Передача персональных данных третьим лицам без согласия статья: Статья 7. Конфиденциальность персональных данных / КонсультантПлюс

Содержание

Федеральный закон о персональных данных — Российская газета

Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года

Глава 1. Общие положения

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

3) обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

4) распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

5) использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

6) блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

7) уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

8) обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

10) конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

11) трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

12) общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.

Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Глава 2. Принципы и условия обработки персональных данных

Статья 5. Принципы обработки персональных данных

1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Статья 7. Конфиденциальность персональных данных

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Статья 8. Общедоступные источники персональных данных

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные являются общедоступными;

3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Статья 12. Трансграничная передача персональных данных

1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных;

2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. Права субъекта персональных данных

Статья 14. Право субъекта персональных данных на доступ к своим персональным данным

1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) предоставление персональных данных нарушает конституционные права и свободы других лиц.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Статья 17. Право на обжалование действий или бездействия оператора

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Глава 4. Обязанности оператора

Статья 18. Обязанности оператора при сборе персональных данных

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.

2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных

1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных.

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

5. Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;

2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

3) вести реестр операторов;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.

8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Глава 6. Заключительные положения

Статья 25. Заключительные положения

1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Президент
Российской Федерации
В. Путин

cеть туристических бюро с 1958 года


УТВЕРЖДАЮ

Генеральный директор

ООО «БММТ «Спутник»

С.В. Кулько

17 декабря 2020 года

ПОЛИТИКА ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «БММТ «СПУТНИК» 

В ОБЛАСТИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

ЛОКАЛЬНЫЙ НОРМАТИВНЫЙ АКТ ООО «БММТ «СПУТНИК»,

принят в соответствии со статьей 8 Трудового кодекса РФ и во исполнение требований статьи 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

город Москва 2020 год

ОГЛАВЛЕНИЕ:

Статья I. ОБЩИЕ ПОЛОЖЕНИЯ

Статья II. ОСНОВНЫЕ ПОНЯТИЯ

Статья III. ОСНОВНЫЕ ПОЛОЖЕНИЯ

Статья III. п.1. Правовые основания обработки ПДн

Статья III. п.2. Цели обработки ПДн

Статья III. п.3. Допуск работников к обработке ПДн

Статья III. п.4. Получение ПДн, их категории, сроки обработки и хранения

Статья III. п.5. Передача ПДн третьим лицам

Статья III. п.6. Получение Обществом в качестве третьего лица персональных данных от Партнеров

Статья III. п.7. Меры по обеспечению безопасности ПДн при их обработке

Статья III. п.8. Права и обязанности субъекта ПДн

Статья III. п.9. Порядок предоставления информации субъекту персональных данных

Статья III. п.10. Ответственность за обеспечение безопасности ПДн

Статья I. ОБЩИЕ ПОЛОЖЕНИЯ

В процессе осуществления уставной деятельности Общество с ограниченной ответственностью «БММТ «Спутник» (далее – Общество) обрабатывает персональные данные. Осуществляя обработку персональных данных (далее также – ПДн). Общество считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных. Общество несет ответственность за соблюдение конфиденциальности и безопасности обрабатываемых персональных данных.

Настоящая Политика ООО «БММТ «Спутник» в области обработки и защиты персональных данных (далее – Политика) обеспечивает реализацию требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных. В Политике раскрываются основные категории персональных данных, обрабатываемых Обществом, цели, способы и принципы обработки Обществом персональных данных, права и обязанности Общества при обработке персональных данных, права субъектов персональных данных, а также меры, применяемые Обществом в целях обеспечения безопасности персональных данных при их обработке.

Настоящая Политика распространяется на все случаи обработки персональных данных Обществом, вне зависимости от того, является обработка персональных данных автоматизированной или неавтоматизированной, производится она вручную либо автоматически.

Настоящая Политика является внутренним локальным нормативным актом Общества и является обязательной для исполнения всеми подразделениями и работниками Общества.

Каждый работник, вновь принимаемый на работу в Общество, во время вводного инструктажа должен быть ознакомлен с настоящей Политикой.

Настоящая Политика утверждается Генеральным директором Общества, который осуществляет контроль соблюдения Политики в Обществе.

Срок действия настоящей Политики – до последующего обновления настоящего локального акта после ее утверждения. Политика подлежит пересмотру не реже одного раза в два года. Новая версия переработанной Политики утверждается Генеральным директором Общества.

Ответственность за актуализацию настоящей Политики и текущий контроль над выполнением норм Политики возлагается на назначаемого приказом по Обществу уполномоченного сотрудника, ответственного за организацию обработки и защиты персональных данных (далее также – ПДн).

Общество на основании требований настоящей Политики разрабатывает все внутренние локальные акты и иные документы Общества, связанные с обработкой ПДн.

Настоящая Политика является общедоступным документом. Для обеспечения неограниченного доступа к документу, текст настоящей Политики размещен на общедоступном неопределенному кругу лиц сайте: http://www.sputnik.travel

Статья II. ОСНОВНЫЕ ПОНЯТИЯ

Политика – утвержденный Генеральным директором внутренний локальный нормативный акт — «Политика ООО «БММТ «Спутник» в области обработки и защиты персональных данных».

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных.

Обработка персональных данных — любое действие с персональными данными, совершаемое с использованием средств автоматизации или без использования таких средств.

Субъект персональных данных — идентифицированное или не идентифицированное физическое лицо, в отношении которого проводится обработка персональных данных.

Работник — физическое лицо (субъект персональных данных), заключившее с Обществом трудовой договор.

Соискатель — физическое лицо (субъект персональных данных), представившее в Общество свои персональные данные с предложением заключения трудового договора.

Партнер – юридическое лицо или индивидуальный предприниматель, оператор персональных данных, с которым у Общества имеются договорные отношения, во исполнение обязательств по которым Партнер поручает Обществу в качестве третьего лица обработку ПДн Клиентов.

Клиент — физическое лицо — заказчик туристского продукта (субъект персональных данных), заключивший с Обществом или Партнером договор на реализацию туристского продукта, сформированного Обществом; либо физическое лицо — турист (субъект персональных данных), от имени которого заказчик туристского продукта заключил с Обществом или Партнером договор на реализацию туристского продукта, туристских услуг, который формируется Обществом.

Иное физическое лицо – физическое лицо (субъект персональных данных), заключившее с Обществом договор на оказание определенного вида услуг или работ либо сотрудник Партнера.

Посетитель – физическое лицо (субъект персональных данных), не являющееся работником и получившее на законных основаниях допуск в помещения Общества.

Уполномоченный сотрудник – работник, назначенный приказом Генерального директора Общества ответственным за обеспечение информационной безопасности и защиту персональных данных.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Статья III. ОСНОВНЫЕ ПОЛОЖЕНИЯ

1. Правовые основания обработки ПДн

Общество обязано осуществлять обработку персональных данных только на законной и справедливой основе.

Политика Общества в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:

Конституцией Российской Федерации

Трудовым кодексом Российской Федерации

Гражданским кодексом Российской Федерации

Налоговым кодексом Российской Федерации

Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»

Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Воздушным кодексов РФ

Уставом железнодорожного транспорта в РФ

Федеральным законом № 2300-1 от 07.02.1992 года «О защите прав потребителей»

Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»

Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»

Федеральным законом от 16.07.1999 года № 165-ФЗ «Об основах обязательного социального страхования»

Федеральным законом № 14-ФЗ от 08.02.1998 года «Об обществах с ограниченной ответственностью»

Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных»

Постановлением Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Обработка персональных данных не может быть использована Обществом или его Работниками в целях причинения имущественного и морального вреда субъектам персональных данных, затруднения реализации их прав и свобод.

Обработка персональных данных в Обществе должна ограничиваться достижением законных, конкретных и заранее определенных целей. Обработке подлежат только те персональные данные, и только в том объеме, которые отвечают целям их обработки.

Все принимаемые в Обществе локальные нормативные акты, регламентирующие обработку в Обществе персональных данных, разрабатываются на основании настоящей Политики.

2. Цели обработки ПДн

Общество проводит обработку персональных данных исключительно в целях:

а) осуществления возложенных на Общество Уставом и законодательством Российской Федерации функций в соответствии с нормативными актами, указанными в п.1. статьи 3. Политики;

б) организации учета работников и участников Общества в соответствии с требованиями законов и иных нормативно-правовых актов, содействия им в карьерном росте и трудоустройстве, в обучении, для осуществления медицинского страхования и для предоставления им иных льгот и компенсаций;

в) принятия решения о заключении с соискателем трудового договора;

г) исполнения обязательств Общества и осуществление прав Общества по заключенным с Клиентами договорам о реализации туристских продуктов, туристских услуг, а также авиа, жд билетов в соответствии с нормами Воздушного кодекса РФ, Устава железнодорожного транспорта в Российской Федерации;

д) исполнения обязательств Общества и осуществление прав Общества по заключенным договорам, стороной которых либо выгодоприобретателем или поручителем по которым является Клиент, а также для заключения договоров по инициативе Клиента или договоров, по которым Клиент будет являться выгодоприобретателем или поручителем;

ж) исполнения обязательств Общества и осуществление прав Общества по заключенным с Партнерами договорам о реализации турпродуктов, а также авиа, жд перевозки и т.д.;

з) исполнения обязательств Общества и осуществление прав Общества по заключенным с иными физическими лицами или юридическими лицами договорам в соответствии с нормами Гражданского кодекса Российской Федерации;

и) для исполнения обязательств Общества и осуществление прав Общества в процессе судопроизводства по искам к Обществу работников, Клиентов или Партнеров или исков Общества к работникам, Клиентам или Партнерам в рамках Гражданского процессуального кодекса Российской Федерации, Арбитражного процессуального кодекса Российской Федерации, Кодекса Российской Федерации об административных правонарушениях;

к) для исполнения обязательств Общества и осуществление прав Общества при осуществлении претензионного делопроизводства по жалобам к Обществу работников, Клиентов или Партнеров или претензий Общества к работникам, Клиентам и Партнерам; Гражданского процессуального кодекса Российской Федерации, Арбитражного процессуального кодекса Российской Федерации, Кодекса Российской Федерации об административных правонарушениях;

л) обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен работником или Клиентом либо по их просьбе;

м) выполнения маркетинговых и рекламных действий в целях установления и дальнейшего развития отношений с Клиентами и Партнерами;

н) осуществления пропускного и внутриобъектового режима в помещениях Общества.

В Обществе обработке подлежат только те персональные данные, которые отвечают указанным выше целям их обработки. Персональные данные не подлежат обработке в случае несоответствия их характера и объема поставленным целям.

Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, судимости.

В том случае если для достижения указанных выше целей обработки персональных данных, Обществу необходимо осуществить обработку биометрических персональных данных, либо касающихся состояния здоровья, то такая обработка осуществляется только на основании согласия субъекта персональных данных. Обработка специальных категорий персональных данных, должна быть незамедлительно прекращена, если устранены причины, вследствие которых она осуществлялась.

3. Допуск работников к обработке ПДн

Персональные данные в Обществе могут обрабатываться только уполномоченными в установленном порядке работниками.

Работники допускаются в Обществе к обработке персональных данных только решением Генерального директора.

Работники, допущенные в Обществе к обработке персональных данных, имеют право приступать к работе с персональными данными только после ознакомления под личную роспись с локальными нормативными актами, регламентирующими в Обществе обработку ПДн.

Работники, осуществляющие в Обществе обработку персональных данных, должны действовать в соответствии с должностными инструкциями, регламентами и другими распорядительными документами Общества, и соблюдать требования Общества по соблюдению режима конфиденциальности.

4. Получение ПДн, их категории, сроки хранения

Общество получает персональные данные только на основании того, что субъект персональных данных принимает решение о предоставлении Обществу своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения. Как правило, такое согласие дается при заключении письменных договоров с Обществом или нашими Партнерами, либо в форме совершения субъектом персональных данных конклюдентных действия на Интернет-сайте Общества или наших Партнеров.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

В Обществе обрабатываются следующие категории персональных данных:

а) Персональные данные работников и участников Общества. Источники получения: от субъектов персональных данных, на основании заключенных трудовых договоров и Федерального закона № 14-ФЗ от 08.02.1998 года «Об обществах с ограниченной ответственностью».

б) Персональные данные Клиентов. Источники получения: от субъектов персональных данных или от Партнеров, на основании заключенных договоров.

в) Персональные данные Партнеров и их представителей. Источники получения: от субъектов персональных данных или от Партнеров, на основании заключенных договоров.

г) Персональные данные Посетителей. Источники получения: от субъектов персональных данных.

д) Персональные данные Соискателей. Источники получения: от субъектов персональных данных.

Сроки обработки и хранения персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, сроком исковой давности, сроками хранения документов, установленными Приказом Министерства культуры Российской Федерации от 25 августа 2010 года № 558 «Об утверждении перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», иными требованиями законодательства и нормативными документами, а также сроком предоставленного субъектом согласия на обработку персональных, в случаях, когда такое согласие должно быть предоставлено в соответствии с требованиями законодательства.

5. Передача ПДн третьим лицам

Передача персональных данных осуществляется Обществом исключительно для достижения целей, заявленных для обработки персональных данных в п.2. настоящей статьи Политики.

Передача персональных данных третьим лицам осуществляется либо с письменного согласия субъекта персональных данных, которое оформляется по установленной законодательством форме, либо для исполнения договора, стороной которого или выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, либо в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных; либо в иных случаях, установленных федеральным законодательством.

Передача персональных данных третьим лицам осуществляется Обществом только на основании соответствующего договора с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Общество осуществляет трансграничную передачу персональных данных Клиента на территории иностранных государств с учетом перечня государств, утвержденного уполномоченным органом по защите прав субъектов персональных данных.

Общество осуществляет трансграничную передачу персональных данных Клиента на территории иностранных государств, в том числе на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, только по ниже следующим основаниям:

— наличие письменного согласия Клиента на трансграничную передачу его персональных данных;

— исполнение договора, стороной которого или выгодоприобретателем или поручителем по которому является Клиент, а также для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем или поручителем;

В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Общество в ходе своей деятельности предоставляет персональные данные ниже следующим третьим лицам.

а) Персональные данные работников и Учредителя на основании трудового договора и/или письменного согласия передаются в ниже следующие организации:

— Банку – для оформления безналичного счета, на который Обществом будет перечисляться заработная плата и иные доходы работника и Учредителя, при условии, что Общество заранее сообщит работнику и Учредителю наименование и адрес данного банка.

— Кредитным организациям, в которые работник и Учредитель обращались для оформления кредитов, ссуд либо получения иных услуг, при условии, что работник и Учредитель заранее сообщат Работодателю наименования указанных кредитных организаций.

— Страховой компании – для оформления полиса добровольного медицинского страхования, при условии, что Общество заранее сообщит работнику наименование и адрес данной страховой компании.

— Полиграфической организации или типографии — для изготовления визитных карточек работника и Учредителя, при условии, что Общество заранее сообщит им наименование и адрес данного полиграфического предприятия.

— Арендодателю — для оформления работнику и Учредителю пропуска на территорию и в здание, в котором размещается офис Общества, при условии, что Общество заранее сообщит им наименование и адрес данного Арендодателя.

— Частному охранному предприятию, осуществляющему охрану помещений, в которых расположен офис Общества, при условии, что Общество заранее сообщит работнику и Учредителю наименование и адрес данного ЧОПа.

— Партнерам Общества — для исполнения обязательств, возложенных на Общество договорами и иными законными сделками, исполнение которых предусмотрено должностными обязанностями работника, при условии, что Общество заранее сообщит работнику наименования и адреса данных организаций.

— Налоговым органам, подразделениям Пенсионного фонда Российской Федерации, подразделениям Федеральной миграционной службы России, центрам занятости населения — для исполнения обязательств, возложенных на Общество законодательными и нормативными актами, а также исполнения законных официальных запросов, касающихся работника.

б) Персональные данные Клиентов в соответствии с заключенным с ними Обществом или Партнерами письменным договором, и/или с письменного согласия субъекта персональных Общество на основании договоров передает ниже следующим третьим лицам:

— Банкам – для безналичного перечисления денежных средств в счет оплаты услуг, заказанных Клиентом.

— Кредитным организациям, в которые Клиент при посредничестве Общества обратился для оформления кредита на оплату заказанных им туристских услуг.

— Налоговым и правоохранительным органам — для исполнения обязательств, возложенных на Общество законодательными и нормативными актами, а также исполнения законных официальных запросов, касающихся Клиента;

— Российским и иностранным организациям, организующим и/или осуществляющим авиационную, и/или железнодорожную и/или автомобильную перевозку Клиентов.

— Российским и иностранным организациям, организующим и/или осуществляющим имущественное страхование интересов Клиентов и их финансовых рисков.

6. Получение Обществом в качестве третьего лица персональных данных от Партнеров

Получение персональных данных Клиентов от Партнеров – операторов персональных данных, — осуществляется Обществом исключительно для достижения целей, заявленных для обработки персональных данных в п.2. настоящей статьи Политики, и на основании заключенных с Партнерами письменных договоров.

В тексте договоров с Партнерами обязательно определяются цели обработки ПДн, перечень операций с ними, и устанавливается обязанность Общества соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных.

Общество, осуществляя обработку персональных данных по поручению Партнера, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В этом случае ответственность перед субъектом персональных данных за действия Общества несет Партнер. Общество, осуществляя обработку персональных данных по поручению Партнера, несет ответственность перед Партнером.

7. Меры по обеспечению безопасности ПДн при их обработке

До начала обработки персональных данных Обществом предприняты правовые, технические и организационные меры к защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

Вводом в Обществе режима конфиденциальности персональных данных, когда все документы и сведения, содержащие информацию о персональных данных, являются в Обществе конфиденциальными.

Организацией режима обеспечения безопасности помещений, в которых размещены информационные системы, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.

Утверждением полного перечня персональных данных и иных объектов, подлежащих защите в Обществе.

Обеспечением не распространения документов и сведений, содержащих информацию о персональных данных, без согласия субъекта персональных данных, либо наличия иного законного основания.

Назначением уполномоченного сотрудника, ответственного за организацию обработки персональных данных.

Введением персональной ответственности руководителей Общества и его подразделений за обеспечение режима безопасности персональных данных при их обработке обеспечивают.

Утверждением перечня лиц, осуществляющих в Обществе обработку персональных данных либо имеющих к ним доступ.

Определением типа угроз безопасности персональных данных, актуальных для информационных систем Общества с учетом оценки возможного вреда, который может быть причинен субъектам персональных данных.

Разработкой и утверждением локальных нормативных актов, регламентирующих в Обществе обязанности должностных лиц, осуществляющих обработку и защиту ПДн, их ответственность за компрометацию персональных данных.

Осуществлением внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.

Запретом для работников, осуществляющих обработку персональных данных, проводить несанкционированное или нерегистрируемое копирование персональных данных, в том числе с использованием сменных носителей информации, мобильных устройств копирования и переноса информации, коммуникационных портов и устройств ввода-вывода, реализующих различные интерфейсы (включая беспроводные), запоминающих устройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов), а также устройств фото и видеосъемки.

Обеспечением сохранности носителей персональных данных.

Использованием средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных.

Ознакомлением работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и обучением указанных сотрудников.

Выделением конкретных мест хранения персональных данных (материальных носителей), обработка которых осуществляется Обществом и организацией режима обеспечения безопасности помещений и мест хранения материальных носителей ПДн.

Обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется без использования средств автоматизации и в различных целях.

Осуществлением учета документов по обработке персональных данных без использования автоматизированных систем отдельным делопроизводством, хранением документов с отметкой «Персональные данные» в надежно запираемых шкафах и сейфах, ключи от которых хранятся только у ответственных за данную деятельность работников.

Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.

Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

Учетом машинных носителей персональных данных.

Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.

Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

Обеспечением доступа к содержанию электронного журнала сообщений исключительно для работников Общества или уполномоченного сотрудника, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения трудовых обязанностей.

Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

8. Права и обязанности субъекта ПДн

Субъект персональных данных имеет право:

— на получение сведений об Обществе, о месте его нахождения, о наличии у Общества персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными;

— требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

— требовать прекращения обработки своих персональных данных;

— получать информацию, касающуюся обработки его персональных данных, в том числе содержащую: подтверждение факта обработки персональных данных Обществом, а также цель такой обработки; способы обработки персональных данных, применяемые Обществом; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в следующих случаях:

— Если обработка персональных данных, включая те, что получены в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка.

— При условии, что обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными.

— Если обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

— Когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

— Если обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Обществу. Общество рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

Субъект персональных данных вправе обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

Субъект персональных данных обязан предоставлять только достоверные и полные персональные данные, которые при необходимости должны быть документально подтверждены.

9. Порядок предоставления информации субъекту персональных данных

Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Обществом при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Общество сообщает субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.

Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

ВАЖНО!

Вы можете использовать возможности нашего Интернет-сайта http://www.sputnik.travel для бронирования туристских продуктов, туристских услуг, авиа, жд билетов (оказания иных услуг). При этом, предоставляя Обществу свои персональные данные и совершая при этом конклюдентные действия по заказу услуг и их оплате, Вы выражаете свое согласие и даете своей волей разрешение на обработку Ваших персональных данных в порядке, предусмотренном настоящей Политикой. Если Вы не согласны с положениями настоящей Политики, мы просим Вас воздержаться от использования настоящего Интернет-сайта по адресу http://www.sputnik.travel и передачи Обществу Ваших персональных данных.

10. Ответственность за обеспечение безопасности ПДн

Общество несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных. Общество закрепляет персональную ответственность работников за соблюдением установленного в Обществе режима конфиденциальности.

Руководитель подразделения несет персональную ответственность за соблюдение Работниками его подразделения норм, регламентирующих получение, обработку и защиту персональных данных. Руководитель, разрешающий доступ сотрудника к документам и сведениям, содержащим персональные данные, несет персональную ответственность за данное разрешение.

Каждый работник Общества, получающий для работы документ, содержащий персональные данные, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

Работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Общество не несет ответственности за убытки и иные затраты, понесенные субъектами персональных данных в результате предоставления ими недостоверных и неполных персональных данных.

Если после рассмотрения настоящей Политики у Вас остались вопросы, Вы можете получить разъяснения, направив официальный запрос ответственному за организацию обработки и обеспечения безопасности ПДн по электронной почте [email protected], либо по адресу: 119334, Москва, Ленинский проспект, 38А.

Использование персональных данных

Статья 1. ОБЩИЕ ПОЛОЖЕНИЯ


В процессе осуществления уставной деятельности Общество с ограниченной ответственностью «ООО Техносистема» (далее – Общество) обрабатывает персональные данные. Осуществляя обработку персональных данных (далее также – ПДн). Общество считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных. Общество несет ответственность за соблюдение конфиденциальности и безопасности обрабатываемых персональных данных. 

Настоящая Политика по защите персональных данных в ООО «Техносистема» (далее – Политика) обеспечивает реализацию требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных. В Политике раскрываются основные категории персональных данных, обрабатываемых Обществом, цели, способы и принципы обработки Обществом персональных данных, права и обязанности Общества при обработке персональных данных, права субъектов персональных данных, а также меры, применяемые Обществом в целях обеспечения безопасности персональных данных при их обработке. 

Настоящая Политика распространяется на все случаи обработки персональных данных Обществом, вне зависимости от того, является обработка персональных данных автоматизированной или неавтоматизированной, производится она вручную либо автоматически.

Настоящая Политика является внутренним локальным нормативным актом Общества и является обязательной для исполнения всеми подразделениями и Работниками Общества. Каждый работник, вновь принимаемый на работу в Общество, во время первого вводного инструктажа должен быть ознакомлен с настоящей Политикой. 

Настоящая Политика утверждается Генеральным осуществляет контроль соблюдения Политики в Обществе. Срок действия настоящей Политики – два года после ее утверждения. Политика подлежит пересмотру не реже одного раза в два года. Новая версия переработанной Политики утверждается Генеральным директором Общества. Ответственность за актуализацию настоящей Политики и текущий контроль над выполнением норм Политики возлагается на назначаемого приказом по Обществу уполномоченного сотрудника, ответственного за организацию обработки и защиты ПДн. Общество на основании требований настоящей Политики разрабатывает все внутренние локальные акты и иные документы Общества, связанные с обработкой ПДн.

Настоящая Политика является общедоступным документом. Для обеспечения неограниченного доступа к документу, текст настоящей Политики размещен на общедоступном неопределенному кругу лиц сайте: www. pervomaster.ru. 

 
Статья 2. ОСНОВНЫЕ ПОНЯТИЯ


Политика – утвержденный Генеральным директором Общества внутренний локальный нормативный акт — «Политика по защите персональных данных в Обществе с ограниченной ответственностью «Техносистема». 

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу — субъекту персональных данных. 

Обработка персональных данных — любое действие с персональными данными, совершаемое с использованием средств автоматизации или без использования таких средств. 

Субъект персональных данных — идентифицированное или не идентифицированное физическое лицо, в отношении которого проводится обработка персональных данных. 

Работник — физическое лицо (субъект персональных данных), заключившее с Обществом трудовой договор. 

Соискатель — физическое лицо (субъект персональных данных), представившее в Общество свои персональные данные с предложением заключения трудового договора. 

Партнер – юридическое лицо или индивидуальный предприниматель, оператор персональных данных, с которым у Общества имеются договорные отношения, во исполнение обязательств по которым Партнер поручает Обществу в качестве третьего лица обработку ПДн 1Клиентов. 

Клиент — физическое лицо — заказчик непродовольственных товаров и услуг (субъект персональных данных), заключивший с Обществом или Партнером договор, сформированного Обществом; либо физическое лицо – покупатель (субъект персональных данных), от имени которого заказчик товаров и услуг заключил с Обществом или Партнером договор, который формируется Обществом. 

Иное физическое лицо – физическое лицо (субъект персональных данных), заключившее с Обществом договор на оказание определенного вида услуг или работ либо сотрудник Партнера. 

Посетитель – физическое лицо (субъект персональных данных), не являющееся Работником и получившее на законных основаниях допуск в помещения Общества. 

Уполномоченный сотрудник – Работник, назначенный приказом Генерального директора Общества ответственным за обеспечение информационной безопасности и защиту персональных данных. 

Распространение персональных данных — персональных данных неопределенному кругу лиц. 

Предоставление персональных данных — действия, направленные персональных данных определенному лицу или определенному кругу лиц. 

 
Статья 3. ОСНОВНЫЕ ПОЛОЖЕНИЯ


1. Правовые основания обработки ПДн Общество обязано осуществлять обработку персональных данных только на законной и справедливой основе. Политика Общества в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ: 

Конституцией Российской Федерации 

Трудовым кодексом Российской Федерации 

Гражданским кодексом Российской Федерации 

Налоговым кодексом Российской Федерации 

Федеральным законом от 19.12.2005 No 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» 

Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных» 

Федеральным законом от 27.07.2006 No 149-ФЗ «Об информации, информационных технологиях и о защите информации» 

Федеральным законом No 2300-1 от 07.02.1992 года «О защите прав потребителей» 

Федеральным законом от 29.11.2010 No 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» 

Федеральным законом от 15.12.2001 No 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации» 

Федеральным законом от 16.07.1999 года No 165-ФЗ «Об основах обязательного социального страхования» 

Федеральным законом No 14-ФЗ от 08.02.1998 года «Об обществах с ограниченной ответственностью» 

Постановлением Правительства Российской Федерации от 01 ноября 2012 года No 1119 «Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных» 

Постановлением Правительства РФ от 15 сентября 2008 года No 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Обработка персональных данных не может быть использована Обществом или его Работниками в целях причинения имущественного и морального вреда субъектам персональных данных, затруднения реализации их прав и свобод. Обработка персональных данных в Обществе должна ограничиваться достижением законных, конкретных и заранее определенных целей. Обработке подлежат только те персональные данные, и только в том объеме, которые отвечают целям их обработки. 

Все принимаемые в Обществе локальные нормативные акты, регламентирующие обработку в Обществе персональных данных, разрабатываются на основании настоящей Политики. 

2. Цели обработки ПДн Общество проводит обработку персональных данных исключительно в целях: 

а) осуществления возложенных на Общество Уставом и законодательством Российской Федерации функций в соответствии с нормативными актами, указанными в п.1. статьи 3. Политики; 

б) организации учета Работников Общества в соответствии с требованиями законов и иных нормативно-правовых актов, содействия им в карьерном росте и трудоустройстве, в обучении, для осуществления медицинского страхования и для предоставления им иных льгот и компенсаций; 

в) принятия решения о заключении с Соискателем трудового договора; 

г) исполнения обязательств Общества и осуществление прав Общества по заключенным с Клиентами договорам в соответствии с законодательством Российской Федерации; 

д) исполнения обязательств Общества и осуществление прав Общества по заключенным договорам, стороной которых либо выгодоприобретателем или поручителем, по которым является Клиент, а также для заключения договоров по инициативе Клиента или договоров, по которым Клиент будет являться выгодоприобретателем или поручителем; 

ж) исполнения обязательств Общества и осуществление прав Общества по заключенным с Партнерами договорам в соответствии в соответствии с законодательством Российской Федерации; 

з) исполнения обязательств Общества и осуществление прав Общества по заключенным с иными физическими лицами или юридическими лицами договорам в соответствии с нормами Гражданского кодекса Российской Федерации; 

и) для исполнения обязательств Общества и осуществление прав Общества в процессе судопроизводства по искам к Обществу Работников, Клиентов или Партнеров, или исков Общества к Работникам, Клиентам или Партнерам в рамках Гражданского процессуального кодекса Российской Федерации, Арбитражного процессуального кодекса Российской Федерации, Кодекса Российской Федерации об административных правонарушениях; 

к) для исполнения обязательств Общества и осуществление прав Общества при осуществлении претензионного делопроизводства по жалобам к Обществу Работников, Клиентов или Партнеров, или претензий Общества к Работникам, Клиентам и Партнерам в рамках Гражданского кодекса Российской Федерации; Гражданского процессуального кодекса Российской Федерации, Арбитражного процессуального кодекса Российской Федерации, Кодекса Российской Федерации об административных правонарушениях; 

л) обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен Работником или Клиентом либо по их просьбе; 

м) выполнения маркетинговых и рекламных действий в целях установления и дальнейшего развития отношений с Клиентами и Партнерами; 

н) осуществления пропускного и внутриобъектового режима в помещениях Общества. Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, судимости. 

В том случае если для достижения указанных выше целей обработки персональных данных, Обществу необходимо осуществить обработку биометрических персональных данных, либо касающихся состояния здоровья, то такая обработка осуществляется только на основании согласия субъекта персональных данных. Обработка специальных категорий персональных данных, должна быть незамедлительно прекращена, если устранены причины, вследствие которых она осуществлялась. 

3. Допуск Работников к обработке ПДн Персональные данные в Обществе могут обрабатываться только уполномоченными в установленном порядке Работниками. 

Работники допускаются в Обществе к обработке персональных данных только решением Генерального директора. 

Работники, допущенные в Обществе к обработке персональных данных, имеют право приступать к работе с персональными данными только после ознакомления под личную роспись с локальными нормативными актами, регламентирующими в Обществе обработку ПДн. 

Работники, осуществляющие в Обществе обработку персональных данных, должны действовать в соответствии с должностными инструкциями, регламентами и другими распорядительными документами Общества, и соблюдать требования Общества по соблюдению режима конфиденциальности. 

4. Получение ПДн, их категории, сроки хранения 

Общество получает персональные данные только на основании того, что субъект персональных данных принимает решение о предоставлении Обществу своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения. Как правило, такое согласие дается при заключении письменных договоров с Обществом или Партнерами, либо в форме совершения субъектом персональных данных конклюдентных действия на Интернет-сайте Общества или сайтах Партнеров. 

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных 

В Обществе обрабатываются следующие категории персональных данных: 

а ) Персональные данные Работников. Источники получения: от субъектов персональных данных, на основании заключенных трудовых договоров и Федерального закона No 14-ФЗ от 08.02.1998 года «Об обществах с ограниченной ответственностью». 

б) Персональные данные Клиентов. Источники получения: от субъектов персональных данных или Партнеров, на основании заключенных договоров. 

в) Персональные данные Партнеров и их представителей. Источники получения: от субъектов персональных данных или Партнеров, на основании заключенных договоров. 

г) Персональные данные Посетителей. Источники получения: от субъектов персональных данных. 

д) Персональные данные Соискателей. Источники получения: от субъектов персональных данных. 

Сроки обработки и хранения персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, сроком исковой давности, сроками хранения документов, установленными Приказом Министерства культуры Российской Федерации от 25 августа 2010 года No 558 «Об утверждении перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», иными требованиями законодательства и нормативными документами, а также сроком предоставленного субъектом согласия на обработку персональных, в случаях, когда такое согласие должно быть предоставлено в соответствии с требованиями законодательства. 

5. Передача ПДн третьим лицам 

Передача персональных данных осуществляется Обществом исключительно для достижения целей, заявленных для обработки персональных данных в п.2. настоящей статьи Политики. 

Передача персональных данных третьим лицам осуществляется либо с письменного согласия субъекта персональных данных, которое оформляется по установленной законодательством форме, либо для исполнения договора, стороной которого или 4выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, либо в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных; либо в иных случаях, установленных федеральным законодательством. 

Передача персональных данных третьим лицам осуществляется Обществом только на основании соответствующего договора с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. 

В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Общество в ходе своей деятельности предоставляет персональные данные ниже следующим третьим лицам. 

а) Персональные данные Работников на основании трудового договора и/или письменного согласия передаются в ниже следующие организации: 

— Банку – для оформления безналичного счета, на который Обществом будет перечисляться заработная плата и иные доходы Работника, при условии, что Общество заранее сообщит Работнику наименование и адрес данного банка. 

— Кредитным организациям, в которые Работник обращался для оформления кредитов, ссуд либо получения иных услуг, при условии, что Работник заранее сообщит Работодателю наименования указанных кредитных организаций. 

— Страховой компании – для оформления полиса добровольного медицинского страхования, при условии, что Общество заранее сообщит Работнику наименование и адрес данной страховой компании. 

— Полиграфической организации или типографии — для изготовления визитных карточек Работника, при условии, что Общество заранее сообщит им наименование и адрес данного полиграфического предприятия. 

— Арендодателю — для оформления Работнику пропуска на территорию и в здание, в котором размещается офис Общества, при условии, что Общество заранее сообщит им наименование и адрес данного Арендодателя. 

— Частному охранному предприятию, осуществляющему охрану помещений, в которых расположен офис Общества, при условии, что Общество заранее сообщит Работнику наименование и адрес данного ЧОПа. 

— Частному охранному предприятию, осуществляющему охрану помещений, в которых расположен офис Общества, при условии, что Общество заранее сообщит Работнику наименование и адрес данного ЧОПа. 

— Партнерам Общества — для исполнения обязательств, возложенных на Общество договорами и иными законными сделками, исполнение которых предусмотрено должностными обязанностями Работника, при условии, что Общество заранее сообщит Работнику наименования и адреса данных организаций. 

— Посольским и консульским представительствам иностранных государств, визовым центрам — для исполнения Обществом официальных запросов по вопросам предоставления Работнику въездных виз, при условии, что Работник заранее сообщит наименования указанных организаций. 

— Российским и иностранным организациям, организующим и/или осуществляющим авиационную, и/или железнодорожную и/или автомобильную перевозку Работника, при условии, что Работник заранее сообщит наименования указанных организаций. 

— Налоговым органам, подразделениям Пенсионного фонда Российской Федерации, подразделениям Федеральной миграционной службы России, центрам занятости населения — для исполнения обязательств, возложенных на Общество законодательными и нормативными актами, а также исполнения законных официальных запросов, касающихся Работника. 

б) Персональные данные Клиентов в соответствии с заключенным с ними Обществом или Партнерами письменным договором, и/или с письменного согласия субъекта персональных Общество на основании договоров передает ниже следующим третьим лицам: 

— Партнерам Общества для исполнения обязательств Общества по заключенным договорам, стороной которых либо выгодоприобретателем или поручителем, по которым является Клиент, а также для заключения договоров по инициативе Клиента или договоров, по которым Клиент будет являться выгодоприобретателем или поручителем. 

— Банкам – для безналичного перечисления денежных средств в счет оплаты услуг, заказанных Клиентом. 

— Кредитным организациям, в которые Клиент при посредничестве Общества обратился для оформления кредита на оплату заказанных им непродовольственных товаров и услуг. 

— Налоговым и правоохранительным органам — для исполнения обязательств, возложенных на Общество законодательными и нормативными актами, а также исполнения законных официальных запросов, касающихся Клиента; 

— Российским и иностранным организациям, организующим и/или имущественное страхование интересов Клиентов и их финансовых рисков. 

6. Получение Обществом в качестве третьего лица персональных данных от Партнеров Получение персональных данных Клиентов от Партнеров – операторов персональных данных, — осуществляется Обществом исключительно для достижения целей, заявленных для обработки персональных данных в п.2. настоящей статьи Политики, и на основании заключенных с Партнерами письменных договоров. В тексте договоров с Партнерами обязательно определяются цели обработки ПДн, перечень операций с ними, и устанавливается обязанность Общества соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных. Общество, осуществляя обработку персональных данных по поручению Партнера, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В этом случае ответственность перед субъектом персональных данных за действия Общества несет Партнер. Общество, осуществляя обработку персональных данных по поручению Партнера, несет ответственность перед Партнером. 

7. Меры по обеспечению безопасности ПДн при их обработке До начала обработки персональных данных Обществом предприняты правовые, технические и организационные меры к защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами: Вводом в Обществе режима конфиденциальности персональных данных, когда все документы и сведения, содержащие информацию о персональных данных, являются в Обществе конфиденциальными. Организацией режима обеспечения безопасности помещений, в которых размещены информационные системы, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения. 

Утверждением полного перечня персональных данных и иных объектов, подлежащих защите в Обществе. Обеспечением нераспространения документов и сведений, содержащих информацию о персональных данных, без согласия субъекта персональных данных, либо наличия иного законного основания. Назначением уполномоченного сотрудника, ответственного за организацию обработки персональных данных. Введением персональной ответственности руководителей Общества и его подразделений за обеспечение режима безопасности персональных данных при их обработке обеспечивают. Утверждением перечня лиц, осуществляющих в Обществе обработку персональных данных либо имеющих к ним доступ. 

Определением типа угроз безопасности персональных данных, актуальных для информационных систем Общества с учетом оценки возможного вреда, который может быть причинен субъектам персональных данных. Разработкой и утверждением локальных нормативных актов, регламентирующих в Обществе обязанности должностных лиц, осуществляющих обработку и защиту ПДн, их ответственность за компрометацию персональных данных. 

Осуществлением внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 No 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам. Запретом для Работников, осуществляющих обработку персональных данных, проводить несанкционированное или нерегистрируемое копирование персональных данных, в том числе с использованием сменных носителей информации, мобильных устройств копирования и переноса информации, коммуникационных портов и устройств ввода-вывода, реализующих различные интерфейсы (включая беспроводные), запоминающих устройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов), а также устройств фото и видеосъемки. 

Обеспечением сохранности носителей персональных данных. Использованием средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. 

Ознакомлением Работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и обучением указанных сотрудников. Выделением конкретных мест хранения персональных данных (материальных носителей), обработка которых осуществляется Обществом и организацией режима обеспечения безопасности помещений и мест хранения материальных носителей ПДн. 

Обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется без использования средств автоматизации и в различных целях. Осуществлением учета документов по обработке персональных данных без использования автоматизированных систем отдельным делопроизводством, хранением документов с отметкой «Персональные данные» в надежно запираемых шкафах и сейфах, ключи от которых хранятся только у ответственных за данную деятельность Работников. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных. Учетом машинных носителей персональных данных. 

Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. 

Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных. Обеспечением доступа к содержанию электронного журнала сообщений исключительно для Работников Общества или уполномоченного сотрудника, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения трудовых обязанностей. 

8. Права и обязанности субъекта ПДн 

Субъект персональных данных имеет право: 

— на получение сведений об Обществе, о месте его нахождения, о наличии у Общества персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными; 

— требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; 

— требовать прекращения обработки своих персональных данных; 

— получать информацию, касающуюся обработки его персональных данных, в том числе содержащую: подтверждение факта обработки персональных данных Обществом, а также цель такой обработки; способы обработки персональных данных, применяемые Обществом; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных. 

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в следующих случаях: 

— Если обработка персональных данных, включая те, что получены в результате оперативно- розыскной, контрразведывательной и разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка. 

— При условии, что обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными. 

— Если обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма. 

— Когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Обществу. Общество рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке. Субъект персональных данных вправе обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке. Субъект персональных данных обязан предоставлять только достоверные и полные персональные данные, которые при необходимости должны быть документально подтверждены. 

9. Порядок предоставления информации субъекту персональных данных Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Обществом при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. 8Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации. 

Общество сообщает субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях. Вы можете использовать возможности нашего Интернет-сайта www. pervomaster.ru для составления предварительного заказа непродовольственных товаров и услуг. При этом, предоставляя ООО «Техносистема» свои персональные данные и совершая при этом конклюдентные действия — нажимая «Я согласен», Вы выражаете свое согласие и даете своей волей разрешение на обработку Ваших персональных данных в порядке, предусмотренном настоящей Политикой. Если Вы не согласны с положениями настоящей Политики, мы просим Вас воздержаться от использования настоящего Интернет-сайта и передачи ООО «Техносистема» Ваших персональных данных. 

10. Ответственность за обеспечение безопасности ПДн 

Общество несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных. Общество закрепляет персональную ответственность 

Работников за соблюдением установленного в Обществе режима конфиденциальности. Руководитель подразделения несет персональную ответственность за соблюдение Работниками его подразделения норм, регламентирующих получение, обработку и защиту персональных данных. Руководитель, разрешающий доступ сотрудника к документам и сведениям, содержащим персональные данные, несет персональную ответственность за данное разрешение. 

Каждый Работник общества, получающий для работы документ, содержащий персональные данные, несет единоличную ответственность за сохранность носителя и конфиденциальность информации. Работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами. 

Общество не несет ответственности за убытки и иные затраты, понесенные субъектами персональных данных в результате предоставления ими недостоверных и неполных персональных данных.

Политика обработки и защиты персональных данных ООО «Директум»

2. Обработка персональных данных

2.1. Компания осуществляет обработку персональных данных на основании:

2.1.1. Конституции РФ;

2.1.2. Гражданского кодекса РФ;

2.1.3. Трудового кодекса РФ;

2.1.4. Налогового кодекса РФ;

2.1.5. Федерального закона от 27.07.2006 № 152-ФЗ в пунктах 1, 2, 5 части 1 статьи 6;

2.1.6. Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»;

2.1.7. Федерального закона от 24.07.2009 № 212-ФЗ «О страховых взносах в Пенсионный фонд РФ, Фонд социального страхования РФ, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;

2.1.8. Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в РФ»;

2.1.9. Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в РФ»;

2.1.10. Устав ООО «ДИРЕКТУМ».

2.2. Персональные данные обрабатываются Компанией в целях:

2.2.1. Оформления трудовых и иных договорных отношений, кадрового, бухгалтерского, налогового учета, а также в целях организации и проведения Компанией (в т.ч. с привлечением третьих лиц) программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов и иных мероприятий;

2.2.2. Исполнения Компанией обязательств в рамках договоров по поставке продуктов, проведению мероприятий и оказанию любых иных услуг субъектам персональных данных;

2.2.3. Продвижения услуг и/или товаров Компании и/или партнеров Компании на рынке путем осуществления прямых контактов с клиентами Компании с помощью различных средств связи, в т.ч., не ограничиваясь, по телефону, электронной почте, почтовой рассылке, в сети Интернет и т.д.;

2.2.4. Защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных, обеспечения пропускного и внутриобъектового режимов на территории Компании;

2.2.5. Формирования справочных материалов для внутреннего информационного обеспечения деятельности Компании, её филиалов и представительств;

2.2.6. Исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

2.2.7. Осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании или третьих лиц либо достижения общественно значимых целей, или иных целей, если действия Компании не противоречат законодательству РФ.

2.3. Компания в процессе обработки осуществляет действия в отношении персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая без ограничения: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий с персональными данными пользователя с учетом действующего законодательства РФ.

Дальневосточный федеральный университет

Настоящим я, как субъект персональных данных, в соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» свободно, своей волей и в своем интересе даю согласие федеральному государственному автономному образовательном учреждению высшего образования «Дальневосточный федеральный университет» (ДВФУ), зарегистрированному по адресу г. Владивосток, остров Русский, поселок Аякс, д. 10, на обработку моих персональных данных, в соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а именно: фамилия, имя, отчество, почтовый адрес, телефон, электронная почта в целях принятия и обработки обращения.

Даю согласие ДВФУ производить с моими персональными данными действия (операции), определенные статьей 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение. Данный перечень действий (операций) с моими персональными данными является исчерпывающим и не подлежит изменению без моего письменного согласия. Передача моих персональных данных третьим лицам возможна только на основании действующего федерального закона либо при наличии моего особого письменного согласия.

Обязуюсь своевременно в срок, не превышающий 5 (пяти) рабочих дней, сообщать ДВФУ об изменении своих персональных данных.

Обработка моих персональных данных может осуществляться как с использованием средств автоматизации, так и без их использования (на бумажных носителях).

Настоящее согласие мною дается на срок, необходимый для достижения целей обработки персональных данных, а также на срок, в течение которого мои персональные данные подлежат хранению в соответствии с законодательством Российской Федерации.

Отзыв настоящего согласия может быть осуществлен мной в письменной форме либо в форме электронного документа заверенного усиленной квалифицированной электронной подписью. Всю ответственность за неблагоприятные последствия отзыва согласия беру на себя.

Подтверждаю, что ознакомлен(а) с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе с порядком отзыва согласия на обработку персональных; права и обязанности в области защиты персональных данных мне разъяснены.

Подтверждаю, что проинформирован(а) о том, что в случае отзыва мною согласия на обработку персональных данных, ДВФУ вправе продолжить обработку моих персональных данных без моего согласия на основании части 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а именно при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 данного Федерального закона.

Россияне будут давать больше согласий на обработку персональных данных :: Политика :: РБК

Новый закон значительно ужесточает правила обработки и распространения персональных данных лиц для операторов и бизнеса, сообщил РБК Александр Надмитов, управляющий партнер юридической фирмы «Надмитов, Иванов и Партнеры». Так, до обработки персональных данных из открытых источников надо будет убеждаться в том, что человек дал согласие на их распространение. Кроме того, нужно будет проверять наличие условий и ограничений на обработку данных другими операторами, пояснил Надмитов. В новом законе прописаны условия обработки тех персональных данных, которые россияне разрешат распространять, рассказала в беседе с РБК партнер коллегии адвокатов Pen & Paper Екатерина Тягай.

Читайте на РБК Pro

Как будет предоставляться согласие

Россияне смогут предоставить согласие непосредственно оператору или с использованием информационной системы Роскомнадзора, сообщила Екатерина Тягай. В своем специальном согласии субъект должен будет прямо определить перечень персональных данных, которые смогут быть распространены оператором. Оператор обязан будет предоставить субъекту возможность произвести такое определение по каждой категории разрешенных для распространения персональных данных, указанной в согласии на их обработку, рассказала юрист.

Надмитов отметил, что закон не содержит требования об обязательной письменной форме согласия на распространение. По его словам, требования к содержанию согласия на распространение будут установлены Роскомнадзором. На данный момент соответствующих актов регулятора нет. В любом случае операторам придется дополнять и конкретизировать свои стандартные согласия на обработку персональных данных, сказал юрист.

Новый закон особенно затронет владельцев (операторов) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц. Также закон повлияет на тех, кто использует в своей работе информацию из открытых источников, в частности СМИ, компании, использующие системы мониторинга поведения в интернете, считает Надмитов.

Как по новому закону будут удалять персональные данные

Россияне смогут в любое время потребовать прекратить передачу или распространение персональных данных, напомнил о положениях закона Надмитов. Действие согласия на обработку персональных данных прекращается с момента поступления оператору требования их обладателя.

При этом запреты на использование персональных данных не распространяются на случаи обработки информации в государственных, общественных и иных публичных интересах, определенных законодательством, указал юрист.

В начале декабря Ассоциация больших данных (объединяет «Яндекс», Mail.ru Group, Сбербанк, Газпромбанк, мобильных операторов) просила Госдуму не принимать нововведения в закон о персональных данных. Компании опасались, что закон усложнит обработку общедоступных персональных данных. В частности, в заявлении говорилось, что закон может создать правовую неопределенность при использовании данных в тех случаях, когда пользователь дает двум социальным сетям согласие на обработку данных, но с разными параметрами.

Также требования могут привести к дополнительным расходам площадок на доработку интерфейсов, причем российские ресурсы окажутся в невыгодном положении, так как контролировать соблюдение требований иностранцами будет невозможно, считает бизнес. Председатель комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Александр Журавлев отмечал, что изменения могут осложнить работу компаний, которые используют искусственный интеллект и большие данные.

Политика обработки персональных данных

ИНФОРМАЦИЯ ДЛЯ РОДИТЕЛЕЙ

Политика обработки персональных данных пациентов в

областном государственном автономном учреждении здравоохранения

 «Городская Ивано-Матренинская детская клиническая больница»

(далее – Оператор)

Обработка персональных данных субъектов осуществляется исключительно с целью оказания медицинских услуг, контроля количества и качества выполняемой работы и обеспечения финансовых расчетов за оказанные услуги в соответствии законами и иными нормативно-правовыми актами.

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Пациент (законный представитель) принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных даётся в письменной форме и должно быть конкретным, информированным и сознательным.

В случае получения согласия на обработку персональных данных от представителя субъекта, полномочия данного представителя на дачу согласия от субъекта персональных данных проверяются Оператором. Согласие пациента на обработку его персональных данных должно храниться вместе с его иной медицинской документацией.

Обработка персональных данных пациентов без их согласия допускается при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Кроме того, предоставление сведений о факте обращения пациента за оказанием медицинской помощи, сведений о состоянии его здоровья и диагнозе, иных сведений, полученных при его медицинском обследовании и лечении (врачебная тайна), без согласия гражданина или его законного представителя допускается:

1)  в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю, если медицинское вмешательство необходимо по экстренным показаниям для устранения угрозы жизни человека и если его состояние не позволяет выразить свою волю или отсутствуют его законные представители.

2)  при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

3)  по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;

4)  в случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ», а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ», для информирования одного из его родителей или иного законного представителя;

5) в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;

6) в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти, в которых предусмотрена военная и приравненная к ней служба;

7)  в целях расследования несчастного случая на производстве и профессионального заболевания;

8)  при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;

9)  в целях осуществления учета и контроля в системе обязательного социального страхования;

10)  в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан РФ»

Согласие на обработку персональных данных может быть отозвано пациентом. В случае отзыва пациентом согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия пациента при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Обязанность предоставить доказательство получения согласия пациента на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», возлагается на Оператора.
  В случае отзыва пациентом согласия на обработку его персональных данных Оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и пациентом либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных пунктами 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
  В случае отсутствия возможности уничтожения персональных данных в течение указанных сроков, осуществлять блокирование таких персональных данных и обеспечивать уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
  В срок, не превышающий семи рабочих дней со дня предоставления пациентом или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления пациентом или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить пациента или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого пациента были переданы.
  В случае недееспособности пациента согласие на обработку его персональных данных дает его законный представитель.
  Оператор не имеет право получать и обрабатывать персональные данные пациента о его политических, религиозных и иных убеждениях и частной жизни.

При передаче персональных данных пациента третьим лицам Оператор должен соблюдать следующие требования:

  • не сообщать персональные данные пациента третьей стороне без письменного согласия пациента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента, а также в других случаях, предусмотренных Федеральным законодательством РФ;
  • предупредить лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные пациента, обязаны соблюдать режим секретности (конфиденциальности). 
  • разрешать доступ к персональным данным пациентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.

Приказ об утверждении Положения об ответственности работников, допущенных к обработке персональных данных

                                                                                                      

 

Арт. 49 GDPR — Отступления для особых ситуаций

1 При отсутствии решения об адекватности в соответствии со статьей 45 (3) или соответствующих гарантий в соответствии со статьей 46, включая обязательные корпоративные правила, передачу или набор передач персональных данных в третью страну или международную организацию осуществляется только при одном из следующих условий:
  1. субъект данных явным образом дал согласие на предлагаемую передачу после того, как был проинформирован о возможных рисках такой передачи для субъекта данных из-за отсутствия решения об адекватности и соответствующих мер безопасности;
  2. передача необходима для выполнения контракта между субъектом данных и контролером или для реализации преддоговорных мер, принятых по запросу субъекта данных;
  3. передача необходима для заключения или выполнения договора, заключенного в интересах субъекта данных между контролером и другим физическим или юридическим лицом;
  4. перевод необходим по важным причинам общественного интереса;
  5. перевод необходим для предъявления, исполнения или защиты судебных исков;
  6. передача необходима для защиты жизненно важных интересов субъекта данных или других лиц, если субъект данных физически или юридически не может дать согласие;
  7. передача осуществляется из реестра, который в соответствии с законодательством Союза или государства-члена предназначен для предоставления информации общественности и открыт для консультаций либо со стороны общественности в целом, либо для любого лица, которое может продемонстрировать законный интерес, но только для степень выполнения условий, установленных законодательством Союза или государства-члена для консультаций в конкретном случае.

2 Если передача не может быть основана на положении статьи 45 или 46, включая положения об обязательных корпоративных правилах, и ни одно из отступлений для конкретной ситуации, упомянутой в первом подпараграфе этого параграфа, не применимо, передача в третью страну или международную организацию может иметь место только в том случае, если передача не является повторной, касается только ограниченного числа субъектов данных, необходима для целей реализации законных интересов, преследуемых контролером, которые не перекрываются интересами или права и свободы субъекта данных, и контролер оценил все обстоятельства, связанные с передачей данных, и на основе этой оценки предоставил подходящие меры безопасности в отношении защиты личных данных. 3 Контроллер должен проинформировать надзорный орган о переводе. 4 Контроллер должен, помимо предоставления информации, указанной в статьях 13 и 14, проинформировать субъекта данных о передаче и о преследуемых законных законных интересах.

Арт. 13 GDPR — Информация, предоставляемая при сборе персональных данных от субъекта данных

Ст. 13 GDPR — Информация, предоставляемая при сборе персональных данных от субъекта данных | Общие правила защиты данных (GDPR) перейти к содержанию
  1. Если персональные данные, относящиеся к субъекту данных, собираются от субъекта данных, контролер должен во время получения личных данных предоставить субъекту данных всю следующую информацию:
    1. личность и контактные данные контролера и, если применимо, представителя контролера;
    2. контактные данные сотрудника по защите данных, если применимо;
    3. цели обработки, для которой предназначены персональные данные, а также правовое основание для обработки;
    4. , если обработка основана на пункте (f) статьи 6 (1), законных интересах, преследуемых контролером или третьей стороной;
    5. получатели или категории получателей персональных данных, если таковые имеются;
    6. , если применимо, тот факт, что контролер намеревается передать персональные данные в третью страну или международную организацию, и наличие или отсутствие решения Комиссии об адекватности, или в случае передачи, упомянутой в Статье 46 или 47, или второй подпараграф статьи 49 (1), ссылка на соответствующие или подходящие гарантии и средства, с помощью которых можно получить их копию или где они стали доступными.
  2. В дополнение к информации, указанной в параграфе 1, контролер должен в момент получения персональных данных предоставить субъекту данных следующую дополнительную информацию, необходимую для обеспечения справедливой и прозрачной обработки:
    1. период, в течение которого будут храниться личные данные, или, если это невозможно, критерии, используемые для определения этого периода;
    2. наличие права требовать от контролера доступа и исправления или удаления персональных данных или ограничения обработки в отношении субъекта данных или возражать против обработки, а также права на переносимость данных;
    3. , если обработка основана на пункте (а) статьи 6 (1) или пункте (а) статьи 9 (2), наличие права отозвать согласие в любое время, не влияя на законность обработки на основе согласия до его отзыва;
    4. право подать жалобу в надзорный орган;
    5. , является ли предоставление персональных данных законодательным или договорным требованием или требованием, необходимым для заключения договора, а также обязанность субъекта данных предоставить персональные данные и возможные последствия непредоставления таких данных;
    6. наличие автоматизированного принятия решений, включая профилирование, указанное в Статье 22 (1) и (4), и, по крайней мере, в этих случаях, значимую информацию о задействованной логике, а также о значимости и предполагаемых последствиях такого обработка для субъекта данных.
  3. Если контролер намеревается продолжить обработку персональных данных для целей, отличных от той, для которой персональные данные были собраны, контролер должен предоставить субъекту данных до этой дальнейшей обработки информацию об этой другой цели и любую соответствующую дополнительную информацию, как упомянуто в пункте 2.
  4. Пункты 1, 2 и 3 не применяются, если субъект данных уже имеет информацию.

Что вы должны знать о «третьих лицах» в соответствии с GDPR и CCPA

Поскольку Общий регламент ЕС по защите данных действует довольно долго, а его концепции «контролера» и «обработчика» — еще гораздо дольше, кажется, существует устоявшаяся практика для идентификации третьих сторон и их места в этой картине. .Однако по-прежнему существуют ситуации, когда это остается серьезной проблемой как для заинтересованных организаций, так и для органов по защите данных.

Калифорнийский закон о конфиденциальности потребителей, с другой стороны, является совершенно новым правовым актом, не имеющим такой истории, и ни в США в целом, ни в самой Калифорнии концепции контроллеров и обработчиков персональных данных официально не признаны (хотя были предприняты некоторые попытки в различных проектах использовать такие термины).

Несмотря на это, много говорилось о сходстве между GDPR и CCPA и еще больше о существенных различиях.Понимание третьих сторон и связанных с ними требований — вот где практический вклад будет очень необходим и полезен. Для глобальных компаний, работающих как в соответствии с GDPR, так и в соответствии с CCPA, это будет способствовать большей ясности при составлении уведомлений и связанных с ними сообщений, когда речь идет о правах субъекта данных и потребителя, а также о договорных обязательствах и способах их исполнения.

Кто такие третьи стороны согласно GDPR и CCPA?

Согласно GDPR, «третье лицо» означает физическое или юридическое лицо, государственный орган, агентство или орган, кроме субъекта данных, контроллера, процессора и лиц, которые под прямым руководством контроллера или процессора уполномочены обрабатывать персональные данные.Другие важные моменты включают в себя то, что третья сторона будет считаться получателем после того, как ей будут раскрыты личные данные, и законные интересы третьих сторон также могут быть использованы в качестве законного основания и для оправдания обработки персональных данных контролером, где это уместно.

Очень важно помнить, что вопреки тому, как деловые люди могут использовать такие термины в повседневной жизни, это то, что переработчики и третьи стороны — это разные животные. Это различие имеет очень важное значение, но часто остается размытым в различных уведомлениях о конфиденциальности.Также следует помнить, что будут также лица, которые действуют под прямой ответственностью контролера или процессора, включая, помимо прочего, сотрудников. Такие лица, даже если они все еще считаются получателями персональных данных (что также относится к обработчикам), не будут ни обработчиками, ни третьими сторонами.

С некоторыми другими формулировками, в рамках CCPA также будет важно разумно перемещаться между разными ролями как при составлении уведомлений, политик и контрактов, так и при их применении на практике.

Согласно CCPA, «третья сторона» также определяется тем, чем она не является, а не тем, чем она является. Прежде всего, третья сторона — это не бизнес, который собирает личную информацию от потребителей в соответствии с CCPA, что кажется довольно очевидным, но будет иметь некоторые менее очевидные последствия — например, когда часть данных передается третьей стороне, а часть данных он собирает данные напрямую для связанных бизнес-целей (должно быть возможно несколько ролей для одной и той же организации, аналогично GDPR).

Во-вторых, это не будет лицо (этот термин включает компании, юридические лица, организации и т. Д.), Которому бизнес раскрывает личную информацию потребителя для деловых целей в соответствии с письменным контрактом, при условии, что контракт соответствует некоторым минимальным требованиям. Такие требования включают явный запрет на продажу личной информации, а также на сохранение, использование или раскрытие личной информации для любых целей, кроме конкретной цели выполнения услуг, указанных в контракте, включая сохранение, использование или раскрытие личной информации. информация для коммерческих целей, кроме предоставления услуг, указанных в контракте.Сохранение, использование или раскрытие информации вне прямых деловых отношений между человеком и бизнесом также будет запрещено. Получатель данных по такому контракту должен будет подтвердить, что он понимает эти ограничения и будет их соблюдать.

Глядя на эти требования и требования GDPR в соответствии со статьей 28 GDPR, кажется, есть как сходства, так и различия. То же самое верно и в отношении того, как поставщики услуг определяются CCPA и какова будет договорная роль обработчиков GDPR.В дополнение к этому, бизнес-цели, которые обеспечивают обоснование для обмена данными с такими организациями в соответствии с CCPA, имеют собственное определение в CCPA. Тем не менее, он достаточно широк, чтобы охватить практически все, что имеет отношение к бизнесу, если это разумно необходимо и соразмерно (что имеет некоторое сходство с принципами GDPR по ограничению целей и минимизации данных).

Основное отличие заключается в том, что GDPR требует, чтобы обработчики действовали только в соответствии с задокументированными инструкциями контроллера, тогда как в соответствии с CCPA такое обязательство отсутствует.Вместо этого основное внимание уделяется использованию данных только для целей предоставления услуг, определенных в контракте. Не совсем ясно, может ли поставщик услуг и при каких обстоятельствах соответствовать определению третьей стороны в соответствии с CCPA, и это отдельные определения, которые необходимо проанализировать и применить. Однако до сих пор большинство говорили, что поставщики услуг, как это определено в CCPA, не будут третьими сторонами в соответствии с CCPA.

Принимая во внимание вышеизложенное, можно сделать осторожный вывод, что, хотя обработчик GDPR, безусловно, не подпадет под определение третьей стороны в соответствии с CCPA, могут возникнуть ситуации, в которых лицо или организация, и особенно поставщик услуг, которые не третья сторона в соответствии с CCPA по-прежнему будет третьей стороной в соответствии с GDPR, в зависимости от того, каков будет ее уровень независимости и усмотрения при обработке персональных данных для предоставления услуг в соответствии с контрактом.Одним из важных примеров могут быть поставщики платежных шлюзов, которые обычно считаются независимыми контролерами и третьими сторонами в соответствии с GDPR, но могут быть определены как поставщики услуг, а не третьи стороны в соответствии с CCPA, при условии наличия необходимых договорных положений.

Каковы практические последствия?

Простота и стандартизация важны для каждого бизнеса, а наведение мостов между условиями и требованиями CCPA и GDPR сэкономит деньги, усилия и предотвратит потерю бизнес-возможностей, не говоря уже о большей ясности и поддержке для субъектов данных и потребителей.Вот почему мы можем ожидать, что уведомления о конфиденциальности, условия обслуживания и соглашения будут постепенно учитывать как формулировки GDPR, так и CCPA и объединять их в более или менее удобное для читателя общение. На практике многие соглашения об обработке данных GDPR уже определяют инструкции контроллера таким образом, что это аналогично формулировке CCPA, касающейся использования данных по мере необходимости только для определенных услуг.

Несмотря на то, что все еще существуют некоторые требования к раскрытию информации и другие важные обязанности и права, когда задействованы обработчики или поставщики услуг, существует общее понимание, что обмен данными о потребителях с третьими сторонами имеет гораздо более значительные — а иногда и неожиданные — последствия, что приводит к более значительным последствиям. риск конфиденциальности.

Имея это в виду: и в уведомлениях о конфиденциальности, и в условиях обслуживания необходимо четко указывать, передаются ли данные поставщикам услуг или другим типам получателей, каковы типы задействованных услуг и насколько эти услуги актуальны для потребителей.

Далее должно быть объяснение, являются ли они независимыми поставщиками — и, следовательно, третьими сторонами и независимыми контроллерами в соответствии с GDPR — или поставщиками, подчиняющимися конкретным инструкциям контроллеров и, следовательно, процессоров.Такое же различие необходимо будет применять при составлении договоров, регулирующих обмен личными данными, будь то генеральные соглашения об оказании услуг или соглашения об обработке и передаче данных.

Наконец, люди, действующие под прямой ответственностью контроллеров, обработчиков и поставщиков услуг, должны будут подпадать под действие договорных положений о найме и незанятости, в зависимости от обстоятельств. Они также должны будут подчиняться внутренним политикам и процедурам, определяющим, что они должны следовать решениям и инструкциям руководства бизнеса, когда речь идет о личных данных, чтобы убедиться, что они не будут сторонними получателями и что данные достаточно защищены.

Поскольку многие вопросы все еще остаются без ответа, есть место и растущий бизнес-спрос на стандартизацию и унифицированные, упрощенные формулировки для уведомлений о конфиденциальности, прав потребителей, договорных требований и даже для внутренних процедур обработки данных, которые необходимы для практической реализации. Что касается формулировок третьих сторон в соответствии с GDPR и CCPA, можно использовать эти сходства, но это требует определенных усилий.

Фото mauro mora на Unsplash

Законы о конфиденциальности данных: что нужно знать в 2021 году

Практически каждая страна приняла какие-то законы о конфиденциальности данных, чтобы регулировать, как собирается информация, как информируются субъекты данных и какой контроль субъект данных имеет над своей информацией после ее передачи.Несоблюдение применимых правил конфиденциальности данных может привести к штрафам, судебным искам и даже запрету использования сайта в определенных юрисдикциях. Навигация по этим законам и постановлениям может быть сложной, но все операторы веб-сайтов должны быть знакомы с законами о конфиденциальности данных, которые влияют на их пользователей.

Вот законы и постановления, о которых вы должны знать на 2021 год. Мы будем обновлять этот список по мере принятия новых законов.

Законы США о конфиденциальности данных В США нет единого всеобъемлющего федерального закона, регулирующего конфиденциальность данных.Существует сложная мозаика из законов, относящихся к конкретным секторам и средам, включая законы и постановления, касающиеся телекоммуникаций, медицинской информации, кредитной информации, финансовых учреждений и маркетинга.

Закон о Федеральной торговой комиссии (Закон о Федеральной торговой комиссии) имеет широкую юрисдикцию в отношении находящихся в его ведении коммерческих организаций с целью предотвращения недобросовестной или «обманчивой торговой практики». Хотя FTC явно не регулирует, какая информация должна быть включена в политику конфиденциальности веб-сайтов, она использует свои полномочия для принятия нормативных актов, обеспечения соблюдения законов о конфиденциальности и принятия принудительных мер для защиты потребителей.Например, FTC может принять меры против организаций, которые:

  • Несоблюдение и поддержание разумных мер безопасности данных.
  • Несоблюдение каких-либо применимых принципов саморегулирования отрасли.
  • Несоблюдение опубликованной политики конфиденциальности.
  • Передавать личную информацию способом, не раскрытым в политике конфиденциальности.
  • Делать неточные заявления о конфиденциальности и безопасности (ложь) перед потребителями и в политиках конфиденциальности.
  • Не обеспечивает достаточную безопасность личных данных.
  • Нарушать права на конфиденциальность данных потребителей путем сбора, обработки или передачи информации о потребителях.
  • Заниматься вводящей в заблуждение рекламной практикой.

Другие федеральные законы, регулирующие сбор информации в Интернете, включают:

Законы штата о конфиденциальности данных В США действуют сотни отраслевых законов о конфиденциальности и безопасности данных. НАС.генеральные прокуроры штата следят за законами о конфиденциальности данных, регулирующими сбор, хранение, защиту, удаление и использование личных данных, собранных у их жителей, особенно в отношении уведомлений об утечке данных и безопасности номеров социального страхования. Некоторые применяются только к государственным организациям, некоторые — только к частным организациям, а некоторые — к обоим.

В дополнение к отраслевым законам о конфиденциальности, США испытывают массированный толчок к продвижению законодательства о конфиденциальности на уровне штатов.Это потому, что федеральное правительство не смогло прийти к консенсусу относительно того, как принимать законы в целом. Вместо того чтобы ждать, законодатели штата почувствовали давление со стороны потребителей, защитников прав потребителей и даже компаний установить свои собственные правила. Конечно, компании предпочли бы соблюдать единый федеральный стандарт, чем нанимать поверенного, который изучит все законодательные акты штата, которые они должны соблюдать. Но государственные толчки — временный барьер. И если это то, что должны делать государства, то это то, что они должны делать.

В Калифорнии начался эффект домино. Хотя правда, что только одно государство смогло принять всеобъемлющий закон на сегодняшний день, многие штаты пытаются. Даже если их ранние законопроекты провалились на предыдущих сессиях законодательного собрания, они служат ориентиром для того, где республиканцы и демократы соглашаются и что необходимо изменить, прежде чем любая сделка достигнет своего конечного пункта назначения — стола губернатора.

Вот как обстоят дела.

Закон штата Калифорния о конфиденциальности потребителей (CCPA)

На сегодняшний день наиболее полным законодательством штата о конфиденциальности данных является Закон штата Калифорния о конфиденциальности потребителей (CCPA).Подписанный закон 28 июня 2018 года, он вступил в силу 1 января 2020 года. CCPA — это межотраслевой закон, который вводит важные определения и широкие индивидуальные права потребителей и налагает существенные обязанности на организации или лиц, которые собирают личную информацию о или от житель Калифорнии. Эти обязанности включают информирование субъектов данных о том, когда и как собираются данные, и предоставление им возможности доступа, исправления и удаления такой информации. Это уведомление должно быть раскрыто в политике конфиденциальности, отображаемой на веб-сайте организации, собирающей данные.

Закон Калифорнии о правах на неприкосновенность частной жизни (CPRA)

Вот какой бейсбол — не то, что изнутри: компании не обрадовались, когда агент по недвижимости в Калифорнии получил в бюллетень вопрос в форме Закона о конфиденциальности потребителей Калифорнии. Но, тем не менее, Аластер Мактаггарт собрал достаточно подписей, чтобы выдвинуть гражданскую инициативу, а это означает, что ей не нужно было проходить через обычный законодательный процесс, требующий голосов Ассамблеи и Сената Калифорнии.И как только это прошло, стало ясно, что люди говорили. Тогда компании были вынуждены принять жесткую пилюлю: пришло время изменить процессы, чтобы они соответствовали первому в стране всеобъемлющему закону о конфиденциальности.

Затем, всего два очень коротких года спустя, Mactaggart вернулся с тем, что было названо CCPA 2.0. Закон Калифорнии о правах на неприкосновенность частной жизни прошел голосование в ноябре 2020 года и основывается на CCPA, внося поправки в положения, которые Мактаггарт и его команда хотели включить в CCPA, но в то время не смогли преодолеть финишную черту.

CPRA добавила в CCPA следующее:

  • Право на исправление: это обновляет и расширяет право потребителя на исправление неточной личной информации.
  • Право на ограничение: Это дает потребителям право ограничивать использование и раскрытие своей конфиденциальной личной информации.
  • Конфиденциальная информация, позволяющая установить личность: это обновляет определение личной информации.Определенные типы информации, такие как номер социального страхования потребителей, должны обрабатываться с особыми мерами защиты.

CPRA также:

  • Увеличивает штрафы за нарушение данных о детях в 3 раза.
  • Расширяет ответственность за нарушение, помимо нарушения шифрования данных, до раскрытия учетных данных (например, адреса электронной почты или пароля), которые могут привести к доступу к учетной записи потребителя.
  • Ограничивает продолжительность времени, в течение которого компания может хранить информацию о потребителях, только тем, что необходимо и «соразмерно» причине, по которой она была собрана в первую очередь.
  • Требует, чтобы компании, использующие сторонних поставщиков, по контракту обязывали эти третьи стороны обеспечивать такой же уровень защиты конфиденциальности данных, которыми они делятся с первой стороной.

Одним из наиболее прогрессивных изменений в CPRA является то, как он будет применяться. В то время как генеральные прокуроры штата обычно рассматривают дела о конфиденциальности — если только Федеральная торговая комиссия не участвует, и даже в этом случае это часто партнерство, — CPRA устанавливает новый регулятор конфиденциальности.

Калифорнийское агентство по защите конфиденциальности получит право штрафовать нарушителей, проводить слушания о нарушениях конфиденциальности и разъяснять правила конфиденциальности. Правление состоит из пяти человек, и его исполнение вступает в силу через шесть месяцев после вступления в силу CPRA 1 июля 2023 года.

Закон Вирджинии о защите данных потребителей (CDPA) 2 марта 2021 года был принят Закон Вирджинии о защите данных потребителей (CDPA).Он предоставляет потребителям Вирджинии права на их данные и требует от компаний, подпадающих под действие закона, соблюдать правила в отношении данных, которые они собирают, как они обрабатываются и защищаются и кому они передаются.

В законе есть некоторые сходства с положениями Общего регламента ЕС по защите данных и Закона Калифорнии о конфиденциальности потребителей. Он применяется к организациям, которые ведут бизнес в Вирджинии или продают товары и услуги, ориентированные на жителей Вирджинии, а также выполняют одно из следующих действий:

  • Управлять или обрабатывать персональные данные 100 000 и более.
  • Контролируйте или обрабатывайте персональные данные не менее 25 000 потребителей. и зарабатывают 50% своих доходов от продажи личной информации.

CDPA требует, чтобы компании, подпадающие под действие закона, помогали потребителям в реализации своих прав на данные, получая согласие на участие перед обработкой их конфиденциальных данных, сообщая, когда их данные будут проданы, и позволяя им отказаться от этого. Он также требует, чтобы компании предоставили пользователям четкое уведомление о конфиденциальности, которое включает в себя возможность отказаться от целевой рекламы.

CDPA вступает в силу в тот же день, что и последний закон Калифорнии о конфиденциальности, CPRA, который заменяет его прежнюю версию, CCPA, 1 января 2023 года. Вполне вероятно, что законодатели внесут поправки в закон до этого, поэтому рекомендуется сохранить пристально следят за этим законом по мере его развития.

Закон штата Колорадо о конфиденциальности (CPA)

В июне 2020 года Колорадо стал третьим штатом США, принявшим закон о конфиденциальности. Закон Колорадо о конфиденциальности предоставляет жителям Колорадо права на свои данные и возлагает обязанности на контролеров и обработчиков данных.В нем есть некоторые сходства с двумя законами Калифорнии о конфиденциальности, Законом Калифорнии о конфиденциальности потребителей (CCPA) и Законом Калифорнии о правах на конфиденциальность (CPRA), а также с недавно принятым Законом Вирджинии о защите данных потребителей (CDPA). Он даже заимствует некоторые термины и идеи из Общего регламента ЕС по защите данных.

Хотя есть общие черты, такие как некоторая форма права на отказ, специальные меры защиты конфиденциальных данных и принятие некоторых принципов конфиденциальности, существенные различия заключаются в деталях.

CPA применяется к предприятиям, которые собирают персональные данные от 100 000 жителей Колорадо или собирают данные от 25 000 жителей Колорадо и получают часть дохода от продажи этих данных.

В законе перечислено пять прав, предоставленных жителям Колорадо после вступления закона в силу. Их:

  • Право отказаться от целевой рекламы, продажи своих личных данных или профилирования.
  • Право на доступ к данным, которые компания собрала о них.
  • Право на исправление собранных о них данных.
  • Право на запрос собранных данных о них удалено.
  • Право на переносимость данных (то есть право забрать ваши данные и передать их другой компании).

Закон предусматривает 17 общих исключений. К ним относятся:
  • Если данные были собраны для целей закона о медицинском страховании штата Колорадо.
  • Если организация, собирающая данные или собранные данные, уже подпадает под действие определенных отраслевых законов, в том числе Закона о защите конфиденциальности детей в Интернете или Закона о правах семьи на образование и неприкосновенность частной жизни.
  • Если данные были обезличены или псевдонимизированы.
  • Если данные хранятся и используются агентством по информированию потребителей.
  • Если данные используются для целей трудовой книжки.

Закон Нью-Йорка о SHIELD

В июле 2019 года в Нью-Йорке был принят Закон о предотвращении взломов и повышении безопасности электронных данных (SHIELD).Этот закон вносит поправки в существующий закон Нью-Йорка об уведомлении об утечке данных и устанавливает дополнительные требования к безопасности данных для компаний, собирающих информацию о жителях Нью-Йорка. По состоянию на март 2020 года закон полностью подлежит исполнению. Этот закон расширяет сферу конфиденциальности потребителей и обеспечивает лучшую защиту жителей Нью-Йорка от утечки их личной информации.

Другие законы о конфиденциальности данных на уровне штата

Калифорния и Нью-Йорк являются первыми штатами, которые приняли широкое законодательство, оказывающее влияние на всю страну, но многие другие штаты США также рассматривают законы о конфиденциальности данных.Они не будут выглядеть точно так же, как CCPA или SHIELD Act, но, скорее всего, они будут содержать аналогичные требования для конкретных нужд государства.

Как вы понимаете, улей государственных и федеральных законов о конфиденциальности в США слишком сложен, чтобы их можно было полностью описать. Вряд ли мы скоро увидим всеобъемлющий федеральный закон (хотя его поддержка растет).

Международное право: Общий регламент по защите данных (GDPR) Наиболее важным законодательством о защите данных, принятым на сегодняшний день, является Общий регламент по защите данных (GDPR).Он регулирует сбор, использование, передачу и безопасность данных, полученных от жителей любой из 28 стран-членов Европейского Союза. Закон применяется ко всем резидентам ЕС, независимо от местонахождения организации, собирающей персональные данные. На организации, не соблюдающие GDPR, могут быть наложены штрафы в размере до 20 миллионов евро или 4% от общего мирового оборота. Некоторые важные требования GDPR включают:
Согласие
Субъектам данных должно быть разрешено дать явное, недвусмысленное согласие перед сбором персональных данных.Персональные данные включают информацию, собранную с помощью файлов cookie. Некоторая информация, которая обычно не считается «личной информацией» в США, например IP-адрес компьютера пользователя, считается «личными данными» в соответствии с GDPR.
Уведомление о нарушении данных
Организации должны уведомлять надзорные органы и субъектов данных в течение 72 часов в случае утечки данных, затрагивающей личную информацию пользователей в большинстве случаев.
Права субъектов данных
Субъекты данных (люди, данные которых собираются и обрабатываются) имеют определенные права в отношении своей личной информации. Эти права должны быть сообщены субъектам данных в четкой и удобной для доступа политике конфиденциальности на веб-сайте организации.
  1. Право на получение информации. Субъекты данных должны быть проинформированы о сборе и использовании их личных данных при их получении.
  2. Право на доступ к своим данным. Субъект данных может запросить копию своих личных данных через запрос субъекта данных. Контроллеры данных должны объяснять средства сбора, что обрабатывается и кому они передаются.
  3. Право на исправление. Если данные субъекта данных неточны или неполны, они имеют право попросить вас исправить их.
  4. Право стирания. Субъекты данных имеют право потребовать удаления связанных с ними персональных данных по определенным основаниям в течение 30 дней.
  5. Право на ограничение обработки. Субъекты данных имеют право требовать ограничения или подавления их личных данных (хотя вы все равно можете их хранить).
  6. Право на переносимость данных. Субъекты данных могут безопасно и надежно передавать свои данные из одной электронной системы в другую в любое время, не нарушая ее удобство использования.
  7. Право на возражение. Субъекты данных могут возражать против использования их информации в маркетинговых, коммерческих или не связанных с услугами целях.Право на возражение не применяется, если выполняются юридические или официальные полномочия, задача выполняется в общественных интересах или когда организации необходимо обработать данные, чтобы предоставить вам услугу, на которую вы подписались.

Общий закон Бразилии о защите личных данных (LGPD)

Закон о защите данных Бразилии (Lei Geral de Proteção de Dados Pessoais на португальском языке или LGPD) вступил в силу в 2020 году. Он содержит положения, аналогичные GDPR, и направлен на регулирование обработки персональных данных всех физических и физических лиц в Бразилии.Это означает, что, как и GDPR, даже если ваша компания не находится в Бразилии, если вы обрабатываете данные жителей Бразилии, они применяются к вам.

Компании и группы, не соблюдающие условия и директивы закона, могут получить штраф в размере 2% от их выручки от продаж или даже до 50 миллионов бразильских реалов (примерно 12 миллионов долларов США).

Согласие
В соответствии с LGPD персональные данные могут обрабатываться либо с согласия субъекта данных, либо когда:
  • Он должен быть обработан в соответствии с юридическим обязательством.
  • Государственная администрация должна выполнять государственную политику.
  • Для исследовательских целей.
  • Для защиты жизни или физической безопасности субъекта данных.

Уведомление о взломе данных

В случае утечки данных контроллеры данных должны уведомить Национальный орган по защите данных в течение «разумного периода времени» с момента нарушения, если существует вероятность риска или ущерба для вовлеченных субъектов данных.
Права субъектов данных
Права, предоставленные бразильским подданным, позволяют им:
  • Подтвердите наличие лечения.
  • Доступ к их данным.
  • Исправьте неполные, неточные или устаревшие данные.
  • Передать свои данные другому поставщику услуг или продукту (переносимость данных).
  • Удалите свои данные.
  • Иметь сведения о любых государственных и частных организациях, с которыми контролер поделился своими данными.
  • Получать информацию о том, что происходит, если они не дают согласия на обработку своих данных.
  • Отозвать согласие на обработку своих данных.

Эти права аналогичны правам, предоставленным в соответствии с GDPR.

Важность политики конфиденциальности Любой веб-сайт должен иметь политику конфиденциальности, объясняющую его пользователям, какая информация собирается, как она используется, как она может быть передана и как она защищена. Чтобы полностью соответствовать законам США и ЕС о защите данных, все субъекты данных должны иметь возможность дать согласие на сбор личной информации.Хотя большая часть информации о пользователях предоставляется добровольно, когда они подписываются на информационные бюллетени, заполняют формы или отправляют запросы по электронной почте, информация, полученная от третьих лиц и с помощью файлов cookie, также должна быть раскрыта, и пользователям должна быть предоставлена ​​возможность дать свое согласие на: заблокировать или отключить файлы cookie.

ограничений на предоставление персональных данных третьим лицам за пределами Японии | Морган Льюис

В соответствии с недавней волной правил, регулирующих использование личных данных, Закон Японии о защите личной информации ограничивает предоставление личных данных третьим сторонам, уделяя особое внимание доставке таких данных третьим лицам в зарубежных странах. .

СТАТЬЯ 23: ОБЩИЕ ПРАВИЛА ПРЕДОСТАВЛЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии со статьей 23 (1) Закона Японии о защите личной информации (PIPA) (Закон № 57 от 2003 г. с поправками) личные данные не могут быть предоставлены какой-либо третьей стороне без предварительного согласия соответствующего лица. Для целей PIPA термин «личные данные» означает личную информацию, которая включена в базу данных, а термин «личная информация» означает (1) информацию, которая может идентифицировать человека по имени, дате рождения или другому описанию, содержащемуся в такая информация (включая информацию, которую можно легко связать с другой информацией, которая может идентифицировать человека) или (2) информация, содержащая индивидуальные идентификационные коды (например,g., номера паспортов, номеров водительских прав или другие личные номера (в первую очередь, для Японии, индивидуальный «Мой номер», аналогичный номеру социального страхования в США)).

Несмотря на вышесказанное, эта общая защита личной информации подлежит определенным важным исключениям, обсуждаемым ниже.

Обеспечение при неизбежных обстоятельствах

Персональные данные, касающиеся физического лица, могут быть предоставлены третьей стороне без предварительного согласия этого лица в любой из следующих ситуаций (Статья 23 (1) (a) — (d)):

  • Когда раскрытие информации требуется японскими законами и постановлениями
  • Когда раскрытие информации необходимо для защиты жизни, тела или собственности человека в обстоятельствах, когда получить согласие этого лица сложно
  • Когда существует особая потребность в раскрытии информации для улучшения общественного здоровья или содействия заботе о детях или их здоровью в обстоятельствах, когда трудно получить согласие лица
  • Когда раскрытие информации необходимо для сотрудничества с государственными органами, выполняющими свои обязанности, и в обстоятельствах, когда получение согласия соответствующего лица может помешать исполнению таких обязанностей

Исключение для отказа в случае необходимости

Персональные данные могут быть предоставлены третьей стороне, если компания (1) готова приостановить предоставление персональных данных по запросу соответствующего лица и (2) уведомила это лицо или предоставила этому лицу все следующие информация (статья 23 (2)):

  • Объяснение того, что целью использования является предоставление личных данных третьей стороне
  • Описание элементов персональных данных, предоставляемых третьей стороне
  • Способ предоставления личных данных третьим лицам
  • Обязательство о том, что предоставление персональных данных третьим лицам будет приостановлено по запросу соответствующего лица
  • Описание способа принятия запросов соответствующего лица о прекращении обмена личными данными

Требование описать «способ принятия запросов соответствующего лица о прекращении обмена Персональными данными» было добавлено выше в соответствии с поправками к PIPA, введенными 30 мая 2017 г. (поправки 2017 г.).После внесения поправок 2017 г. вышеуказанную информацию также необходимо заранее предоставить в Комиссию по защите личной информации (правительственный орган Японии, отвечающий за PIPA и Закон о моем номере, созданный 1 января 2016 г.).

Кроме того, Поправки 2017 года исключают определенную конфиденциальную личную информацию (включая, например, расу человека, вероисповедание, социальный статус, историю болезни, судимости, факт того, что он стал жертвой преступления и т. Д.) Из области этого исключения «отказа».

Ограниченное исключение для предоставления аутсорсеру

Если личные данные предоставляются сторонней организации для обработки таких личных данных в той мере, в какой это считается необходимым в контексте, конкретное предварительное согласие не требуется (статья 23 (5) (а)). В этом случае компания, которая предоставляет персональные данные внешнему подрядчику, несет ответственность за необходимый и надлежащий надзор за таким сторонним поставщиком для обеспечения контроля безопасности личных данных (статья 22).

Резерв в результате правопреемства компании

Если личные данные предоставляются третьей стороне в результате правопреемства бизнеса посредством слияния или иным образом, предварительное согласие также не требуется (статья 23 (5) (b)).

Исключение в обстоятельствах «совместного использования»

Персональные данные могут быть переданы в пределах специально обозначенных компаний без предварительного согласия, если все следующие требования были уведомлены или иным образом предоставлены заранее лицам, чья информация передается (статья 23 (5) (c)):

  • Тот факт, что личные данные должны совместно использоваться обозначенными компаниями
  • Конкретные элементы личных данных, подлежащих передаче
  • Название каждой компании, которая будет совместно использовать соответствующие персональные данные
  • Цель передачи персональных данных
  • Имя лица, ответственного за управление личными данными, которые будут передаваться

На практике описание «совместного использования» будет включено в опубликованную политику конфиденциальности личной информации, поддерживаемую на веб-сайте, или содержащуюся в «переходе по щелчку мыши» или аналогичном условии для доступа к услугам или информации фирмы.

СТАТЬЯ 24: ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ЗАРУБЕЖНЫМ СТРАНАМ

После поправок 2017 года PIPA налагает более строгие ограничения на предоставление персональных данных третьей стороне в зарубежной стране, за исключением тех стран, которые внедрили систему защиты личной информации, эквивалентную системе в Японии (статья 24). Ключевые отличия от общих правил статьи 23, описанных выше, заключаются в следующем:

  • Когда персональные данные предоставляются третьей стороне в иностранном государстве, необходимо получить предварительное согласие физического лица на то, что такие персональные данные могут быть предоставлены третьей стороне в другой стране.
  • Многие исключения из статьи 24 не применяются. Таким образом, личные данные могут быть предоставлены третьей стороне в иностранном государстве без предварительного согласия, только если они подпадают под один из пунктов статьи 23 (1) (a) — (d) (перечисленных в разделе «Положения о неизбежных обстоятельствах» выше). Другими словами, если персональные данные предоставляются третьей стороне в другой стране, эти исключения не будут доступны, что делает получение предварительного согласия соответствующего лица необходимостью.

ЭКВИВАЛЕНТНЫЕ СТРАНЫ

Существенное ограничение на доступность исключений для трансграничного предоставления личной информации подчеркнуло важность подтверждения эквивалентности защиты в соответствующих иностранных юрисдикциях.Таким образом, если личные данные предоставляются третьей стороне в зарубежной стране, внедряющей систему защиты личной информации, эквивалентную Японии (эквивалентные страны), строгие правила в соответствии со статьей 24 PIPA не будут применяться, а вместо этого будет применяться общее правило в соответствии со статьей 23 будет применяться PIPA.

В соответствии с уведомлением, опубликованным Комиссией по защите личной информации 23 января 2019 г., следующие 31 страна были определены как эквивалентные страны:

Австрия

Венгрия

Польша

Бельгия

Исландия

Португалия

Болгария

Ирландия

Румыния

Хорватия

Италия

Словакия

Кипр

Латвия

Slovenija

Дания

Лихтенштейн

Испания

Эстония

Литва

Швеция

Финляндия

Люксембург

Чешская Республика

Франция

Мальта

Нидерланды

Германия

Норвегия

Соединенное Королевство

Греция

Следует отметить, что все вышеперечисленные страны являются европейскими странами, подпадающими под действие Общего регламента защиты данных (GDPR), и поэтому считаются «эквивалентными странами» из-за этого правила.Однако в настоящее время ни Соединенные Штаты, ни какая-либо азиатская страна не рассматриваются как имеющие эквивалентный уровень защиты. Соответственно, передача информации японскими филиалами иностранных корпораций так называемым «региональным хабам» филиалам или поставщикам услуг с серверами и другими носителями данных, расположенными за пределами Японии в Азии или Америке, является весьма проблематичной. Хотя в уведомлении, выпущенном Комиссией по защите личной информации, указано, что приведенный выше список соответствующих стран будет время от времени пересматриваться и изменяться, включение США и других азиатских стран на момент написания этой статьи кажется еще далеким.

ПРАКТИЧЕСКИЕ СООБРАЖЕНИЯ

Предоставление персональных данных иностранным филиалам

Как отмечалось выше, до поправок 2017 г. японские компании (включая дочерние компании японских фирм, расположенные за границей) могли обмениваться личными данными с иностранными (или японскими) материнскими фирмами и аффилированными лицами без предварительного согласия, полагаясь на «совместное использование» исключение, указанное выше. Однако после поправок 2017 года эти компании больше не могут предоставлять личные данные иностранным компаниям без предварительного согласия, даже если иностранная компания является материнской или иным образом аффилированной компанией.

Однако, если иностранный филиал расположен в любой из вышеуказанных эквивалентных стран, строгое правило в соответствии со статьей 24 PIPA не будет применяться, и будет возможно предоставить личные данные таким иностранным филиалам, если требования в соответствии с «совместным use »были удовлетворены.

Предоставление персональных данных головным офисам или филиалам за рубежом

В отличие от иностранного дочернего предприятия, где японская компания предоставляет личные данные филиалу в другой стране, этот филиал не будет считаться третьей стороной, и предварительное согласие не потребуется.Точно так же, когда японский филиал предоставляет личные данные в зарубежную штаб-квартиру или другие филиалы в другой стране, предварительное согласие также не требуется (что делает структуры японских филиалов популярными по причинам, не связанным с налоговой и административной эффективностью).

Предоставление персональных данных иностранным аутсорсерам

До поправок 2017 года японские компании также могли передавать личные данные иностранным сторонним организациям без получения предварительного согласия, полагаясь на исключение в отношении внешних поставщиков, указанное выше.Однако после поправок 2017 года японские компании не могут предоставлять личные данные иностранным сторонним поставщикам без согласия на такое предоставление третьей стороне в иностранной стране (за исключением случаев, когда соответствующий сторонний поставщик находится в любой из эквивалентных стран, указанных выше). Соответственно, японские компании (включая дочерние компании иностранных компаний в Японии) должны проявлять большую осторожность, чтобы понять, как данные будут обрабатываться фирмами, которым они передают на аутсорсинг операции с данными, которые могут включать личную информацию.

Способы получения и документирования согласия

Способы получения согласия в соответствии со статьей 23 PIPA

Статья 23 не требует, чтобы требуемое согласие было в письменной форме, и согласие онлайн или устное согласие будет приемлемым, если средства, с помощью которых оно получено, являются разумными и подходящими. В руководстве, опубликованном Комиссией по защите личной информации, следующие методы перечислены как разумные и уместные:

  • Устное согласие, выраженное соответствующим лицом
  • Согласие в письменной форме или по электронной почте от соответствующего лица
  • Проверка соответствующего элемента соответствующим лицом в сообщении, подтверждающем, что личные данные могут быть предоставлены третьей стороне
  • Нажатие кнопки на веб-сайте соответствующим лицом, подтверждающее, что личные данные могут быть предоставлены третьей стороне
  • Голосовой ввод, прикосновение к панели или нажатие переключателя или кнопки, подтверждающее, что личные данные могут быть предоставлены третьей стороне

Хотя это четко не изложено в руководящих принципах, обычно понимается, что «отрицательное согласие» (т.д., согласие, которое считается полученным путем молчания или без выражения каких-либо возражений, и т. д.) не считается разумным и целесообразным.

Способы получения согласия в соответствии со статьей 24 PIPA

Вышеупомянутые руководящие принципы также применимы к согласию, которое требуется получить в соответствии со статьей 24. Однако согласие в соответствии со статьей 24 должно четко указывать, что соответствующее лицо признало и согласилось с тем, что личные данные будут предоставлены третьей стороне в иностранное государство.В связи с этим в согласии должна быть указана страна или регион, в который будут предоставляться персональные данные.

Хранение записей

При предоставлении персональных данных третьей стороне PIPA требует, чтобы поставщик подготовил записи о предоставлении в письменной форме, с помощью электромагнитной записи или на микрофильме и сохранил эти записи в течение трех лет (статья 25). Записи должны включать следующую информацию:

  • Факт получения согласия
  • Дата, когда личные данные были предоставлены третьей стороне
  • Имя третьей стороны, которой были предоставлены персональные данные
  • Имя физического лица, идентифицированного персональными данными
  • Объекты персональных данных, предоставленные третьему лицу

Частные права на действия и штрафы за нарушение PIPA

Гражданские обязательства

Те, кто предоставляет персональные данные третьей стороне в нарушение PIPA, могут быть привлечены к гражданским искам со стороны соответствующих лиц и могут нести ответственность за ущерб, возникший в результате такого нарушения.Ущерб от таких действий, вероятно, будет скромным, в то время как затраты на поддержание гражданского иска могут быть высокими. Поскольку в Японии нет формальной системы «коллективных исков» для рассмотрения исков в отношении большой группы потерпевших сторон, количество судебных исков, основанных на исках о гражданской ответственности, вероятно, будет небольшим.

Уголовное наказание

Те, кто предоставляет персональные данные третьей стороне в нарушение PIPA, могут быть подвергнуты административному распоряжению для улучшения бизнеса Комитетом по защите персональной информации (статья 42 (2)).Кроме того, те, кто нарушает такой порядок улучшения бизнеса, могут быть приговорены к тюремному заключению на срок не более шести месяцев или штрафу в размере не более 300 000 японских йен (приблизительно 273 000 долларов США) (статья 84).

РЕКОМЕНДАЦИИ

Дочерние компании иностранных коммерческих и финансовых групп (особенно фирмы, входящие в регулируемый бизнес) должны проявлять особую осторожность при обеспечении соблюдения PIPA, поскольку обработка личной информации может дополнительно регулироваться в соответствии с этими отдельными режимами регулирования и соблюдением как PIPA, так и этих отдельных правил. могут часто возникать при проверках регулирующих органов.Из-за этих опасений многие фирмы сейчас проводят всесторонний анализ того, как обрабатываются персональные данные, и, в частности, при каких обстоятельствах они могут быть переданы из Японии. Такой обзор часто приводит к выводу, что необходимо будет внедрить совершенно новый и совместимый подход к обработке персональных данных этими фирмами.

Среди наиболее значительных изменений, которые вызывают озабоченность фирмы, которые в настоящее время занимаются вопросами соблюдения требований PIPA, являются следующие:

  • Получение полного согласия на обмен информацией с аффилированными лицами (включая аффилированные лица за пределами Японии) в «точке первого контакта» (установление деловых отношений).Это согласие может быть получено посредством «щелчка мышью» в Интернете или путем подписи в заявке, счете-фактуре или квитанции, но основное внимание уделяется получению и архивированию письменного согласия от соответствующего лица.
  • Организация внутренних операций в фирме, хранящей персональные данные, для обеспечения того, чтобы их сбор и компиляция контролировались и соответствовали требованиям (например, сбор визитных карточек и других контактных данных централизован и контролируется).
  • Обеспечение того, чтобы там, где ожидается трансграничный обмен личными данными, объем такого обмена, на который дает согласие отдельное лицо, был как можно более широким.

Когда уместно согласие? | ICO

Подробнее

Всегда ли нам нужно согласие?

Короче нет. Согласие является одним из законных оснований для обработки, но есть еще пять других. Согласие не всегда бывает самым уместным или самым простым.

Вы всегда должны выбирать законную основу, которая наиболее точно отражает истинный характер ваших отношений с человеком и цель обработки. Если согласие затруднено, это часто связано с тем, что другое законное основание является более подходящим, поэтому вам следует рассмотреть альтернативы.См. Раздел «Каковы альтернативы согласию?».

Точно так же явное согласие — это один из способов узаконить обработку персональных данных особой категории, но не единственный. В статье 9 (2) перечислены девять других условий (дополненных приложением 1 Закона о защите данных 2018 г.). Альтернативные условия обработки данных специальной категории, как правило, более строгие и адаптированы к конкретным ситуациям, но вы все равно должны сначала проверить, применимы ли какие-либо из них.

Когда мы должны получить согласие?

Скорее всего, вам потребуется рассмотреть вопрос о согласии, когда явно не применимо иное законное основание.Например, это может произойти, если вы хотите использовать или поделиться чьими-либо данными особенно неожиданным или потенциально навязчивым способом или способом, несовместимым с вашей первоначальной целью.

Если вы используете данные особой категории, вам может потребоваться получить явное согласие для узаконивания обработки, если не применяется одно из других особых условий статьи 9 (2). Обратите внимание, что некоторые другие условия по-прежнему требуют, чтобы вы сначала рассмотрели согласие или получили согласие на некоторые элементы вашей обработки.Например, если вы некоммерческая организация и решите полагаться на Статью 9 (2) (d), вам все равно потребуется явное согласие на раскрытие данных любым сторонним контролерам.

Вам также может потребоваться согласие в соответствии с законами об электронной конфиденциальности для многих типов маркетинговых звонков и маркетинговых сообщений, файлов cookie веб-сайтов или других методов онлайн-отслеживания, а также для установки приложений или другого программного обеспечения на устройства людей. Эти правила в настоящее время содержатся в Правилах конфиденциальности и электронных коммуникаций 2003 года (PECR), они применяют определение согласия GDPR.Обратите внимание: если ePR будет принят, мы подготовим дальнейшие инструкции.

Если вам необходимо согласие в соответствии с законами об электронной конфиденциальности для отправки маркетингового сообщения, то на практике согласие также является надлежащим законным основанием в соответствии с GDPR Великобритании. Если законы об электронной конфиденциальности не требуют согласия на маркетинг, вы можете вместо этого учитывать законные интересы.

Если вам нужно согласие на размещение файлов cookie, это должно соответствовать стандарту GDPR Великобритании. Однако вы все равно можете рассмотреть альтернативное законное основание, такое как законные интересы, для любой связанной обработки персональных данных.

При каких еще обстоятельствах согласие может быть уместным?

Согласие, вероятно, будет наиболее подходящим законным основанием для обработки (или подходящим шлюзом с помощью других соответствующих положений), если вы хотите предоставить отдельным лицам реальный выбор и контроль над тем, как вы используете их данные. В частности, вы можете рассмотреть возможность использования согласия, чтобы повысить уровень их взаимодействия с вашей организацией и побудить их доверять вам более полезные данные.

Однако то, является ли согласие уместным и действительным, всегда будет зависеть от конкретных обстоятельств.

См. Также «Каковы преимущества правильного получения согласия?»

Когда уместно использовать согласие для данных специальной категории?

Если вы хотите обрабатывать данные особой категории, вы должны указать как законное основание в соответствии со статьей 6, так и отдельное условие для обработки данных особой категории в соответствии со статьей 9, дополненное Приложением 1 Закона о защите данных 2018 года.

Первым условием, перечисленным в статье 9, является «явное согласие». Однако это не означает, что это всегда лучшее или наиболее подходящее состояние.Вы всегда должны учитывать, подходят ли какие-либо другие условия лучше к конкретной ситуации.

Ваш выбор законного основания в соответствии со статьей 6 не обязательно определяет, какое условие статьи 9 вы должны применить. Даже если вы не полагались на согласие в качестве законного основания для обработки, вы все равно можете рассматривать «явное согласие» как условие статьи 9 для любых данных специальной категории. Однако вы должны помнить, что явное согласие должно соответствовать стандарту GDPR Великобритании для получения действительного согласия и может быть отозвано в любое время.

Подробнее о том, что считается «явным» согласием, см. В разделе «Что такое действительное согласие?».

Если вам необходимо обработать данные особой категории, чтобы предоставить услугу, запрошенную физическим лицом, наиболее подходящее законное основание, вероятно, будет «необходимо для заключения контракта». Но явное согласие может быть доступно в качестве вашего условия для обработки необходимых данных специальной категории. Однако вы должны быть уверены, что можете продемонстрировать, что согласие по-прежнему дается свободно, в частности, что обработка действительно необходима для службы.

Пример

Человек записывается на занятия йогой для беременных. Инструктор будет обрабатывать данные, касающиеся их здоровья (то есть факт их беременности вместе с любой информацией о сроках родов), и поэтому ему необходимы как законное основание, так и условие для обработки данных специальной категории.

Поскольку инструктору необходимо обработать эти детали для проведения занятия йогой, подходящим законным основанием, вероятно, будет «выполнение контракта».

Хотя человек не может записаться на занятия без раскрытия информации о своей беременности, явное согласие, вероятно, будет подходящим условием для обработки данных о состоянии здоровья.Обработка объективно необходима для предоставления запрашиваемого класса, и у человека есть свободный выбор, подписаться или нет на этот класс.

Дополнительная литература — Руководство ICO

Последние рекомендации по условиям обработки данных особых категорий см. На странице «Данные особых категорий» нашего Руководства по GDPR в Великобритании.

Дополнительная литература — Европейский совет по защите данных

Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС.Он принимает рекомендации по соблюдению требований GDPR. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Однако они могут по-прежнему давать полезные советы по определенным вопросам.

EDPB выпустила Руководство по согласию.

Когда согласие неприемлемо?

Отсюда следует, что если по какой-либо причине вы не можете предложить людям реальный выбор в отношении того, как вы используете их данные, согласие не будет подходящим основанием для обработки.Это может иметь место, например, если:

  • , вы все равно будете обрабатывать данные на другом законном основании, если в согласии будет отказано или отозвано;
  • вы запрашиваете «согласие» на обработку в качестве предварительного условия для доступа к вашим услугам; или
  • вы имеете власть над отдельным лицом — например, если вы являетесь государственным органом или работодателем, обрабатывающим данные о сотрудниках.

Вы все равно будете обрабатывать данные без согласия

Если вы все равно будете обрабатывать персональные данные на другом законном основании, даже если в согласии было отказано или отозвано, то запрос согласия от лица вводит в заблуждение и по своей сути несправедлив.Он представляет человеку ложный выбор и только иллюзию контроля. Вы должны с самого начала определить наиболее подходящую законную основу.

Пример

Компания, которая предоставляет кредитные карты, просит своих клиентов дать согласие на отправку их личных данных в кредитные справочные агентства для оценки кредитоспособности.

Однако, если клиент откажется или отзовет свое согласие, компания-эмитент кредитной карты все равно отправит данные в справочные агентства на основе «законных интересов».Поэтому просьба о согласии вводит в заблуждение и неуместно — реального выбора нет. Компании с самого начала следовало полагаться на «законные интересы». Чтобы обеспечить справедливость и прозрачность, компания все равно должна сообщать клиентам, что это произойдет, но это сильно отличается от предоставления им выбора с точки зрения защиты данных.

Перед обработкой персональных данных вам необходимо тщательно подумать, потребуется ли вам сохранить какие-либо данные для каких-либо других целей, если физическое лицо отзовет свое согласие.Например, вам может потребоваться сохранить его в соответствии с юридическим обязательством или для целей аудита. Если это так, вы должны с самого начала четко и заранее заявить, какова ваша цель и законное основание для сохранения этих данных после отзыва согласия.

«Согласие» является условием обслуживания

Если вы требуете от кого-то согласия на обработку в качестве условия обслуживания, согласие вряд ли будет наиболее подходящим законным основанием для обработки. В некоторых случаях это даже не считается действительным согласием.

Вместо этого, если вы считаете, что обработка необходима для услуги, более подходящая правовая основа, вероятно, будет «необходима для выполнения контракта» в соответствии со статьей 6 (1) (b). Скорее всего, вам нужно будет полагаться на согласие только в том случае, если это требуется в соответствии с другим положением, например, для некоторого электронного маркетинга в соответствии с PECR.

Если обработка данных особой категории действительно необходима для предоставления услуги физическому лицу, вы все равно можете рассчитывать на явное согласие в качестве вашего условия для обработки данных этой особой категории, если не применяются другие условия статьи 9.См. Раздел Когда уместно использовать согласие для данных специальной категории?

Может оказаться, что обработка является условием обслуживания, но на самом деле не является необходимой для этой услуги. В таком случае согласие не просто неприемлемо в качестве законного основания, но и считается недействительным, поскольку оно не дается добровольно. В этих обстоятельствах вы можете рассмотреть вопрос о том, подходят ли «законные интересы» в соответствии со статьей 6 (1) (f) в качестве вашего законного основания для обработки. В этом случае вы не можете полагаться на явное согласие на данные какой-либо специальной категории, и вам нужно искать другое условие статьи 9.

Пример

Кафе решает предоставить своим клиентам бесплатный Wi-Fi. Чтобы получить доступ к Wi-Fi, клиент должен указать свое имя, адрес электронной почты и номер мобильного телефона, а затем согласиться с условиями использования кафе.

В условиях использования указано, что, предоставляя свои контактные данные, покупатель соглашается получать маркетинговые сообщения от кафе. Таким образом, кафе дает согласие на отправку прямого маркетинга в качестве условия доступа к услуге.

Однако сбор данных об их клиентах для целей прямого маркетинга не является необходимым для предоставления Wi-Fi. Следовательно, это недействительное согласие.

Подробнее о том, когда согласие дается свободно, см. В разделе «Что такое действительное согласие?».

Вы находитесь у власти

Согласие обычно неуместно, если существует явный дисбаланс сил между вами и человеком. Это связано с тем, что те, кто зависит от ваших услуг или опасается неблагоприятных последствий, могут посчитать, что у них нет другого выбора, кроме как согласиться, поэтому согласие не считается предоставленным добровольно.Это будет особая проблема для государственных органов и работодателей.

Пример

Компания просит своих сотрудников дать согласие на мониторинг на работе. Однако, поскольку средства к существованию сотрудников зависят от компании, они могут чувствовать себя вынужденными согласиться, поскольку не хотят рисковать своей работой, не хотят, чтобы их считали трудными или им есть что скрывать.

Пример

Жилищной ассоциации необходимо собирать информацию о предыдущих судимостях арендаторов и потенциальных арендаторов в целях оценки рисков при распределении собственности и посещении домов на дому.Однако неуместно запрашивать согласие на это в качестве условия аренды. Арендатор, подающий заявку на социальное жилье, может оказаться в уязвимом положении и может не иметь многих других вариантов жилья. Таким образом, у них может не быть реального выбора, кроме как подписаться на условиях жилищной ассоциации. Даже если обработка необходима для обеспечения размещения, их согласие не считается предоставленным свободно из-за несбалансированности полномочий.

Если вы являетесь государственным органом или обрабатываете данные сотрудников, или занимаетесь каким-либо иным положением во власти над физическим лицом, вам следует искать другую основу для обработки, такую ​​как «общественная задача» или «законные интересы».

Однако государственным органам и работодателям не запрещается использовать согласие в качестве законного основания. Даже если вы находитесь у власти, могут возникнуть ситуации, когда вы все равно сможете показать, что согласие дано свободно.

Пример

Местный совет управляет несколькими фитнес-центрами. Он хочет узнать, что люди думают об объектах, чтобы решить, на чем сосредоточить улучшения. Он решает разослать анкету по электронной почте лицам, имеющим членство в фитнесе, чтобы спросить их об удобствах.

Решение о том, принимать ли участие в опросе, является полностью необязательным, и, учитывая характер взаимоотношений и опроса, нет реального риска неблагоприятных последствий в случае отсутствия ответа. Совет мог бы полагаться на согласие на обработку ответов.

Пример

Работодатель решает сделать видеоролик о найме на своем веб-сайте. Он проинструктировал некоторых профессиональных актеров, но дает персоналу возможность добровольно принять участие в ролике.Работодатель дает понять, что никаких требований к участию сотрудников не требуется, и участие не будет приниматься во внимание при оценке результатов работы.

Поскольку участие не является обязательным и нет никаких неблагоприятных последствий для тех, кто не хочет принимать участие, работодатель может рассмотреть вопрос о согласии.

Однако вам необходимо внимательно изучить конкретные обстоятельства и быть уверенным в том, что вы сможете продемонстрировать, что у человека действительно есть свободный выбор дать согласие или отказаться от него.Возможно, вам придется предпринять шаги, чтобы убедиться, что человек не чувствует давления, чтобы дать согласие, и развеять любые опасения по поводу последствий отказа в согласии.

Пример

Человек получает диагноз рака от своего врача. Врач объясняет, что благотворительная организация по борьбе с раком может получить помощь и поддержку, и они могут передать данные о человеке благотворительной организации, если он пожелает.

На первый взгляд, наблюдается явный дисбаланс сил, когда человек нездоров и обращается к квалифицированному специалисту с обширными медицинскими знаниями, который отвечает за его лечение.Если врач предлагает им обратиться в благотворительную организацию или что это стандартная практика, проблема дисбаланса сил вступит в игру, поскольку человек может почувствовать, что он должен согласиться. Они также могут опасаться, что им не предложат так много вариантов лечения или что на их лечение каким-то образом повлияет их несогласие.

Однако, если врач позаботится о том, чтобы предложение о помощи было нейтральным и разъяснило, что это отдельная и полностью необязательная услуга, не влияющая на план лечения, тогда контролер может продемонстрировать, что согласие дается свободно. .

Врач также должен удостовериться, что согласие является конкретным, информированным, дано четким положительным действием и должным образом задокументировано. В частности, им необходимо четко указать благотворительную организацию, объяснить, какими данными они будут делиться с благотворительной организацией, и четко указать, для чего они будут использоваться.

Подробнее о том, когда согласие дается свободно, см. В разделе «Что такое действительное согласие?».

Другое ненадлежащее использование согласия

Будьте очень осторожны при использовании других ранее существовавших концепций согласия вне контекста, поскольку они не всегда могут быть подходящими для целей защиты данных.

Даже если к вам предъявляются отдельные юридические или этические требования для получения «согласия» на какие-либо действия, это не означает, что вы автоматически имеете или должны иметь действующее согласие GDPR Великобритании на любую связанную обработку персональных данных. В некоторых случаях стандарт согласия может сильно отличаться. По-прежнему важно тщательно рассмотреть ваши законные основания.

Если вы намереваетесь полагаться на согласие в качестве законного основания, всегда проверяйте, что согласие также соответствует стандарту GDPR Великобритании, а не просто предполагать, что оно применимо.В частности, подразумеваемое согласие часто не подходит в качестве законного основания для обработки в соответствии с GDPR Великобритании.

Пример

В секторе здравоохранения данные о пациентах хранятся в секрете. Поставщики медицинских услуг обычно действуют на основе подразумеваемого согласия на передачу данных о пациентах в целях оказания непосредственной помощи без нарушения конфиденциальности.

Подразумеваемое согласие на оказание непосредственной медицинской помощи — это практика отрасли в этом контексте. Но это «подразумеваемое согласие» на передачу конфиденциальных историй болезни — это не то же самое, что согласие на обработку персональных данных в контексте законной основы в соответствии с GDPR Великобритании.

В контексте здравоохранения согласие часто не является надлежащим законным основанием в соответствии с GPDR. Этот тип предполагаемого подразумеваемого согласия не будет соответствовать стандарту четкого позитивного действия или квалифицироваться как явное согласие для данных специальной категории, в которую входят данные о здоровье. Вместо этого поставщики медицинских услуг должны указать другое законное основание (например, жизненно важные интересы, общественную задачу или законные интересы). Что касается более строгих правил в отношении данных специальной категории, статья 9 (2) (h) конкретно узаконивает обработку данных в медицинских или социальных целях.

Даже если от вас требуется получить согласие пациента на лечение, это полностью отделено от ваших обязательств по защите данных. Это не означает, что вы должны полагаться на согласие на обработку персональных данных пациента.

Как правило, всякий раз, когда у вас возникают трудности с соблюдением стандарта для согласия, это предупреждающий знак о том, что согласие может быть не самым подходящим основанием для вашей обработки. Поэтому рекомендуем поискать другую основу.

Дополнительная литература — Европейский совет по защите данных

Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС. Он принимает рекомендации по соблюдению требований GDPR. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Однако они могут по-прежнему давать полезные советы по определенным вопросам.

EDPB выпустила Руководство по согласию.

Каковы альтернативы согласию?

Если вы ищете другое законное основание, оно изложено в статье 6 (1). Таким образом, вы можете обрабатывать личные данные без согласия, если это необходимо для:

  • Договор с физическим лицом : например, на поставку товаров или услуг, которые они запросили, или для выполнения ваших обязательств по трудовому договору. Это также включает шаги, предпринятые по их запросу до заключения контракта.
  • Соответствие юридическим обязательствам : вы можете это сделать, если в соответствии с законодательством Великобритании или ЕС вы должны обрабатывать данные для определенной цели.
  • Жизненно важные интересы : вы можете обрабатывать личные данные, если это необходимо для защиты чьей-либо жизни. Это может быть жизнь субъекта данных или кого-то еще.
  • Общедоступная задача : если вам нужно обрабатывать личные данные для выполнения ваших официальных функций или задачи в общественных интересах — и у вас есть правовая основа для обработки в соответствии с законодательством Великобритании — вы можете.Если вы являетесь государственным органом Великобритании, мы считаем, что это может дать вам законное основание для многих, если не всех ваших действий.
  • Законные интересы : вы можете обрабатывать личные данные без согласия, если это необходимо по реальной и законной причине (включая коммерческую выгоду), если только это не перевешивается правами и интересами человека. Обратите внимание, однако, что государственные органы ограничены в своих возможностях использовать эту основу.

Организации частного или третьего сектора часто могут учитывать основание «законных интересов» в статье 6 (1) (f), если им сложно выполнить стандарт для согласия и не применимо другое конкретное основание.Это означает, что у вас может быть веская причина для обработки чьих-либо личных данных без их согласия, но вы должны избегать того, чего они не ожидают, убедитесь, что это не окажет на них неоправданного воздействия, и что вы по-прежнему честны, прозрачны и подотчетны.

Если вы являетесь государственным органом и можете продемонстрировать, что обработка предназначена для выполнения ваших официальных функций в соответствии с законодательством Великобритании, то, скорее всего, будет более подходящим основание для «общественных задач». В противном случае вы все равно можете учитывать законные интересы или одну из других оснований.Как всегда, вы должны быть честными, прозрачными и подотчетными.

Если вы ищете другие условия для обработки данных специальной категории, они изложены в статье 9 (2) (дополненной Законом о защите данных 2018 г.). Они более ограничены и конкретны и, например, включают положения, касающиеся трудового законодательства, здравоохранения и социального обеспечения, а также исследований. См. Наше руководство по данным специальных категорий для получения дополнительной информации.

Руководство по GDPR Великобритании также содержит дополнительные инструкции по правилам ограниченной обработки, автоматического принятия решений (включая профилирование) и переводов за границу.

Помните, что даже если вы не запрашиваете согласия, вам все равно необходимо предоставить четкую и полную информацию о том, как вы используете личные данные для соблюдения права на получение информации.

Законное основание для обработки | ICO

Краткий обзор

  • У вас должно быть законное основание для обработки личных данных.
  • Существует шесть доступных законных оснований для обработки. Ни одна из основ не может быть «лучше» или важнее других — какая основа будет наиболее подходящей для использования, будет зависеть от вашей цели и взаимоотношений с человеком.
  • Большинство законных оснований требуют, чтобы обработка была «необходимой» для определенной цели. Если вы можете разумно достичь той же цели без обработки, у вас не будет законных оснований.
  • Перед началом обработки вы должны определить свои законные основания и задокументировать их. У нас есть интерактивный инструмент, который поможет вам.
  • Позаботьтесь о том, чтобы сделать это правильно с первого раза — вам не следует переходить на другое законное основание позже без уважительной причины. В частности, вы обычно не можете перейти с согласия на другую основу.
  • В вашем уведомлении о конфиденциальности должно быть указано ваше законное основание для обработки, а также цели обработки.
  • Если ваши цели изменятся, вы сможете продолжить обработку в соответствии с исходным законным основанием, если ваша новая цель совместима с вашей первоначальной целью (если ваше первоначальное законное основание не было согласием).
  • Если вы обрабатываете данные особой категории, вам необходимо указать как законное основание для общей обработки, так и дополнительное условие для обработки этого типа данных.
  • Если вы обрабатываете данные о судимости или данные о правонарушениях, вам необходимо указать как законное основание для общей обработки, так и дополнительное условие для обработки этого типа данных.

Контрольный список

☐ Мы рассмотрели цели нашей деятельности по обработке и выбрали наиболее подходящую законную основу (или основы) для каждой деятельности.

☐ Мы проверили, необходима ли обработка для соответствующей цели, и убедились, что нет другого разумного и менее интрузивного способа достижения этой цели.

☐ Мы задокументировали свое решение о том, какие законные основания применяются, чтобы помочь нам продемонстрировать соответствие.

☐ Мы включили информацию как о целях обработки, так и о законных основаниях для обработки в наше уведомление о конфиденциальности.

☐ Там, где мы обрабатываем данные специальной категории, мы также определили условие для обработки данных специальной категории и задокументировали это.

☐ Если мы обрабатываем данные об уголовных преступлениях, мы также определили условие обработки этих данных и задокументировали это.

Вкратце

Каковы законные основания для обработки?

Законные основания для обработки изложены в статье 6 GDPR Великобритании. По крайней мере, одно из них должно применяться при обработке личных данных:

(a) Согласие: физическое лицо дало вам четкое согласие на обработку его персональных данных для определенной цели.

(b) Контракт: обработка необходима для контракта, который у вас есть с физическим лицом, или потому, что они попросили вас предпринять определенные шаги перед заключением контракта.

(c) Юридическое обязательство: обработка необходима для соблюдения закона (не включая договорные обязательства).

(d) Жизненно важные интересы: обработка необходима для защиты чьей-либо жизни.

(e) Общественная задача: Обработка необходима для выполнения вами задачи в общественных интересах или для ваших официальных функций, а задача или функция имеют четкую юридическую основу.

(f) Законные интересы: обработка необходима для ваших законных интересов или законных интересов третьей стороны, за исключением случаев, когда существует веская причина для защиты личных данных человека, которая имеет приоритет над этими законными интересами.(Это не применимо, если вы являетесь государственным органом, обрабатывающим данные для выполнения своих служебных задач.)

Для получения более подробной информации по каждому законному основанию прочтите конкретную страницу этого руководства.

Дополнительная литература

Когда обработка «необходима»?

Многие законные основания для обработки зависят от того, является ли обработка «необходимой». Это не означает, что обработка должна быть абсолютно необходимой. Однако это должно быть больше, чем просто полезное, и больше, чем просто стандартная практика.Это должен быть целенаправленный и соразмерный способ достижения конкретной цели. Законное основание не будет применяться, если вы можете разумно достичь цели с помощью других менее навязчивых средств или путем обработки меньшего объема данных.

Недостаточно утверждать, что обработка необходима, потому что вы выбрали определенный способ ведения бизнеса. Вопрос в том, является ли обработка объективно необходимой для заявленной цели, а не является ли она необходимой частью выбранных вами методов.

Почему важна законная основа для обработки?

Первый принцип требует, чтобы вы обрабатывали все личные данные законным, справедливым и прозрачным образом. Если к вашей обработке не применяется законное основание, ваша обработка будет незаконной и нарушит первый принцип.

Физические лица также имеют право удалять персональные данные, которые были обработаны незаконно.

Право человека на получение информации в соответствии со статьями 13 и 14 требует от вас предоставления людям информации о ваших законных основаниях для обработки.Это означает, что вам необходимо указать эти данные в своем уведомлении о конфиденциальности.

Законное основание для вашей обработки также может повлиять на то, какие права доступны физическим лицам. Например, некоторые права не будут применяться:

Тем не менее, физическое лицо всегда имеет право возражать против обработки в целях прямого маркетинга, независимо от того, что применимо на законных основаниях.

Остальные права не всегда являются абсолютными, и есть другие права, которые могут быть затронуты другими способами.Например, ваша законная основа может повлиять на то, как применяются положения, касающиеся автоматизированных решений и профилирования, и если вы полагаетесь на законные интересы, вам потребуется более подробная информация в уведомлении о конфиденциальности.

Пожалуйста, прочтите раздел настоящего Руководства о правах физических лиц для получения полной информации.

Дополнительная литература

Как мы решаем, какое законное основание применяется?

Это зависит от ваших конкретных целей и контекста обработки.Вам следует подумать о том, почему вы хотите обрабатывать данные, и подумать, какое законное основание лучше всего соответствует обстоятельствам. Вы можете использовать наш интерактивный инструмент руководства, чтобы помочь вам.

Вы можете подумать, что применимо несколько оснований, и в этом случае вы должны идентифицировать и задокументировать их все с самого начала.

Вы не должны использовать универсальный подход. Ни одно основание не должно всегда считаться лучше, безопаснее или важнее других, и в GDPR Великобритании нет иерархии в порядке списка.

Некоторые из законных оснований относятся к конкретной указанной цели — юридическое обязательство, выполнение контракта с физическим лицом, защита чьих-либо жизненно важных интересов или выполнение ваших общественных задач. Если вы обрабатываете данные для этих целей, то соответствующее законное основание вполне может быть очевидным, поэтому полезно сначала рассмотреть их.

В других случаях у вас, вероятно, будет выбор между использованием законных интересов или согласия. Вам нужно подумать о более широком контексте, в том числе:

  • Кому выгодна обработка?
  • Ожидают ли люди, что такая обработка будет иметь место?
  • Каковы ваши отношения с человеком?
  • Имеете ли вы над ними власть?
  • Как влияет обработка на человека?
  • Уязвимы ли они?
  • Вероятно, что некоторые из заинтересованных лиц будут возражать?
  • Можете ли вы остановить обработку в любой момент по запросу?

Вы можете предпочесть рассматривать законные интересы в качестве законной основы, если хотите сохранить контроль над обработкой и взять на себя ответственность за демонстрацию того, что она соответствует разумным ожиданиям людей и не окажет на них неоправданного воздействия.С другой стороны, если вы предпочитаете предоставить отдельным лицам полный контроль над своими данными и ответственность за них (в том числе возможность изменить свое мнение о том, можно ли продолжать их обработку), вы можете подумать о том, чтобы полагаться на их согласие.

Подробнее

Мы разработали интерактивный инструмент для руководства на законных основаниях, чтобы дать более индивидуальные рекомендации, на основании которых законная основа может быть наиболее подходящей для вашей деятельности по обработке.

Отличается ли это для государственных органов?

Базовый подход такой же.Вам следует подумать о своих целях и выбрать наиболее подходящую основу. Вы по-прежнему можете использовать наш законный инструмент, чтобы помочь вам.

Основа общественных задач, скорее всего, будет иметь отношение к большей части того, что вы делаете. Если вы являетесь государственным органом и можете продемонстрировать, что обработка предназначена для выполнения ваших задач в соответствии с законодательством Великобритании, тогда вы можете использовать основу для общедоступных задач. Но если это для другой цели, вы все равно можете рассмотреть другую основу.

В частности, в некоторых случаях вы по-прежнему можете учитывать согласие или законные интересы, в зависимости от характера обработки и ваших отношений с физическим лицом.Абсолютного запрета на использование органами государственной власти согласия или законных интересов в качестве законного основания не существует, хотя есть некоторые ограничения. Для получения дополнительной информации см. Специальную страницу с инструкциями по каждому законному основанию.

В Законе о защите данных 2018 года говорится, что «государственный орган» здесь означает государственный орган в соответствии с Законом о свободе информации или Законом о свободе информации (Шотландия), за исключением приходских и общественных советов.

Пример

Университет, который хочет обрабатывать персональные данные, может рассмотреть множество законных оснований в зависимости от того, что он хочет делать с данными.

Университеты классифицируются как органы государственной власти, поэтому основа общественных задач, вероятно, будет применяться к большей части их обработки, в зависимости от деталей их конституций и юридических полномочий. Если обработка данных осуществляется отдельно от их задач как государственного органа, тогда университет может вместо этого рассмотреть вопрос о том, уместны ли согласие или законные интересы в конкретных обстоятельствах. Например, университет может полагаться на публичную задачу по обработке персональных данных в учебных и исследовательских целях; но смесь законных интересов и согласия для отношений с выпускниками и в целях сбора средств.

Однако университету необходимо тщательно изучить его основу — контролер несет ответственность за возможность продемонстрировать, какое законное основание применимо к конкретной цели обработки.

Дополнительная литература

Можем ли мы изменить нашу законную основу?

Вы должны определить свои законные основания, прежде чем начинать обработку персональных данных. Важно сделать это правильно с первого раза. Если позже вы обнаружите, что выбранная вами основа была на самом деле неподходящей, будет сложно просто заменить ее на другую.Даже если бы с самого начала могла применяться другая основа, ретроспективное изменение законной основы, вероятно, будет по своей сути несправедливым по отношению к отдельному лицу и приведет к нарушениям требований отчетности и прозрачности.

Пример

Компания решила провести обработку на основе согласия и получила согласие от частных лиц. Впоследствии человек решил отозвать свое согласие на обработку своих данных, что является его правом. Однако компания хотела продолжить обработку данных, поэтому решила продолжить обработку на основании законных интересов.

Даже если бы она изначально могла полагаться на законные интересы, компания не может сделать это позже — она ​​не может сменить основу, когда поняла, что изначально выбранная основа была неуместной (в данном случае, потому что она не хотела предлагать физическому лицу подлинный постоянный контроль). Он должен был с самого начала дать понять человеку, что обработка осуществляется на основе законных интересов. Заставить человека поверить в то, что у него был выбор, по своей сути несправедливо, если этот выбор не имеет значения.Поэтому компания должна прекратить обработку, когда физическое лицо отозвает согласие.

Поэтому важно заранее тщательно оценить подходящую основу и задокументировать ее. Возможно, что к обработке применимо несколько оснований, потому что у вас более одной цели, и если это так, вам следует четко указать это с самого начала.

Если действительно произошли изменения в обстоятельствах или у вас появилась новая и непредвиденная цель, что означает, что есть веская причина пересмотреть ваши законные основания и внести изменение, вам необходимо проинформировать об этом человека и задокументировать это изменение.

Дополнительная литература

Что произойдет, если у нас появится новая цель?

Если ваши цели со временем меняются или у вас появляется новая цель, которую вы изначально не ожидали, вам может не понадобиться новое законное основание, если ваша новая цель совместима с первоначальной.

Однако это не относится к обработке, основанной на согласии. Согласие всегда должно быть конкретным и информированным, а повторное использование данных для новой цели несправедливо подорвет исходное согласие.Обычно вам нужно получить новое согласие, которое конкретно касается новой цели. Если вы получили конкретное согласие для новой цели, вам не нужно доказывать, что оно совместимо.

В остальных случаях, чтобы оценить, совместимо ли новое назначение с первоначальным, следует принять во внимание:

  • любая связь между вашей первоначальной целью и новой целью;
  • контекст, в котором вы собирали данные, в частности, ваши отношения с человеком и то, чего он разумно ожидал;
  • характер персональных данных — например, данные особой категории или данные об уголовных преступлениях;
  • возможные последствия для физических лиц новой обработки; и
  • , существуют ли соответствующие меры защиты — например, шифрование или псевдонимизация.

Этот список не является исчерпывающим, и то, на что вам нужно обратить внимание, зависит от конкретных обстоятельств.

Наш шаблон оценки законных интересов может оказаться полезным инструментом для оценки совместимости, поскольку оба учитывают схожие факторы.

Как правило, если новая цель сильно отличается от первоначальной, будет неожиданной или окажет неоправданное влияние на человека, она вряд ли будет совместима с вашей первоначальной целью сбора данных.Затем вы можете продолжить, только если вы получите конкретное согласие для новой цели, или вы можете указать на конкретное правовое положение, требующее или разрешающее новую обработку в общественных интересах (в этом случае вашей новой законной основой будет юридическое обязательство или общественная задача. ).

Если вы обрабатываете данные специальной категории, вам необходимо убедиться, что вы можете определить соответствующее условие, которое применяется к вашей новой обработке.

GDPR Великобритании специально говорит, что дальнейшая обработка для следующих целей должна считаться совместимой законной обработкой:

  • для целей архивирования в общественных интересах;
  • научно-исследовательских целей; и
  • статистических целей.

Здесь есть ссылка на принцип «ограничения цели» в статье 5, который гласит, что «личные данные должны собираться для определенных, явных и законных целей и не обрабатываться в дальнейшем способом, несовместимым с этими целями».

Даже если обработка для новой цели является законной, вам также необходимо будет рассмотреть, является ли она справедливой и прозрачной, и предоставить отдельным лицам информацию о новой цели.

Дополнительная литература

Как мы должны документировать наши законные основания?

Принцип подотчетности требует, чтобы вы могли продемонстрировать, что вы соблюдаете GDPR Великобритании, и имеете соответствующие политики и процессы.Это означает, что вам необходимо продемонстрировать, что вы должным образом рассмотрели, какие законные основания применимы к каждой цели обработки, и можете обосновать свое решение.

Следовательно, вам необходимо вести учет того, на какое основание вы полагаетесь для каждой цели обработки, а также обоснование того, почему вы считаете, что это применимо. Для этого не существует стандартной формы, если вы гарантируете, что то, что вы записываете, достаточно, чтобы продемонстрировать наличие законного основания. Это поможет вам соблюдать обязательства по подотчетности, а также поможет вам при написании уведомлений о конфиденциальности.

Вы обязаны убедиться, что вы можете продемонстрировать, какое законное основание применимо к конкретной цели обработки.

Прочтите раздел об ответственности в этом руководстве, чтобы получить дополнительную информацию по этой теме. На соответствующих страницах руководства также есть дополнительные инструкции по документированию оценок согласия или законных интересов.

Дополнительная литература

Что нам нужно сказать людям?

Вам необходимо включить информацию о ваших законных основаниях (или основаниях, если применимо более одного) в ваше уведомление о конфиденциальности.В соответствии с положениями GDPR Великобритании о прозрачности информация, которую вы должны предоставить людям, включает:

  • ваши предполагаемые цели обработки персональных данных; и
  • законное основание для обработки.

Это применимо независимо от того, собираете ли вы личные данные непосредственно от физического лица или собираете их данные из другого источника.

Прочтите раздел «Право на получение информации» этого руководства, чтобы узнать больше о требованиях к прозрачности GDPR.

Дополнительная литература

А как насчет данных специальной категории?

Если вы обрабатываете данные особой категории, вам необходимо указать как законное основание для обработки, так и условие особой категории для обработки в соответствии со Статьей 9. Вы должны задокументировать как свое законное основание для обработки, так и условие особой категории, чтобы вы могли продемонстрировать соответствие и подотчетность.

Дальнейшие указания можно найти в разделе, посвященном данным специальной категории.

А как насчет данных об уголовных преступлениях?

Если вы обрабатываете данные об уголовных приговорах, уголовных преступлениях или связанных с ними мерах безопасности, вам необходимо как законное основание для обработки, так и «официальные полномочия» или отдельное условие для обработки этих данных в соответствии со статьей 10.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *