Главная
152 фз о защите персональных данных последняя редакция: Статья 7. Конфиденциальность персональных данных \ КонсультантПлюс

152 фз о защите персональных данных последняя редакция: Статья 7. Конфиденциальность персональных данных \ КонсультантПлюс

Как изменится закон о персональных данных с 1 сентября 2022 года — СКБ Контур

    9 августа 2022 32 826

    Осенью произойдут масштабные изменения в работе с персональными данными. Операторы должны быть готовы к очередному ужесточению требований. Законодательные новации будут направлены на совершенствование правовой защищенности субъектов персональных данных, а также усиление госконтроля в этой сфере.

    Поправки в Федеральный закон от 27.07.2006 № 152-ФЗ вносит Федеральный закон от 14.07.2022 № 266-ФЗ. Некоторые положения этого закона начнут работать уже с 1 сентября 2022 года, но есть изменения, которые вступят в силу только 1 марта 2023 года — они затрагивают вопросы трансграничной передачи данных и порядок предоставления сведений из ЕГРН.

    Ранее Федеральный закон от 30.12.2020 № 519-ФЗ определил три важных принципа для согласия на обработку ПД:

    1. Молчание или бездействие не считаются согласием на обработку ПД.  
    2. Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно.
    3. В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу данных неограниченному кругу лиц.

    С учетом тех изменений, которые планируются к сентябрю, нужно провести аудит документов и внести соответствующие поправки. Также рекомендуем следить за новостями и разъяснениями Роскомнадзора.  

    • Введение принципа экстерриториальности 
    • Обязанность сообщать об утечке персональных данных
    • Сокращение сроков реагирования оператора на запросы
    • Усиление ответственности обработчика персональных данных
    • Изменение требований к поручениям
    • Новое в уведомлении Роскомнадзора об обработке персональных данных
    • Новые требования к согласию на обработку персональных данных
    • Изменение требований к политике обработки персональных данных
    • Новшества в обработке биометрических данных

    Если ранее в Федеральном законе от 27.07.2006 № 152-ФЗ (далее — 152-ФЗ) не было положений, регламентирующих его действия по территории и кругу лиц, то в новой редакции они появятся.

    Закон будет применяться к иностранных юридическим и физическим лицам, если обработка персональных данных (далее — ПД) осуществляется на основании договора с гражданином РФ или с его согласия.

    Эксперты InfoWatch периодически делятся данными об утечках информации. Еще в отчетах за 2020 год они обращали внимание на то, что пандемия, оказывая сильное влияние на различные сферы жизни, действует и на формирование картины утечек.

    2021 год запомнился развитием дистанционных каналов обслуживания, искусственного интеллекта и IT-сервисов. В этот период удаленная работа стала обычным явлением. «На этом фоне еще быстрее меняется ландшафт угроз информационной безопасности, – отмечают эксперты InfoWatch. – Все это отражается и на структуре утечек информации ограниченного доступа. Одним из главных факторов сокращения количества утечек в публичном пространстве стало повышение латентности (скрытности) инцидентов в компаниях».

    Новая редакция закона обязывает оператора ПД обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА). Цель такого новшества — заставить операторов информировать об инцидентах, которые повлекли неправомерную передачу ПД. То есть новая редакция 152-ФЗ предполагает усиление ответственности операторов обработки ПД за утечку данных.

    Если инцидент с утечкой данных произойдет, оператор будет обязан:

    • уведомить о случившемся Роскомнадзор в течение 24 часов;
    • провести внутреннее расследование и уведомить службу о его результатах в течение 72 часов;
    • представить сведения о лицах, действия которых стали причиной инцидента (при наличии).

    Оператору придется быстрее реагировать на запросы субъектов ПД и Роскомнадзора. Теперь он должен будет предоставить субъекту ПД сведения, касающиеся обработки его ПД, в течение не 30 рабочих дней, как ранее, а в течение 10 рабочих дней. Однако этот срок может быть продлен на 5 рабочих дней, если оператор направит в адрес субъекта мотивированное уведомление, в котором укажет причины отсрочки.

