Политика конфиденциальности

Политика конфиденциальности и защиты персональных данных

В соответствии со статьёй 13 Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в связи с обработкой персональных данных и о свободном обращении таких данных (далее — «GDPR»), а также статьёй 11 Органического закона Испании 3/2018 от 5 декабря о защите персональных данных и гарантии цифровых прав, сообщаем следующее:

Пользователю следует внимательно ознакомиться с настоящей Политикой конфиденциальности, составленной ясным и доступным языком для облегчения её понимания, чтобы Пользователь мог свободно, осознанно и добровольно принять решение о предоставлении компании SONNEIL (далее — «Компания») своих персональных данных либо персональных данных третьих лиц.

Информация об операторе персональных данных

  • Наименование: SONNEIL, S.L.
  • Идентификационный налоговый номер (NIF): B54788385
  • Юридический адрес: Muelle 8 Zona de Levante S/N – Puerto de Alicante, 03001 Аликанте, Испания
  • Электронная почта: info@sonneil.com
  • Канал по вопросам защиты данных: www.corporate-line.com/cnormativo-sonneil
  • Уполномоченный по защите данных (DPO): dpdexterno@bonetconsulting.com

Цели обработки, правовые основания и сроки хранения персональных данных

Компания обрабатывает персональные данные, предоставленные Пользователем, в следующих целях и в течение указанных ниже сроков хранения:

  • Управление предоставлением и исполнением заказанных услуг и/или поставкой приобретённых продуктов, а также подготовка, сопровождение и администрирование договоров, коммерческих предложений и проектов услуг, включая данные лиц, участие которых необходимо для этих целей. Правовым основанием обработки является исполнение договора либо принятие преддоговорных мер по запросу субъекта данных. Персональные данные будут храниться в течение всего срока действия договорных или преддоговорных отношений, а после их прекращения — в течение сроков, предусмотренных законодательством для возможного предъявления или защиты правовых требований.

  • Управление и рассмотрение сообщений, запросов, предложений, жалоб или уведомлений, поступающих через Внутреннюю систему информирования, в соответствии с Законом Испании 2/2023 от 20 февраля о защите лиц, сообщающих о нарушениях законодательства, и о борьбе с коррупцией. Такие сообщения могут передаваться в соответствующее подразделение для надлежащего рассмотрения и соблюдения применимых нормативных требований. Правовым основанием обработки является выполнение юридических обязательств Компании. Данные, связанные с полученными сообщениями и внутренними расследованиями, будут храниться в течение периода, необходимого и соразмерного для соблюдения законодательства о защите информаторов, но не более десяти лет. По истечении трёх месяцев с момента получения сообщения оно подлежит удалению, за исключением случаев, когда его сохранение необходимо для подтверждения существования и функционирования Системы либо требуется в рамках иных нормативных обязательств. В таких случаях личность информатора будет обезличена и храниться отдельно с применением соответствующих мер безопасности.

  • Направление информационных сообщений о продуктах или услугах, аналогичных тем, которые уже были приобретены Клиентом. Правовым основанием обработки является законный интерес Компании в рамках существующих договорных отношений, при условии что такие сообщения касаются собственных аналогичных продуктов или услуг Компании и что получателю гарантируется возможность отказаться от их получения при каждом отправлении. В отношении электронных сообщений обработка осуществляется на основании статьи 21.2 Закона Испании 34/2002 об услугах информационного общества и электронной коммерции. Персональные данные будут храниться до момента реализации права на возражение или отказа от получения таких сообщений.

  • В рамках управления трудовыми отношениями Компания может обрабатывать персональные данные работников, кандидатов на вакансии и иных лиц, связанных с деятельностью организации, для следующих целей:

    • Управление трудовыми отношениями, включая заключение, исполнение и прекращение трудового договора, а также ведение кадрового, бухгалтерского и расчётного учёта.
    • Учёт рабочего времени, контроль посещаемости и соблюдения установленного рабочего графика.
    • Организация и проведение обязательного или необходимого обучения для выполнения должностных обязанностей.
    • Выполнение обязательств в области охраны труда, медицинского наблюдения и управления психосоциальными рисками.
    • Реализация контрольных полномочий работодателя в соответствии с трудовым законодательством и статьёй 20.3 Статута работников Испании.
    • Организация внутренней коммуникации, необходимой для надлежащего осуществления трудовой деятельности, включая операционные уведомления, предупреждения, предоставление доступа к корпоративным инструментам и документации. Такие сообщения могут направляться через личные контактные данные, предоставленные работником, если это необходимо для трудовых отношений, приоритетно используя корпоративные каналы связи при их наличии.
    • Проверка отсутствия конфликта интересов либо иных обстоятельств, способных поставить под угрозу добросовестность, безопасность или соблюдение нормативных требований Компанией.
    • Обеспечение соблюдения принципов равенства, недискриминации, предотвращения домогательств и защиты уязвимых групп в рабочей среде.
    • Использование изображений работников в корпоративных или информационных целях при наличии предварительно полученного явного согласия.

