Обработка персональных данных третьими лицами: Новое в Законе «О персональных данных» 2021. Что нас ждет?

Содержание

Как не нужно составлять согласие на обработку персональных данных

И какие согласия не стоит подписывать.

Доброго времени суток, Хабр!

Эта статья родилась совершенно спонтанно из такой вот истории.

Поскольку я являюсь в том числе соучредителем организации, в которой работаю, мне время от времени приходится подписывать различные документы от банков с которыми мы работаем, то берем кредит, то нужно обеспечить заявку на торгах и так далее. Обычная жизнь обычного ООО.

И вот, вчера мне приносят на подпись очередной документ — согласие на обработку персональных данных от одного локального банка. Я сначала на автомате его подписал, а потом все-таки решил прочитать. Яжпрограммист Я же все-таки специалист в том числе по защите персональных данных. Прочитанное повергло меня в нехилый шок.

Под катом разберемся, что с согласием не так и почему оно незаконно.

Текст согласия начинается со слов:

Согласие дается мною для целей заключения с Банком любых договоров и их дальнейшего исполнения, принятия решений или совершения иных действий, порождающих юридические последствия в отношении меня или других лиц, предоставления мне информации об оказываемых Банком услугах и распространяется на следующую информацию: фамилия, имя, отчество…
и любая иная информация,
относящаяся к моей личности, доступная либо известная в любой конкретный момент времени Банку (далее — «Персональные данные»)
Здесь прекрасно все. Даю свое согласие на обработку любых персональных данных с любыми целями. Ага, щас. Вот что нам говорит об этом федеральный закон №152-ФЗ «О персональных данных»:
ч. 2 статьи 5:
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Разжевывать не буду. На Хабре люди умные, сами понимаете какие тут коллизии формулировок согласия и закона. А еще немного заставила потупить фраза «любой конкретный момент времени». Хотя может с этой конструкцией и все нормально, если есть филологи, добро пожаловать в комментарии.

Едем дальше. Текст согласия (орфография и пунктуация сохранены):

Настоящее согласие действует в течении 5 (пяти) лет после истечения сроков хранения соответствующей информации или документов, содержащих вышеуказанную информацию, определяемых в соответствии с законодательством Российской Федерации и договорными отношениями, после чего может быть отозвано путем направления мною соответствующего письменного уведомления Банку не менее чем за 3 (три) месяца до момента отзыва согласия.
Мне жаль огорчать Банк, но согласие в соответствии с частью 2 статьи 9 все того же закона «О персональных данных» может быть отозвано в любой момент. Да и вообще что за бред — согласие может быть отозвано только после завершения срока действия согласия?

Далее идет абзац о действиях, которые можно совершать с моими персональными данными. Я даже не буду приводить оттуда цитату. Думаю итак понятно, что действия могут совершаться любые.

Ну и последний абзац тоже шедеврален (орфография и пунктуация сохранены):

Настоящим я признаю и подтверждаю, что в случае необходимости предоставления Персональных данных для достижения указанных выше целей третьему лицу (
в том числе некредитной и небанковской организации
), а равно как при привлечении третьих лиц к оказанию услуг в указанных целях, передачи Банком принадлежащих ему функций и полномочий иному лицу, Банк вправе в необходимом объеме раскрывать для совершения вышеуказанных действий информацию обо мне лично (включая мои Персональные данные) таким третьим лицам, их агентам и иным уполномоченным ими лицам, а также предоставлять таким лицам соответствующие документы, содержащие такую информацию. Также настоящим признаю и подтверждаю, что настоящее согласие считается данным мною любым третьим лицам, указанным выше, с учетом соответствующих изменений, и любые такие третьи лица имеют право на обработку Персональных данных на основании настоящего согласия.
Просто шикарно. Мало того, что Банк может делать что хочет с моими ЛЮБЫМИ персональными данными, так он еще и имеет право передавать их кому угодно, как угодно, в каком угодно объеме.

Что говорит закон?

часть 1 статьи 9:
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Извините, но ЭТО назвать «информированным и конкретным» язык не поворачивается.

При этом и регуляторы на проверках по нашему опыту за такие «согласия» сразу выписывают штраф. Я, в общем-то, и начал подписывать не глядя, думая, что такие тексты сгинули где-нибудь в 2012 году, а то и раньше. Печально видеть такое от финансовой организации, в которой наверняка сидит орава юристов.

Что же делать вам как организации? Составлять действительно конкретные и информированные согласия. Четко и не двусмысленно формулировать цели обработки и конкретные категории персональных данных, которые не являются излишними по заявлению к указанным целям. Если планируете передавать персональные данные третьим лицам, то придется попотеть и указать конкретные третьи лица, конкретные передаваемые персональные данные и конкретные цели такой передачи (важно помнить, что здесь не нужно указывать, то что вы обязаны передавать в соответствии с какими-либо Федеральными законами).

Что вам делать как субъекту персональных данных, если видите такое согласие? Тут все зависит от конкретной ситуации. Если вы откажитесь подписать согласие, то вам скорее всего сообщат, что в таком случае вам не смогут оказать услугу. Если услуга вам очень нужна, подписывайте согласие, получайте услугу, но потом можно нажаловаться на нарушение закона «О персональных данных» например сюда.

И помните, что если вы что-то где-то подписали, то это еще не значит, что Банк или кто-либо еще после этого может творить что захочет с вашими персональными данными. Любые договоры, согласия и прочие документы, прямо противоречащие действующему законодательству являются незаконными.

Что касается конкретной истории, то «куда надо» я сообщил. Ждем развития ситуации. Собственно поэтому пока что не разглашаем название Банка, вдруг одумается и исправится. Если нет, то, видимо, будет вторая часть — продолжение, в том числе с оглашением имен «героев» и реакцией регуляторов.

UPD 29.11.2019:
Пришел ответ от РКН на мое обращение:

… сначала идут цитаты из 152-ФЗ на 2 страницы..., затем:

Дополнительно сообщаю, что оценка деятельности оператора, осуществляющего обработку персональных данных, на предмет соответствия требованиям законодательства Российский Федерации в области персональных данных осуществляется при проведении контрольно-надзорных мероприятий в отношении указанного оператора.
В соответствии с пп. «б» п. 8 Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденных постановлением Правительства Российской Федерации от 13. 02.2019 № 146 (далее – Правила), внеплановые проверки проводятся на основании приказа органа по контролю и надзору, изданного по результатам рассмотрения обращений граждан, поступивших в орган по контролю и надзору, при условии наличия в обращении материалов, подтверждающих факт нарушения их прав, определенных статьями 14-17 Федерального закона «О персональных данных», действиями (бездействием) оператора при обработке их персональных данных.
Вместе с тем, обстоятельства, указанные в Вашем обращении, не подпадают под основания, установленные Правилами, в связи с чем, Ваше обращение не является основанием для проведения Управлением Роскомнадзора по Приморскому краю внеплановой проверки.
Вы имеете право самостоятельного обращения в суд с исковым заявлением, если полагаете, что нарушены Ваши права как субъекта персональных данных. С порядком защиты Ваших прав можете ознакомиться в главе 3 «Права субъекта персональных данных».

Чего и требовалось ожидать: «Спи спокойно, гражданин, твои права не нарушаются»

Предоставление персональных данных третьим лицам без согласия

Краткое содержание:

Бесплатный вопрос юристам онлайн

Если Вам трудно сформулировать вопрос — позвоните, юрист Вам поможет:

Бесплатно с мобильных и городских

Советы юристов:

1) Правомерно ли запрашивать у компании копии трудовых договоров сотрудников? (это не официальный запрос от гос. органов).
Относится ли эта информация к конфиденциальной?
На какую статью ссылаться?

1.1. Информация, указанная в трудовых договорах относится к персональным данным. Согласно статье 7 ФЗ "О персональных данных" операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Работодатель обязан отказать в предоставлении персональных данных, если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение такой информации или же отсутствует письменное согласие работника на предоставление сведений о нем лицу, обратившемуся с запросом. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам (полиции и другим контролирующим органам). В этом случае основанием для передачи персональных данных работника является письменный запрос от должностного лица соответствующего государственного органа, а если представители контролирующих органов пришли к вам лично - служебное удостоверение и приказ, где указаны цели сбора подобной информации.

2) Ответа на вопрос нет. При переходе на прямые платежи с ресурсно снабжающей организацией не был заключен договор на оказание услуг, а квитанцию на оплату принесли от другой организации (снабженческой) и указанием комиссии. Законно ли передача моих данных без моего ведома.

2.1. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Ст. 3, ст. 7 Федерального закона от 27. 07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных".

3) Имеют ли право работники ЖКХ вывешивать на дверях подъездов домов списки должников с указанием суммы долга, имен и адресов?

3.1. Александр! По смыслу закона "О персональных данных" ТСЖ является оператором, который использует Ваши персональные данные в целях предоставления Вам услуг в сфере ЖКХ и обязаны соблюдать этот закон. В соответствии со ст. 7 ФЗ от 27 июля 2006 г. N 152-ФЗ "О персональных данных" операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Кроме того, в соответствии со ст. 8 публикация Ваших персональных данных в публичных источниках возможно только с Вашего письменного согласия. Статья 17 указанного закона предусматривает право на обжалование действий или бездействия оператора в судебном порядке.

4) Насколько правомерна ситуация о том что у нас вышестоящие органы просят ссылки на наши страницы в соц. сетях. На какие законы я могу опереться, чтобы не давать свой адрес в соц. сетях?

4.1. Добрый день! И так, существует Федеральный закон «О защите персональных данных». В соответствии с ст.7 Закона — Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Так, согласно ст.9 Закона субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. Понятно, что Вы согласия ни какого не давали.

5) Работаю в Яндекс. Такси, сейчас они начали требовать если с паспортом. Не понятно для каких целей, они ведь даже не являются моим работодателем?

5.1. Добрый день. В данном случае закономерен вопрос о соблюдении требований по защите персональных данных. При предложении о предоставлении сели паспорта напомните оператору или администратору о существовании Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 31.12.2017) "О персональных данных". А именно на статью 7 данного закона, согласно которой обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных оператора обработки персональных данных и иных лиц, получивших доступ к персональным данным. В целом, требование о предоставлении оператору обработки персональных данных (сомневаюсь, что администратор или представитель ООО, от имени Яндекс-такси, является оператором) данных о паспорте, а тем более копии паспорта, без Вашего письменного согласия - незаконно. Желаю удачи.


Бесплатный вопрос юристам онлайн

Если Вам трудно сформулировать вопрос — позвоните, юрист Вам поможет:

Бесплатно с мобильных и городских

Битва за персональные данные

Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? Если ваши права нарушили – сражайтесь. Закон на вашей стороне

Драться – плохо. Но если дерешься – побеждай!

(из х/ф «Парень-каратист»)

Купил сим-карту известного сотового оператора. Казалось бы, ничего особенного. А все-таки приятно: новый номер – можно сказать, жизнь с чистого листа. Однако маленькую радость омрачает звонок с неизвестного номера:

«Наталья Михайловна, добрый день. Это сотрудник коллекторского агентства. Звонок записывается. Уведомляем, что за вами числится задолженность…»

И так с десяток звонков ежедневно, включая выходные.

Родители учили быть вежливым. Потому во время первого разговора с коллектором представился, подробно объяснил, что произошла ошибка, что никакой Натальи Михайловны не знаю и знать не хочу, и настоятельно попросил больше не беспокоить. Но собеседник оказался настоящим профессионалом, верным своему нелегкому ремеслу:

«Еще раз спрашиваю, вы – Наталья Михайловна?»

Настроение и карма стремительно портятся. В голове пробежала мысль: взять свои боксерские перчатки и по-мужски ответить обидчику. Потом, правда, берешь себя в руки, вспоминаешь про этику поведения и диспозиции некоторых норм Уголовного кодекса.

Приходится ежедневно блокировать поступающие номера коллекторов, которые, несмотря на мужской голос в трубке, каждый раз недоверчиво интересуются, не Наталья ли ты Михайловна. Список заблокированных номеров близится к нескольким сотням, но звонки продолжают поступать.