    Если субъект обращается с требованием прекратить обработку ПД, то оператор должен отреагировать на него в течение 10 дней, то есть прекратить обработку данных.

    Также по запросу Роскомнадзора оператор ПД должен предоставить необходимую информацию в течение 10 рабочих дней. При мотивированном уведомлении такой ответ можно продлить на 5 дней.

    Ответственность будет усилена по отношению к иностранным обработчикам. Обработчик ПД — это лицо, которое обрабатывает данные на основании поручения.

    Если ранее обработчик нес ответственность по поручению только перед оператором и, следовательно, не отвечал перед субъектами ПД, то с 1 сентября 2022 года при поручении обработки ПД иностранному лицу обработчик будет ответственен не только перед оператором, который поручил ему обработку, но и перед субъектом ПД.

    Вовремя примите меры по защите персональных данных

    В новой редакции 152-ФЗ уточняется, что обработчик данных обязан соблюдать принципы, правила обработки, конфиденциальность данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом.

    В поручении оператор должен определить перечень ПД, перечень действий (операций) с данными, которые будут совершаться обработчиком, обязанность обработчика по соблюдению конфиденциальности.

    Кроме того, в поручении устанавливается обязанность по запросу оператора в течение срока действия поручения предоставлять документы и информацию, подтверждающие принятие мер и соблюдение обязанности по обеспечению безопасности ПД при их обработке.

    В поручении должна быть отражена обязанность обработчика уведомлять оператора об утечках ПД.

    Согласно ст. 22 152-ФЗ, прежде чем приступить к обработке ПД, оператор должен уведомить Роскомнадзор о своем намерении. Для этого есть специальная анкета.

    Ранее закон предусматривал несколько случаев, когда уведомление не требуется. В частности, если ПД включают только фамилии, имена и отчества; необходимы для однократного пропуска субъекта ПД на территорию, на которой находится оператор; обрабатываются в соответствии с трудовым законодательством и т.д.

    Теперь перечень ситуаций, когда уведомление Роскомнадзора не требуется, радикально сокращен. Он включает только два пункта:

    • ПД, включенные в государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
    • ситуацию, когда оператор осуществляет деятельность по обработке данных исключительно без использования средств автоматизации.

    Следует обратить внимание на появление новых признаков, которым должно соответствовать согласие субъекта ПД.

    Ранее, как отмечается в ст. 9 152-ФЗ, такое согласие должно было быть конкретным, информированным и сознательным. С 1 сентября характеристики расширятся — согласие, помимо всего прочего, должно быть предметным и однозначным.

    Теперь оператор должен в политике обработки ПД для каждой цели обработки указывать:

    • категории и перечень обрабатываемых ПД;
    • категории субъектов, данные которых обрабатываются;
    • способы, сроки их обработки и хранения;
    • порядок уничтожения ПД при достижении целей их обработки.

    Для того, чтобы соответствовать этому требованию, придется провести аудит и определить цели, которые преследует компания при обработке ПД. А далее работать по каждой цели.

    Кроме того, вносятся изменения и в правила публикации политики ПД. Она должна быть не просто размещена на сайте, а опубликована на страницах сайта, где осуществляется сбор данных.

    Важно помнить, что политика обработки ПД не может содержать положения, которые ограничивают права субъектов ПД.

    С 1 сентября вступает в силу запрет оператора отказывать гражданам в оказании услуг, в случае если они не желают предоставлять биометрию и это не является обязательным требованием.

    Согласно ст. 11 152-ФЗ к биометрическим данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (например, отпечатки пальцев).

    Безопасность

    Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

    Узнать больше

    Безопасность

    Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

    Узнать больше

    Курс Изменения законодательства о персональных данных и последствия для операторов в Екатеринбурге

    Код: КП37

    Новая редакция Федерального закона ФЗ-152 «О персональных данных», ставшая результатом поправок, внесенных ФЗ-261 от 25. 07.2011, содержит значительное количество как очевидных изменений, так и явно не просматривающихся, но заложенных в тексте закона. Все они в той или иной степени требуют корректировки практической деятельности каждого оператора персональных данных, причем невыполнение ряда новых требований может привести к привлечению оператора к различным видам ответственности, предусмотренных российским законодательством.

    Цель курса — рассмотреть изменения, внесенные в ФЗ-152 «О персональных данных» и смежные законы, а также перечень практических мер, которые должны осуществить предприятия, организации, физические лица, осуществляющие обработку персональных данных.

    Слушатели курса получат пакет нормативно-правовых актов в последней редакции, необходимых для реализации установленных обязательных требований в области обработки персональных данных, а также уникальный документ — сравнительную редакцию действующей и предыдущей версий Федерального закона №152-ФЗ «О персональных данных», подготовленную автором курса.

    Учебный курс разработан и проводится М.Ю.Емельянниковым, одним из ведущих российских экспертов по защите персональных данных, автором многочисленных публикаций по наиболее острым проблемам применения законодательства в ведущих специализированных изданиях. Автор — эксперт Консультационного совета Ассоциации российских банков, разработчик и тренер первых в стране курсов по защите персональных данных и коммерческой тайны.

    Стоимость курса

    11 900 руб

    Заказать

    Вы научитесь:

    Слушатели смогут детально разобраться с изменениями, внесенными в законодательство о персональных данных, их влиянием на практическую деятельность оператора персональных данных, внести коррективы в локальные нормативные документы своей организации с целью приведения их в соответствие с новейшими требованиями законодательства и складывающейся практикой его правоприменения.

    Аудитория:

    Программа курса рассчитана на все категории специалистов, ответственных за организацию обработки и защиты персональных данных, в первую очередь, специалистов служб безопасности, юристов и работников кадровых служб.

    Требования к предварительной подготовке слушателя:

    Для эффективного освоения учебной программы слушателям курса необходимо знать законодательство о персональных данных и иметь общее представление о смежном законодательстве, желательно иметь опыт практической работы, связанный с организацией обработки и обеспечением безопасности персональных данных.

    Программа не предусматривает полного и исчерпывающего анализа всего закона о персональных данных, а направлен лишь на анализ произошедших изменений. Желающим изучить проблематику в полном объеме может быть рекомендован учебный курс КП32 «Защита персональных данных».