    Правовым основанием указанных видов обработки, в зависимости от их характера, является исполнение трудового договора (статья 6(1)(b) GDPR), выполнение юридических обязательств (статья 6(1)(c) GDPR), законный интерес Компании (статья 6(1)(f) GDPR) либо согласие субъекта данных (статья 6(1)(a) GDPR). Персональные данные хранятся в течение срока трудовых отношений и после их прекращения — в течение сроков, установленных законодательством.

  • Направление рекламных сообщений, информационных бюллетеней (newsletters) и иных маркетинговых рассылок, если такие сообщения не основаны на существующих договорных отношениях, указанных выше. Правовым основанием является свободное, конкретное, информированное и однозначное согласие субъекта данных. Персональные данные будут храниться до отзыва согласия либо отказа от получения соответствующих сообщений.

  • Приём и рассмотрение заявок кандидатов, резюме и процедур подбора персонала, включая инициативные обращения через веб-сайт или контактный адрес электронной почты, а также их использование для текущих или будущих вакансий, соответствующих профилю кандидата. Правовым основанием обработки является согласие кандидата, выраженное путём направления своей кандидатуры. Персональные данные будут храниться до отзыва согласия и в любом случае не более одного года с даты получения резюме.

  • Обеспечение безопасности лиц, имущества и объектов посредством систем видеонаблюдения. Правовым основанием обработки является законный интерес Компании по защите своих объектов, сотрудников и имущества. Видеозаписи, как правило, хранятся не более 30 дней с момента их получения, за исключением случаев, когда более длительное хранение необходимо для подтверждения противоправных действий в отношении лиц, имущества или объектов либо для выполнения требований законодательства.

  • Управление профессиональными отношениями с поставщиками, подрядчиками, партнёрами и иными третьими лицами, включая ведение коммерческих, административных, бухгалтерских и расчётных отношений, связанных с услугами, приобретаемыми Компанией. Правовым основанием является исполнение договора и выполнение юридических обязательств. Персональные данные хранятся в течение срока, необходимого для управления договорными отношениями, а затем — в течение сроков, предусмотренных законодательством.

  • Управление и контроль внутренних механизмов, политик и процедур соблюдения нормативных требований, включая мероприятия по внутреннему контролю, предупреждению, выявлению и расследованию нарушений законодательства либо внутренних правил Компании. Правовым основанием является выполнение юридических обязательств, а также, при необходимости, общественный интерес или законный интерес Компании в обеспечении соблюдения нормативных требований и организационной добросовестности.

  • Рассмотрение запросов на осуществление прав субъектов данных в сфере защиты персональных данных, поступающих через специально созданный Компанией канал. Правовым основанием является выполнение юридической обязанности оператора персональных данных.

  • Управление и рассмотрение сообщений, связанных с предотвращением и противодействием домогательствам, насилию либо иным особо серьёзным формам поведения, особенно затрагивающим группы, пользующиеся особой защитой, включая трансгендерных лиц, представителей ЛГБТИ-сообщества и несовершеннолетних, а также проведение необходимых внутренних процедур по таким вопросам.

  • Выполнение юридических обязательств Компании в области коммерческого, налогового, бухгалтерского, административного, трудового законодательства, законодательства о противодействии отмыванию денежных средств, защиты персональных данных и иных применимых нормативных актов.

  • Кроме того, Компания может обрабатывать персональные данные для любых иных целей, необходимых для выполнения юридических обязательств или специальных нормативных требований, применимых к её деятельности.

Персональные данные, как правило, предоставляются непосредственно субъектом данных. Однако в отдельных случаях данные могут поступать от третьих лиц, связанных с субъектом данных, включая клиентов, партнёрские организации и поставщиков, а также из общедоступных источников, если это допускается законодательством. В таких случаях субъект данных будет проинформирован в порядке, предусмотренном статьёй 14 GDPR.

