчанию обрабатывались только такие персональные данные, которые требуются для каждой конкретной цели обработки.
  • Подобное требование минимизации относится к объемам собираемых персональных данных, степени обработки, срокам хранения и доступности таковых.
  • Подобные меры призваны обеспечить предоставление доступа к персональным данным по умолчанию только после тщательного рассмотрения.

6. Записи процессов обработки

6.1 Saxo Bank в роли контролирующей организации, обрабатывающей персональные данные, обязуется сохранять записи процессов обработки, за которые отвечает Saxo Bank. В записях следует отражать следующую информацию:

  • имя и контактные данные;
  • цели обработки;
  • описание категорий субъектов данных и категорий персональных данных;
  • получателей, которым были или будут разглашены персональные данные, включая получателей в третьих странах или международных организациях;
  • если применимо, сведения о передачах персональных данных в третьи страны, включая указание такой третьей страны, и, если это относится к данному случаю, данные о соответствующих мерах предосторожности;
  • если применимо, предусмотренные временные ограничения по удалению различных категорий данных;
  • если применимо, общее описание применяемых технических и организационных мер безопасности.

6.1.1 Saxo Bank обязуется предоставлять записи в соответствующие органы в области защиты данных по запросу.

7. Удаление персональных данных

7.1 Saxo Bank обязуется удалять персональные данные, когда исчезает законная цель для продолжения обработки или хранения персональных данных или когда Saxo Bank больше не обязан хранить персональные данные в соответствии с применимыми требованиями законодательства.

7.2 Подробное описание периодов хранения в отношении различных категорий персональных данных приводится в политике сохранения и совместного использования данных Saxo Bank.

7.3 В соответствии с требованиям законодательства о персональных данных, клиенты и потенциальные клиенты Saxo Bank имеют право потребовать удалить или анонимизировать относящиеся к их счету в Saxo Bank персональные данные после того, как сотрудничество с Saxo Bank будет завершено.

7.4 Saxo Bank будет оценивать право на защиту персональных данных своих клиентов (потенциальных клиентов) с иными требованиями соответствующих нормативных документов. Регистрация персональных данных в системах Saxo Bank регулируется широким спектром требований со стороны законодательных актов — такими, как Акт о финансовых операциях, правила бухгалтерского учета, стандарты защиты клиентов и т. п.

7.5 Личные данные будут удалены или анонимизированы тогда, когда для их дальнейшего хранения не будет необходимых законных оснований. Стандартным сроком для удаления информации о клиентах считается текущий год плюс пять лет после окончания отношений с клиентом.

7.6 Для потенциальных клиентов Saxo Bank персональные данные, относящиеся к их отношениям с Saxo Bank, будут удалены или анонимизированы по их запросу как можно скорее, но следует иметь в виду, что для исполнения подобного запроса может потребоваться до одного месяца.

7.7 Персональная информация о клиентах (потенциальных клиентах), которые стали причиной убытков для Saxo Bank, может храниться более долгое время в целях защиты Saxo Bank от дальнейших убытков или в целях удовлетворения законных финансовых требований.

7.8 Как указанно выше, по окончанию любого подобного периода Saxo Bank окончательно удалит или анонимизирует все персональные данные.

8. Оценка рисков

8.1 Если обработка Saxo Bank персональных данных, вероятно, подвергает высокой степени риска тех лиц, чьи персональные данные обрабатываются, следует провести оценку воздействия защиты данных («DPIA»).

8.1.1 Проведение DPIA подразумевает, что Saxo Bank, учитывая характер, масштаб, контекст и цели обработки, а также риски различной степени вероятности и критичности в отношении прав и свобод физических лиц, применит соответствующие технические и организационные меры для проведения обработки в соответствии с требованиями защиты данных и будет в состоянии продемонстрировать таковое.

8.2 Технические и организационные меры должны пересматриваться и обновляться по мере необходимости, но не реже, чем один раз в шесть месяцев.

8.2.1 Соблюдение утвержденных правил поведения или утвержденных механизмов сертификации может использоваться в качестве элемента демонстрации соблюдения соответствующих технических и организационных мер в соответствии с данным пунктом.

9. Профилирование

9.1 «Профилирование» в контексте этой политики конфиденциальности является автоматическим процессом анализа персональных данных с целью оценки или прогнозирования поведения человека. Saxo Bank может использовать профилирование в следующих обстоятельствах:

  • Для оказания помощи в выявлении потенциальных случаев финансовых преступлений;
  • Для предоставления клиентам и потенциальным клиентам информации о продуктах Saxo Bank и услугах, которые могут их заинтересовать;
  • Для оценки кредитоспособности.

10. Национальные требования

10.1 Saxo Bank обязуется соблюдать как GDPR, так и законы о защите данных на уровне стран.

10.2 Если применимое национальное законодательство требует более высокого уровня защиты персональных данных, чем политики или рекомендации Saxo Bank, следует соблюдать такие более строгие требования. Если политики или рекомендации Saxo Bank более строгие, чем местное законодательство, следует соблюдать наши политики или рекомендации.

11. Контактные данные и сведения о подаче жалоб

11.1 Если у вас возникнут вопросы в отношении содержимого настоящей политики, свяжитесь со специалистом Saxo Bank, ответственным за защиту данных, по адресу privacy@saxobank.com.

11.2 Если вы хотите подать жалобу в отношении обработки Saxo Bank персональных данных, обратитесь в Агентство в области защиты данных Дании.