152 закон о персональных данных: Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ (последняя редакция)

Содержание

Что дает обычному человеку Федеральный Закон №152 О персональных данных? / Хабр

Об операторах персональных данных написано довольно много статей.

Операторы очень расстроены, что им приходится тратить средства на защиту персональной информации, что им всем тяжело живется и вообще все очень плохо.

С другой стороны есть сами владельцы персональных данных, и я предлагаю рассмотреть тему именно с этой стороны. Что же дает владельцу персональных данных ФЗ № 152 и каким способом он может защитить свои законные интересы?

В данном случае разговор пойдет о коммерческих организациях, вопрос относительно государственных органов – тема отдельной статьи.

Сбор и обработка персональных данных юридическими лицами – практика распространенная. Кто-то включает персональные данные в договора, кто-то собирает персональные данные для программ лояльности, кто-то собирает для проведения обзвона с целью предложить свои самые современные пылесосы. У каждого свои цели. И это прекрасно, пока не доставляет неудобств людям.

Если у организации недостаточно денег на средства защиты, экспертов, желания – это трудности конкретной организации. Нет денег на средства защиты, ну так пишите на бумаге, но с разрешения владельца. Если интернет-магазин не может обеспечить безопасность информации о заказах, значит не надо хранить эти заказы.
Данная статья позволяет разобраться владельцу персональных данных, каким способом он может заставить оператора персональных данных прекратить нарушать его права.

Основной посыл в законе о персональных данных: информация, содержащая любые персональные данные*, не принадлежит никому кроме самого владельца, и если какая-либо компания хочет их получить, она должна обосновать это желание и получить разрешение от владельца, либо иметь на обработку законные основания. Кроме того, такая компания должна обеспечить безопасность этой информации.

*статья 2. Пункт 1. персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Разрешение может быть дано как в виде отдельного документа, содержащего подпись владельца, так и в рамках какого-либо договора: на оказание услуг, трудового договора или других форм. Существуют и исключения, когда письменного разрешения не требуется, они указанны в статье 6 федерального закона. Если организация не попадает под пункты, где не требуется разрешения, и письменного разрешения также не имеет, то оператор обязан уничтожить персональные данные в срок, не превышающий 7 дней, (статья 20 пункт 3) и уведомить об этом владельца персональных данных.

Ваши персональные данные могут обрабатывать только для четко определенных целей, никто может их обрабатывать просто так**. Если вам при получении карты постоянного покупателя предлагают указать ваши паспортные данные, наличие недвижимости и счетов в банке, то это избыточная информация, которая не требуется для оказания услуги, и сбор такой информации является незаконным. При этом вам не могут отказать в выдаче карты, если вы не укажете, сколько стоит ваша квартира в этой анкете.

**Статья 1 пункт 3 обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Если какая-либо организация обрабатывает ваши персональные данные, вы имеете право запросить у оператора персональных данных информацию***, касающуюся обработки персональных данных, что указанно в статье 7.

***статья 14 пункт 7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Ответ по данному запросу оператор обязан переставить в 30-дневный срок.
Если вам, например, позвонили коллекторы и требуют от вас какие-либо выплаты, не надо с ними ругаться, стоит аккуратно записать из какой организации и кто звонит. После этого следует отправить заказным письмом запрос в эту организацию. В письме необходимо запросить основание обработки, цели обработки и состав, указанный в пункте 7 статьи 14 ФЗ.

Если в течение 30 дней вам не пришел ответ, смело пишите заявление в Роскомнадзор, заодно проверив, числится ли коллектор в реестре операторов персональных данных.

Вот пример последствий для оператора персональных данных по обращению владельца:

Случай из жизни: меня в очередной раз расстроил мой интернет-провайдер своим качеством обслуживания, и я решил посмотреть насколько законно он обрабатывает мои персональные данные. Написав и распечатав письмо с запросом информации из статьи 14, я сходил к ним и отдал под роспись секретарю вместе с претензией на качество обслуживания. На следующий день руководитель технической поддержки (до этого мне так и не удалось с ним поговорить, не переключали) с радостью сообщил, что они все починили, дал мне свои контакты с просьбой звонить если что то будет не так ему лично. Интернет с тех пор работает отлично.

Еще один пример нарушения со стороны оператора персональных данных: после покупки машины в автосалоне по почте пришло письмо от производителя из Германии, в котором говорилось, что я приобрел машину такой-то марки с просьбой оценить качество обслуживания их дилера. При заключении договора в тексте договора не было нигде описано, что я разрешаю обрабатывать свои данные, тем более передавать их кому-либо.

Оператор не уничтожил мои персональные данные после достижения целей обработки (договор исполнен), осуществил трансграничную передачу этих данных и продолжает обрабатывать их в своих информационных системах, без какого-либо основания (приходят СМС с информацией об акциях).

Если статья будет интересна читателям, на последнем примере нарушения выложу формы обращения и пошаговую инструкцию по организации запросов к операторам персональных данных, запросов в Роскомнадзор, расскажу, куда можно обратиться помимо Роскомнадзора, и на какие статьи законодательства ссылаться.

Порядок обработки персональных данных, разрешённых для распространения

Персональные данные, разрешённые для распространения, появились в российском правовом поле весной 2021 года. Они значительно отличаются от общедоступных персональных данных — их обработка регламентирована иначе. Новые правила обработки порождают ряд проблем, с которыми могут столкнуться операторы. Официальные разъяснения по этим проблемам можно ожидать с введением в действие новой информационной системы Роскомнадзора. Рассмотрим изменения в 152-ФЗ «О персональных данных» после вступления в силу закона № 519-ФЗ от 30.12.2020.

Введение
Отличия от персональных данных, ставших общедоступными
Проблемы обработки персональных данных, разрешённых для распространения
Выводы

Введение

Персональные данные, разрешённые для распространения, — это новая разновидность персональных данных в российском праве, которая была введена в марте 2021 года законом № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”».

К ним могут иметь доступ любые лица, если субъект, которому принадлежат эти данные, дал специальное согласие — об этом говорится в п. 1.1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 30.12.2020) «О персональных данных». Рекомендуемая форма согласия обозначена приказом Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения». Формы согласий уже можно разрабатывать с учётом формы регулятора на уровне организаций, а применять их можно будет официально только с 1 сентября 2021 года. Разберёмся подробнее с природой персональных данных, разрешённых для распространения, и способами регулирования их обработки.

Отличия от персональных данных, ставших общедоступными

До вступления в силу 1 марта 2021 года закона № 519-ФЗ в 152-ФЗ существовал такой вид данных, как «персональные данные, сделанные общедоступными субъектом персональных данных». К ним могли иметь доступ вообще все люди.

Такой доступ предоставлялся по просьбе субъекта. Также они могли содержаться в общедоступных источниках персональных данных.

Термин «общедоступные персональные данные» и категория «просьба субъекта» вводили физических и юридических лиц в заблуждение. Складывалось ошибочное мнение, что раз персональные данные стали общедоступными, да ещё и по просьбе субъекта, к которой не было установлено каких-либо формальных требований, то можно было брать такие персональные данные и обрабатывать их любыми способами без согласия субъекта.

Суды неоднократно сталкивались с этой проблемой и критиковали истцов и ответчиков за доводы, будто данные о субъекте, ставшие общедоступными, могут свободно использоваться и их распространение законодателем не ограничивается, а следовательно, не является нарушением 152-ФЗ. Суды указывали, что такая позиция необоснованна и не даёт права использовать сделанные общедоступными сведения в своих целях и без согласия субъекта. Например, нельзя публиковать на сторонних ресурсах выписки из ЕГРЮЛ в отношении организации с персональными данными генерального директора и учредителей, размещёнными в общедоступном источнике (на сайте ЕГРЮЛ) согласно п.

«д» ч. 1 ст. 5 закона № 129-ФЗ от 08.08.2001 (ред. от 27.10.2020) «О государственной регистрации юридических лиц и индивидуальных предпринимателей» (см. решение привокзального районного суда г. Тулы № 2-997/2020 М-938/2020 от 28 июля 2020 г. по делу № 2-997/2020). Такая публикация будет считаться распространением — обработкой — персональных данных. А распространение возможно только при наличии согласия субъекта.

Для того чтобы гармонизировать правоприменительную практику, законодатель убрал из 152-ФЗ упоминания общедоступных персональных данных и ввёл новый термин — «персональные данные, разрешённые для распространения». Этот вид данных отрегулирован так, что субъект получает широкую легитимную возможность контролировать распространение своих данных в информационном пространстве. Делается это за счёт того, что субъект указывает в согласии условия и запреты на распространение данных. Оператор в свою очередь обеспечивает опубликование таких условий и запретов на странице, где размещены персональные данные субъекта, разрешённые для распространения. Так, оператор берёт на себя обязанность оповестить всех посетителей информационного ресурса о том, как следует работать с опубликованными данными и можно ли их распространять далее.

При этом стоит отметить, что хотя из закона убран термин «общедоступные персональные данные», само это явление продолжает существовать. В ч. 2 ст. 10.1 закона № 152-ФЗ закреплено, что если субъект сам раскрыл свои персональные данные неопределённому кругу и не предоставлял оператору специального согласия, то любые третьи лица, которые распространили такие персональные данные, должны доказать законность их обработки. Такие данные, опубликованные без специального согласия, но по воле самого субъекта, — это персональные данные, сделанные общедоступными самим субъектом.

Проблемы обработки персональных данных, разрешённых для распространения

Правоприменительной практики по обработке персональных данных, разрешённых для распространения, ещё не сложилось. Однако при анализе ст. 10.1 закона № 152-ФЗ можно выделить ряд проблем, с которыми столкнутся операторы при работе с новым видом персональных данных:

Проблема организационного исполнения установленных субъектом условий и запретов по обработке персональных данных, разрешённых для распространения. Каждый субъект может установить свои особенные условия и запреты. Такие условия и запреты должны соблюдаться оператором и публиковаться в явной и понятной форме рядом с данными, к которым они относятся.
Проблема выстраивания взаимодействия с контрагентами и иными лицами, обрабатывающими персональные данные, разрешённые для распространения. В ч. 14 ст. 10.1 закона № 152-ФЗ установлено, что субъект персональных данных вправе обратиться с требованием прекратить передачу своих персональных данных, ранее разрешённых им для распространения, к любому лицу, обрабатывающему его персональные данные. Таким образом, каждому оператору при заключении соглашений о защите персональных данных с контрагентами нужно дополнительно урегулировать порядок взаимодействия двух операторов в случае получения одним из них такого требования.
Проблема выстраивания процессов по сбору согласий на обработку персональных данных, разрешённых для распространения, посредством информационной системы Роскомнадзора. В соответствии с ч. 6 ст. 10.1 закона № 152-ФЗ согласие можно принимать непосредственно от субъекта либо с 1 июля 2021 года через информационную систему Роскомнадзора. Проект приказа Роскомнадзора об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций сейчас находится на стадии оценки регулирующего воздействия (см. Федеральный закон от 31.07.2020 № 247-ФЗ «Об обязательных требованиях в Российской Федерации»). Порядок взаимодействия с субъектом персональных данных в новой системе нужно будет учитывать, когда оператор станет разрабатывать локальные нормативные акты в сфере защиты персональных данных.

Этот небольшой перечень проблем, с которыми могут столкнуться операторы при обработке персональных данных, разрешённых для распространения, выявлен на момент вступления в силу закона № 519-ФЗ и носит прогностический характер. С развитием правоприменительной практики список может быть скорректирован.

Компании-операторы уже начали выстраивать систему работы с новым видом персональных данных. Наиболее частые вопросы, которые возникают у операторов:

Как грамотно обеспечить публикацию условий и запретов, установленных субъектом?
Как обеспечить публикацию условий и запретов в отношении персональных данных, разрешённых для распространения, если такие данные публикуются в закрытых или открытых группах в социальных сетях?
Будут ли являться персональными данными, разрешёнными для распространения, Ф. И. О. и фотографии, используемые в новостных публикациях, и нужно ли брать согласия субъектов для таких публикаций?

Предполагается, что с момента запуска новой информационной системы Роскомнадзор представит бизнес-сообществу разъяснения по вопросам связанным с соблюдением новых требований 152-ФЗ. Такие разъяснения вкупе с судебной практикой позволят сформировать более целостное представление о том, как обрабатывать персональные данные, разрешённые для распространения.

Выводы

По нашему мнению, правовое регулирование нового вида персональных данных устанавливает для операторов немало организационно-административных барьеров. Новые требования распространяются на каждого оператора, в том числе на медицинские и образовательные организации, которые, казалось бы, обязаны публиковать персональные данные своих работников в открытом доступе на основании законов (см. п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и п. «з» ч. 2 ст. 29 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» соответственно).

С 1 сентября 2021 года начнёт складываться практика их обработки и практика проверок такой обработки регулятором. Первые кейсы станут более чётким ориентиром для выстраивания в компаниях модели работы с персональными данными, разрешёнными для распространения. Сейчас рекомендуем ориентироваться на ст. 10.1 закона № 152-ФЗ и приказы Роскомнадзора, а также отслеживать позицию регуляторов на семинарах и конференциях.

Закон О Персональных Данных N 152-ФЗ

27 июля 2006 года N 152-ФЗ

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН

О ПЕРСОНАЛЬНЫХ ДАННЫХ

Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года

Статья 1. Сфера действия настоящего Федерального закона

Статья 2. Цель настоящего Федерального закона

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

Статья 4. Законодательство Российской Федерации в области персональных данных

Статья 5. Принципы обработки персональных данных

Статья 6. Условия обработки персональных данных

Статья 7. Конфиденциальность персональных данных

Статья 8. Общедоступные источники персональных данных

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

Статья 10. Специальные категории персональных данных

Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

Статья 11. Биометрические персональные данные

Статья 12. Трансграничная передача персональных данных

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

Статья 14. Право субъекта персональных данных на доступ к его персональным данным

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

Статья 17. Право на обжалование действий или бездействия оператора

Статья 18. Обязанности оператора при сборе персональных данных

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

Статья 22. Уведомление об обработке персональных данных

Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

Статья 23.1. Федеральный государственный контроль (надзор) за обработкой персональных данных

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

Статья 25. Заключительные положения

Федеральный закон РФ «О персональных данных» N 152-ФЗ (действующая редакция 2021)

Соответствие сайта закону о персональных данных

С 1 июля 2017 года сайт компании не может служить полноценным инструментом маркетинга, если не соответствует Федеральному закону № 152-ФЗ «О персональных данных».

Согласно закону, любые данные посетителей сайта определены как «персональные», включая cookies и адрес электронной почты. Владелец сайта — оператор персональных данных, в обязанности которого входит получение согласия на обработку персональных данных, защита персональных данных и выполнение других требований закона.

Нарушение 152-ФЗ грозит штрафом до 300 т.р. на организацию и 75 т.р. для руководителя (сводная таблица штрафов и видов ответственности). Кроме того, Роскомнадзор блокирует сайт до устранения нарушений. Вся процедура может занять несколько недель и сильно понизить рейтинг сайта в поисковых системах.

В первую очередь, в соответствие со 152-ФЗ свои сайты должны привести интернет-магазины, гостиницы, образовательные организации, порталы и другие компании, деятельность которых подразумевает работу с персональными данными посетителей.

Оформление политики конфиденциальности

Если на сайте компании собирается статистика посещений или посетители заполняют какие-либо формы обратной связи, с точки зрения закона компания осуществляет:

Сбор персональных данных;
Обработку персональных данных;
Хранение персональных данных;

и должна предпринимать меры по защите информации.

Чтобы посетители осознанно дали разрешение на сбор их персональных данных на сайте, нужно оформить и разместить в открытом доступе Политику конфиденциальности или Соглашение на обработку персональных данных.

В Политику конфиденциальности или Соглашение о персональных данных рекомендуется включить основные разделы:

Виды и типы собираемой информации о посетителях — пользователь сайта должен знать, какие данные собираются о нем на сайте, для каких целей они нужны и как будут использоваться, т. е. цели сбора и обработки информации;
Обработка персональных данных — нужно разъяснить, как посетитель может получить доступ к своим персональным данным для их редактирования, сколько будет храниться эта информация и как ее удалить;
Защита персональных данных — как построена система защиты персональных данных (СЗПДн), какие предприняты меры безопасности для обеспечения конфиденциальности посетителей и снижения угрозы хищения их персональных данных;
Условия передачи информации третьим лицам — в каких случаях и с какими целями возможна передача третьей стороне персональных данных посетителей.

Соответствие сайта 152 ФЗ

Для соответствия сайта требованиям 152-ФЗ необходимо:

Размещение сайта в дата-центре на территории России, с указанием точного адреса расположения серверов, на которых расположен сайт;
Утвержденная приказом директора Политика конфиденциальности, с подробным указанием целей, способов и сроков сбора и обработки персональных данных пользователей;
Открытый доступ к Политике на отдельной странице сайта и в офисе компании;
Сопровождение всех форм для ввода данных на сайте ссылкой на Политику конфиденциальности или на Соглашение на обработку персональных данных и предупреждением, что заполнение формы является согласием пользователя со сбором и обработкой его персональных данных;
Корректное сохранение всех логов с действиями посетителей сайта для возможности предоставить их по запросу государственных органов;
Указание на сайте отдельного e-mail для принятия запросов об удалении персональных данных посетителей, с указанием срока ответов на запросы по удалению ПД;
Установка предупреждающего баннера (дисклеймера) о том, что дальнейшее пользование сайтом означает согласие на сбор и обработку персональных данных, в том числе cookies;
Уведомление Роскомнадзора об обработке ПД, с указанием адреса сервера и типов собираемых данных.

Для самостоятельного выполнения организацией всех требований закона «О персональных данных» может потребоваться несколько недель и обращение за консультацией к юристам. Эффективнее использовать опыт других компаний — мы умеем быстро подготавливать сайты к требованиям 152-ФЗ с помощью проверенных приемов и методик.

Наши преимущества

При подготовке сайта для соответствия требования закона «О персональных данных» мы руководствуемся:

Проверенными методами выполнения на сайте требований 152-ФЗ;
Нашей широкой экспертизой по обеспечению информационной безопасности компаний, включая выполнение закона «О персональных данных»;
Знаниями по настройкам различных CMS;
Опытом выполнения необходимых условий на десятках сайтов.

Мы снижаем риски наших клиентов, быстро и грамотно выполняя на их сайтах все необходимые требования.

Стоимость и сроки работ по выполнению требований закона о ПД на сайте:

от2

рабочих дней

Просто и доступно о 152 ФЗ.

На территории нашей страны действует федеральный закон о защите персональных данных, вы наверняка не раз сталкивались с его официальным обозначением – 152-ФЗ.

Суть 152-ФЗ заключается в том, что каждый, кто собирает и обрабатывает персональные данные (ПДн), обязан обеспечить безопасность этой конфиденциальной информации.

Об этом законе написано множество статей, большая часть которых направлена на то, чтобы вызвать у вас, как минимум, беспокойство – соблюдаете ли вы требования 152-ФЗ, могут ли вас оштрафовать на немыслимые суммы, что делать, к кому обратиться? Как правило, авторы этих публикаций гордо предъявляют свои лицензии ФСБ и ФСТЭК, предлагают услуги специализированного или «аттестованного» хостинга под этот закон. Их посыл заключается в том, что без их помощи и услуг вы легко попадете под санкции за нарушение действующего законодательства и можете даже лишиться своих проектов. Поэтому надо всего лишь платить в 3 раза больше, чем за стандартную ИТ инфраструктуру, все остальное покроют «лицензии ФСБ и ФСТЭК».

Мы подготовили этот материал с иной целью – мы пошагово объясним вам принципы действия ФЗ-152, чтобы вы могли самостоятельно определить зону своей ответственности и ответственности провайдера, что будет достаточно предпринять, чтобы соблюсти требования закона и нужно ли вам переплачивать в разы за арендованные облачные серверы.

Определяем, попадает ли сайт под действие 152-ФЗ
Для начала стоит разобраться – что такое персональные данные, работает ли с ними ваш сайт, попадает он под действие 152-ФЗ в принципе?

Персональные данные – это любая информация, которая относится к конкретному человеку (субъекту персональных данных): ФИО, паспортные данные, e-mail, номер телефона и другие.

Важно: если на своем сайте вы запрашиваете у посетителя только e-mail, он не будет являться ПДн, поскольку это просто набор символов, не относящийся к конкретной персоне, но, если вы просите представиться и оставить электронный адрес, вы уже работаете с ПДн.

В принципе, это означает, что любой веб-проект, где с пользователем осуществляется прямое взаимодействие – ему нужно представиться и оставить любую информацию о себе – попадает под действие 152-ФЗ.

Если ваш сайт носит исключительно информативный и ознакомительный характер, не имеет форм обратной связи и не подразумевает никакой коммуникации с аудиторией, 152-ФЗ никак вас не коснется, вы можете закрыть эту статью.

Но если вы определили, что работаете с персональными данными, это значит, что вы имеете статус Оператора ПДн.

Оператор ПДн – это компания, которая собирает, хранит, обрабатывает и распространяет персональные данные.

Если вы храните на своих серверах данные пользователей сайта – вы оператор ПДн.

Даже если вы удаляете полученные персональные данные – вы уже осуществляете их обработку, то есть являетесь оператором ПДн.

Вы – оператор ПДн, а это значит, что требования и санкции, прописанные в законе «О персональных данных» имеют к вам непосредственное отношение. Значит, в этих требованиях стоит разобраться подробнее.

Как классификация ПДн влияет на ответственность оператора

Главный принцип 152-ФЗ гласит, что оператор ПДн обязан обеспечить надежную защиту и конфиденциальность персональным данным, с которыми он работает. А вот степень этой защиты и, соответственно, объем ответственности за ее ненадлежащее обеспечение напрямую зависит от типа ПДн, с которыми работает оператор.

Выделяют 4 типа персональных данных:

Общие ПДн – базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, e-mail и другие. Как правило, эти данные известны широкому кругу лиц и именно их чаще всего запрашивают веб-ресурсы.

Специальные ПДн

Более конкретные данные о личности: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, информация о судимостях и другие. Эту категорию отличает то, что такие данные можно получить только по запросу у самого человека, либо в соответствующих инстанциях.

Биометрические ПДн

Это физиологические или биологические особенности человека, которые используются для идентификации личности: фотографии, отпечатки пальцев, группа крови, генетическая информация и другие.

Важно: если вы не используете фото и другие данные этой категории, чтобы идентифицировать человека, они не являются биометрическими ПДн.

Иные ПДн

К этой категории относятся персональные данные, которые нельзя отнести к категориям, перечисленным выше: принадлежность к определенной социальной группе, корпоративные данные и тому подобные.

Определив категории ПДн, с которыми вы работаете, можно определить и требуемую ФЗ-152 степень их защиты.

Иерархия в данном случае выглядит следующим образом – от меньшей степени защиты к большей:

· Общедоступные – известны широкому кругу лиц, слабая защита.

· Иные – известны меньшему количеству людей, требуют чуть большей защиты.

· Биометрические данные – используются для идентификации личности, требуют серьезной защиты.

· Специальные данные – при утечке могут нанести вред человеку, требуют самой высокой степени защиты.

Для обеспечения защиты ПДн, согласно закону «О персональных данных», оператору необходимо выстроить безопасную ИТ-инфраструктуру и в случаях, требующих, высокой степени защиты – действительно получить соответствующую документацию от государственных органов, регулирующих действие 152-ФЗ: ФСБ, Роскомнадзор, ФСТЭК – лицензии, свидетельства об аттестации и другие.

Требуемые уровни защиты ПДн

Обеспечение соответствия ваших проектов 152-ФЗ и меры, которые в этой связи необходимо предпринять, напрямую зависят от категории данных ПДн, с которыми Вы работаете и ряда параметров, наглядно представленных в таблице

Рассмотрим все параметры этой таблицы:

Количество субъектов ПДн – число тех, кто оставляет ПДн на вашем сайте.
Типы актуальных угроз:
- 1 тип — не теоретические, связанные с возможностями уязвимостей в системном программном обеспечении, например, в операционной системе, гипервизоре.
- 2 тип — угрозы средней уязвимости, связанные со слабыми местами прикладного ПО, например, в установленных программах, базах данных.
- 3 тип — угрозы, не связанные с ПО, например, уязвимости в физическом оборудовании.

Важно: если вы используете ПО с сертификацией ФСТЭК, то угрозы 1 и 2 типа для вас не актуальны (недокументированных возможностей в ПО нет). Но понятно, что таким специфичным ПО пользуются в основном только государственные структуры. В общем случае, специалист по информационной безопасности может точно определить уровень актуальных угроз исходя из той конфигурации ПО и инфраструктуры, которую вы реально используете.

УЗ – это требуемый законодательством уровень защищенности ПДн. Всего выделяют 4 типа, у каждого есть свои определения, но если упрощенно, то данные с УЗ-3 и УЗ-4 можно без опасений хранить в публичном облаке, а вот для УЗ-2 и УЗ-1 нужны особые условия.

Выбираем путь к соблюдению закона о Персональных данных

Обратите внимание, если у вас интернет-магазин, вы собираете общедоступную информацию от ваших клиентов, и количество этих клиентов, не превышает 100 тыс., то вам не надо беспокоиться об использовании защищенного ФЗ-152 хостинга или облака, также как и о наличии лицензий ФСБ и ФСТЭК.

Вы спокойно можете выбрать провайдера, чьи серверы расположены на территории РФ, и доверить ему свою ИТ-инфраструктуру. Этого будет полностью достаточно, чтобы соблюдать требования 152-ФЗ в части ИТ инфраструктуры и не опасаться санкций и огромных штрафов!

Кстати, если вы используете CMS нашего давнего партнера 1С-Битрикс, то все становится совсем просто – ребята отлично поработали и поставили в CMS модуль – конструктор соглашений, который подойдет для большинства компаний, чтобы решить все задачи с приемом и обработкой персональных данных на сайте. Вот тут подробно описано, как это работает, а мы в свою очередь подготовили оптимизированные под 1С-Битрикс тарифы на ультрабыстром «железе».

Если же у вас более комплексный случай, то обращайтесь к нам, наши специалисты по информационной безопасности проведут аудит вашего проекта, помогут разработать необходимые нормативные документы и будут готовы сопровождать вас на всех этапах приведения ИТ инфраструктуры к требованиям законодательства.

Группа компаний Rusonyx – ваш надёжный партнёр

Наши серверы находятся не просто на территории РФ – они находятся в самом надежном дата-центре России – DataPro. Несколько upstream провайдеров с защитой от DDoS обеспечивают связность нашей инфраструктуры с сетью Интернет.

Серверы Dell и Intel обеспечивают работу высоконагруженных вебсайтов, мобильных приложений и инфраструктуры интернет-проектов.

Облако на базе OpenStack и виртуализации KVM обеспечивают отказоустойчивость и безопасность клиентских приложений.

Именно поэтому нам доверяют 35 тысяч интернет-магазинов, предприятий, финансовых организаций и ИТ-компаний.

Оставьте ваши контакты и мы свяжемся с вами, чтобы проконсультировать и рассказать подробней о наших услугах.

Сравнение законов о конфиденциальности: Россия, Китай и США

Режимы конфиденциальности данных в России, Китае и США сильно отличаются от режимов в других странах. Финансовая привлекательность продажи или обработки данных резидентам ЕС сильна, что побудило другие страны принять Общий регламент защиты данных (GDPR) или что-то в этом роде. Россия, Китай и Соединенные Штаты достаточно велики, чтобы другие силы могли доминировать, включая желание хранить данные своих граждан локально, как мы увидим.

Россия

В России действуют конституционные меры защиты конфиденциальности данных и Закон о конфиденциальности данных (DPA), принятый еще в 2006 году (152-ФЗ). DPA был существенно изменен в 2014 году и по причинам, которые мы увидим, стал известен как Закон о локализации данных.

Ключевой особенностью Закона о локализации данных является требование о том, что данные о гражданах России должны храниться в России, включая данные отслеживания файлов cookie. Закон содержит положение, позволяющее стране блокировать веб-сайты, которые не обрабатывают российские данные в России, что, как и следовало ожидать, привело к буму использования российских центров обработки данных.Первоначальное наказание за нарушение закона составляло всего 160 долларов, но в 2019 году оно было увеличено до 100 000 долларов. На момент написания кажется, что точные правила соблюдения расплывчаты.

Подобно GDPR, российское законодательство определяет категории конфиденциальных данных, которые не могут быть собраны или обработаны без согласия пользователя. Большим отличием от GDPR является отсутствие каких-либо требований сообщать об утечках данных.

Китай

Закон Китайской Народной Республики о кибербезопасности вступил в силу 1 июня 2017 года и ввел обязательную отчетность об утечках данных перед государством, но не обязал информировать пострадавших лиц. Существует понятие более конфиденциальных персональных данных, но оно более расплывчатое, чем точное определение, данное в GDPR, и правила расплывчаты. Подобно российскому законодательству, в китайском законодательстве есть правила экспорта данных, в этом случае требуется, чтобы копия данных постоянно находилась в Китае, а обработчики данных должны получать согласие физических лиц на обработку своих данных за рубежом.

Ситуация в Китае может существенно измениться с принятием Закона о защите личной информации, проект которого был опубликован 21 октября 2020 года.Предлагаемый закон уточняет и уточняет китайское законодательство. В нем есть несколько новых ключевых положений, выходящих за рамки существующего законодательства:

Заявления об экстерриториальности, когда зарубежные компании обрабатывают данные китайских граждан за пределами Китая.
Для обработки данных третьей стороной требуется индивидуальное согласие.
Правила автоматизированного принятия решений.
Положение о том, что регулирующий орган Китая принимает контрмеры против любой страны, которая принимает необоснованную политику против Китая в отношении обработки персональных данных.
Персональные данные должны храниться в Китае.
Требование информировать физических лиц, если их данные были нарушены.

На момент написания у нас нет информации о том, когда этот законопроект может стать законом.

США

Соединенные Штаты — это особый случай, когда речь идет о конфиденциальности данных, и, как и положено особому случаю, картина сложная. Правовая база представляет собой лоскутное одеяло из федеральных правил и правил штата, в котором преобладают законы самого большого штата — Калифорнии.

The Federal View

На момент написания в США не было федерального закона о конфиденциальности, хотя в настоящее время предпринимаются различные попытки его создания. Ближайшим законодательным актом является Закон 1996 года о переносимости и подотчетности медицинского страхования, который применяется к медицинским записям.

Отсутствие федеральных законов делает обработку данных резидентов ЕС в Соединенных Штатах более рискованной для американских компаний. GDPR четко устанавливает требования к обработке данных за рубежом, и в 2016 году Европейская комиссия и США достигли полного соглашения об экспорте и обработке данных (Privacy Shield).В 2020 году Европейский суд (ECJ) признал это соглашение между ЕС и США недействительным, и в настоящее время обработка данных зависит от юридических контрактов. Федеральный закон о конфиденциальности, совместимый с GDPR, упростил бы обработку данных жителей ЕС и упростил бы юридический риск. например, Закон об уведомлении о нарушениях в Массачусетсе, но детали законов варьируются от штата к штату.

Наиболее важным законом штата является Закон штата Калифорния о конфиденциальности потребителей (CCPA), который ввел многие, но не все, идеи GDPR в законы штата США. Вот некоторые из прав CCPA:

По запросу компании должны раскрывать, какие личные данные они хранят о жителях Калифорнии и что они с ними делают.
Компании должны удалять данные по запросу и не могут продавать личные данные по запросу.
Для сбора данных о детях младше 13 лет необходимо согласие родителей.

Примечательно, что закон распространяется не на все коммерческие предприятия (опять же, это большое отличие от GDPR). Для применения закона должно выполняться одно или несколько из следующих условий:

Иметь валовой годовой доход более 25 миллионов долларов США;
Покупать, получать или продавать личную информацию 50 000 или более жителей Калифорнии, домохозяйств или устройств; или
Получайте 50% или более своего годового дохода от продажи личной информации жителей Калифорнии.

В 2020 году избиратели Калифорнии приняли Предложение 24, которое привело к принятию Закона Калифорнии о правах на неприкосновенность частной жизни 2020 года.Это вступит в силу в 2023 году, добавив больше прав в CCPA. Закон определяет «конфиденциальные» данные аналогично GDPR и создает новый регулирующий орган, приближая закон Калифорнии к GDPR, но все же есть ключевые различия.

Штат Вашингтон работает над Законом о конфиденциальности Вашингтона (WPA), который содержит положения, аналогичные CCPA, но расширяет права в отношении систем распознавания лиц.

Закон Калифорнии применяется только к резидентам Калифорнии, но на самом деле большинству фирм слишком сложно иметь разные правила обработки данных о резидентах разных штатов, поэтому самые строгие правила применяются ко всем в США.Другими словами, Калифорния устанавливает стандарт.

Будущее

Ситуация с конфиденциальностью данных в Китае, России и США сложна и быстро меняется. Во всех трех странах действуют разные внутренние силы, которые могут тянуть их законодательство в разные стороны. Справедливая ставка на то, что отдельные штаты в Соединенных Штатах могут принять больше законов о конфиденциальности данных, независимо от того, что происходит на федеральном уровне. Конечно, шутка в пачке — это правовая база для обработки данных жителей ЕС в США, которая в настоящее время находится в подвешенном состоянии.

Практическое руководство по законам о конфиденциальности данных по странам

В США нет единого всеобъемлющего законодательства о конфиденциальности данных. Вместо этого страна придерживается секторального подхода к конфиденциальности данных, полагаясь на лоскутное одеяло из отраслевых законов и законов штата.

Фактически, США полагаются на «сочетание законодательства, регулирования и саморегулирования», а не только на государственное вмешательство. Существует около 20 отраслевых или отраслевых федеральных законов и более 100 законов о конфиденциальности на уровне штата (фактически, только в Калифорнии существует 25 законов о конфиденциальности).

Закон Калифорнии о конфиденциальности потребителей (CCPA) дает жителям Калифорнии четыре права, которые дают им больше полномочий в отношении своих личных данных: право на уведомление, право на доступ, право выбора (или отказа) и право на равные услуги. Любая организация, которая собирает персональные данные жителей Калифорнии, а не только предприятия, расположенные в штате, должна соблюдать CCPA. Подробнее о соблюдении CCPA здесь .

1 января 2023 года в Вирджинии вступит в силу Закон о защите данных потребителей (CDPA).По закону компании, ведущие бизнес в штате, должны получать разрешение от пользователей на обработку своих данных. Это также дает потребителям право просматривать, получать, удалять и исправлять свои данные. В отличие от CCPA, компании должны разрешить резидентам отказаться от участия только в том случае, если они будут продавать данные для получения финансовой выгоды. Подробнее о CDPA здесь .

Наиболее известные национальные законы включают Закон о конфиденциальности 1974 г., Закон о защите конфиденциальности 1980 г., Закон Грэмма-Лича-Блайли 1999 г., Закон о переносимости и подотчетности медицинского страхования 1996 г., Закон о справедливой кредитной отчетности 2018 г.

Соблюдение нормативных требований — это только часть головоломки по защите данных. Загрузите эту шпаргалку, чтобы увидеть 6 других шагов по устранению утечки данных .

У США также есть специальные соглашения о защите конфиденциальности как с ЕС, так и со Швейцарией.

Для доп. Информации:

Что дает обычному человеку Федеральный закон № 152 «О персональных данных»?

Об операторах персональных данных написано немало статей.
Операторы очень огорчены тем, что им приходится тратиться на защиту личной информации, что всем им тяжело жить и все очень плохо.
С другой стороны, есть сами владельцы персональных данных, и я предлагаю рассмотреть тему с этой стороны. Что дает владельцу персональных данных Федеральный закон № 152 и как он может защитить свои законные интересы?
В данном случае речь пойдет о коммерческих организациях, вопрос о государственных органах — тема отдельной статьи.

Сбор и обработка персональных данных юридическими лицами — обычная практика. Кто-то включает личные данные в договор, кто-то собирает личные данные для программ лояльности, кто-то собирает для звонков, чтобы предложить свои самые современные пылесосы. У каждого свои цели. И это нормально, если это не доставляет неудобств людям.
Если у организации не хватает денег на средства правовой защиты, экспертов, желания, это трудности конкретной организации. Денег на средства правовой защиты нет, ну пишите на бумаге, но с разрешения хозяина.Если интернет-магазин не может обеспечить безопасность информации о заказе, то хранить эти заказы нет необходимости.
Эта статья позволяет владельцу персональных данных выяснить, как он может заставить оператора персональных данных прекратить нарушать его права.

Главный посыл в законе о персональных данных: информация, содержащая какие-либо персональные данные *, не принадлежит никому, кроме владельца, и если какая-либо компания хочет ее получить, она должна обосновать это желание и получить разрешение от владельца или иметь правовые основания для обработки.Кроме того, такая компания должна обеспечить безопасность этой информации.
‘)
* Статья 2. Пункт 1. персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Разрешение может быть предоставлено либо в виде отдельного документа, содержащего подпись владельца, либо в рамках любого договора: на оказание услуг, трудовой договор или другие формы. Есть исключения, когда письменное разрешение не требуется; они указаны в статье 6 Федерального закона.Если организация не подпадает под пункты, где разрешение не требуется, а также не имеет письменного разрешения, то оператор обязан уничтожить персональные данные в срок, не превышающий 7 дней (статья 20, пункт 3), и уведомить владельца личные данные об этом.

Ваши личные данные могут обрабатываться только для четко определенных целей, никто не может обрабатывать их просто так **. Если вам предлагается указать свои паспортные данные, наличие недвижимости и банковских счетов при получении карты лояльности, это избыточная информация, которая не требуется для оказания услуги, и сбор такой информации является незаконным.При этом они не могут отказать вам в выдаче карты, если вы не укажете, сколько стоит ваша квартира в этой заявке.

** Статья 1 п.3 обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение. (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Если какая-либо организация обрабатывает ваши персональные данные, вы имеете право запросить у оператора персональных данных *** информацию об обработке персональных данных, которая указана в статье 7.

*** Статья 14 п.7. Субъект персональных данных имеет право получать информацию об обработке его персональных данных, в том числе содержащую:
1) подтверждение обработки персональных данных оператором ;
2) правовое основание и цель обработки персональных данных;
3) цели и методы обработки персональных данных, применяемые оператором;
4) наименование и местонахождение оператора, информация о лицах (кроме сотрудников оператора), которые имеют доступ к персональным данным или которые могут раскрыть персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источнику их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
6) время обработки персональных данных, включая срок хранения;
7) порядок реализации субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информация о совершенной или планируемой трансграничной передаче данных;
9) имя или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных от имени оператора, если обработка поручена или будет доверена такому лицу;
10) иная информация, предусмотренная настоящим Федеральным законом или иными федеральными законами.

Оператор обязан изменить ответ на этот запрос в течение 30 дней.
Если, например, вам звонили инкассаторы и они требуют от вас каких-либо выплат, вы не должны им ругаться, вы должны внимательно записать, из какой организации и кто звонит. После этого вам необходимо отправить запрос в эту организацию заказным письмом. В письме должны быть указаны основания обработки, цель обработки и состав, указанные в пункте 7 статьи 14 Федерального закона.
Если вы не получили ответ в течение 30 дней, смело пишите заявление в Роскомнадзор, одновременно проверяя, есть ли коллектор в реестре операторов персональных данных.

Вот пример последствий для оператора персональных данных по запросу собственника:

Случай из жизни: меня в очередной раз огорчил мой интернет-провайдер своим качеством обслуживания, и я решил посмотреть, как на законных основаниях он обрабатывал мои личные данные. Написав и распечатав письмо с запросом информации по статье 14, я пошел к ним и отдал секретарю на покраску вместе с претензией к качеству обслуживания. На следующий день начальник техподдержки (до этого мне не удавалось пообщаться, не переключались) с радостью сообщил, что все отремонтировали, передал свои контакты с просьбой позвонить, если что-то будет неправильно для него лично. Интернет с тех пор работает нормально.

Еще один пример нарушения со стороны оператора персональных данных: после покупки машины в автосалоне на почту пришло письмо от производителя из Германии о том, что я приобрел автомобиль определенной марки с просьба оценить качество услуг, предоставляемых их дилером.При заключении контракта текст контракта не был описан нигде, что я разрешаю обрабатывать мои данные, а тем более передавать их кому-то.
Оператор не уничтожил мои персональные данные после достижения целей обработки (договор был исполнен), осуществил трансграничную передачу этих данных и продолжает обрабатывать их в своих информационных системах без каких-либо оснований (SMS приходит с информацией об акциях ).

Если статья будет интересна читателям, на последнем примере нарушения выложу формы обращений и пошаговые инструкции по организации запросов к операторам персональных данных, запросов в Роскомнадзор, подскажу, куда идти, кроме Роскомнадзора, и на какие законодательные акты ссылаться.

Соответствие DFG152 в России в Dynamics 365

Если вы работаете с клиентами в России, возможно, вы нарушили правила DFG152 в отношении конфиденциальности данных. DFG152 — это сертифицированное приложение, разработанное в соответствии с требованиями Федеральной службы по техническому и экспортному контролю (ФСТЭК) России, которое позволяет организациям обрабатывать персональные данные в полном соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ (с изменениями от 21.07.2006). 2014) «О персональных данных».

Для неспециалистов:

С сентября 2015 года все компании, работающие в России, обязаны хранить личные данные граждан России на серверах, физически расположенных в России.
Персональные данные, за исключением некоторых категорий, относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством Российской Федерации.
Конфиденциальность не требуется только для анонимных или общедоступных персональных данных, а также для персональных данных, подлежащих публикации или обязательному раскрытию в соответствии с законом.

Согласно законодательству, при сборе персональных данных, в том числе через информационно-телекоммуникационную сеть Интернет, оператор обязан обеспечить учет, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан России с использование баз данных, расположенных на территории РФ .Это требование особенно актуально для организаций, использующих облачные сервисы, расположенных за пределами Российской Федерации.

Кроме того, в соответствии с Федеральным законом о персональных данных, при обработке персональных данных оператор обязан принять необходимые правовые, организационные и технические меры или обеспечить их принятие для защиты персональных данных от несанкционированного или случайного доступа, уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также другие противоправные действия в отношении персональных данных.

Более того, закон фактически приравнивает обезличивание персональных данных к уничтожению. Таким образом, обрабатываемые персональные данные должны быть уничтожены или анонимизированы по достижении целей обработки или если в достижении этих целей больше нет необходимости.

Соответствие

в Dynamics 365

В соответствии с законом DFG152 личные данные, вводимые в Dynamics 365, должны быть анонимными в облаке Dynamics 365 и храниться в хранилище, физически расположенном на территории России.Это достигается в два этапа:

Данные, введенные в Dynamics 365, когда они классифицируются как персональные данные (т. Е. Информация, достаточная для идентификации человека), передаются в базу данных, расположенную в России.
Данные анонимизируются, а ссылочный ключ (личный идентификатор) возвращается в Dynamics 365 для хранения в его собственной базе данных.

Данные, связывающие идентификационную информацию пользователя с личными идентификаторами, не выходят за пределы Российской Федерации и должны храниться на сайте клиента или в облаке российского провайдера, все технические средства которого находятся на территории России.

Поток данных можно описать следующим образом. Допустим, мы работаем с личными данными для контактов в Dynamics 365 for Sales. У объекта Contact будут поля, которые уникальным образом идентифицируют контакт. Предположим, это поля FirstName, LastName, Email и Phone. Все, что мы хотим сделать, это анонимизировать значения этих полей для контакта до того, как они будут сохранены в записи объекта.

Однако нам необходимо сохранить копию этих анонимных значений в виде открытого текста ( Personal ID ), что-то вроде справочной таблицы, которая связывает Personal ID с его исходным значением.Эта справочная таблица должна храниться в базе данных, находящейся в пределах Российской Федерации.

Таким образом, данные перехватываются подключаемым модулем Dynamics 365 и передаются в защищенную базу данных в России. База данных предоставляет набор API-интерфейсов для анонимизации этой информации и после ее внутреннего хранения в таблице «ключ-значение» возвращает идентификатор для каждого поля.

После получения анонимного значения плагин может сохранить это значение в Dynamics 365. Для последующих чтений потребуется другой плагин для вызова API чтения, передачи личного идентификатора для каждого поля, отображаемого на экране, и получения исходного значения. открытым текстом.

Политика конфиденциальности — Что на Netflix

What’s on Netflix (POSTERITY INFORMATION TECHNOLOGY LTD) стремится защитить вашу конфиденциальность. Свяжитесь с нами по адресу, если у вас есть какие-либо вопросы или проблемы, связанные с использованием ваших Персональных данных, и мы с радостью поможем вам.

Используя этот сайт и / или наши услуги, вы даете согласие на обработку ваших персональных данных, как описано в настоящей Политике конфиденциальности.

Содержание

Определения, используемые в настоящей Политике
Принципы защиты данных, которых мы придерживаемся
Какие права у вас есть в отношении ваших Персональных данных
Какие персональные данные мы собираем о вас
Как мы используем ваши персональные данные
Кто еще имеет доступ к вашим Персональным данным
Как мы защищаем ваши данные
Информация о файлах cookie
Контактная информация

Определения

Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.
Обработка — любая операция или набор операций, которые выполняются с Персональными данными или с наборами Персональных данных.
Субъект данных — физическое лицо, Персональные данные которого обрабатываются.
Ребенок — физическое лицо до 16 лет.
We / us (с большой буквы или без) —

Принципы защиты данных

Мы обещаем соблюдать следующие принципы защиты данных:

Обработка осуществляется законно, честно и прозрачно.Наша процессинговая деятельность имеет законные основания. Мы всегда учитываем ваши права перед обработкой персональных данных. По запросу мы предоставим вам информацию об обработке.
Обработка ограничена целью. Наши действия по обработке соответствуют цели, для которой были собраны Персональные данные.
Обработка выполняется с минимальным количеством данных. Мы собираем и обрабатываем только минимальный объем Персональных данных, необходимых для любых целей.
Обработка ограничена периодом времени.Мы не будем хранить ваши личные данные дольше, чем необходимо.
Мы сделаем все возможное, чтобы обеспечить точность данных.
Мы сделаем все возможное, чтобы обеспечить целостность и конфиденциальность данных.

Права субъекта данных

Субъект данных имеет следующие права:

Право на информацию — это означает, что вы имеете право знать, обрабатываются ли ваши Персональные данные; какие данные собираются, откуда они получены, почему и кем они обрабатываются.
Право на доступ — это означает, что вы имеете право на доступ к данным, собранным от вас / о вас. Это включает в себя ваше право запросить и получить копию ваших собранных Персональных данных.
Право на исправление — это означает, что вы имеете право потребовать исправления или удаления ваших персональных данных, которые являются неточными или неполными.
Право на удаление — это означает, что при определенных обстоятельствах вы можете запросить удаление ваших Персональных данных из наших записей.
Право на ограничение обработки — это означает, что при выполнении определенных условий вы имеете право ограничить обработку ваших Персональных данных.
Право на возражение против обработки — это означает, что в определенных случаях вы имеете право возражать против обработки ваших Персональных данных, например, в случае прямого маркетинга.
Право на возражение против автоматизированной обработки — это означает, что вы имеете право возражать против автоматизированной обработки, включая профилирование; и не подлежать решению, основанному исключительно на автоматизированной обработке. Вы можете воспользоваться этим правом всякий раз, когда результат профилирования имеет юридические последствия в отношении вас или существенно влияет на вас.
Право на переносимость данных — вы имеете право получать свои Персональные данные в машиночитаемом формате или, если это возможно, в виде прямой передачи от одного процессора к другому.
Право на подачу жалобы — в случае, если мы отклоним ваш запрос в соответствии с Правами доступа, мы предоставим вам причину, почему. Если вы не удовлетворены тем, как был обработан ваш запрос, свяжитесь с нами.
Право на помощь надзорного органа — это означает, что у вас есть право на помощь надзорного органа и право на другие средства правовой защиты, такие как требование возмещения убытков.
Право отозвать согласие — вы имеете право отозвать любое данное согласие на обработку ваших персональных данных.

Собираемые нами данные

Информация, которую вы нам предоставили
Это может быть ваш адрес электронной почты, имя, адрес для выставления счетов, домашний адрес и т. Д. — в основном информация, необходимая для доставки вам продукта / услуги или для повышения качества обслуживания клиентов с нами. Мы сохраняем информацию, которую вы нам предоставляете, чтобы вы могли комментировать или выполнять другие действия на веб-сайте.Эта информация включает, например, ваше имя и адрес электронной почты.

Информация о вас собирается автоматически
Сюда входит информация, которая автоматически сохраняется с помощью файлов cookie и других инструментов сеанса. Например, информация о вашей корзине покупок, ваш IP-адрес, история покупок (если таковая имеется) и т. Д. Эта информация используется для улучшения вашего обслуживания клиентов. Когда вы пользуетесь нашими услугами или просматриваете содержимое нашего веб-сайта, ваши действия могут регистрироваться.

Информация от наших партнеров
Мы собираем информацию от наших надежных партнеров с подтверждением того, что у них есть законные основания поделиться этой информацией с нами. Это либо информация, которую вы им предоставили напрямую, либо информация, которую они собрали о вас на других законных основаниях. Смотрите список наших партнеров здесь.

Как мы используем ваши персональные данные

Мы используем ваши Персональные данные для того, чтобы:

для получения регулярных информационных бюллетеней или тщательно отобранных информационных бюллетеней
отправлять push-уведомления на настольные и мобильные устройства
улучшить качество обслуживания клиентов;
выполнить обязательство по закону или договору;

Мы используем ваши Персональные данные на законных основаниях и / или с вашего согласия.

На основании заключения договора или выполнения договорных обязательств мы обрабатываем ваши Персональные данные для следующих целей:

для вашей идентификации;
для продвижения нашего контента

На основании законного интереса мы обрабатываем ваши персональные данные для следующих целей:

для управления и анализа нашей читательской базы (активности на сайте) с целью улучшения качества, разнообразия и доступности предлагаемых / предоставляемых услуг;

С вашего согласия мы обрабатываем ваши персональные данные для следующих целей:

, чтобы отправлять вам информационные бюллетени или уведомления о содержании нашего веб-сайта.
для других целей, для которых мы запросили ваше согласие;

Мы обрабатываем ваши персональные данные для выполнения обязательств, вытекающих из закона, и / или использования ваших персональных данных для вариантов, предусмотренных законом. Мы оставляем за собой право анонимизировать собранные Персональные данные и использовать любые такие данные. Мы будем использовать данные, выходящие за рамки настоящей Политики, только в том случае, если они обезличены.

Мы можем обрабатывать ваши Персональные данные для дополнительных целей, которые здесь не упомянуты, но совместимы с первоначальной целью, для которой данные были собраны.Для этого мы позаботимся о том, чтобы:

связь между целями, контекстом и характером Персональных данных пригодна для дальнейшей обработки;
дальнейшая обработка не нанесет вреда вашим интересам и
будет соответствующая гарантия для обработки.

Мы сообщим вам о любой дальнейшей обработке и целях.

Кто еще может получить доступ к вашим личным данным

Мы не передаем ваши Персональные данные посторонним. Персональные данные о вас в некоторых случаях предоставляются нашим доверенным партнерам, чтобы либо предоставить вам услугу, либо улучшить качество обслуживания клиентов.Мы делимся вашими данными с:

Наши партнеры по переработке:

Подключенные третьи стороны:

Этот тип услуг позволяет использовать данные пользователя для рекламных целей, отображаемых в виде баннеров и другой рекламы на этом веб-сайте, возможно, исходя из интересов пользователя.
Это не означает, что все Персональные данные используются для этой цели. Информация и условия использования приведены ниже.
Некоторые из перечисленных ниже сервисов могут использовать файлы cookie для идентификации пользователей, или они могут использовать метод поведенческого ретаргетинга, т.е.е. отображение рекламы с учетом интересов и поведения Пользователя, в том числе объявлений, обнаруженных за пределами этого Веб-сайта. Для получения дополнительной информации ознакомьтесь с политиками конфиденциальности соответствующих служб.
В дополнение к любому отказу, предлагаемому любой из перечисленных ниже служб, Пользователь может отказаться от использования файлов cookie сторонней службой, посетив страницу отказа от Network Advertising Initiative.

DoubleClick for Publishers (Google Inc.)

DoubleClick for Publishers — это рекламный сервис, предоставляемый Google Inc.что позволяет Владельцу проводить рекламные кампании совместно с внешними рекламными сетями, с которыми Владелец, если иное не указано в этом документе, не имеет прямых отношений. Чтобы отказаться от отслеживания различными рекламными сетями, Пользователи могут использовать Youronlinechoices. Чтобы понять, как Google использует данные, ознакомьтесь с политикой партнеров Google.
Эта служба использует файл cookie «Doubleclick», который отслеживает использование данного веб-сайта и поведение пользователя в отношении рекламы, предлагаемых продуктов и услуг.
Пользователи могут решить отключить все файлы cookie Doubleclick, нажав на: https://adssettings.google.com/authenticated?hl=en.