Получатели персональных данных и международная передача данных

Компания может передавать персональные данные субъекта следующим категориям получателей, если такая передача необходима для достижения целей обработки и основана на соответствующем правовом основании:

  • Компетентным государственным органам, таким как органы социального обеспечения, Государственное налоговое агентство Испании, органы, осуществляющие управление субсидиями, или Прокуратура, если передача персональных данных необходима для выполнения юридических обязательств Компании.
  • Организациям, сотрудничающим с системой социального обеспечения, службам охраны труда и профилактики профессиональных рисков либо иным аналогичным организациям, когда это необходимо для выполнения обязательств в сфере трудовых отношений, безопасности и охраны здоровья работников.
  • Законным представителям работников, включая производственные советы, профсоюзы и представителей по вопросам охраны труда, в случаях, предусмотренных трудовым законодательством.
  • Клиентам или организациям, связанным с оказанием услуг, исключительно в случаях, когда идентификация работников необходима для надлежащего исполнения договорных обязательств. При этом передача ограничивается только теми данными, которые являются адекватными, релевантными и не избыточными в соответствии с принципом минимизации данных.
  • Поставщикам услуг, действующим в качестве обработчиков персональных данных, с которыми Компания заключила соответствующие договоры об обработке данных в соответствии со статьёй 28 GDPR.
  • Компетентным органам, Прокуратуре, судебным органам или обработчикам данных, оказывающим услуги, связанные с функционированием Внутренней системы информирования, при условии соблюдения надлежащих договорных гарантий и обязательств по конфиденциальности.
  • Судебным органам, Прокуратуре и правоохранительным органам, если передача необходима для выполнения юридической обязанности, предъявления, осуществления или защиты правовых требований либо осуществляется на основании законного требования или распоряжения соответствующего органа.

Как правило, международная передача персональных данных не осуществляется. Однако в случае использования технологических поставщиков услуг, деятельность которых может предусматривать обработку данных за пределами Европейской экономической зоны, такая передача будет осуществляться в полном соответствии со статьями 44 и последующими статьями GDPR посредством применения надлежащих гарантий, включая стандартные договорные положения, утверждённые Европейской комиссией, либо иные механизмы, признанные действующим законодательством.

Права в области защиты персональных данных

В целях обеспечения прозрачности обработки Ваших персональных данных сообщаем о правах, предоставленных Вам законодательством о защите данных.

  • Право на доступ: Вы имеете право получить информацию о том, осуществляет ли Компания обработку Ваших персональных данных.
  • Право на исправление: Вы имеете право потребовать исправления неточных или неполных персональных данных.
  • Право на удаление («право быть забытым»): Вы имеете право потребовать удаления Ваших персональных данных, если они более не требуются для целей, для которых были собраны.
  • Право на ограничение обработки: Вы имеете право потребовать ограничения обработки Ваших данных; в этом случае данные будут храниться исключительно для предъявления, осуществления или защиты правовых требований.
  • Право на возражение: Вы имеете право возражать против обработки Ваших персональных данных, если отсутствуют преобладающие законные основания для такой обработки либо необходимость защиты правовых требований.
  • Право на переносимость данных: Вы имеете право получить свои данные в структурированном, общепринятом и машиночитаемом формате для их передачи другому оператору персональных данных, если это технически возможно.
  • Право на отзыв согласия: Вы имеете право в любой момент отозвать ранее данное согласие. Такой отзыв не влияет на законность обработки, осуществлённой до его получения, и не применяется в случаях, когда обработка основана на законе или необходима для исполнения договора.
  • Право не быть объектом исключительно автоматизированного принятия решений: Вы имеете право не подвергаться решениям, основанным исключительно на автоматизированной обработке данных, включая профилирование, если такие решения имеют для Вас юридические последствия либо существенно затрагивают Ваши интересы.

Осуществить свои права, а также сообщить о возможных нарушениях безопасности, кибератаках и/или несоблюдении требований законодательства о защите данных Вы можете через специально созданный Компанией канал либо по следующим контактным данным: www.corporate-line.com/cnormativo-sonneil / dpdexterno@bonetconsulting.com

В случае несогласия с действиями Компании в отношении обработки Ваших персональных данных Вы имеете право подать жалобу в компетентный надзорный орган по защите данных. В Испании таким органом является Испанское агентство по защите данных (Agencia Española de Protección de Datos — AEPD) (www.aepd.es).

Компания вправе запросить дополнительную информацию для подтверждения личности заявителя при наличии обоснованных сомнений относительно его личности. Ответ на запрос предоставляется в срок не позднее одного месяца с момента его получения. В случаях особой сложности данный срок может быть продлён в соответствии с действующим законодательством.

Внутренняя система информирования

Компания внедрила Внутреннюю систему информирования (SIIF), которая является ключевым инструментом контроля, надзора и предупреждения нарушений в сфере нормативного соответствия. Система основана на принципах высокого уровня безопасности, конфиденциальности, защиты данных, профессионализма, независимости и компетентности при обработке поступающих сообщений.

Внутренние каналы информирования, интегрированные в Систему, реализованы посредством технических решений, отвечающих всем необходимым требованиям для обеспечения указанных гарантий. Кроме того, SIIF обеспечивает соблюдение основных принципов анонимности, надлежащей регистрации, хранения и неизменности информации, предотвращения конфликта интересов, защиты информаторов и предотвращения любых форм преследования за сообщения о нарушениях.

