Хранение персональных данных с 1 июля 2019 года: ФЗ-152, обзор последней редакции, изменения на 2020-2020 год, сфера применения закона о персональных данных

№744029-7 Законопроект :: Система обеспечения законодательной деятельности

Субъект права законодательной инициативы	Правительство Российской Федерации
Форма законопроекта	Федеральный закон
Ответственный комитет	Комитет Государственной Думы по информационной политике, информационным технологиям и связи
Комитеты-соисполнители	Комитет Государственной Думы по безопасности и противодействию коррупции, Комитет Государственной Думы по охране здоровья
Отрасль законодательства	120. 070.000 Информационная безопасность. Защита информации и прав субъектов в области информационных процессов и информатизации
Тематический блок законопроектов	Оборона и безопасность
Профильный комитет	Комитет Государственной Думы по информационной политике, информационным технологиям и связи
Принадлежность к примерной программе	Включен в примерную программу решением Государственной Думы на июнь 2021 года
Пакет документов при внесении

Опубликован закон, устанавливающий особенности обработки общедоступных персональных данных

13.

01.2021

Примерное время чтения: 4 мин.

Юридическая компания «Пепеляев Групп» сообщает о том, что 30 декабря 2020 года опубликован закон[1], вносящий изменения в Федеральный закон «О персональных данных»[2], регламентирующий особенности обработки и распространения персональных данных, подлежащих раскрытию неопределенному кругу лиц (вместо общедоступных персональных данных).

Основные изменения, установленные законом, вступают в силу с 1 марта 2021 года.

Согласно Пояснительной записке к принятому законопроекту, цель введения нового регулирования – исключить бесконтрольное использование персональных данных (далее – ПДн), в частности, опубликованных на веб-сайтах, то есть использование в целях, отличных от цели первоначального распространения (опубликования) данных.

Закрепляется новое понятие – «ПДн, разрешенные субъектом для распространения», при этом под распространением понимается предоставление доступа неограниченному кругу лиц.

Практически из всех статей Закона о ПДн исключается понятие «общедоступных данных». Так, исключается такое правовое основание обработки ПДн, как «обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе» (т. е. «ПДн, сделанных общедоступными субъектом ПДн»).

Тем не менее, положение Закона о ПДн, регулирующее обработку ПДн в общедоступных источниках ПДн (ст. 8 Закона о ПДн) не подверглось изменениям. Полагаем, определенное количество вопросов в правоприменении может возникнуть при соотнесении механизмов использования (в том числе формирования) общедоступных источников ПДн и ПДн, разрешенных для распространения.

Законом закрепляется необходимость получения согласия на обработку ПДн, разрешенных для распространения, отдельно от иных согласий. Требования к содержанию такого согласия будут установлены Роскомнадзором, и можно ожидать, что они будут достаточно жесткими. Так, например, из Пояснительной записки к законопроекту следует, что согласие «должно включать в себя перечень интернет-ресурсов оператора, на которых планируется размещать общедоступные ПДн».
Кроме того, законом устанавливается, что, помимо получения согласия на обработку ПДн для дальнейшего распространения непосредственно от субъекта, у оператора будет возможность получить такое согласие с использованием информационной системы Роскомнадзора.

В будущем следует ожидать опубликования информации Роскомнадзором, из которой станет известен полный перечень требований к содержанию согласия на обработку ПДн, подлежащих распространению. Также интерес представляет ожидаемая от Роскомнадзора информация о системе, через которую можно будет получать соответствующие согласия – он должен будет определить правила использования информационной системы, в том числе порядок взаимодействия субъекта персональных данных с оператором.

Отметим, что сведения об условиях и запретах, упомянутых выше, оператор ПДн должен опубликовать в течение трех дней с момента получения соответствующего согласия субъекта ПДн.
Устанавливается несколько важных механизмов защиты распространяемых ПДн. Так, бремя доказывания обработки и последующего распространения ПДн на законном основании возложено на каждого оператора ПДн, осуществившего их обработку, в том числе распространение. Такое бремя возлагается на операторов в случаях:

• когда оператором осуществлено раскрытие ПДн неопределенному кругу лиц без соответствующего согласия,
• когда ПДн оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.

Кроме того, механизмы защиты распространяемых ПДн получили свое выражение в запрете распространять ПДн, если из согласия субъекта не следует, что он согласился с их распространением. В дополнение к этому закреплено положение о том, что молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных к распространению.

Положение, установленное новым законом в отношении согласия на обработку ПДн, разрешенных для распространения, во многом аналогично европейскому регулированию концепции и механизма получения согласия на обработку ПДн. Так, согласие должно быть явно и однозначно выражено, не может быть «пассивным».

Наконец, регламентирован порядок прекращения обработки ПДн, разрешенных для распространения. Субъект ПДн вправе направить требование о прекращении передачи (распространения, предоставления, доступа) разрешенных к распространению ПДн. Законом устанавливаются требования к содержанию такого запроса. Кроме того, с соответствующим требованием субъект может обратиться в суд.

Оператор, в свою очередь, обязан прекратить передачу (распространение, предоставление, доступ) ПДн, разрешенных к распространению, в течение трех рабочих дней с момента получения соответствующего требования, либо в срок, указанный во вступившем в силу решении суда (а если такой срок не указан – в течение трех рабочих дней с момента вступления решения суда в силу).

О чем подумать, что сделать

Компаниям следует подготовиться к выполнению новых требований, установленных законом, и учитывать их в дальнейшей работе, в частности:

• принять необходимые меры по обновлению локальных актов компании, регламентирующих порядок обработки ПДн, разработать новые либо скорректировать существующие формы согласий на обработку ПДн;
• если деятельность компании связана с обработкой распространяемых ПДн, организовать деятельность компании и ее работников в соответствии с новыми требованиями законодательства, в частности, при необходимости пересмотреть существующие бизнес-процессы.

Помощь консультанта

Специалисты юридической компании «Пепеляев Групп» обладают обширным опытом работы по вопросам соблюдения законодательства о ПДн, в том числе в части регламентации обработки общедоступных данных. Готовы оказать комплексное правовое и техническое содействие в проверке соблюдения требований законодательства о ПДн и устранении выявленных нарушений, а также представлять интересы организации и ее сотрудников при проведении контрольных мероприятий и в спорах с административными органами.

[1] Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».
[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПДн).

Возврат к списку

Похожие материалы

Для получения доступа к Обзорам судебной практики по налоговым спорам необходимо оформить подписку.

Я уже подписчик

Необходимо авторизоваться чтобы получить доступ

Авторизоваться

По вопросам подписки обращайтесь, пожалуйста, к Маргарите Завязочниковой
E-mail: [email protected]
Nел. +7 (495) 767 00 07

Федеральный закон от 30 декабря 2020 г. N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»»

Принят Государственной Думой 23 декабря 2020 года

Одобрен Советом Федерации 25 декабря 2020 года

Статья 1

Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; 2010, N 31, ст. 4173, 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82; 2019, N 52, ст. 7798; 2020, N 17, ст. 2701) следующие изменения:

1) статью 3 дополнить пунктом 1¹ следующего содержания:

«1¹) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;»;

2) пункт 10 части 1 статьи 6 признать утратившим силу;

3) статью 9 дополнить частью 9 следующего содержания:

«9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных. «;

4) пункт 2 части 2 статьи 10 изложить в следующей редакции:

«2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10¹ настоящего Федерального закона;»;

5) дополнить статьей 10¹ следующего содержания:

«Статья 10¹. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

1) непосредственно;

2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

10. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.

14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

15. Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.»;

6) пункт 3 части 4 статьи 18 изложить в следующей редакции:

«3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10¹ настоящего Федерального закона;»;

7) пункт 4 части 2 статьи 22 изложить в следующей редакции:

«4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10¹ настоящего Федерального закона;».

Статья 2

1. Настоящий Федеральный закон вступает в силу с 1 марта 2021 года, за исключением абзаца десятого пункта 5 статьи 1 настоящего Федерального закона.

2. Абзац десятый пункта 5 статьи 1 настоящего Федерального закона вступает в силу с 1 июля 2021 года.

Президент Российской Федерации В. Путин

Защита персональных данных в облаке по 152-ФЗ

По российскому законодательству компании обязаны обеспечить безопасность персональных данных сотрудников и клиентов: хранить и обрабатывать их так, чтобы они не попали в руки злоумышленников или общий доступ. При этом не запрещено доверять хранение и обработку таких данных третьей стороне — облаку. Расскажем, как в этом случае соблюсти требования закона.

Операторы персональных данных и типы данных

В России действует 152-ФЗ «О персональных данных». В нем сказано, что лицо, которое собирает и обрабатывает персональные данные, обязано обеспечить их защиту, чтобы данные российских граждан не попали не в те руки.

По закону персональные данные — любые данные, относящиеся к конкретному физическому лицу, то есть субъекту персональных данных.

Например, данные анонимных опросов о политических убеждениях или предпочтениях в еде не будут персональными данными, под действие 152-ФЗ они не попадают. А вот если вы узнаете политические убеждения конкретных людей и запишете эту информацию в базу вместе с ФИО человека — это уже персональные данные.

По закону выделяют четыре типа персональных данных, это нужно для определения уровня защиты:

1. Специальные: раса, национальность, политические, религиозные и философские убеждения, состояние здоровья.
2. Биометрические: фото, отпечатки пальцев.
3. Общедоступные: ФИО, дата и место рождения, адрес проживания, номер телефона, информация о профессии.
4. Иные: прочие данные о конкретном человеке, такие как имя домашнего питомца или предпочтения в еде.

Компания, которая собирает и обрабатывает эти данные, считается оператором персональных данных.

Требования к оператору персональных данных

Согласно закону 152-ФЗ, чтобы собирать и обрабатывать персональные данные, вы должны:

1. Обеспечить защиту ПДн в соответствии с требованиями закона.
2. Зарегистрироваться в Роскомнадзоре как оператор персональных данных.
3. Спрашивать у людей согласие на сбор и обработку персональных данных.

Рассмотрим каждый пункт реализации требований 152-ФЗ подробно.

Обеспечить защиту персональных данных

При хранении и обработке данных нужно обеспечить им уровень защищенности в соответствии с «Постановлением Правительства РФ N 1119» и 21 приказом ФСТЭК.

Необходимый уровень защищенности зависит от четырех факторов:

• Типа данных: специальные, биометрические, общедоступные или иные.
• Отношений с субъектами персональных данных: это ваши сотрудники или люди, с которыми у вас нет трудового договора, например клиенты.
• Количества субъектов персональных данных: больше 100 000 или меньше 100 000.
• Типа актуальных угроз: 1, 2 или 3 тип.

Типы данных, отношения с субъектами и количество субъектов легко определить самостоятельно, а вот с типами угроз сложнее. Согласно документу «Методика определения актуальных угроз безопасности ПДн при их обработке», угрозами называются условия и факторы, которые могут обеспечить несанкционированный доступ к персональным данным и привести к их утечке или порче.

В законе они классифицируются так:

• 1 тип — самые серьезные угрозы, связанные с недокументированными возможностями в системном программном обеспечении (ПО), например в операционной системе.
• 2 тип — угрозы, связанные с недокументированными возможностями в прикладном ПО, например в установленных программах.
• 3 тип — угрозы, не связанные с ПО, например уязвимости в оборудовании.

Универсального способа определить тип угроз, актуальных для вашей системы, нет. Принято считать, что если вы используете ПО, сертифицированное ФСТЭК, то недокументированных возможностей в нем нет, так что угрозы 1 и 2 типа можно считать неактуальными. А вот если сертификатов у ПО нет, уровень угроз может определить только специалист по технической безопасности. Если такого нет в штате, его можно нанять для консультации.

Как только определен тип данных, отношение с субъектами, количество субъектов и тип актуальных угроз, вы сможете понять, система какого уровня защищенности необходима.

Всего существует 4 уровня защищенности (доверия):

1. 4 УЗ. Необходим для защиты общедоступных и иных данных с 3 типом угроз. Самый простой, требует несложных мер защиты вроде установки антивируса и регулярного обновления ПО.
2. 3 УЗ. Кроме общедоступных и иных данных позволяет хранить биометрические и специальные данные, работать при 2 и 3 типе угроз. Требует регулярно искать и устранять уязвимости в оборудовании и ПО, а также ограничить доступ к настройкам информационной системы. Именно этот уровень подходит для большинства компаний.
3. 2 УЗ. Подходит для хранения любых данных, для некоторых данных допускает даже 1 тип угроз. Требует установить систему обнаружения вторжений, защищать систему от спама, организовать резервное копирование.
4. 1 УЗ. Позволяет хранить специальные и биометрические данные при 1 типе угроз. Технически самый сложный, к примеру, требует безотказной работы серверов и установки на компьютеры только ПО, заранее разрешенного службой безопасности.

Точные технические требования к каждому уровню прописаны в приложении к 21 приказу ФСТЭК. Если вы передаете данные в облако, часть этих требований соблюдаются на стороне облачного провайдера — например, именно он собирает информацию о событиях безопасности и контролирует физический доступ к серверам.

Всего в приложении к приказу 109 мер, для каждого УЗ отмечены обязательные меры. Например, при 1 уровне защищенности нужно выполнить 69 требований.

Что такое личные данные? | Европейская комиссия

Ответ

Персональные данные — это любая информация, которая относится к идентифицированному или идентифицируемому живому физическому лицу . Различные фрагменты информации, которые собираются вместе, могут привести к идентификации конкретного человека, также являются личными данными.

Персональные данные, которые были деидентифицированы, зашифрованы или псевдонимизированы , но могут использоваться для повторной идентификации человека, остаются личными данными и подпадают под действие GDPR.

Персональные данные, которые были предоставлены анонимно таким образом, что личность не может быть или больше не может быть идентифицирована, больше не считаются персональными данными. Чтобы данные были действительно анонимными, анонимизация должна быть необратимой.

GDPR защищает персональные данные независимо от технологии, используемой для обработки этих данных. — он технологически нейтрален и применяется как к автоматизированной, так и к ручной обработке, при условии, что данные организованы в соответствии с заранее определенными критериями (например, в алфавитном порядке).Также не имеет значения, как данные хранятся — в ИТ-системе, при видеонаблюдении или на бумаге; Во всех случаях к персональным данным применяются требования защиты, изложенные в GDPR.

Примеры личных данных

• имя и фамилия;
• домашний адрес;
• адрес электронной почты, например [email protected];
• номер удостоверения личности;
• данные о местоположении (например, функция данных о местоположении на мобильном телефоне) *;
• — IP-адрес;
• идентификатор файла cookie *;
• рекламный идентификатор вашего телефона;
• данные, хранящиеся в больнице или у врача, которые могут быть символом, однозначно идентифицирующим человека.

* Обратите внимание, что в некоторых случаях существует специальное отраслевое законодательство, регулирующее, например, использование данных о местоположении или использование файлов cookie — Директива о конфиденциальности ( Директива 2002/58 / EC Европейского парламента и Совет от 12 июля 2002 г. (OJ L 201, 31.7.2002, стр. 37) и Регламент (ЕС) № 2006/2004 ) Европейского парламента и Совета от 27 октября 2004 г. (OJ L 364, 9.12.2004, с. 1).

Примеры данных, не считающихся персональными данными

• регистрационный номер компании;
• адрес электронной почты, например [email protected];
• анонимных данных.

Список литературы

Продление срока подачи налоговой декларации

Вам нужно больше времени на подготовку федеральной налоговой декларации? На этой странице представлена ​​информация о том, как подать заявку на продление срока подачи документов. Имейте в виду, что:

• Продление срока подачи декларации не означает продления времени для уплаты налогов.
• Вы должны рассчитать и уплатить причитающиеся налоги в установленный срок, чтобы избежать возможных штрафов.
• Вы должны подать запрос на продление не позднее установленной даты возврата.

Отправьте форму электронного расширения бесплатно

Индивидуальные податели налоговых деклараций, независимо от дохода, могут использовать Free File, чтобы в электронном виде запросить автоматическое расширение для подачи налоговой декларации.

• Заполнив эту форму, вы можете до 15 октября подать декларацию.
• Чтобы получить продление, вы должны оценить свои налоговые обязательства в этой форме, а также заплатить причитающуюся сумму.

Получите продление при оплате

Вы также можете получить продление, уплатив всю или часть предполагаемого подоходного налога и указав, что оплата производится за продление с помощью Direct Pay, электронной системы федеральных налоговых платежей (EFTPS) или кредитной или дебетовой карты. Таким образом, вам не нужно будет заполнять отдельную форму расширения, и вы получите номер подтверждения для своих записей.

Формы продления по статусу регистрации

Физические лица

Форма 4868, Заявление об автоматическом продлении срока подачи файла U.S. Налоговая декларация физических лиц PDF

Могут применяться особые правила , если вы:

Бизнес и корпорации

Форма 7004, Заявление об автоматическом продлении срока для подачи определенной налоговой декларации, информации и других деклараций PDF

Форма 1138, Продление срока уплаты налогов корпорацией, ожидающей переноса чистых операционных убытков PDF

Другие формы

Форма 2350, Заявление о продлении срока подачи документов U.S. Декларация о подоходном налоге (для граждан США и иностранцев, постоянно проживающих за границей, которые рассчитывают иметь право на специальный налоговый режим) PDF

Форма 4768, Заявление о продлении срока для подачи декларации и / или уплаты налогов на наследство США (и передачи без передачи поколений) PDF

Форма 5558, Заявление о продлении срока подачи декларации по плану определенного сотрудника PDF

Форма 8809, Заявление о продлении срока подачи документов PDF

Форма 8868, Заявление о продлении срока подачи декларации освобожденной организации PDF

Форма 8892, Заявление об автоматическом продлении времени для подачи формы 709 и / или уплаты налога на передачу подарков / пропуска поколений PDF

Арт. 13 GDPR — Информация, предоставляемая при сборе персональных данных от субъекта данных

Ст. 13 GDPR — Информация, предоставляемая при сборе персональных данных от субъекта данных — GDPR.eu

Общие правила защиты данных (GDPR)

1311

1. Если личные данные, относящиеся к субъекту данных, собираются от субъекта данных, контролер должен в момент получения личных данных предоставить субъекту данных всю следующую информацию:
   1. личность и контактные данные контролера и, если применимо, представителя контролера;
   2. контактные данные сотрудника по защите данных, если применимо;
   3. цели обработки, для которой предназначены персональные данные, а также правовая основа для обработки;
   4. , если обработка основана на пункте (f) статьи 6 (1), законных интересах, преследуемых контролером или третьей стороной;
   5. получатели или категории получателей персональных данных, если таковые имеются;
   6. , если применимо, тот факт, что контролер намеревается передать персональные данные в третью страну или международную организацию и наличие или отсутствие решения Комиссии об адекватности, или в случае передачи, упомянутой в Статьях 46 или 47, или второй подпараграф статьи 49 (1), ссылка на соответствующие или подходящие гарантии и средства, с помощью которых можно получить их копию или где они стали доступными.
2. В дополнение к информации, указанной в параграфе 1, контролер должен во время получения персональных данных предоставить субъекту данных следующую дополнительную информацию, необходимую для обеспечения справедливой и прозрачной обработки:
   1. период для какие личные данные будут храниться, или, если это невозможно, критерии, используемые для определения этого периода;
   2. наличие права требовать от контроллера доступа и исправления или удаления персональных данных или ограничения обработки в отношении субъекта данных или возражать против обработки, а также право на переносимость данных;
   3. , если обработка основана на пункте (а) статьи 6 (1) или пункте (а) статьи 9 (2), наличие права отозвать согласие в любое время, не затрагивая законность обработки на основании согласие до его отзыва;
   4. право на подачу жалобы в надзорный орган;
   5. , является ли предоставление персональных данных законодательным или договорным требованием или требованием, необходимым для заключения договора, а также обязанность субъекта данных предоставлять персональные данные и возможные последствия непредоставления таких данных ;
   6. наличие автоматизированного принятия решений, включая профилирование, о котором говорится в статье 22 (1) и (4), и, по крайней мере, в этих случаях, значимая информация о задействованной логике, а также о значимости и предполагаемых последствиях такая обработка для субъекта данных.