Amadeus и GDPR

Последнее обновление: май 2018 г.

Новый Общий регламент по защите данных ЕС (GDPR) вступил в силу 25 мая 2018 года. Данный регламент нацелен на обновление существующих законов о защите данных и усиление защиты личных данных с учетом последних технологических разработок, глобализации и сложных потоков личных данных. Это модернизация действующих законов о защите данных.

Регламент будет применяться к организациям, обрабатывающим личные данные в ЕС, а также к организациям за пределами ЕС, которые могут ориентироваться на ЕС или предлагать товары и услуги для потребителей в ЕС.

Соблюдение регламента является одним из основных приоритетов Amadeus. Amadeus запустила внутреннюю программу GDPR для удовлетворения требований данного регламента. Данная программа включила оценку систем Amadeus для документации процесса обработки личных данных, а также выявления изменений, требуемых для систем, которые обрабатывают личные данные в соответствии с требованиями регламента. В рамках этой проверки мы принимали во внимание стандарты туристической отрасли, чтобы обеспечить выполнение требований Общего регламента по защите данных, а также потребностей туристической отрасли.

Наша цель заключалась и заключается в том, чтобы гарантировать, что личные данные обрабатываются в соответствии с новыми требованиями прозрачности и подотчетности Общего регламента по защите данных и адекватно защищаются, позволяя Amadeus удовлетворять требованиям Общего регламента по защите данных и поддерживать наших клиентов путем предоставления информации с целью выполнения ими каких-либо возможных обязательств.

Наше уведомление о конфиденциальности Amadeus GDS
 можно найти здесь.

Наше уведомление о конфиденциальности пользователей и деловых партнеров Amadeus
 можно найти здесь.

Дополнительную информацию об Общем регламенте по защите данных можно найти в разделе «Глоссарий», «Часто задаваемые вопросы» и «Принципы конфиденциальности». Если у вас возникнут дополнительные вопросы, обратитесь к менеджеру учетной записи.

Глоссарий

Личные данные — это вся информация об идентифицированном или идентифицируемом лице; это означает, что если вы можете идентифицировать человека по информации, которую вы обрабатываете, даже если не по имени, вполне вероятно, что вы обрабатываете личные данные.

Обработчик данных — это компания, обрабатывающая от имени и в соответствии с инструкциями контроллера данных. 

Контроллер данных — это компания, определяющая средства и цель обработки личных данных. Amadeus считается контролером данных в роли глобальной системы дистрибуции.
 

Часто задаваемые вопросы

Направляйте свои вопросы через обычное контактное лицо Amadeus.

  1. Выполняет ли Amadeus требования GDPR?
    Да, Amadeus выполняет новые требования Общего регламента по защите данных. В частности, Общий регламент по защите данных вводит принцип «Проектируемая конфиденциальность» и усиленный акцент на прозрачности касаемо основных показателей пользователей и наших клиентов в отношении операций обработки.
  2. Выполняют ли все ваши региональные отделения и филиалы требования GDPR?
    В течение 2017 года и в первом квартале 2018 года мы запустили внутреннюю программу GDPR по адаптации и подготовке нового регламента. В рамках этой Программы мы провели оценку наших бизнес-отделений и решений, которые обрабатывают личные данные в рамках всей нашей организации.
  3. Если личные данные обрабатываются в рамках продукта или услуги, то как Amadeus выполняет требования Общего регламента по защите данных? 
    Amadeus будет выполнять требования Общего регламента по защите данных при предоставлении наших услуг клиентам. Как контроллер данных Amadeus будет выполнять требования законодательства о конфиденциальности в отношении GDPR и GDS, которые применимы к Amadeus как глобальной системе дистрибуции, а в качестве обработчика данных Amadeus будет выполнять договорные обязательства, которые он имеет перед клиентами, и прямые обязательства, которые он может иметь как обработчик данных согласно Общему регламенту по защите данных.
  4. Как вы управляете данными ваших клиентов при их обслуживании, чтобы соответствовать требованиям?
    Как поставщик ИТ-услуг для наших клиентов, мы работаем по указанию наших клиентов. В целом, функциональность системы Amadeus разработана для удовлетворения их требований, и для реагирования на любые изменения их потребностей предусмотрены процессы. В ожидании Общего регламента по защите данных мы в необходимой степени поработали над прозрачностью наших процессов обработки. Таким образом, клиенты поддерживают контроль и могут соответствовать требованиям прозрачности, в свою очередь, к своей потребительской базе.
  5. Вы изменили свои процессы с целью соответствия требованиям?
    Мы внедрили новые процессы, учитывая различные направления Общего регламента по защите данных, в том числе в рамках сбора данных, подтверждающих процессы обработки компании, а также проектируемую неприкосновенность.
  6. С кем мне связаться, если мне нужно получать информацию непосредственно от Amadeus? 
    Направляйте свои вопросы через обычное контактное лицо Amadeus.
     

Принципы конфиденциальности Amadeus

Поскольку информация, в частности личные данные, лежит в основе бизнеса Amadeus, обработка личных данных очень важна, и, следовательно, конфиденциальность данных/защита данных имеет высокий приоритет в группе Amadeus. Поэтому Amadeus обязался придерживаться принципов конфиденциальности Amadeus.

Принципы конфиденциальности Amadeus составляют основу концепции конфиденциальности Amadeus, что отражено в нашей корпоративной политике, стандартах и процессах и, в конечном счете, в нашем поведении.

Будучи глобальной компанией, Amadeus учитывает международные признанные стандарты (такие как Руководящие принципы Организации Объединенных Наций, ОЭСР и ISO/IEC 29100) и Общий регламент по защите данных ЕС (GDPR) при установлении Принципов конфиденциальности Amadeus.

 

Принципы конфиденциальности Amadeus
Инфографика принципов конфиденциальности Amadeus

 

Прозрачность  Уведомить, как Amadeus обрабатывает личные данные
Правомерность

Мы должны:

  • иметь допустимую правовую основу для обработки личных данных (например, контракт, юридическое обязательство, законные интересы или согласие лица);
  • убедиться, что мы не делаем ничего незаконного с данными.
Прозрачность Мы должны обеспечивать прозрачность в отношении того, как мы обрабатываем личные данные и предоставляем (1) лицам соответствующие уведомления о конфиденциальности при сборе их личных данных и (2) клиентам соответствующую информацию о хранении, потоках данных и доступе к данным.
Соблюдение прав субъекта данных

Субъект данных имеет

  • право на получение информации о сборе и обработке его личных данных;
  • право на доступ к своим личным данным;
  • право возражать против обработки и принятия решений автоматическими средствами;
  • право на исправление неточных личных данных;
  • право на удаление личных данных; и
  • право на переносимость данных.

 

Пропорциональность Обработка личных данных по мере необходимости для предоставления услуг и обеспечения доступа на основе потребностей
Ограничение цели

Мы должны указать с самого начала, для каких целей мы обрабатываем личные данные и что мы намерены делать с ними.

Мы можем обрабатывать личные данные только для этих конкретных и законных целей.

Минимизация данных

Мы ограничиваем

  • количество хранимых личных данных только до информации, которая строго необходима для конкретной цели;
  • количество людей в рамках Amadeus, имеющих доступ к личным данным на основе принципа служебной необходимости.
Ограничение хранения

Мы должны

  • хранит личные данные, пока это необходимо в рамках целей, для которых они были собраны,
  • а затем удаляет или обезличивает их.
Точность Мы должны обеспечить точность, полноту и актуальность личных данных (если только не существует законной основы для хранения устаревших данных)

 

Адекватная защита Хранить личные данные в безопасности и относиться к ним как к строго конфиденциальным
Безопасность Мы должны принять соответствующие технические и организационные меры для защиты личных данных от таких рисков, как потеря или несанкционированный доступ, уничтожение, модификация или раскрытие информации.
Передача данных Мы должны убедиться, что личные данные защищены надлежащим образом, прежде чем передавать их другой стороне.