Через данную Систему любое лицо обязано добросовестно сообщать о любых признаках, подозрениях или доказательствах возможных нарушений законодательства, преступлений, неэтичного поведения либо нарушений внутренних протоколов, правил и кодексов поведения Компании.

Доступ к SIIF предоставляется через отдельный раздел нашего веб-сайта.

Обработка персональных данных в рамках Внутренней системы информирования

В рамках Внутренней системы информирования (SIIF) Компания осуществляет обработку персональных данных в целях управления и рассмотрения поступающих сообщений, а также анализа, проверки и расследования сообщённых фактов с последующим принятием, при необходимости, соответствующих корректирующих, дисциплинарных или правовых мер.

Данная обработка осуществляется во исполнение обязательств, установленных Законом Испании 2/2023 от 20 февраля о защите лиц, сообщающих о нарушениях законодательства, и о борьбе с коррупцией, а также, при необходимости, на основании законного интереса Компании по предупреждению и выявлению противоправных действий либо поведения, противоречащего внутренним нормативным актам.

В рамках указанных мероприятий могут обрабатываться следующие категории персональных данных:

  • Идентификационные и контактные данные информаторов, затронутых лиц и иных лиц, связанных с рассматриваемыми обстоятельствами.
  • Профессиональные и трудовые данные, связанные с отношениями соответствующих лиц с Компанией.
  • Информация о сообщённых фактах, включая описания, оценки и сопроводительную документацию.
  • В соответствующих случаях — специальные категории персональных данных в соответствии со статьёй 9 GDPR, если их обработка является строго необходимой для проведения расследования и имеет достаточное правовое основание согласно применимому законодательству.

Персональные данные могут поступать от информатора (как при раскрытии личности, так и анонимно), от затронутых лиц либо от третьих лиц, участвующих в расследовании.

Конфиденциальность и защита информатора

Компания гарантирует конфиденциальность личности информатора, а также любого третьего лица, упомянутого в сообщении, и лиц, которых касается расследование. Доступ к данным предоставляется исключительно уполномоченным сотрудникам, участвующим в управлении сообщениями и проведении расследований.

Кроме того, любые формы преследования, дискриминации или неблагоприятного обращения в отношении информатора либо лиц, содействующих расследованию, прямо запрещаются в соответствии с положениями Закона 2/2023.

Осуществление прав субъектов данных в области защиты персональных данных может быть ограничено в случаях, когда такое ограничение необходимо для сохранения конфиденциальности личности информатора, предотвращения воспрепятствования расследованию либо обеспечения надлежащего проведения соответствующих процедур в соответствии с действующим законодательством.

Меры безопасности и контроля

Общие положения

Компания обрабатывает персональные данные с применением надлежащих технических, правовых, организационных и иных мер безопасности, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации в соответствии с требованиями действующего законодательства.

Кибербезопасность

В дополнение к вышеуказанным мерам Компания применяет меры кибербезопасности для предотвращения и управления возможными кибератаками и мошенническими действиями со стороны злоумышленников, которые могут угрожать конфиденциальности и защите данных, к которым Компания получает доступ или которые обрабатывает в рамках своей деятельности.

В этой связи обращаем Ваше внимание на то, что при получении сообщений, содержание и/или форма которых вызывают сомнения в их подлинности, рекомендуется не предпринимать никаких действий по таким сообщениям и связаться с Компанией по контактным данным, указанным в настоящей Политике конфиденциальности.

Аналогично, любые запросы, якобы исходящие от Компании и касающиеся изменения способов оплаты, предоставления контактных данных, конфиденциальной (непубличной) информации, банковских реквизитов, данных банковских карт либо иной официальной информации, не должны исполняться без предварительного подтверждения со стороны Компании посредством альтернативного канала связи.

Мы будем признательны за Ваше содействие в уведомлении Компании о любых подобных сообщениях, а также о любых иных обстоятельствах, которые могут свидетельствовать о риске кибератак с использованием имени или репутации Компании либо о любых иных известных Вам угрозах безопасности.

Консультации и поддержка

Любое заинтересованное лицо может обратиться в Компанию с вопросами относительно обработки своих персональных данных или толкования настоящей Политики конфиденциальности, связавшись с ответственным за защиту данных и конфиденциальность по адресам электронной почты, указанным в начале настоящего документа.

Обновления и изменения

Компания оставляет за собой право изменять и/или обновлять информацию, содержащуюся в настоящей Политике конфиденциальности, если это необходимо для надлежащего соблюдения законодательства в области защиты персональных данных. В случае внесения изменений новая редакция документа будет опубликована в данном разделе веб-сайта.