Знакомая ситуация? Что делать? Давайте разберемся без лишних эмоций.

Вправе ли банки и МФО передавать персональные данные клиентов коллекторам и другим лицам?

Уважаемый читатель, прошу прощения, но вынужден привести немного сухой теории. Она нам пригодится.

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

В соответствии с законом персональные данные представляют собой любую информацию, относящуюся к физическому лицу – субъекту этих данных.

Под обработкой персональных данных понимается любое действие с ними, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

По общему правилу, обработка персональных данных и передача этой обязанности другому лицу допускаются только с согласия субъекта данных. При этом согласие на обработку данных должно быть конкретным, информированным, сознательным и в любой момент может быть отозвано. Без него операторы1 и иные лица, получившие доступ к личной информации, не вправе раскрывать и распространять данные, если иное не предусмотрено федеральным законом.

Выдавая кредит, банк обычно получает у заемщика письменное согласие на обработку и передачу его персональных данных третьим лицам, в частности коллекторам. Вместе с тем законодательством предусмотрено право заемщика отозвать это согласие. Так закон защищает должника, если он при заключении кредитного договора или договора займа не подумал о возможных негативных сценариях. Для реализации указанного права достаточно сообщить кредитору об отзыве согласия заказным письмом с уведомлением о вручении или сделать это через нотариуса.

Но на этом все может и не закончиться. Дело в том, что Закон о персональных данных предусматривает исключения, когда согласие на обработку данных не требуется. К примеру, их обработка допускается:

  • если необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • если необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон “О микрофинансовой деятельности и микрофинансовых организациях”».

В тех случаях, когда заемщик не предоставил банку «универсальное» согласие или отозвал его, кредитная организация может сослаться на вышеуказанные исключения. Тем самым якобы подтверждая правомерность передачи данных третьим лицам.

Между тем ссылка эта сомнительная, поскольку заемщик не является стороной по договору, заключенному между банком и коллекторами. Судебная практика подтверждает: передача банком по агентскому договору другой организации персональных данных заемщика без его согласия недопустима (см., к примеру, Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 1 августа 2017 г. № 78-КГ17-45).

(Как не допустить передачи долга коллекторскому агентству и что делать тем, на кого взыскатели оказывают давление, читайте в материалах «Берете кредит – помните о коллекторах», «Как должнику защититься от грубого произвола представителей банка».)

Как происходит утечка персональных данных?

Законодательство обязывает операторов принимать серьезные меры по обеспечению безопасности персональных данных при их обработке (подробнее об этом читайте в публикации «Операторов обработки персональных данных начнут проверять по новым правилам»). Эти требования столь объемные и затратные, что многие операторы предпочитают их игнорировать.

В небольших компаниях защите персональной информации часто вообще не уделяется внимания. И даже солидные холдинги не всегда выстраивают адекватную систему защиты данных, причем как клиентов, так и своих работников.

Известны случаи, когда документы, содержащие персональные данные, в том числе копии договоров, паспортов, анкет, выбрасывались на помойку. Причинами такого поведения могут быть халатность работников, отсутствие сформированной культуры «конфиденциальности» и контроля работодателей за ее соблюдением, а иногда –надлежащих условий хранения документации. Не менее весомым фактором является то, что сейчас нет тотального контроля за соблюдением требований со стороны регулятора – Роскомнадзора.

Порой информация становится доступной посторонним лицам из-за неосторожности: когда данные отправляются по электронной почте по незащищенным каналам связи (без использования средств шифрования) или через мессенджеры. Бывают случаи «невинного» распространения данных через селфи. Также информация разглашается путем копирования ее на флеш-карты или в результате выноса из здания организации не до конца уничтоженных документов.

Иногда персональная информация раскрывается работниками оператора умышленно из корыстных мотивов. В результате данные кредитных карт, паспортов, анкет клиентов могут попасть в руки мошенников.

Какими могут быть последствия утечки данных?

В эпоху цифровых технологий информация становится валютой. Тем не менее многие раздают свои персональные данные «направо-налево», не думая о последствиях. А они могут быть весьма неприятными. Как минимум это бесконечные звонки из разных организаций. Но бывают последствия и посерьезнее: мошенники могут открыть от вашего имени кредитные линии, удачно пошопиться в Интернете или купить авиабилет в экзотическую страну.

Что делать, если в распространении личной информации виноват банк?

Вычислить вину кредитной организации в разглашении персональных данных не так просто. Для этого необходимо провести настоящее расследование, поэтому запасайтесь терпением.

Для начала следует направить в банк и коллекторам запрос о предоставлении информации, касающейся обработки ваших данных. Такое право предусмотрено ч. 7 ст. 14 Закона о персональных данных. Вы можете рассчитывать на получение следующей информации:

  • подтверждение факта обработки персональных данных оператором;
  • правовые основания обработки данных;
  • цели и применяемые оператором способы обработки данных;
  • наименование и местонахождение оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым они могут быть переданы на основании договора с оператором или федерального закона;
  • обрабатываемые персональные данные и источник их получения;
  • сроки обработки данных, в том числе сроки их хранения;
  • информация об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора.

После получения ответов на запросы направляем жалобы в территориальный орган Роскомнадзора и прокуратуру с подробным изложением обстоятельств неправомерного разглашения персональных данных. Результаты проведенных проверок пригодятся вам во время защиты своих интересов в суде.

Далее собираем все обращения и ответы на них, готовим претензию о прекращении неправомерного использования персональных данных, возмещении убытков и компенсации морального вреда. Если претензия остается без удовлетворения или ответа – идем в суд.

Помните: персональные данные – настоящая находка для мошенников. Будьте внимательнее при подписании документов. Это поможет уберечься от битвы за свои личные данные, а также от порчи настроения и кармы.

«Драться – плохо. Но если дерешься – побеждай!» – советовал Мастер из старого доброго боевика. Если ваши права нарушены, надо сражаться. Но не стальными кулаками, как учил Мастер. Силой закона.


1 Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных).

Что такое соглашение об обработке данных GDPR?

Практически каждый бизнес полагается на третьи стороны при обработке личных данных. Будь то почтовый клиент, облачное хранилище или программное обеспечение для анализа веб-сайтов, вы должны заключить соглашение об обработке данных с каждой из этих служб, чтобы обеспечить соответствие GDPR.

Общий регламент ЕС по защите данных требует более серьезного подхода к контрактам, чем предыдущие правила ЕС о данных. Если ваша организация подпадает под действие GDPR, у вас должно быть письменное соглашение об обработке данных со всеми вашими обработчиками данных.Да, соглашение об обработке данных - это больше раздражает бумажная волокита. Но это также один из основных шагов к соблюдению GDPR, необходимый для избежания штрафов GDPR.

Это руководство служит введением в соглашения об обработке данных - что они собой представляют, почему они важны, для кого они предназначены и что они должны сказать. Вы также можете перейти по ссылке, чтобы найти шаблон соглашения об обработке данных GDPR, который вы можете загрузить, настроить и использовать в своей компании.

Термин «обработка» встречается в этой статье с неприятной частотой.В определениях GDPR под обработкой понимается все, что вы можете делать с чьей-либо личной информацией: сбор, хранение, монетизация, уничтожение и т. Д.

Основы соглашения об обработке данных

Соответствие GDPR требует, чтобы контролеры данных подписали соглашение об обработке данных с любыми сторонами, которые действуют как обработчики данных от их имени. Если вам нужны определения этих терминов, вы можете найти их в нашей статье «Что такое GDPR», но обычно обработчиком данных является другая компания, которую вы используете для помощи в хранении, анализе или передаче личной информации.Например, если вы медицинская страховая компания и передаете информацию о клиентах через зашифрованную электронную почту, то эта зашифрованная электронная почта является обработчиком данных. Или, если вы используете Matomo для анализа трафика на своем веб-сайте, Matomo также будет обработчиком данных.

Соглашение об обработке данных - это юридически обязывающий договор, в котором указаны права и обязанности каждой стороны в отношении защиты личных данных (см. «Что такое личные данные?»). Статья 28 GDPR охватывает соглашения об обработке данных в соответствии с разделом 3:

Обработка обработчиком регулируется договором или иным правовым актом в соответствии с законодательством Союза или государства-члена, который является обязательным для обработчика по отношению к контроллеру и который определяет предмет и продолжительность обработки, характер и цель обработки, тип персональных данных и категории субъектов данных, а также обязанности и права контролера.

Если вы являетесь владельцем бизнеса, подпадающим под действие GDPR, в ваших интересах иметь соглашение об обработке данных: в первую очередь, оно требуется для соблюдения GDPR, но DPA также дает вам гарантии, что процессор данных, который вы используете, квалифицирован и способен. Как указано в Рекитале 81:

Поручив процессору выполнение операций обработки, контролер должен использовать только процессоры, обеспечивающие достаточные гарантии, в частности, с точки зрения экспертных знаний, надежности и ресурсов, для реализации технических и организационных мер, которые будут соответствовать требованиям требований настоящего Регламента, в том числе по безопасности обработки.

Пример соглашения об обработке данных

Этот веб-сайт, как вы, возможно, знаете, управляется провайдером зашифрованной электронной почты ProtonMail (и частично финансируется программой Европейского Союза Horizon 2020). В рамках наших усилий по соблюдению GDPR мы сделали собственное соглашение об обработке данных доступным для всех наших корпоративных пользователей для загрузки, просмотра и подписания.

Наш DPA дает ряд гарантий компаниям, которые доверяют нам личные данные. Например, соглашение об обработке данных ProtonMail обещает использование технических мер безопасности, таких как шифрование, как указано в статье 32 GDPR. Он также предлагает разумную помощь контролерам при проведении оценки воздействия на защиту данных.

Для получения более подробной информации вы можете прочитать соглашение об обработке данных ProtonMail или ознакомиться с общим шаблоном соглашения об обработке данных, который мы разместили на этом веб-сайте.

Что должно быть в соглашении об обработке данных

GDPR Статья 28, раздел 3 подробно объясняет восемь тем, которые должны быть рассмотрены в DPA. Итак, вот что вам необходимо указать:

  • Процессор соглашается обрабатывать персональные данные только по письменным инструкциям контролера.
  • Все, кто соприкасается с данными, обязаны соблюдать конфиденциальность.
  • Все соответствующие технические и организационные меры используются для защиты данных.
  • Процессор не будет заключать субподряд с другим процессором, если только контроллер не получит письменных указаний об этом. В этом случае необходимо будет подписать другой DPA с субпроцессором (в соответствии с разделами 2 и 4 статьи 28).
  • Процессор поможет контроллеру выполнять свои обязательства в соответствии с GDPR, в частности, в отношении прав субъектов данных.
  • Процессор поможет контроллеру поддерживать соответствие GDPR в отношении статьи 32 (безопасность обработки) и статьи 36 (консультации с органом по защите данных перед выполнением обработки с высоким риском).
  • Обработчик соглашается удалить все личные данные после прекращения обслуживания или вернуть данные контроллеру.
  • Процессор должен разрешить контроллеру провести аудит и предоставить всю информацию, необходимую для подтверждения соответствия.

Штрафы GDPR ожидают тех, кто не соблюдает

С момента вступления GDPR в силу органы по защите данных продемонстрировали свою готовность наложить штрафы. Не остались без внимания и малый и средний бизнес. Штрафы GDPR могут составлять до 20 миллионов евро или 4% от общемирового дохода компании.

Однако существует два уровня штрафов, в зависимости от серьезности и типа нарушения. Штрафы GDPR, налагаемые за нарушения, связанные с обработчиками данных, обычно относятся к первому уровню, который, согласно руководящим принципам, может достигать 10 миллионов евро или 2% от глобального дохода.
В любом случае подписать соглашение об обработке данных и придерживаться его условий гораздо менее болезненно, чем заплатить штраф GDPR. Надеемся, это руководство поможет. Чтобы получить более понятную справку о соответствии GDPR, ознакомьтесь с нашим контрольным списком GDPR.

Что вы должны знать о «третьих лицах» в соответствии с GDPR и CCPA

Поскольку Общий регламент ЕС по защите данных действует довольно долго, а его концепции «контролера» и «обработчика» - еще гораздо дольше, кажется, что существует устоявшаяся практика для идентификации третьих сторон и их места в этой картине. .Однако по-прежнему существуют ситуации, когда это остается серьезной проблемой как для заинтересованных организаций, так и для органов по защите данных.

Калифорнийский закон о конфиденциальности потребителей, с другой стороны, является совершенно новым правовым актом без такой истории, и ни в США в целом, ни в самой Калифорнии концепции контроллеров и обработчиков персональных данных официально не признаны (хотя были предприняты некоторые попытки в различных проектах использовать такие термины).

Несмотря на это, много говорилось о сходстве между GDPR и CCPA и еще больше о существенных различиях.Понимание третьих сторон и связанных с ними требований - вот где практический вклад будет очень необходим и полезен. Для глобальных компаний, работающих как в соответствии с GDPR, так и в соответствии с CCPA, это будет способствовать большей ясности при составлении уведомлений и связанных с ними сообщений, когда речь идет о правах субъекта данных и потребителя, а также о договорных обязательствах и о том, как они будут обеспечиваться.

Кто такие третьи стороны согласно GDPR и CCPA?

Согласно GDPR, «третье лицо» означает физическое или юридическое лицо, государственный орган, агентство или орган, кроме субъекта данных, контроллера, процессора и лиц, которые под прямым руководством контроллера или процессора уполномочены обрабатывать личные данные.Другие важные моменты включают в себя то, что третья сторона будет считаться получателем после того, как ей будут раскрыты личные данные, и законные интересы третьих сторон также могут быть использованы в качестве законного основания и для оправдания обработки персональных данных контролером, где это уместно.

Очень важно помнить, что вопреки тому, как деловые люди могут использовать такие термины в повседневной жизни, это то, что переработчики и третьи стороны - это разные животные. Это различие имеет очень важное значение, но часто остается размытым в различных уведомлениях о конфиденциальности.Также следует помнить, что будут также лица, действующие под непосредственной ответственностью контролера или процессора, в том числе, помимо прочего, сотрудников. Такие лица, даже если они считаются получателями персональных данных (что также относится к обработчикам), не будут ни обработчиками, ни третьими сторонами.

С некоторыми другими формулировками, в рамках CCPA также будет важно разумно перемещаться между разными ролями как при составлении уведомлений, политик и контрактов, так и при их применении на практике.

Согласно CCPA, «третья сторона» также определяется тем, чем она не является, а не тем, чем она является. Во-первых, третья сторона - это не тот бизнес, который собирает личную информацию от потребителей в соответствии с CCPA, что кажется довольно очевидным, но будет иметь некоторые менее очевидные последствия - например, когда некоторые данные передаются третьей стороне, а некоторые данные он собирает данные напрямую для связанных бизнес-целей (должно быть возможно несколько ролей для одной и той же организации, аналогично GDPR).

Во-вторых, это не будет лицо (этот термин включает компании, юридические лица, организации и т. Д.), Которому бизнес раскрывает личную информацию потребителя для коммерческих целей в соответствии с письменным контрактом, при условии, что контракт соответствует некоторым минимальным требованиям. Такие требования включают явный запрет на продажу личной информации, а также на сохранение, использование или раскрытие личной информации для любых целей, кроме конкретной цели выполнения услуг, указанных в контракте, включая сохранение, использование или раскрытие личной информации. информация для коммерческих целей, кроме предоставления услуг, указанных в контракте.Сохранение, использование или раскрытие информации вне прямых деловых отношений между человеком и бизнесом также будет запрещено. Получатель данных по такому контракту должен будет подтвердить, что он понимает эти ограничения и будет их соблюдать.

Глядя на эти требования и требования GDPR в соответствии со статьей 28 GDPR, кажется, что есть как сходства, так и различия. То же самое верно и в отношении того, как поставщики услуг определяются CCPA и какова будет договорная роль обработчиков GDPR.В дополнение к этому, бизнес-цели, которые служат оправданием для обмена данными с такими организациями в рамках CCPA, имеют собственное определение в CCPA. Однако он достаточно широк, чтобы охватывать практически все, что имеет отношение к бизнесу, если это разумно необходимо и соразмерно (что имеет некоторое сходство с принципами GDPR, касающимися ограничения целей и минимизации данных).

Основное отличие состоит в том, что GDPR требует, чтобы обработчики действовали только в соответствии с задокументированными инструкциями от контроллера, тогда как согласно CCPA такое обязательство отсутствует.Вместо этого основное внимание уделяется использованию данных только для целей предоставления услуг, определенных в контракте. Не совсем ясно, может ли поставщик услуг и при каких обстоятельствах соответствовать определению третьей стороны в соответствии с CCPA, и это отдельные определения, которые необходимо проанализировать и применить. Однако до сих пор многие говорили, что поставщики услуг, как это определено в CCPA, не будут третьими сторонами в соответствии с CCPA.

Учитывая вышеизложенное, можно сделать осторожный вывод, что, хотя обработчик GDPR, безусловно, не подпадет под определение третьей стороны в соответствии с CCPA, могут возникнуть ситуации, в которых лицо или организация, и особенно поставщик услуг, которые не третья сторона в соответствии с CCPA по-прежнему будет третьей стороной в соответствии с GDPR, в зависимости от того, каков будет ее уровень независимости и усмотрения при обработке персональных данных для предоставления услуг в соответствии с контрактом.Одним из важных примеров могут быть поставщики платежных шлюзов, которые обычно считаются независимыми контролерами и третьими сторонами в соответствии с GDPR, но могут быть определены как поставщики услуг, а не третьи стороны в соответствии с CCPA, при условии наличия необходимых договорных положений.

Каковы практические последствия?

Простота и стандартизация важны для каждого бизнеса, и наведение мостов между условиями и требованиями CCPA и GDPR сэкономит деньги, усилия и предотвратит потерю бизнес-возможностей, не говоря уже о большей ясности и поддержке для субъектов данных и потребителей.Вот почему мы можем ожидать, что уведомления о конфиденциальности, условия обслуживания и соглашения будут постепенно учитывать формулировки GDPR и CCPA и объединять их в более или менее удобное для читателя общение. На практике многие соглашения об обработке данных GDPR уже определяют инструкции контроллера таким образом, который аналогичен формулировке CCPA, касающейся использования данных по мере необходимости только для определенных услуг.

Несмотря на то, что все еще существуют некоторые требования к раскрытию информации и другие важные обязанности и права, когда задействованы обработчики или поставщики услуг, существует общее понимание, что обмен данными о потребителях с третьими сторонами имеет гораздо более значительные - и иногда неожиданные - последствия, что приводит к более высоким риск конфиденциальности.

Имея это в виду: и в уведомлениях о конфиденциальности, и в условиях обслуживания необходимо четко указывать, передаются ли данные поставщикам услуг или другим типам получателей, каковы типы задействованных услуг и насколько эти услуги актуальны для потребителей.

Далее должно быть объяснение того, являются ли они независимыми поставщиками - и, следовательно, третьими сторонами и независимыми контроллерами в соответствии с GDPR - или поставщиками, подчиняющимися конкретным инструкциям контроллеров и, следовательно, процессоров.Такое же различие необходимо будет применять при составлении контрактов, регулирующих обмен личными данными, будь то генеральные соглашения об оказании услуг или соглашения об обработке и передаче данных.

Наконец, люди, действующие под прямой ответственностью контроллеров, обработчиков и поставщиков услуг, должны будут подпадать под действие договорных положений о найме и незанятости, в зависимости от обстоятельств. Они также должны будут подчиняться внутренним политикам и процедурам, определяющим, что они должны следовать решениям и инструкциям руководства бизнеса, когда речь идет о личных данных, чтобы убедиться, что они не будут сторонними получателями и что данные достаточно защищены.

Поскольку многие вопросы все еще остаются без ответа, есть место и растущий деловой спрос на стандартизацию и унифицированные, упрощенные формулировки для уведомлений о конфиденциальности, прав потребителей, договорных требований и даже для внутренних процедур обработки данных, которые необходимы для практической реализации. Что касается формулировок третьих сторон в соответствии с GDPR и CCPA, можно использовать эти сходства, но это требует определенных усилий.

Фото mauro mora на Unsplash

Принципы обработки персональных данных

Закон о защите данных в Великобритании после Brexit 2020

Вот общие изменения в законодательстве Великобритании после выходного дня -

  • GDPR ЕС был изменен в новый «UK-GDPR» »(Общий регламент Соединенного Королевства о защите данных), вступивший в силу 31 января 2020 г.
  • В Закон о защите данных 2018 г. были внесены поправки, которые следует читать вместе с новым GDPR Великобритании, а не GDPR ЕС.
  • Европейский GDPR будет применяться к Великобритании в переходный период с 31 января 2020 года по 31 декабря 2020 года (если между Великобританией и ЕС не будет согласовано дальнейшее продление).
  • Вполне вероятно, что позднее правительство Великобритании перейдет к объединению двух измененных законов (GDPR Великобритании и Закона о защите данных 2018) в один всеобъемлющий закон о защите данных.
  • Все основные принципы, обязанности и права остаются в силе.

Что такое GDPR в Великобритании?

Общий регламент по защите данных Соединенного Королевства (UK-GDPR) по сути тот же закон, что и европейский GDPR, с изменениями только для соответствия национальным областям права.

Он был составлен на основе текста закона ЕС GDPR и изменен, чтобы читать Соединенное Королевство вместо законодательства Союза и внутреннего законодательства, а не права ЕС. Это означает, что основные определения и юридическая терминология, известная теперь из Европейского GDPR, такие как персональных данных и прав субъектов данных , контроллер и процессор и их потребность в правовых основах для обработки, таких как предварительное согласие можно найти в GDPR Великобритании.

Является ли GDPR Великобритании тем же, что и GDPR ЕС?

UK-GDPR расширяет и изменяет европейский GDPR. Области, расширенные UK-GDPR:

  • Национальная безопасность
  • Разведывательные службы
  • Иммиграция

Эти области по определению выходят за рамки Европейского GDPR , поскольку это вненациональный регламент ЕС без полномочий регулировать вопросы национальной безопасности в государствах-членах.

Однако GDPR Великобритании устанавливает определенные исключения, с помощью которых можно обойти обычную защиту персональных данных, например.г. когда это касается вопросов национальной безопасности или иммиграции. Он также применяет те же требования к сбору и обработке персональных данных к спецслужбам.

Еще одним большим изменением в GDPR Великобритании является то, что Уполномоченный по информации, ведущий орган по защите данных в Великобритании на сегодняшний день, станет ведущим надзорным, регулирующим органом и исполнителем GDPR Великобритании.

Это означает, что если раньше согласно GDPR ЕС Европейский совет по защите данных был высшим надзорным органом, то теперь ICO берет на себя все вопросы, связанные с регулированием и соблюдением GDPR Великобритании.

Кроме того, Государственный секретарь наделен полномочиями определять или отменять решения о соответствии от имени GDPR Великобритании.

Кроме того, когда 31 января 2020 г. вступил в силу GDPR для Великобритании, он автоматически признал все страны ЕС адекватными, а также признал все существующие решения ЕС о соответствии требованиям Великобритании (например, США Privacy Shield).

A

Принципы обработки персональных данных: 9 принципов обработки GDPR

Обзор принципов обработки персональных данных в соответствии с Общим регламентом о защите данных (GDPR) , а также где и каким образом принципы обработки персональных данных имеют значение для обеспечения соответствия GDPR, начиная со статьи 5 GDPR и выходя за ее рамки .

Чтобы добиться соответствия GDPR, важно понимать суть GDPR в оценке личных данных и возвращении контроля над личными данными гражданам в гораздо большей степени, чем это делали его предшественники, Директива о защите данных или Директива 95/46 / EC.

Эти цели и соответствующие права, свободы и принципы GDPR выражены не только в новых или усиленных принципах и обязанностях для контроллеров и процессоров, но и в экстерриториальном применении GDPR (согласно которому все организации, приобретающие и обрабатывающие затрагиваются личные данные граждан ЕС, независимо от того, где происходит обработка) .

Хотя многие права субъектов данных и правила, касающиеся правовых основ для законной обработки персональных данных граждан ЕС, не слишком изменились, важно понимать, как новые правила вписываются в объем упомянутых целей и общих принципов. что подчеркивается GDPR.

Это также касается принципов обработки персональных данных, о которых идет речь в этой статье.

Обоснование принципов обработки персональных данных

Очевидно, что существует также определенная степень «обновления», чтобы соответствовать современным средствам обработки данных и действиям с GDPR, и ЕС хочет гораздо более последовательный подход, применение и обеспечение соблюдения для организаций в рыночной реальности, где данные и личные данные необходимы во времена цифровой трансформации, инноваций на основе данных, использования новых технологий и четвертой промышленной революции, известной как Индустрия 4.0.

Тем не менее, принципы, права и свободы вездесущи и упоминаются практически во всех аспектах GDPR, независимо от того, касается ли это роли DPO (сотрудника по защите данных) , правил согласия (информированный, свободно переданный, действующий, и т. д.) или способы продемонстрировать соответствие одобрению практики безопасности и данных, такой как шифрование и псевдонимизация, важность DPIA, кодексов поведения и т. д.

Соответствие GDPR начинается с осведомленности о GDPR, понимания прав субъектов данных, выбора надлежащих оснований для законной обработки всех операций по обработке данных и понимания принципов, закрепленных в Регламенте, включая принципы, касающиеся обработки персональных данных .

Ранее мы рассмотрели различные правовые основания для законной обработки и подробно рассмотрели некоторые из них. Получение согласия или наличие другого законного основания для законной обработки - это, конечно, лишь один шаг, когда дело доходит до обработки персональных данных.

Когда существует правовая база, обработка еще должна происходить, и действительно существуют четкие принципы в отношении этого фактического процессаi

Данные защищены Вьетнам | Insights

Предоставлено Allens

Последнее обновление март 2020

Общие | Законы о защите данных

Национальное законодательство
Национальный надзорный орган
Сфера применения
Персональные данные
Конфиденциальные персональные данные
Сотрудники по защите данных
Оценка влияния на подотчетность и конфиденциальность
Права субъектов данных
Безопасность
Передача персональных данных в третьи страны
Правоприменение

ePrivacy | Маркетинг и файлы cookie

Национальное законодательство
Файлы cookie
Маркетинг по электронной почте
Маркетинг по телефону

_____________________________________________________________________

Общее | Законы о защите данных

____________________________________________________________

Национальное законодательство

Общие законы о защите данных

Самой полной правовой базой по защите данных является Закон о кибернетической информационной безопасности (Закон No.86/2015 / Qh23) (« LCIS ») и Закон о кибербезопасности (Закон № 24/2018 / Qh24) (« LCIS »).

Другие соответствующие положения можно найти в Конституции № 18/2013 / L-CTN, Гражданском кодексе (Закон № 91/2015 / Qh23), Уголовном кодексе (Закон № 100/2015 / Qh23), Законе о защите прав потребителей (Закон № 59/2010 / Qh22), Закон об электронных операциях (Закон № 51/2005 / Qh21), Закон об информационных технологиях (Закон № 67/2006 / Qh21), Закон о судебных делах (Закон No.28/2009 / Qh22), Закон о страховой деятельности (Закон № 24/2000 / Qh21 с поправками, внесенными Законом № 61/2010 / Qh22), Закон о медицинском осмотре и лечении (Закон № 40/2009 / Qh22 ), Закон о телекоммуникациях (Закон № 41/2009 / Qh22), Закон о кредитных учреждениях (Закон № 47/2010 / Qh22), Закон о фармацевтике (Закон № 105/2016 / Qh23), Закон о статистике (Закон № 89/2015 / Qh23), Закон о детях (Закон № 102/2016 / Qh23), Закон о передаче технологий (Закон № 07/2017 / Qh24) и Закон о защите государства Секреты (Закон No.29/2018 / Qh24).

Первичное законодательство обычно разрабатывается, оставляя возможность его точного применения для интерпретации. Это толкование иногда поясняется подробными правилами, но не во всех случаях. Следовательно, применение закона к конкретному набору фактов не всегда однозначно.

В настоящее время Министерство общественной безопасности разрабатывает постановление о защите персональных данных («Проект указа »), которое налагает дополнительные обязательства.

Вступление в силу

LCIS вступил в силу 1 июля 2016 года.LCS вступил в силу недавно, 1 января 2019 года. Другие законы, упомянутые выше, вступили в силу в несколько различных дат.

_____________________________________________________________________ Верхний

Национальный надзорный орган

Подробная информация о компетентном национальном надзорном органе

Министерство информации и коммуникаций берет на себя основную ответственность за регулирование. Он будет координировать свои действия с Министерством национальной обороны, Министерством общественной безопасности и другими соответствующими министерствами.

18 Nguyễn Du
Hàng Bài
Hoàn Kiếm
Hà Nội

english.mic.gov.vn/Pages/home.aspx

Проект Указа предусматривает создание государственного органа по регулированию защиты персональных данных.

Схема и сроки уведомления или регистрации

Нет схемы уведомлений или регистрации для сбора, использования или раскрытия личных данных.

Тем не менее, проект Указа вводит режим регистрации для обработки конфиденциальных персональных данных.

Исключения к уведомлению

Не применимо.

_____________________________________________________________________ Верхний

Область применения

Какова территориальная сфера применения?

В принципе, вьетнамские законы применяются к деятельности, частично или полностью осуществляемой на территории Вьетнама.

Однако область применения некоторых законов может выходить за пределы Вьетнама.LCIS ​​применяется, среди прочего, к иностранным организациям и частным лицам, непосредственно участвующим или связанным с деятельностью по обеспечению киберинформационной безопасности во Вьетнаме. Если организация или физическое лицо осуществляет деятельность по обеспечению киберинформационной безопасности за пределами территории Вьетнама, но последствия происходят во Вьетнаме, они все равно могут подпадать под действие закона.

Есть понятие контроллера и процессора?

Нет отдельной концепции контроллера или процессора .Большинство обязательств возложено на « обрабатывающих организаций », которые являются лицами, обрабатывающими персональные данные.

Тем не менее, проект Указа, вероятно, вводит понятие «обработчик данных».

Подпадает ли под действие законодательства о защите данных как ручные, так и электронные записи?

Другие законы, рассмотренные выше, не делают особого различия между ручными и электронными записями. Следовательно, на обе записи распространяются одни и те же правила защиты данных.

Существуют ли какие-либо национальные исключения?

LCIS применяется только к информации, обрабатываемой через телекоммуникационные и компьютерные сети.

_____________________________________________________________________ Верхний

Личные данные

Что такое личные данные?

LCIS определяет «личные данные» как информацию, связанную с идентификацией конкретного человека. В других законах, касающихся личных данных, также есть свои определения, которые напоминают определение в LCIS.Персональные данные также включают личные секреты и концепцию конфиденциальности личных данных (см. Ниже).

Проект Указа определяет личные данные как данные об информации в форме символов, букв, цифр, изображений, звуков и т.п., принадлежащих физическим лицам.

Является ли информация о юридических лицах персональными данными?

Нет. Однако, если информация о юридических лицах включает информацию, которая соответствует определению персональных данных, например, информацию о сотрудниках, такая информация считается персональными данными.

Каковы правила обработки персональных данных?

Согласно LCIS, обрабатывающие организации и отдельные лица, обрабатывающие персональные данные: (i) должны собирать персональные данные только после получения согласия субъекта данных на объем и цель сбора и использования такой информации; (ii) должен получить согласие субъекта данных на использование собранной личной информации для чего-либо, кроме первоначальных целей; и (iii) не должны раскрывать личную информацию, которую они собрали, получили или контролировали, третьей стороне, если только они не получат согласие субъекта данных или по запросу уполномоченных государственных органов.Подобные положения можно найти в других законах, упомянутых выше.

Обработка личной информации в целях национальной обороны и безопасности, социального порядка и безопасности или в некоммерческих целях должна соответствовать другим соответствующим законам.

Закон об информационных технологиях использует аналогичный подход к сбору, обработке и использованию личных данных. Однако в нем также изложены другие условия, при которых персональные данные могут обрабатываться без согласия субъекта данных , в том числе для: (i) подписания, изменения или выполнения контрактов на использование даты в сетевой среде; (ii) расчет платы за использование данных или услуг в сетевой среде; или (iii) выполнение других обязательств, предусмотренных законом.

Существуют ли формальности для получения согласия на обработку персональных данных?

Как правило, нет никаких особых формальностей для получения согласия от субъекта данных .

Однако в соответствии с Законом об информационных технологиях и за исключением случаев, когда применяется законное исключение, обрабатывающие организации и отдельные лица, обрабатывающие персональные данные, должны сообщить субъекту данных о форме, объеме, месте и цели сбора, обработки и использования персональных данных субъекта данных.

Существуют ли особые правила при обработке персональных данных о детях?

В LCIS нет особых правил, которые применяются при обработке персональных данных о детях.

Однако в соответствии с Законом о детях запрещается разглашать личные данные ребенка без согласия самого ребенка (если такой ребенок старше 7 лет, но моложе 16 лет) или согласия родители или опекун ребенка. Также существует общая обязанность агентств, организаций и частных лиц, работающих в сети, применять меры по обеспечению безопасности и личной тайны детей.

Существуют ли особые правила при обработке персональных данных о сотрудниках?

Закон о труде не налагает на работодателей особых обязательств по защите личных данных сотрудников. Однако работодатель, как одна из сторон трудового договора, обязан в соответствии с Гражданским кодексом хранить конфиденциальную информацию, полученную от работника, и не использовать такую ​​информацию в личных целях такой стороны или в других незаконных целях.

_____________________________________________________________________ Верхний

Конфиденциальные личные данные

Что такое конфиденциальные личные данные?

Конфиденциальные личные данные не определены законодательством Вьетнама.Тем не менее, вьетнамское законодательство понимает концепцию личной неприкосновенности частной жизни или личных секретов и рассматривает любую подобную информацию как личные данные. Это включает в себя любую информацию, которую субъект данных может захотеть сохранить конфиденциальной, такую ​​как медицинские записи, досье на налоговые платежи, номера социального страхования, номера кредитных карт и другую информацию, определенную законом.

Конфиденциальные данные также распространяются на банковские операции, такие как PIN-коды и коды шифрования, которые должны быть зашифрованы на уровне приложений.Кроме того, любые транзакции, совершаемые через беспроводную сеть, которые связаны с конфиденциальными личными данными, должны быть защищены, такие как информация о банковском счете, учетные записи социальных сетей, содержимое чата, данные электронной почты, фотографии, видео и другая личная информация.

Проект Указа вводит определение личных «конфиденциальных данных», включающих: (i) политические и религиозные взгляды; (ii) этническая или расовая принадлежность; (iii) состояние здоровья; (iv) генетическая информация; (v) биометрические данные; (vi) пол, половая жизнь; и (iv) данные о преступности.

Существуют ли дополнительные правила обработки конфиденциальных персональных данных?

Существуют некоторые дополнительные меры защиты личной конфиденциальности или личных секретов. Например, государственные органы, хранящие личную тайну, должны защищать эту информацию и предоставлять или передавать ее компетентным третьим лицам только в ограниченных случаях, предусмотренных законом. Законодательство Вьетнама также обеспечивает дополнительную защиту медицинских записей для лиц, участвующих в клинических испытаниях лекарства, и данных клиентов в банковском секторе.

Проект Указа будет включать положения о регистрации обработки конфиденциальных данных.

Существуют ли дополнительные правила обработки информации об уголовных преступлениях?

Нет никаких конкретных правил обработки информации об уголовных преступлениях в соответствии с LCIS. Однако, если субъект данных хочет, чтобы информация об уголовных преступлениях хранилась в секрете и такая информация соответствует стандарту «личной тайны», правила обработки такие же, как и для личных данных.

Уголовно-процессуальный кодекс разрешает суду рассматривать дело в закрытом режиме. Это применяется в делах, связанных с защитой лиц моложе 18 лет, или в делах, затрагивающих личную жизнь, в соответствии с запросом истца. Однако приговоры должны оглашаться публично.

.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *