Політика конфіденційності

Політика конфіденційності та приватності

I. Загальні положення

1. H-X Technologies («H-X», контролер) поважає приватність і конфіденційність КОРИСТУВАЧІВ (Клієнтів, Суб’єктів даних). Під час надання послуг, зокрема, автоматизованих Сервісів (Сканер і Монітор Безпеки Веб-сайтів, Онлайн-майстер самооцінки відповідності ISO 27001 тощо) і Ручних Сервісів (аудит безпеки, аналіз коду, тестування на проникнення тощо), Персонал і сервери H-X можуть отримувати, обробляти та зберігати конфіденційні дані, пов’язані з КОРИСТУВАЧАМИ, а також виробляти такі дані.

2. Метою збору та обробки персональних і конфіденційних даних КОРИСТУВАЧА є надання послуг, включаючи автоматизовані та ручні Сервіси відповідно до Умов використання, та інші послуги кібербезпеки, включаючи, крім іншого, оцінку безпеки, тестування на проникнення, оцінку ризиків і консультації з кібербезпеки. Персональні дані КОРИСТУВАЧІВ можуть також використовуватися в маркетингових цілях, а саме, для пропозиції послуг і продуктів H-X і партнерів H-X, а також для інформування про новини.

3. Під час і після надання Автоматизованих Сервісів H-X зберігає конфіденційність особистих і конфіденційних даних КОРИСТУВАЧА, а саме: ім’я КОРИСТУВАЧА, адресу електронної пошти, URL веб-сайту, IP-адресу КОРИСТУВАЧА, результати сканування та звіти, а також інші конфіденційні дані КОРИСТУВАЧА, якщо такі є. Коли КОРИСТУВАЧ замовляє Сервіс моніторингу вразливостей, H-X безпечно передає ім’я КОРИСТУВАЧА та адресу електронної пошти у надійний сертифікований процесинговий центр. H-X не має доступу до будь-яких конфіденційних даних платіжних карток.

4. Під час і після надання Ручних Сервісів H-X зберігає конфіденційність всіх даних Клієнта. Детальні угоди про нерозголошення або про конфіденційність можуть бути підписані сторонами для регулювання взаємних зобов’язань. Якщо Клієнт не заперечує, H-X може використовувати назву Клієнта в маркетингових цілях.

5. Ми використовуємо cookie для аналітики, продуктивності, безпеки, реклами та соціальних мереж.

6. Ми не спамимо. КОРИСТУВАЧІ можуть відмовитися від підписки на нашу розсилку.

7. Ми дотримуємося Загального регламенту про захист даних Європейського союзу (EU GDPR) та інші відповідні положення.

8. Ми заохочуємо КОРИСТУВАЧІВ знаходити вразливості безпеки у наших системах і повідомляти про ці вразливості нам. Див. Політику звітності про безпеку англійською мовою.

II. Права суб’єкта даних

а) Право на підтвердження.
Кожен суб’єкт даних має право, надане європейським законодавцем, на отримання від контролера підтвердження того, чи обробляються особисті дані, що стосуються суб’єкта даних. Якщо суб’єкт даних бажає скористатися цим правом підтвердження, він або вона може в будь-який час зв’язатися з будь-яким співробітником контролера.

б) Право доступу.
Кожен суб’єкт даних має право, надане європейським законодавцем, на отримання від контролера безкоштовної інформації про особисті дані суб’єкта, збережені в будь-який час, і на отримання копії цієї інформації. Крім того, європейські директиви та правила надають суб’єкту даних право доступу до такої інформації:

  • мета обробки;
  • відповідні категорії персональних даних;
  • одержувачі чи категорії одержувачів, яким були або будуть розкриті персональні дані, зокрема, одержувачі у третіх країнах або міжнародних організаціях;
  • де це можливо, передбачуваний період, протягом якого будуть зберігатися персональні дані, або, якщо це неможливо, критерії, які використовуються для визначення цього періоду;
  • наявність права запитувати у контролера виправлення або видалення персональних даних, або обмеження обробки персональних даних, що стосуються суб’єкта даних, або права заперечувати проти такої обробки;
  • наявність права на подачу скарги в наглядовий орган;
  • якщо особисті дані зібрані не у суб’єкта даних, будь-яка доступна інформація про їхнє походження;
  • наявність автоматизованого процесу прийняття рішень, включаючи профілювання, про яке йдеться в статтях 22 (1) і (4) GDPR, і, принаймні, у цих випадках, наявність значущої інформації у відповідній логіці, а також про важливість і передбачувані наслідки такої обробки для суб’єкта даних.

Крім того, суб’єкт даних має право отримувати інформацію про те, чи передаються персональні дані третій країні або міжнародній організації. У цьому випадку суб’єкт даних має право бути поінформованим про відповідні гарантії, що стосуються передачі.

Якщо суб’єкт даних бажає скористатися цим правом доступу, він або вона може в будь-який час зв’язатися з будь-яким співробітником контролера.

в) Право на виправлення.
Кожен суб’єкт даних має право, надане європейським законодавцем, без зволікання отримати від контролера виправлення неточних особистих даних, що стосуються суб’єкта даних. Беручи до уваги цілі обробки, суб’єкт даних має право на заповнення неповних персональних даних, в тому числі за допомогою надання додаткової заяви.

Якщо суб’єкт даних бажає скористатися цим правом на виправлення, він або вона може у будь-який час зв’язатися з будь-яким співробітником контролера.

г) Право на видалення (право бути забутим).
Кожен суб’єкт даних має право, надане європейським законодавцем, на видалення контролером персональних даних, що стосуються суб’єкта даних, без невиправданої затримки, а контролер зобов’язаний видалити персональні дані без невиправданої затримки, якщо одне з наступних підстав застосовується, та якщо обробка не потрібна:

  • Персональні дані більше не потрібні у зв’язку з цілями, для яких вони були зібрані або оброблені іншим чином.
  • Суб’єкт даних відкликає згоду, на якому ґрунтується обробка, відповідно до пункту (а) статті 6 (1) GDPR або пунктом (а) статті 9 (2) GDPR, а також при відсутності інших правових підстав для обробки.
  • Суб’єкт даних заперечує, щоб його дані оброблялися, відповідно до статті 21 (1) GDPR, і немає ніяких переважаючих законних підстав для обробки, або суб’єкт даних заперечує відповідно до статті 21 (2) GDPR.
  • Персональні дані оброблялися незаконно.
  • Персональні дані повинні бути видалені для дотримання законодавства ЄС або держави-члена ЄС, якому підпорядковується контролер.
  • Персональні дані були зібрані у зв’язку з наданням послуг інформаційного суспільства, згаданих у статті 8 (1) GDPR.

Якщо застосовується одна з вищезазначених причин, і суб’єкт даних бажає запросити видалення персональних даних, що зберігаються в H-X, він або вона може в будь-який час зв’язатися з будь-яким співробітником контролера. Співробітник H-X повинен негайно виконати запит на видалення.

Якщо контролер оприлюднив особисті дані та зобов’язаний відповідно до статті 17 (1) видалити особисті дані, контролер, беручи до уваги доступні технології та вартість впровадження, повинен виконати розумні кроки, включаючи технічні заходи, для інформування інших контролерів, що обробляють персональні дані, посилання на які, або копії або репліки яких суб’єкт даних запросив видалити у таких контролерів, якщо обробка не потрібна. Співробітники H-X Technologies організують необхідні заходи в окремих випадках.

д) Право на обмеження обробки.
Кожен суб’єкт даних має право, надане європейським законодавцем, на отримання від контролера обмеження обробки, якщо застосовується одна з таких умов:

  • Точність персональних даних заперечується суб’єктом даних протягом періоду, що дозволяє контролеру перевірити точність персональних даних.
  • Обробка є незаконною, і суб’єкт даних виступає проти видалення особистих даних, і замість цього запитує обмеження їх використання.
  • Контролеру більше не потрібні особисті дані для цілей обробки, але вони потрібні суб’єктом даних для встановлення, виконання або захисту юридичних вимог.
  • Суб’єкт даних заперечує проти обробки відповідно до статті 21 (1) GDPR в очікуванні перевірки того, чи переважають законні підстави контролера над тими, які є у суб’єкта даних.

Якщо одне з вищезазначених умов виконано, та суб’єкт даних бажає запросити обмеження обробки персональних даних, що зберігаються в H-X Technologies, він або вона може в будь-який час зв’язатися з будь-яким співробітником контролера. Співробітник H-X Technologies організовує обмеження обробки.

е) Право на перенесення даних.
Кожен суб’єкт даних має право, надане європейським законодавцем, на отримання належних до нього персональних даних, які були надані контролеру, у структурованому форматі, який широко використовується та може бути автоматично оброблений. Суб’єкт даних має право передавати ці дані іншому контролеру без перешкод із боку контролера, якому було надано персональні дані, за умови, що обробка заснована на згоді відповідно до пункту (а) статті 6 (1) GDPR або пунктом (a) статті 9 (2) GDPR, або за контрактом згідно з пунктом (b) статті 6 (1) GDPR, і обробка виконується автоматичними засобами, якщо обробка не потрібна для виконання завдання, що виконується в громадських інтересах або для здійснення офіційних повноважень, наданих контролеру.

Крім того, при здійсненні свого права на перенесення даних відповідно до статті 20 (1) GDPR суб’єкт даних має право на передачу персональних даних безпосередньо від одного контролера до іншого, якщо це технічно можливо, та коли це не ущемляє права та свободи інших людей.

Щоб захистити право на перенесення даних, суб’єкт даних може у будь-який час зв’язатися з будь-яким співробітником H-X.

ж) Право на заперечення.
Кожен суб’єкт даних має право, надане європейським законодавцем, у будь-який час на підставі його або її конкретної ситуації, заперечувати проти обробки персональних даних, що стосуються його або її, що засноване на пункті (е) або (f) статті 6 (1) GDPR. Це також належить до профілізації на основі цих положень.

H-X більше не буде обробляти персональні дані в разі заперечення, якщо тільки ми не зможемо продемонструвати переконливі законні підстави для обробки, які переважають над інтересами, правами та свободами суб’єкта даних, або для встановлення, здійснення або захисту юридичних вимог.

Якщо H-X обробляє персональні дані для цілей прямого маркетингу, Суб’єкт даних має право в будь-який час заперечити проти обробки персональних даних, що стосуються його або її, для такого маркетингу. Це належить до профілізації тою мірою, в якій воно пов’язане з таким прямим маркетингом. Якщо Суб’єкт даних заперечує проти обробки з боку H-X Technologies у цілях прямого маркетингу, H-X більше не буде обробляти персональні дані для цих цілей.

Крім того, суб’єкт даних має право на підставах, що стосуються його або її конкретної ситуації, заперечувати проти обробки персональних даних, які відносяться до нього, компанією H-X Technologies для наукових або історичних досліджень або для статистичних цілей відповідно до статті 89 (1) GDPR, якщо тільки обробка не потрібна для виконання завдання, що виконується з міркувань суспільного інтересу.

Щоб скористатися правом на заперечення, суб’єкт даних може зв’язатися з будь-яким співробітником H-X Technologies.

з) Автоматизоване прийняття індивідуальних рішень, включаючи профілювання.
Кожен суб’єкт даних має право, надане європейським законодавцем, не піддаватися рішенню, що базується виключно на автоматизованій обробці, включаючи профілювання, яке створює правові наслідки стосовно суб’єкта даних або аналогічним чином істотно впливає на нього або неї, якщо рішення: 1) необов’язково для укладення або виконання договору між суб’єктом даних і контролером даних, або 2) не дозволено законодавством ЄС або держави-члена ЄС, якому підпорядковується контролер, та яке також встановлює належних заходів для захисту прав, свобод і законних інтересів суб’єкта даних, або 3) не ґрунтується на явній згоді суб’єкта даних.

Якщо рішення: 1) необхідне для укладення або виконання договору між суб’єктом даних і контролером даних, або 2) воно засноване на явній згоді суб’єкта даних, компанія H-X Technologies має вжити відповідних заходів для захисту прав, свобод і законних інтересів суб’єкта даних, принаймні, право на втручання людини з боку контролера, щоб висловити свою точку зору та оскаржити рішення.

Якщо суб’єкт даних бажає скористатися правами, що стосуються автоматичного прийняття індивідуальних рішень, він або вона може у будь-який час зв’язатися з будь-яким співробітником H-X Technologies.

и) Право на відкликання згоди на обробку даних.
Кожен суб’єкт даних має право, надане європейським законодавцем, у будь-який час відкликати свою згоду на обробку своїх персональних даних.

Якщо суб’єкт даних бажає скористатися правом на відкликання згоди, він або вона може у будь-який час зв’язатися з будь-яким співробітником H-X Technologies.

Хто ми, що робимо та що пропонуємо.

Про тести на проникнення.