    Содержание курса

    • Введение. Основания для внесения изменений в ФЗ-152, их характер и достигаемые внесением изменений цели. Изменения, связанные с персональными данными, внесенные в законодательство об исполнительном производстве и судебных приставах, обязательном медицинском страховании и образовании.
    • Сфера действия закона. Обработка персональных данных в информационно-телекоммуникационных сетях и обработка без использования средств автоматизации. Персональные данные индивидуальных предпринимателей.
    • Изменения понятийного аппарата закона. Новые определения, измененные определения, определения, исчезнувшие из закона. Прямые и косвенные определения видов обработки персональных данных. Какие понятия не определяет закон и как с этим быть. Конфиденциальность персональных данных. Изменение подхода к проблемам обработки персональных данных в связи с регулированием этого вопроса иными федеральными законами.
    • Права органов власти, местного самоуправления, Банка России, ассоциаций и объединений операторов по принятию нормативно-правовых актов, регулирующих обработку персональных данных и обеспечение их безопасности.
    • Изменившиеся принципы и условия обработки персональных данных. Предопределенность обработки и избыточность персональных данных по отношению к целям их обработки. Новый подход к определению допустимости обработки персональных данных.
    • Аутсорсинг обработки персональных данных и лицо, ответственное за организацию обработки персональных данных обеспечения их безопасности. Отношения субъекта, оператора и лица, осуществляющего обработку персональных данных по поручению оператора, и их регулирование. Лицо, ответственное за организацию обработки персональных данных и его обязанности.
    • Получение согласия субъекта на обработку персональных данных, отзыв согласия. Форма согласия субъекта. Обработка персональных данных без согласия субъекта в ФЗ-152 и других федеральных законах. Прямо и косвенно предусмотренные ФЗ-152 случаи получения письменного согласия по установленной законом форме. Случаи получения письменного согласия в иных законах Российской Федерации. Случаи обработки персональных данных без согласия субъекта в иных законах. Коллизии законов в части содержания согласия. Когда субъект не может отозвать свое согласие на обработку персональных данных.
    • Общедоступные, подлежащие опубликованию или обязательному раскрытию персональные данные. Коллизии с иными законами Российской Федерации. Коллизии внутри закона «О персональных данных». Особенности раскрытия и опубликования персональных данных участников и аффилированных лиц обществ.
    • Специальные категории персональных данных. Изменение перечней случаев их допустимой обработки. Допустимость обработки специальных категорий персональных данных в законодательстве об основах здравоохранения и об обязательном медицинском страховании. Обработка работодателем сведений о состоянии здоровья работника, связанных и не связанных с возможностью выполнения трудовой функции. Допустимость обработки сведений о судимости.
    • Биометрические персональные данные. Новыепризнаки таких данных в законе. Требования ГОСТ Р ИСО/МЭК 19794-5-2006 к формату записи изображения лица человека в биометрических системах и позиция Роскомнадзора по этому вопросу. Практика оценки органами Роскомнадзора правомерности хранения операторами копий паспортов граждан в ходе проверок операторов персональных данных.
    • Трансграничная передача персональных данных. Что изменилось, что не изменилось в новой редакции закона, и о чем по-прежнему умалчивается.
    • Новое в правах субъекта персональных данных. Предотвращение необоснованных запросов субъекта к оператору. Изменения в порядке подготовки ответов на запросы и в содержании ответов. Возмещение субъекту морального и имущественного вреда, убытков, понесенных субъектом персональных данных.
    • Обязанности оператора в новой редакции закона. Уведомление субъекта при получении персональных данных не от субъекта, и когда это делать необязательно. Новые меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных ФЗ-152. Опубликование оператором политики в отношении обработки персональных данных.
    • Техническая защита персональных данных. Новое в определении мер по обеспечению безопасности обработки персональных данных. Какие нормативно-правовые акты следует ожидать, и как относиться к действующим нормативно-правовым актам.
    • Прекращение и приостановка обработки персональных данных, их блокирование. Когда, каким образом и в какие сроки. Действия оператора при выявлении неправомерной обработки и неточности персональных данных.
    • Уведомление Роскомнадзора об обработке персональных данных. Изменение содержания уведомления. Приказ Роскомнадзора от 19.08.2011 № 706. Рекомендации по составлению уведомления или правила? Уведомление в электронном виде, Отказ работника, составляющего уведомление и лица, ответственного за обработку персональных данных в организации, от своих прав на защиту и сохранение тайны. Скрытый смысл пункта 2 прим ст.25 ФЗ-152 о дополнительном уведомлении Роскомнадзора. Как реагировать на письма Роскомнадзора операторам, не направившим уведомление в уполномоченный орган?
    • Изменения в системе государственного контроля и надзора за выполнением законодательства о персональных данных. Изменения в ФЗ-294 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и их влияние на проведение проверок. Новый административный регламент проверок Роскомнадзора от 14.11.2011. Типовой регламент и проект административного регламента ФСБ России. Планирование проверок и доведении информации о них до проверяемых.
    • Анализ изменений законодательства о лицензировании отдельных видов деятельности, вступивших в силу в ноябре 2011 года. Необходимости лицензирования деятельности операторов персональных данных, связанной с технической защитой конфиденциальной информации и применением средств шифрования. Позиция ФСТЭК России по данному вопросу, изложенная в ответах на поступившие в надзорный орган вопросы.
    • Заключение. Подведение итогов. Ответы на вопросы слушателей.

    Другие курсы данной тематики

    • Организация безопасного доступа в интернет с использованием Cisco Web Security Appliance (версия 3. 0)
    • Подготовка к аудиту по требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard)
    • Основы оценочной деятельности для специалистов экономической безопасности
    • Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных
    • Программный комплекс мониторинга безопасности и контроля ресурсов DATAPK-ITM
    • Использование ЭП и PKI на основе УЦ КриптоПро и Windows Server
    • Astra Linux Special Edition. Специальный курс
    • Защита сетевого периметра
    • Школа аудита ИС. Средний уровень
    • Продвинутая безопасность в Junos (Advanced JUNOS Security)

    Передача данных в Россию | activeMind.legal

    В связи с нападением на Украину Россия была приостановлена ​​Советом Европы (СЕ) 16 марта 2022 года. Это приводит к некоторым изменениям в отношении передачи или обработки данных в России. Европейский совет по защите данных (EDPB) опубликовал заявление, которое мы вам очень кратко объясним.

    СЕ, Конвенция 108 и стойкость России

    Россия до недавнего времени была членом СЕ и, таким образом, была связана целым рядом конвенций и протоколов. Вынужденный выход России из СЕ побудил EDPB опубликовать заявление о передаче персональных данных в РФ.

    В заявлении EDPB подчеркивается, что Россия, с одной стороны, больше не связана всеми конвенциями и протоколами СЕ. С другой стороны, Россия остается участником тех конвенций и протоколов, к которым она присоединилась и к которым должны присоединиться государства, не являющиеся членами, например, Конвенция 108. Эта Конвенция обязывает всех подписавших ее сторон защищать право человека на неприкосновенность частной жизни в цифровой среде. возраста, предприняв в своем внутреннем законодательстве необходимые шаги для применения изложенных в нем принципов.

    Россия подписала закон от 5 июля 2022 года, вступающий в силу с 1 сентября 2022 года, вносящий существенные изменения в Федеральный закон № 152-ФЗ. Эти изменения включают новые правила международной передачи данных, уведомления об утечке данных и дополнительную защиту данных.

    Эти изменения имеют политическую подоплеку, поскольку они влияют на освещение в новостях войны в Украине, но также можно интерпретировать эти изменения в защите данных как приверженность России Конвенции 108 и другим конвенциям и протоколам.

    Реакция и рекомендации EDPB

    В заявлении EDPB особо подчеркиваются сохраняющиеся обязательства России по Конвенции 108 и ставится вопрос о том, как именно дальнейшее участие России в этой Конвенции будет проявляться в будущем.

    Из-за этих неопределенностей EDPB рекомендует экспортерам данных принять дополнительные меры. Эти рекомендации представляют собой добровольные пошаговые инструкции о том, как обеспечить более адекватную защиту данных и правильное использование данных для правильного выполнения этих дополнительных действий.

    Это шесть шагов:

    • Шаг 1 — выяснить, куда попадают личные данные конечного пользователя,
    • Шаг 2 — узнать, как отправляются данные, а затем
    • Шаг 3 — спросить, защищены ли данные после одного отправил данные.
    • Шаг 4 будет принимать дополнительные меры защиты передачи данных в случае, если данные не защищены должным образом, и
    • шаги 5 и 6 поощряются, когда человек документирует свои методы передачи данных и переоценивает свои методы передачи данных на случай, если что-то изменится в странах. вы отправляете персональные данные.

    После того, как вы следовали этим рекомендациям, вы можете быть уверены, что сделали все правильно, чтобы гарантировать, что данные субъектов данных правильно обрабатываются и защищаются.

    Вдобавок к этому, EDPB упоминает решение Шремса II Суда ЕС (CJEU) о механизмах, позволяющих передавать персональные данные из ЕС в США. Вкратце, CJEU постановил, что Стандартные договорные положения ( SCC) можно использовать только в том случае, если экспортер данных может обеспечить адекватный уровень защиты данных в стране получателя данных.

    Этим упоминанием EDPB хочет подчеркнуть, что существует приоритет в случае, если страны, не входящие в ЕС и не входящие в ЕЭЗ, не имеют надлежащей защиты данных, и к России могут относиться наравне с США

    Что теперь рассматривать как бизнес

    Подводя итоги, EDPB подчеркивает, что Россия не получила решения Европейской комиссии о достаточности в соответствии со ст. 45 Общего регламента по защите данных. Поэтому передача данных из ЕЭЗ в Россию может быть разрешена только в соответствии с главой V GDPR (Стандартные договорные положения, обязательные корпоративные правила и т. д.). Кроме того, экспортер данных должен оценить, может ли в контексте конкретной передачи быть обеспечен уровень защиты, практически эквивалентный уровню, гарантированному в ЕЭЗ, или необходимо принять дополнительные меры.

    Тем временем мы рекомендуем экспортерам и обработчикам данных, имеющим интересы в России, внимательно следить за Рекомендациями EDPB о дополнительных мерах. Если оценка экспортера данных приводит к выводу, что соответствие не обеспечивается (или более не обеспечивается) и что никакие дополнительные меры не могут быть реализованы, экспортеры данных должны приостановить передачу данных.

    Политика в отношении обработки персональных данных | Peppycraft.com

    1. Цель и объем документа

    Политика Общества в отношении обработки персональных данных (далее – Политика) определяет позицию и намерения Общества в отношении обработки и защиты персональных данных, соблюдения прав и основных свобод каждого человека, в особенности права на неприкосновенность частной жизни, личную и семейную тайну , защита его чести и репутации.

    Политика подлежит изучению и неукоснительному соблюдению руководителями и сотрудниками всех подразделений Компании; также доводится до сведения лиц, состоящих в договорных, гражданско-правовых или иных отношениях с Обществом, партнеров и иных заинтересованных лиц.

    2. Состав персональных данных, обрабатываемых в Обществе

    В Обществе осуществляется обработка следующих персональных данных клиентов:

    • Фамилия, имя, отчество клиента — физического лица (физического лица) или физического лица, являющегося представитель юридического лица Заказчика
    • Адрес доставки
    • Контактный телефон
    • Электронная почта
    • Банковские реквизиты
    • Выбор, связанный с файлами cookie

    Компания осуществляет обработку персональных данных соискателей в объеме, необходимом для принятия решения о приеме на работу соискателя.

    Общество осуществляет обработку персональных данных работников в объеме, необходимом для выполнения работодателем обязанностей, предусмотренных действующим законодательством.

    В Обществе не осуществляется обработка биометрических персональных данных, а также специальных категорий персональных данных (за исключением данных о состоянии здоровья работников, связанных с вопросом о возможности выполнения такими работниками своих трудовых функций).

    3. Цели обработки персональных данных

    Компания обрабатывает персональные данные в целях:

    • информирование клиентов о новых товарах и услугах, предлагаемых Компанией, выставках, в которых участвует Компания (рассылка каталогов, информационных листовок) , электронные сообщения на адреса электронной почты подписавшихся клиентов с информационными и рекламными материалами, касающимися товаров, предлагаемых Компанией)
    • индивидуальный учет заказов клиентов в целях выполнения договоров с клиентами
    • изучение мнений клиентов о Компании и предлагаемых ею товарах путем обратной связи с клиентами (путем регистрации отзывов, оставленных на сайте Компании, сбора анкет и форм-запросов, присланных по электронной почте и заполненных клиентами)
    • прием на работу новых работников Общества и выполнение обязанностей Общества, установленных для работодателя в соответствии с требованиями законодательства Российской Федерации к работникам в процессе их трудовой деятельности
    • принятие решения о возможности заключения трудовых договоров с лицами, претендующими на вакантные должности

    4. Положения Политики

    Компания осуществляет обработку и обеспечение безопасности персональных данных в соответствии с требованиями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона № 152- ФЗ «О персональных данных», Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных, и отмена Директивы 95/46/EC (Общее положение о защите данных).

    При обработке персональных данных Компания придерживается следующих принципов:

    • Компания осуществляет обработку персональных данных только на законной и справедливой основе.
    • Общество не вправе раскрывать третьим лицам и распространять персональные данные без согласия физического лица (если иное не установлено действующим законодательством Российской Федерации).
    • Компания собирает только те персональные данные, которые необходимы и достаточны для заявленной цели обработки.
    • Обработка персональных данных Компанией ограничивается достижением конкретных, заранее определенных и законных целей.
    • Компания уничтожает или обезличивает персональные данные после достижения целей обработки или в случае отсутствия в дальнейшем необходимости в достижении этих целей.
    • Компания вправе поручать обработку персональных данных (с согласия физического лица) третьим лицам на основании договоров, заключенных с этими лицами.
    • Третьи лица, осуществляющие обработку персональных данных по поручению Компании, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» и Общим регламентом по защите данных (GDPR) .
    • В случае трансграничной передачи Обществом персональных данных физических лиц на территорию иностранных государств указанная трансграничная передача должна осуществляться в соответствии с требованиями действующего законодательства Российской Федерации, а также международных правовых актов. Принимающей стороной при такой передаче могут быть только страны-участницы Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СЕД № 108 от 28.01.19).81) и обеспечение надлежащей защиты прав субъектов персональных данных.

    5. Права физических лиц при обработке персональных данных

    Физическое лицо, чьи персональные данные обрабатываются Обществом, имеет право:

    1. получать от Общества:
      • подтверждение факта обработки персональных данных Обществом
      • информация о правовых основаниях и целях обработки персональных данных
      • информация об используемых Обществом способах обработки персональных данных
      • информация о наименовании и местонахождении Компании
      • сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные в силу договора с Обществом или в силу федерального закона
      • перечень обрабатываемых персональных данных, касающихся лица, направившего запрос, и сведения об источниках данных
      • сведения о сроках обработки персональных данных, в том числе о сроках их хранения
      • информация об осуществляемой или планируемой трансграничной передаче персональных данных
      • наименование и адрес лица, осуществляющего обработку персональных данных от имени Компании
      • иная информация, предусмотренная Федеральным законом «О персональных данных» № 152-ФЗ или GDPR
    2. требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неверными, получены неправомерно или не нужны для заявленной цели обработки
    3. отозвать согласие на обработку персональных данных, направив письменное заявление по адресу: ООО «ПАННА» ул. Кабельная 5, стр. 7, 111024? Москва, Россия или по электронной почте на адрес Компании: [email protected]
    4. в любой момент отказаться от списка рассылки, нажав на ссылку «Отменить подписку на рассылку» в сообщении электронной почты или на веб-сайте по адресу http://_____________________________
    5. потребовать исправления неправомерных действий Компании в отношении его персональных данных
    6. требовать возмещения убытков и/или морального вреда в судебном порядке.
    7. Информация о внедренных требованиях по защите персональных данных

    При обработке персональных данных Компания принимает необходимые правовые, организационные и технические меры для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:

    • осуществляет доступ работников к персональным данным, обрабатываемым в рамках информационной системы Общества, а также к ее физическим носителям только в целях выполнения ими трудовых обязанностей
    • устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Общества, а также обеспечивает регистрацию и учет всех действий с этими данными
    • определяет угрозы безопасности персональных данных при их обработке в информационной системе Общества
    • применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защиты персональных данных
    • выявляет случаи несанкционированного доступа к персональным данным и принимает меры реагирования, в том числе сообщает об утечке в сроки и в порядке, предусмотренных GDPR, а также восстанавливает персональные данные, измененные или уничтоженные из-за несанкционированного доступа к ним
    • оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных
    • осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», GDPR и принятым в соответствии с ними нормативно-правовым актам и локальным законам
    • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных перед вводом в эксплуатацию информационных систем персональных данных
    • соблюдение условий, исключающих несанкционированный доступ к физическим носителям персональных данных и обеспечивающих безопасность персональных данных
    • ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями о защите персональных данных, с локальными законодательными актами по вопросам обработки и защиты персональных данных, обучение работников Общества

    ВНИМАНИЕ:

    Физические лица, чьи персональные данные обрабатываются Компанией, могут получить полные разъяснения по вопросам обработки их персональных данных, направив официальный запрос на адрес электронной почты export@firma-gamma.

    Оставить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *