Ст 9 152 фз о персональных данных: Статья 9 ФЗ 152 о персональных данных

Дент Арт — требуется ли согласие на обработку персональных данных от клиента

Требуется ли согласие на обработку персональных данных от клиента, самостоятельно обратившегося с заявлением на сайт компании?

На сайте организации предусмотрен раздел «Обратная связь», в котором клиенты могут задать интересующие вопросы по работе организации (в том числе направить жалобу). При этом форма обращения клиента, заполняемая on-line, содержит поля для указания клиентом его персональных данных (фамилия, имя и отчество, номер телефона, адрес электронной почты).

Согласно ст. 9 Федерального закона N 152-ФЗ от 27.07.2006 «О персональных данных» согласие на обработку персональных данных может быть дано субъектом персональных данных в любой позволяющей подтвердить факт его получения форме.

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.

Обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

Правомерно ли получение согласия клиента на обработку его персональных данных посредством проставления клиентом отметки в соответствующем поле, содержащем текст согласия на обработку персональных данных, формы обращения на интернет-странице?

Требуется ли вообще получение от него согласия на обработку персональных данных, поскольку клиент организации самостоятельно обращается с заявлением?

Случаи допустимости обработки персональных данных перечислены в ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ). В частности, обработка персональных данных признается допустимой в случаях, когда она:

— осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

— необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;

— необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. п. 1, 2, 5 ч. 1 ст. 6 Закона N 152-ФЗ).

Напомним, что под обработкой персональных данных для целей Закона N 152-ФЗ понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без

использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ). Частью 1 ст. 9 Закона N 152-ФЗ определено, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Часть 4 той же статьи предусматривает, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. В той же норме перечислены сведения, которые в обязательном порядке должно содержать согласие субъекта персональных данных на их обработку. Из системного толкования норм ч. 1 и 4 ст. 9 Закона N 152-ФЗ можно сделать вывод о том, что оператор должен получить письменное согласие субъекта персональных данных на их обработку, включающее сведения, предусмотренные ч. 4 ст. 9 этого федерального закона только в случаях, когда федеральный закон прямо указывает на необходимость получения согласия именно в такой форме. К примеру, согласие в письменной форме требуется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ч. 2 ст. 10 Закона N 152-ФЗ), биометрических персональных данных (ч. 1 ст. 11 Закона N 152-ФЗ), на трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона N 152-ФЗ). В остальных случаях согласие на обработку персональных данных может быть дано в любой форме в соответствии с правилом ч. 1 ст. 9 Закона N 152-ФЗ.

Из вопроса не следует, что речь идет об обработке персональных данных, требующей получения согласия субъекта персональных данных именно в письменной форме. Поэтому согласие может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. Если технология заполнения размещенной на сайте формы запроса обеспечивает сохранность сведений о получении согласия (позволяет подтвердить его получение), то, на наш взгляд, такое согласие получено в надлежащей форме.

Следует учитывать, что в случае спора обязанность представления доказательств получения такого согласия возлагается на оператора (ч. 3 ст. 9 Закона N 152-ФЗ).

В рассматриваемом случае, как мы поняли из вопроса, обработка персональных данных заключается в их сборе, накоплении и использовании в целях информирования клиента об организации, оказываемых ею услугах и в соответствующих случаях об исполнении заключенного с клиентом договора. При этом избранный организацией способ коммуникации (размещенная на сайте форма запроса) с учетом информации о его назначении, которая доводится до клиента, позволяет клиенту исходя из обычного уровня понимания определить способы и цели обработки его персональных данных и путем заполнения и отправки запроса в электронном виде дать осознанное согласие на такую обработку персональных данных.

Поэтому мы полагаем, что размещение дополнительной формы согласия на обработку персональных данных организации в этом случае не требуется, если обработка не выходит за рамки тех целей, которые заявлены организацией (для дачи ответа на сформулированный клиентом запрос). Если персональные данные будут обрабатываться не только в связи с предоставлением клиенту интересующей его информации, относящейся к сфере деятельности организации, но и для других целей, такая обработка потребует дополнительного согласия субъекта персональных данных, при отсутствии предусмотренных законом обстоятельств, когда оператор не обязан получать такое согласие (например, в силу п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).

Косвенно этот вывод можно подтвердить судебной практикой. В постановлении от 13.12.2010 N Ф07-13220/2010 ФАС Северо-Западного округа указал применительно к рассмотренной им ситуации, что, отправив свои данные по алгоритму заполнения анкеты-запроса на получение ипотечного кредита, форма которой была размещена на веб-ресурсе, физические лица — потенциальные клиенты фактически выразили свое согласие на обработку своих персональных данных для определенных в анкете целей.

Кроме того, на наш взгляд, обработка персональных данных в этой ситуации может быть соотнесена с положением п. 2 ч. 1 ст. 6 Закона N 152-ФЗ, в соответствии с которым такая обработка допускается, если она необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

Так, если на отношения клиента и организации распространяется действие Закона РФ от 07.02.1992 N 2300-I «О защите прав потребителей» (далее также — Закон о защите прав потребителей), следует иметь в виду, что пункт 1 ст. 8 этого закона наделяет потребителя (гражданина, имеющего намерение заказать или приобрести либо заказывающего, приобретающего или использующего товары (работы, услуги) исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности — смотрите преамбулу к данному закону) правом требовать предоставления ему необходимой и достоверной информации об изготовителе (исполнителе, продавце), режиме его работы и реализуемых им товарах (работах, услугах). Закон о защите прав потребителей в ряде случаев предписывает определенные способы информирования потребителя (п. 1 ст. 9, п.п. 2, 3 ст. 10), однако по смыслу норм п. 2 ст. 8, п. 1 ст. 10 этого закона перечень форм и способов, с использованием которых потребитель может быть ознакомлен с информацией об исполнителе и оказываемых им услугах, не является исчерпывающим.

В связи с этим мы полагаем, что, если в рассматриваемом случае информация, доводимая до клиента с использованием электронной формы запроса, объективно направлена на возможность правильного выбора клиентом оказываемых организацией услуг, согласия на обработку персональных данных оператору не требуется, поскольку такое предоставление информации осуществляется во исполнение обязанности, возложенной на организацию как исполнителя услуг в соответствии с федеральным законом. При этом обработка персональных данных не должна выходить за пределы информирования потребителя в соответствии с требованиями Закона о защите прав потребителей.

Отметим также, что персональные данные должны обрабатываться в целях, заранее определенных и заявленных при сборе персональных данных, в соответствии с полномочиями оператора (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ). По достижении цели обработки или в случае утраты необходимости в ее достижении персональные данные подлежат уничтожению (ч. 2 ст. 5, ч. 4 ст. 21 Закона N 152-ФЗ).

Ответ подготовил:

Эксперт службы Правового консалтинга ГАРАНТ

Ерин Павел Информационное правовое обеспечение ГАРАНТ http://www.garant.ru

Суды о сроке действия согласия на обработку персональных данных / Защита информации / Блог



Напишите нам

В случае возниконовения вопросов Вы можете направить нам сообщение и мы обязательно свяжемся с Вами в ближайшее время

Ваше имя

E-mail

Телефон

Текст сообщения

Направляя обращение, Вы соглашаетесь на обработку Ваших персональных данных на условиях, изложенных в Политике обработки персональных данных

Отправить

Категории

• Все материалы
• Электронная коммерция
• Телеком
• Защита информации
• Интеллектуальная собственность
• Финансовые технологии
• Ввоз радиотехники

05 марта 2018

Поделиться

pro/blog/protection-of-information/the-courts-on-the-validity-of-the-consent-to-the-processing-of-personal-data/» data-title=»Суды о сроке действия согласия на обработку персональных данных» data-img=»https://datacase.pro/upload/resize_cache/iblock/ae2/500_500_2/iStock_936296716.jpg» data-text=» Несмотря на то, что Федеральный закон «О персональных данных» (Закон № 152-ФЗ) существует уже давно, многие организации до сих пор не разобрались с особенностями его применения и регулярно получаю…»>
• 
• 
• 
• 
• 
• 

Все статьи

Защита информации

Несмотря на то, что Федеральный закон «О персональных данных» (Закон № 152-ФЗ) существует уже давно, многие организации до сих пор не разобрались с особенностями его применения и регулярно получают предписания от Роскомнадзора по устранению недостатков в своей работе.

Как известно, в соответствии со статьей 6 Закона № 152-ФЗ в большинстве случаев обработка персональных данных возможна только при условии получения от субъекта его согласия. В особых случаях, установленных законом, такое согласие должно быть письменным, и включать в себя, в частности, условие о сроке его действия (п. 8 ч. 4 ст. 9 Закон № 152-ФЗ).

Следует отметить, что в приведенной норме законодатель не требует указывать в согласии конкретный срок его действия или устанавливать его предельный срок. Вместе с тем, сотрудники Роскомнадзора признали отсутствие в письменном согласии конкретного срока его действия нарушением п. 8 ч. 4 ст. 9 Закона № 152-ФЗ и выдали оператору предписание о его устранении. В свою очередь, оператор посчитал действия ведомства незаконными и обратился в суд.

Суды трех инстанций встали на сторону оператора и признали предписание Роскомнадзора незаконным. В решении суда отмечено, что срок действия согласия определен началом его действия (со дня подписания) и заканчивается моментом письменного отзыва в произвольной форме. Тринадцатый арбитражный апелляционный суд к этому добавил, что указание точного срока действия согласия субъекта персональных данных на их обработку в привязке к конкретному временному периоду или календарной дате не всегда возможно. Верховный Суд Российской Федерации оснований для пересмотра приведенных судебных актов не нашел (Определение Верховного Суда РФ от 05.03.2018 № 307-КГ18-101).

Таким образом, суды открыли операторам персональных данных возможность определять срок действия согласия субъекта персональных данных на обработку таких данных неопределенным периодом, ограниченным лишь моментом отзыва такого согласия.

Похожие статьи

26 марта 2020 Защита информации Планы Центров компетенций и рабочих групп Роскомнадзора Как следует из пункта 6. 6 Положения о Роскомнадзоре (утверждено Постановлением Правительства РФ от 16.03.2009 № 228), с целью реализации своих полномочий ведомство имеет право создавать совещательные и экспертные органы. Такими органами стали Центры компетенций, созданные на базе управле…

21 марта 2020 Защита информации Приостановление очного взаимодействия с Роскомнадзором 20 марта 2020 года на сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) опубликовано сообщение о приостановке проведения плановых и внеплановых проверок и переходе на механизмы систематического мониторинга в онлайн режиме в связи…

14 февраля 2020 Защита информации Facebook и Twitter привлечены к административной ответственности за нарушение правил локализации персональных данных В России сформированы очередные прецеденты привлечения зарубежных социальных сетей к ответственности за нарушение правил локализации персональных данных российских граждан, предусмотренных частью 5 статьи 18 Федерального закона от 27.

07.2006 № 152-ФЗ «О персональных данных». В соответствии с дан…

Спасибо за обращение. В ближайшее время мы с вами свяжемся.

Политика обработки персональных данных — РИТ ИТ

Настоящая политика обработки персональных данных разработана в соответствии с пунктом 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и распространяется на все персональные данные обрабатывается переработчиком – ООО «РусИнТех Сервис».

1. Сведения об обработчике данных:

Наименование: Общество с ограниченной ответственностью «РусИнТех Сервис» (ООО «РусИнТех Сервис»).

Юридический адрес: 630024, Россия, г. Новосибирск, ул. 15, этаж №1 цоколь/помещения 1-11

2. Правовая основа обработки персональных данных:

Обработка персональных данных осуществляется в объеме и в сроки, установленные нормативными правовыми актами Российской Федерации:

– Трудовой кодекс Российской Федерации;

– Налоговый кодекс Российской Федерации;

– Федеральный закон от 26. 12.1995 № 208-ФЗ «Об акционерных обществах»;

– Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

– Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;

– «Основы законодательства Российской Федерации о нотариате» № 4462-1 от 11.02.1993;

– Федеральный закон от 18.07.2006 № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации».

А также по договору о согласии на обработку персональных данных.

3. Цели обработки персональных данных.

3.1. Обработка персональных данных осуществляется в следующих целях:

– Исполнение обязанностей работодателя в соответствии с законодательством Российской Федерации, в том числе содействие в трудоустройстве, обучении и развитии карьеры, ведение кадрового делопроизводства, обеспечение личной безопасности для работника контроль количества и качества выполняемой работы, сохранность имущества, ведение медицинского и социального страхования, охраны труда, организация командировок работников;

– Исполнение гражданско-правовых договоров, стороной или выгодоприобретателем по которым является субъект персональных данных;

– Соблюдение внутренней политики безопасности и пропускной контроль;

– Архивное хранение документов в соответствии с законодательством Российской Федерации, а также выдача архивных справок по требованию субъекта персональных данных или его законного представителя;

– Подготовка и направление ответов на запросы, поступившие в ООО «РусИнТех Сервис» через корпоративный сайт или иными способами, а также подготовка отчетов по этим запросам.

3.2. ООО «РусИнТех Сервис» вправе определять иные цели обработки персональных данных в рамках законодательства Российской Федерации.

4. Категории обрабатываемых данных, их источники и сроки обработки.

4.1. ООО «РусИнТех Сервис» обрабатывает следующие категории персональных данных:

– Персональные данные работников ООО «РусИнТех Сервис». Источник: субъекты персональных данных;

– Персональные данные претендентов на замещение вакансий в подразделениях ООО «РусИнТех Сервис». Источники: субъекты персональных данных, кадровые агентства, общедоступные источники;

– Персональные данные посетителей. Источники: субъекты персональных данных;

– Персональные данные лиц, обращающихся в ООО «РусИнТех Сервис» с использованием корпоративного сайта или иными способами. Источники: субъекты персональных данных.

4.2. ООО «РусИнТех Сервис» не обрабатывает персональные данные, относящиеся к национальности, национальности, политическим взглядам, религиозно-философским убеждениям и интимной жизни.

4.3. ООО «РусИнТех Сервис» обрабатывает персональные данные, связанные со здоровьем, только в пределах, разрешенных законодательством Российской Федерации.

4.4. Сроки обработки персональных данных определяются:

– В соответствии с правовыми актами Российской Федерации – в отношении персональных данных, обрабатываемых в соответствии с требованиями законодательства Российской Федерации;

– С согласия на обработку персональных данных – в отношении персональных данных, обрабатываемых в соответствии с согласием на обработку персональных данных.

– ООО «РусИнТех Сервис», как оператор персональных данных, определяет трехлетний срок обработки персональных данных для ответа на запросы, полученные через корпоративный сайт или иным способом.

5. Общие принципы обработки персональных данных.

5.1. При обработке персональных данных ООО «РусИнТех Сервис» соблюдает принципы, установленные статьей 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

5.2. ООО «РусИнТех Сервис» осуществляет трансграничную передачу персональных данных в порядке, установленном законодательством Российской Федерации.

5.3. В ООО «РусИнТех Сервис» созданы общедоступные источники персональных данных (адресная книга корпоративной почтовой системы, телефонный справочник). Персональные данные включаются в такие источники на основании письменного согласия субъектов персональных данных.

5.4. Обработка персональных данных прекращается, а персональные данные уничтожаются в следующих случаях:

— по достижении целей обработки или в случае отсутствия необходимости в их достижении, если иное не установлено законодательством субъекта Российская Федерация;

– при отзыве согласия работника на обработку персональных данных, за исключением случаев, когда обязанность дальнейшей обработки персональных данных предусмотрена законодательством Российской Федерации;

– При обнаружении неправомерных действий в отношении персональных данных и невозможности устранения допущенных нарушений в сроки, установленные законодательством Российской Федерации.

5.5. Сайт может обрабатывать и хранить обезличенные данные о посетителях (в т.ч. файлы cookie) с использованием сервисов интернет-статистики (Яндекс.Метрика, Google Analytics и др.) Оператор обрабатывает обезличенные данные о Пользователе в случае активации соответствующего разрешения в браузере Пользователя. (Хранилище файлов cookie активно и JavaScript активен) 

6. Информация о третьих лицах, участвующих в обработке персональных данных.

6.1. ООО «РусИнТех Сервис» обеспечивает конфиденциальность персональных данных и не осуществляет передачу персональных данных, а также не предоставляет доступ к ним третьим лицам без согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.

6.2. ООО «РусИнТех Сервис» передает персональные данные (обеспечивает доступ к ним) органам государственной власти Российской Федерации в соответствии с их компетенцией и в пределах, предусмотренных законодательством Российской Федерации.

6.3. ООО «РусИнТех Сервис» передает персональные данные иным третьим лицам на основании договора или поручения на обработку, в которых устанавливаются:

– Цель обработки персональных данных;

– Перечень действий (операций) с персональными данными, которые должен совершить подрядчик;

– Обязанность Исполнителя по охране конфиденциальности персональных данных и обеспечению безопасности персональных данных при их обработке;

– Требования к безопасности обрабатываемых персональных данных в соответствии со статьей 19Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

А в пределах, разрешенных действующим законодательством, при условии оформления письменного согласия на передачу персональных данных.

7. Обеспечение безопасности персональных данных.

7.1. ООО «РусИнТех Сервис» принимает все необходимые организационные и технические меры для обеспечения конфиденциальности персональных данных при их обработке подразделениями Компании:

– Обеспечение правовой защиты персональных данных путем исполнения договорных отношений, влекущих за собой обязательства по сохранению конфиденциальности персональных данных уполномоченными работниками ООО «РусИнТех Сервис»;

– Хранение документов, содержащих персональные данные и хранящихся в производственных и служебных помещениях, в том числе использование в этих помещениях систем контроля доступа и установка систем охранной и пожарной сигнализации;

– Использование антивирусной защиты, средств защиты от несанкционированного доступа к персональным данным, механизмов контроля целостности персональных данных и иных технических и программных средств в информационных системах персональных данных;

– Постоянный контроль за действиями пользователей информационных систем персональных данных, в необходимых случаях – реализация мероприятий по устранению выявленных несоответствий требованиям нормативных документов, установленных контролирующими органами;

– Периодическая проверка соответствия принимаемых мер по обеспечению безопасности персональных данных уполномоченными органами.

7.2. ООО «РусИнТех Сервис» определяет по своему усмотрению содержание и перечень мер, необходимых и достаточных для обеспечения исполнения возложенных на него обязательств, если иное не предусмотрено правовыми актами Российской Федерации.

8. Права субъектов персональных данных.

8.1. Субъект персональных данных имеет право:

– получать информацию, связанную с обработкой своих персональных данных;

– На неограниченный свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;

– Требовать от ООО «РусИнТех Сервис» актуализировать свои персональные данные, блокировать или уничтожить персональные данные в случае их неполноты, устаревания, недостоверности, незаконного получения или ненужности для заявленной цели обработки, а также принять предусмотренные законом меры по защиты своих прав.

8.2. Права субъекта персональных данных, указанные в пункте 8.1. Устава, могут быть ограничены в случаях, предусмотренных законодательством Российской Федерации.

8.3. Для реализации всех вышеуказанных прав субъект персональных данных вправе направить соответствующий запрос в ООО «РусИнТех Сервис».

9. Общие выводы

9.1. Информацию и разъяснения по обработке персональных данных Пользователь может получить, обратившись к Оператору, отправив электронное письмо на адрес [email protected]

9.2. Этот документ содержит все данные и изменения, внесенные в политику обработки персональных данных. Политика действует бессрочно до замены ее новой версией.

9.3 . Действующая версия Политики находится в свободном доступе в сети Интернет на сайте https://rit-it.com/policy/

Статья 9 📖 GDPR. Обработка специальных категорий персональных данных

Статья 1. Предмет и целиСтатья 2. Материальный объемСтатья 3. Территориальный охватСтатья 4. ОпределенияСтатья 5. Принципы обработки персональных данныхСтатья 6. Законность обработкиСтатья 7. Условия согласияСтатья 9. Обработка особых категорий персональных данныхСтатья 10. Обработка персональных данных, касающихся уголовных судимостей и правонарушенийСтатья 11. Обработка, не требующая идентификацииСтатья 12. Прозрачная информация, общение и условия осуществления прав субъекта данныхСтатья 13. Информация, подлежащая обработке предоставляется, если персональные данные собираются от субъекта данных Статья 14. Информация, которая должна быть предоставлена, если персональные данные не были получены от субъекта данных Статья 15. Право доступа субъекта данных Статья 16. Право на исправление Статья 17. Право на удаление («право на быть забытым’) Статья 18. Право на ограничение обработки Статья 19. Обязательство уведомления об исправлении или удалении персональных данных или ограничении обработкиСтатья 20. Право на переносимость данныхСтатья 21. Право на возражениеСтатья 22. Автоматизированное индивидуальное принятие решений, включая профилированиеСтатья 23. ОграниченияСтатья 24. Предмет и целиСтатья 25. Защита данных по дизайну и по умолчаниюСтатья 26. Совместные контролерыСтатья 27.

Представители контролеров или обработчиков, не зарегистрированных в СоюзеСтатья 28. ПроцессорСтатья 29. Обработка под руководством контролера или обработчикаСтатья 30. Записи об обработкеСтатья 31. Сотрудничество с надзорным органомСтатья 32. Безопасность обработкиСтатья 33. Уведомление надзорного органа о нарушении персональных данныхСтатья 34. Сообщение об утечке персональных данных в отношении данных предметСтатья 35. Оценка воздействия на защиту данныхСтатья 36. Предварительные консультацииСтатья 37. Назначение уполномоченного по защите данныхСтатья 38. Должность уполномоченного по защите данныхСтатья 39. Задачи уполномоченного по защите данныхСтатья 40. Кодексы поведенияСтатья 41. Мониторинг утвержденных кодексов поведенияСтатья 42. СертификацияСтатья 43. Органы по сертификацииСтатья 44. Общий принцип передачиСтатья 45. Передача на основании решения об адекватностиСтатья 46. Передача с соблюдением соответствующих гарантийСтатья 47 Обязательные корпоративные правилаСтатья 48. Передача или раскрытие информации, не разрешенные законодательством СоюзаСтатья 49. Отступления для конкретных ситуацийСтатья 50. Международное сотрудничество по защите персональных данныхСтатья 51. Надзорный органСтатья 52. НезависимостьСтатья 53. Общие условия для членов надзорного органаСтатья 54. Правила образования надзорного органаСтатья 55. КомпетенцияСтатья 56. Компетенция головного надзорного органаСтатья 57. ЗадачиСтатья 58. ПолномочияСтатья 59. Отчеты о деятельностиСтатья 60. Сотрудничество между головным надзорным органом и другими заинтересованными надзорными органамиСтатья 61. ВзаимопомощьСтатья 62. Совместная деятельность надзорных органовСтатья 63. Механизм согласованностиСтатья 64. Мнение ПравленияСтатья 65. Разрешение споров ПравлениемСтатья 66. Экстренная процедураСтатья 67. Обмен информациейСтатья 68. Европейский совет по защите данныхСтатья 69. НезависимостьСтатья 70. Задачи советаСтатья 71. ОтчетыСтатья 72. ПроцедураСтатья 73. ПредседательСтатья 74. Задачи председателяСтатья 75. СекретариатСтатья 76. КонфиденциальностьСтатья 77. Право на подачу жалобы в надзорный органСтатья 78. Право на эффективное средство судебной защиты от надзорного органаСтатья 79. Право на эффективное средство судебной защиты против контролера или обработчикаСтатья 80. Представительство субъектов данныхСтатья 81. Приостановление производстваСтатья 82. Право на компенсацию и ответственностьСтатья 83. Общие условия наложения административных штрафовСтатья 84. НаказанияСтатья 85. Обработка и свобода выражения мнений и информацииСтатья 86 .Обработка и публичный доступ к официальным документамСтатья 87. Обработка национального идентификационного номераСтатья 88. Обработка в контексте трудоустройстваСтатья 89. Гарантии и отступления, связанные с обработкой в ​​целях архивирования в общественных интересах, в целях научных или исторических исследований или в статистических целях Отмена Директивы 95/46/ЕССтатья 95. Связь с Директивой 2002/58/ЕССтатья 96. Связь с ранее заключенными СоглашениямиСтатья 97. Комиссионные отчеты 98. Обзор других юридических актов Союза по защите данных. 29 Сольный концерт 30 Сольный концерт 31 Сольный концерт 32 Сольный концерт 33 Сольный концерт 34 Сольный концерт 35 Сольный концерт 36 Сольный концерт 37 Сольный концерт 38 Сольный концерт 39Recital 40Recital 41Recital 42Recital 43Recital 44Recital 45Recital 46Recital 47Recital 48Recital 49Recital 50Recital 51Recital 52Recital 53Recital 54Recital 55Recital 56Recital 57Recital 58Recital 59Recital 60Recital 61Recital 62Recital 63Recital 64Recital 65Recital 66Recital 67Recital 68Recital 69Recital 70Recital 71Recital 72Recital 73Recital 74Recital 75Recital 76Recital 77Recital 78Recital 79Recital 80Recital 81Recital 82Recital 83Recital 84Recital 85Recital 86Recital 87Recital 88Recital 89Сольный концерт 90Recital 91Recital 92Recital 93Recital 94Recital 95Recital 96Recital 97Recital 98Recital 99Recital 100Recital 101Recital 102Recital 103Recital 104Recital 105Recital 106Recital 107Recital 108Recital 109Recital 110Recital 111Recital 112Recital 113Recital 114Recital 115Recital 116Recital 117Recital 118Recital 119Recital 126Recital 127Recital 128Recital 129Recital 130Recital 131Recital 132Recital 133Recital 134Recital 135Recital 136Recital 137Recital 138Recital 139Recital 140Recital 141Recital 142Recital 120Recital 121Recital 122Recital 123 Сольный концерт 124 Сольный концерт 125 Сольный концерт 143 Сольный концерт 144 Сольный концерт 145 Сольный концерт 146 Сольный концерт 147 Сольный концерт 148 Сольный концерт 149Секретат 150 -рецтатный 151 декабря 152 декабря 153 деката 154 -декал. GDPR > Статья 9. Обработка особых категорий персональных данных

Один язык Два языка Три языка

Скачать PDF

Текст

Преамбула

Руководящие принципы и прецедентное право

Комментарии экспертов

Регистрация | Войти

Болгарский (bg)Чешский (sc)Датский (da)Немецкий (de)Греческий (el)Английский (en)Испанский (es)Эстонский (et)Финский (fi)Французский (fr)Ирландский (ga)Хорватский (hr)Венгерский (hu)Итальянский (it)Корейский (ko)Литовский (lt)Латышский (lv)Мальтийский (mt)Голландский (nl)Норвежский (no)Польский (pl)Португальский (pt)Румынский (ro)Русский (ru)Словацкий (sk )Словенский (sl)Шведский (sv)Украинский (uk)Китайский (zh)

Комментарий эксперта ИСО 27701 Сольные концерты Руководящие принципы и прецедентное право

Комментарий эксперта

ИСО 27701

Сольные концерты

(51) Персональные данные, которые по своему характеру являются особо конфиденциальными в отношении основных прав и свобод, заслуживают особой защиты, поскольку контекст их обработки может создавать значительные риски для основных прав и свобод. Эти персональные данные должны включать персональные данные, раскрывающие расовое или этническое происхождение, при этом использование термина «расовое происхождение» в настоящем Регламенте не означает принятия Союзом теорий, которые пытаются определить существование отдельных человеческих рас. Обработка фотографий не должна систематически рассматриваться как обработка особых категорий персональных данных, поскольку они охватываются определением биометрических данных только при обработке с помощью конкретных технических средств, позволяющих однозначно идентифицировать или аутентифицировать физическое лицо. Такие персональные данные не должны обрабатываться, за исключением случаев, когда обработка разрешена в конкретных случаях, изложенных в настоящем Регламенте, принимая во внимание, что законодательство государств-членов может устанавливать специальные положения о защите данных, чтобы адаптировать применение правил настоящего Регламента для соблюдения с юридическим обязательством или для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера. В дополнение к конкретным требованиям к такой обработке должны применяться общие принципы и другие правила настоящего Регламента, в частности, в отношении условий законной обработки. Отступления от общего запрета на обработку таких особых категорий персональных данных должны быть прямо предусмотрены, в частности, в случаях, когда субъект данных дает свое явное согласие или в связи с конкретными потребностями, в частности, когда обработка осуществляется в ходе законных деятельность определенных ассоциаций или фондов, целью которой является предоставление возможности осуществления основных свобод.

(52) Отступление от запрета на обработку особых категорий персональных данных также должно быть разрешено, если это предусмотрено законодательством Союза или государства-члена, и при условии соблюдения соответствующих гарантий для защиты персональных данных и других основных прав, если это отвечает общественным интересам, в частности, обработка персональных данных в сфере трудового права, права социальной защиты, включая пенсионное обеспечение, и в целях охраны здоровья, в целях мониторинга и оповещения, предотвращения или контроля инфекционных заболеваний и других серьезных угроз для здоровья. . Такое отступление может быть сделано для целей здравоохранения, включая общественное здравоохранение и управление услугами здравоохранения, особенно для обеспечения качества и экономической эффективности процедур, используемых для урегулирования требований о пособиях и услугах в системе медицинского страхования, или для целей архивирования в общественных интересах, научных или исторических исследований или статистических целей. Отступление также должно разрешать обработку таких персональных данных, когда это необходимо для установления, осуществления или защиты правовых требований, будь то в судебном или административном или внесудебном порядке.

(53) Особые категории персональных данных, которые требуют более высокой защиты, должны обрабатываться в целях, связанных со здоровьем, только в случае необходимости для достижения этих целей на благо физических лиц и общества в целом, в частности, в контексте управление службами и системами здравоохранения или социального обеспечения, включая обработку руководством и центральными национальными органами здравоохранения таких данных с целью контроля качества, управленческой информации и общего национального и местного надзора за системой здравоохранения или социального обеспечения, а также обеспечение непрерывность медицинского или социального обслуживания и трансграничного здравоохранения или безопасности здоровья, мониторинга и оповещения, или для целей архивирования в общественных интересах, научных или исторических исследований или статистических целей, на основании законодательства Союза или государства-члена, которое должно соответствовать общественному интересу, а также для исследований, проводимых в общественном интересе в сфере общественного алт. Таким образом, настоящий Регламент должен предусматривать гармонизированные условия обработки особых категорий персональных данных, касающихся здоровья, в отношении конкретных потребностей, в частности, когда обработка таких данных осуществляется для определенных целей, связанных со здоровьем, лицами, на которых распространяется юридическое обязанность хранить профессиональную тайну. Законодательство Союза или государства-члена должно предусматривать конкретные и подходящие меры для защиты основных прав и персональных данных физических лиц. Государствам-членам должно быть разрешено сохранять или вводить дополнительные условия, включая ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья. Однако это не должно препятствовать свободному обмену персональными данными внутри Союза, когда эти условия применяются к трансграничной обработке таких данных.

(54) Обработка особых категорий персональных данных может быть необходима по соображениям общественного интереса в области общественного здравоохранения без согласия субъекта данных. К такой обработке должны применяться подходящие и конкретные меры для защиты прав и свобод физических лиц. В этом контексте «общественное здоровье» следует толковать в соответствии с определением, определенным в Регламенте (ЕС) № 1338/2008 Европейского парламента и Совета [11], а именно, все элементы, связанные со здоровьем, а именно состояние здоровья, включая заболеваемость и инвалидность, детерминанты, влияющие на это состояние здоровья, потребности в медицинской помощи, ресурсы, выделяемые на здравоохранение, предоставление медицинской помощи и всеобщий доступ к ней, а также расходы и финансирование медицинской помощи, а также причины смертности. Такая обработка данных, касающихся здоровья, по соображениям общественного интереса не должна приводить к обработке персональных данных для других целей третьими сторонами, такими как работодатели или страховые и банковские компании.

_{[11] Регламент (ЕС) № 1338/2008 Европейского парламента и Совета от 16 декабря 2008 г. о статистике Сообщества в области общественного здравоохранения, здоровья и безопасности на рабочем месте (ОЖ L 354, 31. 12.2008, стр. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC}

(55) Кроме того, обработка персональных данных официальными власти в целях достижения целей, установленных конституционным законом или международным публичным правом, официально признанных религиозных объединений, осуществляется исходя из общественных интересов.

(56) Если в ходе избирательной деятельности функционирование демократической системы в государстве-члене требует, чтобы политические партии собирали персональные данные о политических взглядах людей, обработка таких данных может быть разрешена по соображениям общественного проценты при условии, что установлены соответствующие гарантии.

Руководящие принципы и прецедентное право

Документы

Статья 29Рабочая группа, Мнение 2/2010 о поведенческой рекламе (2010):

Любое возможное нацеливание на субъекты данных на основе конфиденциальной информации открывает возможность злоупотреблений. Кроме того, учитывая конфиденциальность такой информации и возможные неловкие ситуации, которые могут возникнуть, если люди получают рекламу, раскрывающую, например, сексуальные предпочтения или политическую деятельность, не следует предлагать/использовать категории интересов, которые раскрывают конфиденциальные данные .

В этом контексте единственное доступное юридическое основание, которое узаконило бы обработку данных, было бы явным, отдельным предварительным согласием. Требование об отдельном положительном предварительном указании на согласие субъектов данных означает, что механизм отказа от согласия ни в коем случае не будет соответствовать требованиям закона. Это также означает, что такое согласие не удалось получить через настройки браузера . Чтобы законно собирать и обрабатывать информацию такого типа, провайдеры рекламных сетей должны были бы создать механизмы для получения явного предварительного согласия 9.0244 отдельно от другого согласия, полученного для обработки в целом .

EDPB, Оценка необходимости мер, ограничивающих основное право на защиту персональных данных: набор инструментов (2017 г.).

WP29, Мнение об обработке данных на работе  (2017).

Европейская комиссия, Руководство Комиссии по применению закона ЕС о защите данных в контексте выборов, Вклад Европейской комиссии на встрече лидеров в Зальцбурге 19-20 сентября 2018 г.

EDPB, Руководство по оценке пропорциональности мер, ограничивающих основные права на неприкосновенность частной жизни и защиту персональных данных (2019).

EDPB,  Руководство по использованию данных о местоположении и инструментов отслеживания контактов в контексте вспышки COVID-19 (2020 г.).

EDPB, Руководство 8/2020 по таргетингу на пользователей социальных сетей (2020).

EDPB, Руководство 3/2020 по обработке данных о здоровье в целях научных исследований в контексте Covid-19Вспышка  (2020 г.