1.    Вводные положения

Настоящим регламентом устанавливается подход к защите данных организации UWC International.

UWC International ставит своей задачей обеспечение защиты личной информации всех лиц (включая сотрудников и волонтеров) и получателей услуг, которые к ней обращаются. В процессе работы организации UWC International требуется собирать и использовать определенную информацию об указанных лицах и получателях услуг (в дальнейшем – «субъекты персональных данных»). При сборе и обработке такой информации (вне зависимости от того, хранится ли она на бумажных носителях, в электронных базах данных или же записывается на иные носители) необходимо соблюдать определенные правила. UWC International является благотворительной организацией, зарегистрированной на территории Великобритании и действующей в соответствии с ее законами. Законодательство этой страны, регламентирующее защиту информации, соответствует аналогичному законодательству Евросоюза и обеспечивает одни из высочайших в мире стандартов защиты информации. В настоящем регламенте излагается подход организации UWC International к защите данных в строгом соответствии с положениями закона «О защите данных» от 1998 г. (в дальнейшем – «закон») и связанных с ним законодательных актов. Настоящий регламент дополняется частными регламентами защиты информации, заявлениями и учебными мероприятиями, которые организуются UWC International. Таким образом обеспечиваются соблюдение положений закона и необходимые меры безопасности при обработке (конфиденциальной) личной информации.

2.    Оператор персональных данных и главный специалист по защите данных

В терминологии закона организация UWC International выступает в качестве оператора персональных данных, а значит, она определяет цели и методы, применяемые (или которые должны применяться) для обработки любой (конфиденциальной) личной информации. Организация UWC International также отвечает за передачу в Управление по защите информации (ICO) сведений о видах информации, которые UWC International хранит или планирует хранить, а также об общих целях, в которых будет использоваться такая информация.

Организация UWC International зарегистрирована в Управлении по защите информации (ICO) под регистрационным номером Z7317174 и назначила финансового директора Роберто Питеа (Roberto Pitea) для работы в качестве главного специалиста по защите данных, который несет ответственность за соблюдение требований закона, организацию надлежащего обучения сотрудников и волонтеров и ответы на запросы, поступающие от ICO, филиалов или субъектов персональных данных.

3.    Общий подход

Организация UWC International ставит себе целью обеспечение надлежащей обработки конфиденциальной или личной информации в соответствии с требованиями законодательства. Мы считаем надлежащую обработку (конфиденциальной) личной информации в соответствии с требованиями законодательства одним из важнейших критериев успешной работы и обеспечения доверия со стороны получателей наших услуг. С этой целью организация UWC International придерживается принципов защиты информации (в дальнейшем – «принципы»), изложенных в законе.
В частности, принципы предполагают выполнение следующих действий в отношении (конфиденциальной) личной информации.

1. Личная информация должна обрабатываться добросовестно и в соответствии с требованиями законодательства; в частности, такая информация подлежит обработке только при соблюдении определенных условий.
2. Сбор личной информации должен осуществляться исключительно в целях, предусмотренных законом, и ее обработку необходимо проводить исключительно в указанных целях
3. Личная информация должна быть достаточной и актуальной для достижения указанных целей, и ее объем не должен быть избыточным. 
4. Личная информация должна быть точной и, при необходимости обновляться. 
5. Личная информация не подлежит хранению сверх необходимых сроков.
6. При обработке личной информации необходимо соблюдать права субъектов персональных данных, предоставляемые им в соответствии с законом. 
7. Оператор персональных данных должен обеспечивать сохранность личной информации, принимая необходимые меры технического и иного характера для предотвращения несанкционированной или незаконной обработки, случайной утечки, случайного уничтожения или повреждения личной информации.
8. Личную информацию запрещается передавать организациям, находящимся за пределами Европейской экономической зоны, если такие организации не обеспечивают надлежащий уровень защиты прав и свобод субъектов персональных данных в связи с обработкой их личной информации.
9. Порядок сбора и использования данных
10. UWC International проводит обработку (конфиденциальной) личной информации в случаях, когда это необходимо для осуществления ее деятельности. При этом термин «обработка» трактуется в широком смысле слова, и под ним понимается сбор, изменение, обработка, хранение и разглашение личной информации.

Данные, которые планирует обрабатывать UWC International, включают в себя:

• персональные данные, которые представляют собой сведения, позволяющие идентифицировать отдельное лицо (либо через такие отдельные сведения, либо в сочетании с другими хранящимися сведениями), в состав которых могут входить контактная информация, финансовая информация, данные о семейном положении, возрасте и половой принадлежности;
• конфиденциальную личную информацию, в состав которой могут входить данные о религиозных или аналогичных убеждениях, политических взглядах, расовой или этнической принадлежности, членстве в организациях, состоянии физического или психического здоровья, сексуальных наклонностях, половой принадлежности, а также о предполагаемых или фактических правонарушениях; запись и учет конфиденциальной информации допускаются исключительно при наличии конкретных оснований для обработки такой информации.
• Организация UWC International обеспечивает соблюдение особых условий обработки (конфиденциальной) личной информации.

Личная информация

При обработке личной информации должно соблюдаться как минимум одно из следующих особых условий.

• Субъект персональных данных предоставил свое согласие на обработку.
• Обработка необходима для выполнения обязательств по договору, стороной которого является субъект персональных данных, либо для выполнения действий по запросу субъекта персональных данных с целью заключения договора.
• Обработка необходима для выполнения правовых обязательств организации UWC International, помимо тех, которые предусмотрены договорами.
• Обработка необходима для защиты жизненно важных интересов субъекта персональных данных.
• Обработка необходима в целях отправления правосудия, для выполнения функций правительства или любых иных функций государственного характера, выполняемых в интересах общества.
• Обработка необходима в целях соблюдения законных интересов организации UWC International, третьих лиц или лиц, которым предоставляется информация, кроме отдельных случаев, когда обработка является необоснованной, поскольку наносит ущерб правам, свободам или законным интересам субъектов персональных данных 
• Организация UWC International признает, что будет преимущественно (но не исключительно) руководствоваться первыми двумя условиями.

Конфиденциальная личная информация

При обработке конфиденциальной личной информации также должно соблюдаться, как минимум, одно из следующих условий.

• Субъект персональных данных дал свое явное согласие на обработку конфиденциальной личной информации.
• Обработка данных необходима в целях осуществления прав или выполнения обязательств, предоставляемых организации UWC International или налагаемых на нее в силу закона в связи с наймом на работу.
• Обработка необходима в целях защиты жизненно важных интересов субъекта персональных данных или любого иного лица в случае невозможности получения согласия субъекта персональных данных (или от его имени), а также в случае, когда оператору персональных данных не представляется возможности получить согласие субъекта персональных данных; либо в целях защиты жизненно важных интересов иного лица, если субъект персональных данных необоснованно отказывает в таком согласии (или такой отказ поступает от его имени). 
• Личная информация становится достоянием общественности в результате преднамеренных действий субъекта персональных данных.
• Обработка необходима в целях осуществления судопроизводства или в связи с ним (включая предполагаемые судебные разбирательства), получения консультации по правовым вопросам или в целях установления, осуществления или защиты законных прав.
• Обработка необходима в медицинских целях и осуществляется медицинским работником либо лицом, которое в сложившихся обстоятельствах обеспечивает соблюдение конфиденциальности, как если бы оно являлось медицинским работником.
• Обработка информации, связанной с расовой или этнической принадлежностью, может понадобиться в целях выявления или контроля наличия или отсутствия равенства возможностей или равенства в обращении с людьми разной расовой или этнической принадлежности, а также в целях обеспечения или поддержания такого равенства при надлежащих гарантиях соблюдения прав и свобод субъектов персональных данных.

Организация UWC International признает, что будет преимущественно (но не исключительно) руководствоваться первым условием.

Порядок получения согласия на обработку данных

Если необходимым условием при сборе данных является получение (явного) согласия на обработку данных, организация UWC International обязуется предоставить субъектам персональных данных достаточную информацию в целях обеспечения правомерности такого согласия. Организация UWC International учитывает следующие пункты при разработке необходимых процедур и положений о конфиденциальности для каждого вида обработки личной информации, подразумевающего получение согласия на такую обработку.

• Субъекту персональных данных предоставляется достаточно информации, и он понимает, зачем необходима его личная информация, как и для чего она будет использоваться.
• Субъект персональных данных понимает, какие последствия повлечет за собой его решение не предоставлять согласие на обработку своей личной информации.
• В той мере, в которой это осуществимо, субъект персональных данных дает свое явное письменное или устное согласие на обработку своей личной информации.
• В той мере, в которой это осуществимо, субъект персональных данных обладает достаточными правомочиями на предоставление описанного выше согласия на обработку своей личной информации и дает такое согласие по доброй воле и без какого-либо принуждения.

Организация UWC International также решает, какую прочую информацию необходимо включить в отдельные уведомления/заявления о порядке использования конфиденциальной информации, что придаст уверенности субъектам персональных данных и повысит их степень осведомленности в отношении способов использования их (конфиденциальной) личной информации организацией UWC International.

Организация UWC International осознает, что сбор (конфиденциальной) личной информации должен осуществляться строго в определенных целях. Организация UWC International не осуществляет обработку (конфиденциальной) личной информации в иных целях, нежели те, в которых эта информация собиралась.

5.    Порядок хранения данных, обеспечения их сохранности и точности 

Организация UWC International активно поощряет субъектов персональных данных обеспечивать актуальность и точность информации, а также гарантирует наличие простых и удобных методов для выполнения указанных требований. Организация UWC International также обеспечивает проведение надлежащих проверок данных на их актуальность и точность.

Информация и документы, связанные с субъектами персональных данных, хранятся надежным образом, и доступ к ним предоставляется исключительно сотрудникам и волонтерам, имеющим соответствующий допуск, и исключительно в той мере, в которой это им необходимо для выполнения их должностных обязанностей.
Длительность хранения информации не превышает необходимых сроков, по истечении которых информация надлежащим образом уничтожается. При этом для разных видов (конфиденциальной) личной информации, с учетом целей ее обработки, устанавливаются разные сроки хранения.

Организация UWC International принимает надлежащие меры безопасности в целях обеспечения защиты личной информации от случайного или противозаконного уничтожения, случайной утраты, изменения, несанкционированного разглашения или доступа, в том числе путем ее передачи или хранения с использованием сетевых ресурсов. Указанные меры безопасности включают в себя следующее.

1. Общепринятые межсетевые экраны (firewall) и прочие средства сетевой защиты, в частности, тщательно зашифрованные облачные ресурсы или системы физических серверов.
2. Предоставление четких инструкций штатным сотрудникам и волонтерам по соблюдению необходимых мер безопасности в связи с использованием аппаратных и сетевых ресурсов.
3. Надежные процедуры резервного копирования и восстановления данных от лучших поставщиков услуг в данной области.
4. Периодические проверки безопасности систем, работающих в онлайн-режиме.

В случае случайного или несанкционированного доступа организация UWC International уведомляет Управление по защите информации (ICO) и субъектов персональных данных о вероятности повышенного риска нарушения прав и свобод субъектов персональных данных в результате такой утечки данных.

Организация UWC International отвечает за невозможность восстановления какой-либо личной информации или информации о организации в случае передачи или продажи третьим лицам, либо утилизации любых электронных систем или бумажных носителей, ранее использовавшихся в рамках организации UWC International. 
Организация UWC International обеспечивает регулярное проведение обучения штатных сотрудников и волонтеров, с тем чтобы они понимали и соблюдали требования закона, настоящего регламента, а также прочих регламентов, относящихся к обработке (конфиденциальной) личной информации. 

Лица, осуществляющие обработку (конфиденциальной) личной информации, обязаны понимать, что в силу договорных обязательств они обязаны соблюдать все принятые процедуры и правила по защите информации. Все штатные сотрудники и волонтеры ставятся в известность, что нарушение правил и регламентов, связанных с законом, может повлечь за собой дисциплинарное взыскание.

6.    Порядок предоставления доступа к данным

В соответствии с требованиями закона все субъекты персональных данных вправе получить доступ к информации о себе, которая хранится в организации UWC International, а также обратиться к главному специалисту по защите данных с требованием удалить их (конфиденциальную) личную информацию из архивов организации UWC International или прекратить обработку такой информации. Организация UWC International предоставляет всем желающим возможность обратиться к главному специалисту по защите данных.
Кроме того, организация UWC International обеспечивает соблюдение следующих условий.

1. Наличие главного специалиста по защите данных, ответственного за соблюдение норм защиты информации.
2. Любому лицу, желающему направить запрос в связи с обработкой личной информации, предоставляется возможность беспрепятственно сделать такой запрос.
3. Организация UWC International оперативно, вежливо, в установленные сроки и в соответствии с принципами, изложенными в законе, отвечает на все запросы в отношении обработки личной информации.
4. Она предоставляет четкие сведения об обработке персональной информации.
5. При обработке запросов на предоставление информации соблюдаются принципы справедливого и вежливого отношения вне зависимости от возраста, вероисповедания, имеющихся ограниченных возможностей, пола, сексуальной ориентации или этнической принадлежности лица, подавшего запрос.

7.    Порядок обмена данными (в том числе за пределами Европейской экономической зоны)

Организация UWC International расценивает прочие организации, входящие в систему UWC, с которыми она обменивается данными (в том числе школы, колледжи и национальные комитеты UWC – существующие или те, что могут возникнуть в будущем) как объединенного распорядителя данных. В отдельных исключительных случаях в их состав могут включаться организации-партнеры, если обмен данными необходим для реализации проекта, согласованного путем подписания соглашения, протокола о намерениях или договора.
Организация UWC International вправе осуществлять обмен данными с указанными организациями, если у них применяется регламент обеспечения защиты данных, соответствующего стандартам, предусмотренным законом, а также регламенту обеспечения защиты данных в организации UWC International и нормам местного законодательства.
При этом организация UWC International обязуется подписать протоколы о намерениях в связи с обменом данными с такими организациями.
Обмен (конфиденциальной) личной информацией осуществляется исключительно в целях осуществления миссии UWC, и организация UWC International не вправе осуществлять покупку данных у сторонних организаций или продажу данных таким организациям.

8.    Правовая оговорка

Настоящий регламент регулируется исключительно законодательными актами Великобритании. При внесении изменений в законодательство Великобритании в отношении защиты информации или в текст закона и в случае, если такие изменения затрагивают настоящий регламент, такие изменения будут иметь преимущественную силу.
Настоящий регламент актуализируется по мере необходимости, чтобы принять на вооружение передовые методы управления, безопасности и контроля данных в целях обеспечения соответствия последним редакциям закона.
Все прочие регламенты или положения о конфиденциальности, дополняющие настоящий регламент, также актуализируются по мере необходимости.

Регламент обеспечения защиты данных в организации UWC International, утвержденный правлением UWC International в июле 2016 года; п. 2 в редакции от 02.10.2017 г.