Срок обработки персональных данных: Срок действия согласия на обработку персональных данных

Содержание

Срок действия согласия на обработку персональных данных

Субъектам хозяйствования, независимо от формы собственности, необходимо собирать, обрабатывать, хранить персональные данные (ПДн) работников, партнеров по бизнесу и других лиц. Получать согласия на обработку персональных данных нужно с соблюдением требований законодательства. Оператору также нужно знать, сколько может действовать такое согласие, чтобы при выполнении любых действий с ПДн не нарушать требования законодательных актов.

Срок действия согласия

Хранить и обрабатывать личные данные оператор может на протяжении некоторого срока. Для этого нужно получить у субъекта ПДн одобрение на их использование, в котором указывается период его действия. Но в законе о персональных данных № 152 не указываются эти граничные сроки (гл. 2 з-на). Соответственно, нужно установить этот срок, опираясь на взаимно подписанное соглашение.

Предусматривается три варианта фиксации срока такого разрешения:

1. Можно установить ограниченное время на использование и хранение ПДн,

прописав конкретную дату, до которой разрешение будет юридически законным. В таком случае нужно учитывать, что по окончании этого срока может понадобиться применить личные сведения гражданина. Но до оформления нового разрешения воспользоваться ими не разрешается, поэтому можно потерять много времени на документальные проволочки, что иногда тянет за собой проблемы. Нужно постоянно контролировать граничные сроки действия разрешения и до окончания указанной в нем даты оформить новое одобрение.

2. Следующий способ: вписать в разрешение срок действия данного документа – до реализации условий, при которых обработка ПДн будет прекращена. В согласии гражданина на обработку его ПДн нужно указать какое-либо событие вместо конкретного числа. Это может быть дата увольнения сотрудника, выполнение какой-либо услуги. Такой формат срока действия разрешения более приемлем в плане уменьшения затрат времени на бумажную фиксацию этого разрешения. Пока сотрудник не уволился, не нужно контролировать его сведения, чтобы отслеживать срок действия полученного от него согласия. Также не требуется подписывать новое разрешение, если срок старого истек.

3. Можно воспользоваться комбинированным вариантом определения срока действия согласия, при котором устанавливается дата окончания и наступления конкретного события. Примером такого способа может служить оформление займа в банке. Кредитор рассчитывает использовать сведения о заемщике на протяжении трех лет после закрытия кредита. Соответственно, в соглашении указывается срок – на протяжении трех лет с даты окончания действия договора кредитования.

Содержание согласия

В законе о ПДн № 152-ФЗ прописан ряд обязательных требований в отношении оформления согласия на пользование личными сведениями, которые нельзя игнорировать. Во время формирования согласия важно тщательно проработать и внести следующую информацию:

  • цель – не каждый гражданин хочет, чтобы его личные сведения были доступны всем. Нужно указать в одобрении, с какой целью требуется обрабатывать ПДн, кто будет иметь доступ к этой информации. К примеру, если работник будет выходить на пенсию, кадровик должен передать его документы Пенсионному фонду. От оперативности передачи данных будет зависеть своевременность назначения пенсии. Но если сотрудник рассчитывает на действия с его личными данными исключительно для работы, он может проявить свое недовольство тем, что его руководством переданы сведения о нем для действий, не связанных с работой;
  • отрезок времени, на протяжении которого ПДн гражданина будут использоваться. Нужно прописывать срок действия согласия на обработку персональных данных. К примеру, работник два года назад прекратил трудовые отношения с компанией, а бывший работодатель предоставляет его личные сведения в целях оформления карты для зачисления заработной платы в определенном банке. Это может привести к недовольству бывшего сотрудника. Не нужно игнорировать необходимость установки периода обработки ПДн, чтобы избежать проблем с обращением работника в судебные органы или прокуратуру;
  • срок хранения документов с ПДн. Если согласие на использование персональных данных было дано для каких-либо конкретных целей, то их уничтожение должно быть произведено на протяжении 1 месяца после того, как цель достигнута. Это требование регламентировано статьей 21 ФЗ № 152. Как только стороны выполнят свои обязательства в отношении друг друга, сведения хранить не имеет смысла.

Нужно знать, что законодательство требует хранить документацию, касающуюся сотрудника, на протяжении 75 лет. Это касается и личной информации.

Продление сроков

Если необходимо продлить срок действия согласия на какой-либо период после окончания указанной в нем даты, выполнить это можно следующим образом:

  • заключить дополнительное соглашение;
  • сделать новое разрешение;
  • внести в его текст возможность автоматического продления на конкретный период.

Чтобы избежать конфликтов, недоразумений между сторонами, лицо, уполномоченное на обработку ПДн, должно владеть знаниями о требованиях актуального законодательства и обеспечить их выполнение.

Согласие на обработку персональных данных

Настоящим, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», вы подтверждаете свое согласие на обработку Акционерным обществом «СофтЛайн Трейд» юридический адрес: 119270, город Москва, Лужнецкая набережная, 2/4 стр.3а, офис 304, в том числе Группе компаний Softlinei (далее — Softline) ваших персональных данных.

Под персональными данными подразумевается любая информация, относящаяся к прямо или косвенно к Вам, включая, но не ограничиваясь: фамилия, имя, отчество, дата рождения, контактный телефон, адрес электронной почты, почтовый адрес

Настоящим согласием вы подтверждаете, что проинформированы о том, что под

обработкой персональных данных понимаются действия с персональными данными, определённые в Федеральном законе № 152-ФЗ от 27.07.2006 «О персональных данных», а именно: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление персональных данных, совершаемые использованием средств автоматизации Softline.

Данным согласием вы подтверждаете, что проинформированы о том, что обработка предоставляемых вами персональных данных может осуществляется для достижения следующей цели: исполнения обязательств Softline по заказам, договорам и иным обязательствам, принятым Softline в качестве обязательных к исполнению перед Вами. Для указанной цели Softline реализует комплекс действий, направленных на выполнение следующих задач:

  • идентификация стороны в рамках оказания Услуги;
  • предоставление пользователю персонализированных Услуг;
  • улучшение качества Услуг и разработка новых;
  • проведение статистических и иных исследований, на основе обезличенных данных;
  • предоставление персональных данных пользователя правообладателям, дистрибьюторам или реселлерам программного обеспечения в целях регистрации программного обеспечения на имя пользователя или организации, интересы которой представляет пользователь;
  • предоставление пользователям Веб-сайта безопасного и удобного функционала по его использованию, эффективному отображению информации;
  • эффективное исполнение заказов, договоров и иных обязательств, принятых Softline в качестве обязательных к исполнению перед пользователем;
  • обработка вопросов пользователей Веб-сайта;
  • регистрация пользователей Веб-сайта на мероприятия;
  • регистрация клиентов/партнеров Softline в системе service desk, для последующего осуществления технической поддержки;
  • осуществление и/или исполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Softline.

Настоящее согласие распространяется на следующие персональные данные: фамилия, имя, отчество, дата рождения, адрес доставки; контактный телефон, сведения об организации, должность, номер факса, номер сотового телефона, адрес электронной почты, сведения о стране, городе, области проживания, сведения о банковской карте (номер, CVV, фамилия имя на латинице, год и месяц окончания действия карты).

Срок действия Вашего согласия ограничен сроком, требующимся для достижения цели обработки персональных данных, если иной срок хранения персональных данных не установлен действующим законодательством, однако, Вы вправе в любой момент отозвать настоящее согласие, путём направления письменного уведомления на адрес: 119270 Российская Федерация, г. Москва, Лужнецкая набережная, д. 2/4, стр.3А, офис 304, в АО «СофтЛайн Трейд», с пометкой «отзыв согласия на обработку персональных данных». Удаление ваших персональных данных будет произведено Softline в течении 30 дней с момента получения данного уведомления.

Softline гарантирует соблюдение следующих прав субъекта персональных данных: право на получение сведений о том, какие персональные данные субъекта персональных данных хранятся у Softline; право на удаление, уточнение или исправление хранящихся у Softline персональных данных; иные права, установленные действующим законодательством Российской Федерации.

Обращаем Ваше внимание, что отзыв вашего согласия на обработку персональных данных влечёт за собой удаление вашей учётной записи с Веб-сайта (www.softline.ru), а также уничтожение записей, содержащих ваши персональные данные, в информационных системах обработки персональных данных Softline, что может сделать невозможным пользование Интернет-сервисами Softline.

iВ Группу компаний Softline входят следующие юридические лица: АО «СофтЛайн Трейд» 119270, г. Москва, Лужнецкая набережная, д. 2/4, стр.3А, офис 304; ООО «СК Софтлайн» 119270, Москва, Лужнецкая набережная, д.2/4, стр.3А, офис 302, класс Б; ООО «СофтЛайн Интернет Трейд» 119270, г. Москва, Лужнецкая наб., дом 2/4, стр. 3 этаж 2, пом. 205; ООО «Софт Лоджистик» 119270, Москва, Лужнецкая набережная д.2/4, стр.3А, офис 304; АНО ДПО «СофтЛайн Эдюкейшн» 115114, Москва, Дербеневская набережная, д. 7, стр. 8; АО «СофтЛайн Интернейшнл» 115114, Москва, Дербеневская наб., д. 7, стр. 8; ООО «ИНФОСЕКЬЮРИТИ» 107140, Москва, ул. Русаковская, д.13, Эт/оф 10/10-01

Согласие на обработку персональных данных работника

❶ Согласие на обработку персональных данных по образцу, приведенному в статье, подойдет только для работника. Такое согласие не будет актуальным, например, для соискателя. Очевидная, но часто встречающаяся ошибка.

❷ За работника в некоторых случаях согласие должен подписывать представитель. Например, если работник — несовершеннолетний. Поэтому в шаблоне соответствующего документа рекомендуем предусмотреть графы, в которые можно было бы внести сведения о представителе.

❸ Прописывайте полное наименование работодателя и сведения о его местонахождении.

В качестве дополнительного идентификатора работодателя можно также указать ИНН или ОГРН (ОГРНИП), однако такая информация необязательна.

❹ Правильно сформулировать цель обработки персональных данных бывает сложно. Проблема в том, что в соответствии с текущей правоприменительной практикой в согласии на обработку персональных данных следует указывать именно одну цель.

В то же время нигде не сказано, насколько детально должна быть прописана такая цель. Так, основанием для большинства действий работодателя с персональными данными работника будет соблюдение закона путем осуществления прав и исполнения обязанностей сторон трудовых отношений. Например, выплата заработной платы не будет являться самостоятельной целью, ведь это лишь часть обязанностей.

Однако если появляется стороннее обстоятельство, то цель может оказаться уже другой. Довольно распространенный пример — предоставление работникам полиса ДМС.

С одной стороны, если предусмотреть предоставление полиса ДМС в трудовом договоре, это станет обязанностью работодателя.

С другой стороны, страховые компании по условиям договора страхования могут предусматривать использование персональных данных застрахованных лиц в маркетинговых целях. В этом случае одним стандартным согласием не обойтись.

❺ В согласии на обработку персональных данных указывайте конкретный перечень таких сведений. Он должен соответствовать цели обработки и фактическим обстоятельствам.

Чтобы не запутаться, рекомендуем в отдельном документе вести список обрабатываемых персональных данных по каждой категории субъектов с указанием целей обработки таких сведений.

Благодаря указанному списку сможете оперативно составлять шаблоны согласий на обработку персональных данных и иных документов.

Главное — отслеживайте изменения в за-конодательстве и поддерживайте список в актуальном состоянии.

❻ Пропишите сведения о лице, которое будет осуществлять обработку персональных данных по вашему поручению. В одном согласии указывайте только одно лицо, действующее по поручению работодателя.

Принцип «одна цель обработки — одно согласие» проверяющие используют по аналогии при указании лица, которому поручают обработку данных.

Кроме того, Роскомнадзор рекомендует указывать в согласии иных операторов, помимо работодателя, которым будете передавать персональные данные работников.

❼ В согласии на обработку персональных данных укажите способы обработки такой информации. Учтите, что с 1 марта 2021 года для распространения персональных данных может потребоваться отдельное согласие гражданина. Требования к содержанию такого согласия устанавливает Роскомнадзор.

❽ Срок действия согласия на обработку персональных данных должен соответствовать цели обработки данных. Такое согласие не может быть бессрочным, потому что основная цель обработки может считаться достигнутой вместе с увольнением сотрудника.

Поэтому пропишите, что согласие действует, пока стороны состоят в трудовых отношениях.

➒ Работник вправе подписать согласие собственноручно или с помощью электронной подписи.

Обработка персональных данных

Политика ООО «Автопарк-М» в отношении обработки персональных данных (выдержки)

В ООО «Автопарк-М» обеспечивается законность обработки персональных данных и обеспечение их безопасности.

1. Назначение документа

Настоящая политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные положения по обработке персональных данных, принятые в ООО «Автопарк-М» (далее — TMР) Положение о персональных данных.

2. Используемые термины и сокращения

ТМР — ООО «Автопарк-М». 

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). 

Субъект персональных данных — физическое лицо, к которому относится информация, содержащая персональные данные. 

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники. 

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц. 

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. 

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). 

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. 

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. 

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 

Машинный носитель информации (машинный носитель персональных данных) — материальный носитель, предназначенный для записи и воспроизведения информации средствами вычислительной техники, а также сопрягаемыми с ними устройствами. 

Средства вычислительной техники — совокупность математических и технических средств, методов и приемов, которые используются для облегчения и ускорения решения трудоемких задач, связанных с обработкой информации. Средства вычислительной техники полностью или частично автоматизируют вычислительный процесс. 

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Цели Политики

• Регламентация принципов и основных требований к обработке персональных данных в ТМР; 
• Приведение процессов обработки персональных данных в ТМР в соответствие требованиям законодательства Российской Федерации; 
• Обеспечение доступа субъектов персональных данных к информации, касающейся обработки их персональных данных в ТМР.

4. Описание процесса

6.1 Общие положения 

ТМР осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. ТМР организует обработку персональных данных в строгом соответствии с положениями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Федеральный закон о персональных данных) и других нормативно-правовых актов Российской Федерации. ТМР обеспечивает неограниченный доступ к настоящей Политике 

6.2 Принципы обработки персональных данных 

ТМР принимает и обеспечивает выполнение следующих принципов обработки персональных данных: 

• Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. 

• Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. 

• Обработке подлежат только персональные данные, которые отвечают целям их обработки. 

• Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. 

• При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В ТМР принимаются необходимые меры по удалению или уточнению неполных или неточных данных. 

• Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 

• ТМР, получившее доступ к персональным данным, обязано не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. 

6.3 Условия и цели обработки персональных данных 

6.3.1. Состав персональных данных 

В ТМР определен перечень обрабатываемых персональных данных, цели и условия обработки персональных данных. Настоящие положения зафиксированы в документе «Перечень персональных данных», принятом в ТМР. 

6.3.2. Основания для обработки персональных данных 

Обработка персональных данных в ТМР производится в следующих случаях: 

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 

• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на ТМР функций, полномочий и обязанностей; 

• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; 

• обработка персональных данных необходима для осуществления прав и законных интересов ТМР или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 

• обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, требующих обязательного обезличивания персональных данных в соответствии с законодательством Российской Федерации. 

6.4 Общее описание обработки персональных данных 

При обработке персональных данных ТМР совершает следующие действия (операции) или совокупность действий (операций), с использованием средств автоматизации или без использования таких средств с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, не осуществляется. Данные о состоянии здоровья работников обрабатываются в ТМР в соответствии с трудовым законодательством Российской Федерации. 

Обработка сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), осуществляется для некоторых категорий субъектов персональных данных исключительно на основании согласия на обработку персональных данных в письменной форме. 

Для отдельных категорий персональных данных, обрабатываемых в ТМР, допускается трансграничная передача в государства, обеспечивающие адекватную защиту персональных данных, либо в иные государства с согласия субъекта ПДн в письменной форме1. При этом ТМР выполняет требования к такой передаче, определенные законодательством Российской Федерации. В ТМР не осуществляется принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. 

6.5 Сроки хранения и требования к уничтожению персональных данных 

Сроки хранения персональных данных в ТМР определены законодательством Российской Федерации и зависят от состава обрабатываемых данных. Перечень сроков хранения зафиксирован в документе «Перечень персональных данных», принятом в ТМР. Персональные данные, обрабатываемые в ТМР, подлежат уничтожению в следующих случаях: 

• при достижении целей обработки или в случае утраты необходимости в их достижении; 

• при получении соответствующего запроса от субъекта персональных данных, если это не противоречит требованиям к сроку хранения персональных данных либо документв, содержащих персональные данные, установленному федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; 

• при получении соответствующего предписания от уполномоченного органа по защите прав субъектов персональных данных; 

• по истечении определенных сроков хранения персональных данных. 

6.6 Меры в области обработки и защиты персональных данных 

ТМР организует выполнение следующих мер, направленных на обеспечение выполнения обязанностей в области обработки и обеспечения безопасности персональных данных: 

• назначение работников, ответственных: 

   a. за организацию обработки персональных данных; 

   b. за обеспечение безопасности персональных данных в информационных системах персональных данных. 

• издание и внедрение локальных актов ТМР по вопросам обработки и обеспечения безопасности персональных данных, направленных на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 

• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных с учетом уровня их защищенности, а именно: 

   c. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 

   d. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 

   e. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных; 

   f. учет машинных носителей персональных данных; 

   g. реализация средств обнаружения фактов несанкционированного доступа к персональным данным и принимаются меры по каждому инциденту; 

   h. реализация возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 

   i. установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных ТМР, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных; 

   j. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. 

• осуществление внутреннего контроля соответствия обработки персональных данных требованиям федерального закона о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике ТМР в отношении обработки персональных данных, локальным актам ТМР; 

• проведение оценки вреда, который может быть причинен субъектам персональных данных; 

• ознакомление работников ТМР, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ТМР в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных; 

• ознакомление работников сторонних организаций, непосредственно осуществляющих обработку персональных данных на территории ТМР, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ТМР в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. 

6.7 Права субъекта персональных данных 

ТМР гарантирует соблюдение прав субъектов персональных данных, определенных федеральным законом о персональных данных, а именно: 

• право на уточнение его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; 

• право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 

   a. подтверждение факта обработки персональных данных ТМР; 

   b. правовые основания и цели обработки персональных данных; 

   c. цели и применяемые в ТМР способы обработки персональных данных; 

   d. место нахождения ТМР, сведения о лицах (за исключением работников ТМР), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ТМР или на основании федерального закона; 

   e. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 

   f. сроки обработки персональных данных, в том числе сроки их хранения; 

   g. порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом; 

   h. информацию об осуществленной или о предполагаемой трансграничной передаче данных; 

   i. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ТМР, если обработка поручена или будет поручена такому лицу; 

   j. иные сведения, предусмотренные Федеральным законом о персональных данных. 

• права субъекта персональных данных при обработке его персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации; 

• права субъекта персональных данных при принятии решений на основании исключительно автоматизированной обработки иго персональных данных; • других, предусмотренных федеральными законами. 

Дополнительную информацию, касающуюся обработки и обеспечения безопасности персональных данных, субъект персональных данных может получить, направив официальный запрос ТМР в соответствии с федеральным законом о персональных данных. 

1Перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных, определяется в соответствии с Федеральным законом «О персональных данных» и нормативными актами уполномоченного органа по защите прав субъектов персональных данных.

 

Обработка персональных данных

Политика ООО «Тойота Мотор» в отношении обработки персональных данных (выдержки)

В ООО «Тойота Мотор» обеспечивается законность обработки персональных данных и обеспечение их безопасности.

 

1. Назначение документа

Настоящая политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и определяет основные положения по обработке персональных данных, принятые в ООО «Тойота Мотор» (далее – TMР) Положение о персональных данных.

2. Используемые термины и сокращения

ТМР – ООО «Тойота Мотор».

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъект персональных данных – физическое лицо, к которому относится информация, содержащая персональные данные.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Машинный носитель информации (машинный носитель персональных данных) — материальный носитель, предназначенный для записи и воспроизведения информации средствами вычислительной техники, а также сопрягаемыми с ними устройствами.

 

Средства вычислительной техники – совокупность математических и технических средств, методов и приемов, которые используются для облегчения и ускорения решения трудоемких задач, связанных с обработкой информации. Средства вычислительной техники полностью или частично автоматизируют вычислительный процесс.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Цели Политики

• Регламентация принципов и основных требований к обработке персональных данных в ТМР;

• Приведение процессов обработки персональных данных в ТМР в соответствие требованиям законодательства Российской Федерации;

• Обеспечение доступа субъектов персональных данных к информации, касающейся обработки их персональных данных в ТМР.

4. Описание процесса

6.1 Общие положения

 

ТМР осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. ТМР организует обработку персональных данных в строгом соответствии с положениями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Федеральный закон о персональных данных) и других нормативно-правовых актов Российской Федерации. ТМР обеспечивает неограниченный доступ к настоящей Политике

 

6.2 Принципы обработки персональных данных

ТМР принимает и обеспечивает выполнение следующих принципов обработки персональных данных:

• Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

• Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

• Обработке подлежат только персональные данные, которые отвечают целям их обработки.

• Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

• При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В ТМР принимаются необходимые меры по удалению или уточнению неполных или неточных данных.

• Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

• ТМР, получившее доступ к персональным данным, обязано не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

6.3 Условия и цели обработки персональных данных

6.3.1. Состав персональных данных

В ТМР определен перечень обрабатываемых персональных данных, цели и условия обработки персональных данных. Настоящие положения зафиксированы в документе «Перечень персональных данных», принятом в ТМР.

6.3.2. Основания для обработки персональных данных

Обработка персональных данных в ТМР производится в следующих случаях:

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на ТМР функций, полномочий и обязанностей;

• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

• обработка персональных данных необходима для осуществления прав и законных интересов ТМР или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

• обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, требующих обязательного обезличивания персональных данных в соответствии с законодательством Российской Федерации.

6.4 Общее описание обработки персональных данных

При обработке персональных данных ТМР совершает следующие действия (операции) или совокупность действий (операций), с использованием средств автоматизации или без использования таких средств с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, не осуществляется. Данные о состоянии здоровья работников обрабатываются в ТМР в соответствии с трудовым законодательством Российской Федерации.

Обработка сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), осуществляется для некоторых категорий субъектов персональных данных исключительно на основании согласия на обработку персональных данных в письменной форме.

Для отдельных категорий персональных данных, обрабатываемых в ТМР, допускается трансграничная передача в государства, обеспечивающие адекватную защиту персональных данных, либо в иные государства с согласия субъекта ПДн в письменной форме1. При этом ТМР выполняет требования к такой передаче, определенные законодательством Российской Федерации. В ТМР не осуществляется принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

6.5 Сроки хранения и требования к уничтожению персональных данных

Сроки хранения персональных данных в ТМР определены законодательством Российской Федерации и зависят от состава обрабатываемых данных. Перечень сроков хранения зафиксирован в документе «Перечень персональных данных», принятом в ТМР. Персональные данные, обрабатываемые в ТМР, подлежат уничтожению в следующих случаях:

• при достижении целей обработки или в случае утраты необходимости в их достижении;

• при получении соответствующего запроса от субъекта персональных данных, если это не противоречит требованиям к сроку хранения персональных данных либо документв, содержащих персональные данные, установленному федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

• при получении соответствующего предписания от уполномоченного органа по защите прав субъектов персональных данных;

• по истечении определенных сроков хранения персональных данных.

6.6 Меры в области обработки и защиты персональных данных

ТМР организует выполнение следующих мер, направленных на обеспечение выполнения обязанностей в области обработки и обеспечения безопасности персональных данных:

• назначение работников, ответственных:

   a. за организацию обработки персональных данных;

   b. за обеспечение безопасности персональных данных в информационных системах персональных данных.

• издание и внедрение локальных актов ТМР по вопросам обработки и обеспечения безопасности персональных данных, направленных на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных с учетом уровня их защищенности, а именно:

  c. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

  d. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

   e. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;

  f. учет машинных носителей персональных данных;

  g. реализация средств обнаружения фактов несанкционированного доступа к персональным данным и принимаются меры по каждому инциденту;

  h. реализация возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

  i. установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных ТМР, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;

  j. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

• осуществление внутреннего контроля соответствия обработки персональных данных требованиям федерального закона о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике ТМР в отношении обработки персональных данных, локальным актам ТМР;

• проведение оценки вреда, который может быть причинен субъектам персональных данных;

• ознакомление работников ТМР, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ТМР в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

• ознакомление работников сторонних организаций, непосредственно осуществляющих обработку персональных данных на территории ТМР, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ТМР в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

6.7 Права субъекта персональных данных

ТМР гарантирует соблюдение прав субъектов персональных данных, определенных федеральным законом о персональных данных, а именно:

• право на уточнение его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

• право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  a. подтверждение факта обработки персональных данных ТМР;

  b. правовые основания и цели обработки персональных данных;

  c. цели и применяемые в ТМР способы обработки персональных данных;

  d. место нахождения ТМР, сведения о лицах (за исключением работников ТМР), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ТМР или на основании федерального закона;

  e. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

  f. сроки обработки персональных данных, в том числе сроки их хранения;

  g. порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;

  h. информацию обосуществленной или о предполагаемой трансграничной передаче данных;

  i. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ТМР, если обработка поручена или будет поручена такому лицу;

  j. иные сведения, предусмотренные Федеральным законом о персональных данных.

• права субъекта персональных данных при обработке его персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации;

• права субъекта персональных данных при принятии решений на основании исключительно автоматизированной обработки иго персональных данных; • других, предусмотренных федеральными законами.

Дополнительную информацию, касающуюся обработки и обеспечения безопасности персональных данных, субъект персональных данных может получить, направив официальный запрос ТМР в соответствии с федеральным законом о персональных данных.

Перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных, определяется в соответствии с Федеральным законом «О персональных данных» и нормативными актами уполномоченного органа по защите прав субъектов персональных данных.

Согласие на обработку и хранение персональных данных

Оставляя свои данные на Сайте www.polymedia.ru путем заполнения полей онлайн-заявок (регистраций, форм обратной связи, запросов и т.д.), я в соответствии с Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон 152-ФЗ) настоящим выражаю свое согласие на обработку ООО «Полимедиа» (ИНН 9705117847, адрес 115114, г. Москва, ул. Летниковская, дом 10, стр.2, помещ. 502) моих персональных данных (далее – Данные) в нижеуказанных целях и способами сроком на 5 (Пять) лет.

Перечень действий с Данными, на совершение которых дается согласие:

обработка (включая сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение персональных данных), передача Данных третьим лицам, в случаях, установленных действующим законодательством.  

Общее описание вышеуказанных способов обработки Данных приведено в Законе 152-ФЗ.

Перечень Данных, на обработку которых дается согласие:

фамилия, имя, отчество, номер телефона, id пользователя в социальных сетях, адрес электронной почты, место работы, должность.

Цель обработки Данных:

регистрация на мероприятия, тренинги, вебинары, получение ответов, комментариев на мои вопросы, направление на указанный мной адрес электронной почты и/или номер телефона информации о товарах, работах, услугах ООО «Полимедиа».

Подтверждаю, что Данные и иные сведения, относящиеся ко мне предоставлены мной ООО «Полимедиа» добровольно, являются достоверными, принадлежат мне лично.

Отзыв Согласия:

путем направления уведомления с требованием о прекращении обработки Данных на электронный адрес [email protected]

Согласие автоматически отзывается в случае истечения срока, на которое выдано настоящее согласие.

Скачать соглашение

Политика конфиденциальности | Циан

Политика конфиденциальности

Политика конфиденциальности ЦИАН (далее по тексту – «Политика») содержит информацию о том, как ЦИАН осуществляет обработку и защищает персональные данные.

1. Общие положения политики 

1.1. Настоящая Политика является неотъемлемой частью Пользовательского соглашения и Лицензионного договора, а также иных заключаемых с Пользователем  договоров в процессе пользования Сайтами Группы ЦИАН, когда это прямо предусмотрено их условиями.

1.2. Настоящая Политика действует в отношении всех персональных данных, которые ЦИАН может получить от Пользователя во время использования Сайтов и мобильных приложений группы ЦИАН.

1.3. ЦИАН не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайтах ЦИАН. На сайтах третьих лиц может быть собственная политика конфиденциальности и у Пользователя могут собираться или запрашиваться иные персональные данные.

1.4. Для конкретных услуг ЦИАН может публиковать дополнительные условия, дополняющие настоящую политику.

 

2.Состав и цели обработки персональных данных

2.1. Основной целью обработки персональных данных является выполнение обязательств перед Пользователем, предусмотренных Лицензионным соглашением ЦИАН и иными соглашениями по использованию сервисов Сайтов и мобильных приложений ЦИАН. Более подробная информация о целях обработки персональных данных и составе обрабатываемых данных приведена в Лицензионном соглашении ЦИАН и соответствующих соглашениях с Пользователем.

 

3. Принципы и способы обработки персональных данных

3.1. При обработке персональных данных ЦИАН руководствуется следующими принципами:

3.1.1. обеспечение законности целей и способов обработки персональных данных;

3.1.2. соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

3.1.3. соответствие объема и характера обрабатываемых персональных данных, а также способов обработки персональных данных целям обработки персональных данных;

3.1.4. отсутствие избыточных персональных данных по отношению к заявленным при сборе персональных данных целям;

3.1.5. обеспечение достоверности обрабатываемых персональных данных;

3.1.6. использование раздельных баз данных для несовместных целей обработки персональных данных.

3.2. Обработка персональных данных ЦИАН осуществляется как с использованием средств автоматизации, так и без использования средств автоматизации.

 

4. Правила обработки персональных данных

4.1. Персональные данные получаются непосредственно от Пользователей в процессе пользования Сайтами и мобильными приложениями ЦИАН. 

4.2. Сбор персональных данных осуществляется с использованием Сайтов группы ЦИАН, расположенных на территории Российской Федерации.

4.3. В случаях, предусмотренных процессами обработки персональных данных в ЦИАН, персональные данные могут быть переданы третьим лицам. Передача персональных данных третьим лицам может осуществляться с согласия Пользователя, а также в случаях, предусмотренных законодательством Российской Федерации, и на основании требований федеральных законов. Более подробная информация о третьих лицах, которым могут быть переданы персональные данные, а также об условиях , когда осуществляется передача персональных данных третьим лицам, приведена в Лицензионном соглашении, Договорах оферты и иных соглашениях, которые Пользователь принимает при обращении за услугами на Сайтах Группы ЦИАН.

4.4. Обработка персональных данных осуществляется в течение срока действия Лицензионного соглашения, иного Договора, соглашения по использованию сервисов Сайтов и мобильных приложений ЦИАН, и сроков, установленных законодательством Российской Федерации

 

5.Обеспечение безопасности персональных данных

5.1. ЦИАН принимает все необходимые меры защиты, в том числе предусмотренные законодательством Российской Федерации, направленными на обеспечение конфиденциальности и безопасности персональных данных. К применяемым в ЦИАН мерам защиты персональных данных в том числе относятся:

5.1.1. назначено лицо, ответственное за обеспечение безопасности персональных данных в ЦИАН;

5.1.2. определены актуальные угрозы безопасности персональных данных;

5.1.3. разработан и реализован комплекс мер защиты, обеспечивающий нейтрализацию актуальных угроз безопасности;

5.1.4. определены правила обеспечения безопасности персональных данных при их обработке;

5.1.5. осуществляется периодический контроль и оценка эффективности принимаемых мер защиты персональных данных.

 

6. Права Пользователей в отношении своих персональных данных

6.1. Пользователи в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» имеют право: 

6.1.1. запрашивать сведения о своих обрабатываемых в ЦИАН персональных данных, включая:

— подтверждение факта обработки персональных данных;

— правовые основания и цели обработки персональных данных;

— применяемые способы обработки персональных данных;

— полное наименование и место нахождения ЦИАН, сведения о третьих лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ЦИАН или на основании федерального закона;

— состав обрабатываемых персональных данных и источник их получения;

— сроки обработки персональных данных, в том числе сроки их хранения;

— порядок осуществления прав субъекта персональных данных, предусмотренных законодательством;

— информацию об осуществленной или о предполагаемой трансграничной передаче данных;

— наименование и адрес лица, осуществляющего обработку персональных данных по поручению ЦИАН, если обработка поручена или будет поручена такому лицу;

— иные сведения, предусмотренные законодательством;

6.1.2. требовать ознакомления с обрабатываемыми персональными данными;

6.1.3. требовать уточнения персональных данных, в случае если они являются неполными, устаревшими или неточными;

6.1.4. требовать блокирования персональных данных, в случае если они являются неполными, устаревшими или неточными, либо их обработка ЦИАН является неправомерной;

6.1.5. требовать уничтожения персональных данных, в случае если они являются незаконно полученными, либо, не являются необходимыми для заявленной цели обработки, либо, в случае отзыва согласия на обработку персональных данных.

6.1.6. требовать извещения ЦИАН всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

6.1.7. обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия ЦИАН при обработке и защите его персональных данных. 

 

7. Уточнение и уничтожение персональных данных

7.1. Уточнение персональных данных осуществляется Пользователем самостоятельно с использованием функций Сайтов и мобильных приложений. 

7.2. Персональные данные, обрабатываемые ЦИАН, подлежат уничтожению в следующих случаях: 

7.2.1. по достижении целей их обработки или в случае утраты необходимости в их достижении в срок, не превышающий тридцати дней с момента достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, иным соглашением между ЦИАН и субъектом персональных данных; 

7.2.2. в случае выявления неправомерной обработки персональных данных ЦИАН в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных; 

7.2.3. в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных, в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, иным соглашением между ЦИАН и субъектом персональных данных; 

7.2.4. в случае истечения срока хранения персональных данных, определяемого в соответствии с законодательством Российской Федерации и организационно-распорядительными документами ЦИАН; 

7.2.5. в случае предписания уполномоченного органа по защите прав субъектов персональных данных, Прокуратуры России или решения суда. 

7.3. Согласие на обработку персональных данных может быть отозвано Пользователем в любой момент. Для реализации права на отзыв Пользователь должен направить соответствующее обращение на адрес [email protected]

7.4. Отзыв согласия Пользователя на обработку персональных данных не может являться основанием для прекращения обработки при наличии у ЦИАН оснований, предусмотренных п. 2, 7, 10 части 1 ст. 6 Федерального закона от 27.07.2006 г.  № 152-ФЗ «О персональных данных».

7.5. В случае использования на Сайтах Группы Циан сервисов, содержащих технологию API Google (например, YouTube API Services), данные Пользователя обрабатываются также в соответствии с https://www.youtube.com/t/terms и https://policies.google.com/privacy.

 

Персональные данные — Общий регламент по защите данных (GDPR)

Термин «персональные данные» — это начало применения Общего регламента по защите данных (GDPR). Только если обработка данных касается личных данных, применяются Общие правила защиты данных. Термин определен в ст. 4 (1). Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.

Субъекты данных поддаются идентификации, если они могут быть прямо или косвенно идентифицированы, особенно посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или одну из нескольких специальных характеристик, которые выражают физические, физиологические, генетическая, ментальная, коммерческая, культурная или социальная идентичность этих физических лиц.На практике они также включают в себя все данные, которые каким-либо образом назначены или могут быть присвоены человеку. Например, телефон, кредитная карта или личный номер человека, данные учетной записи, номерной знак, внешний вид, номер клиента или адрес — все это личные данные.

Поскольку определение включает «любую информацию», следует предположить, что термин «личные данные» следует толковать как можно более широко. Это также предлагается в прецедентном праве Европейского суда, который также рассматривает менее явную информацию, такую ​​как записи рабочего времени, которые включают информацию о времени, когда сотрудник начинает и заканчивает свой рабочий день, а также перерывы или время, в которое не попадают в рабочее время, как личные данные.Кроме того, письменные ответы кандидата во время теста и любые замечания экзаменатора относительно этих ответов являются «личными данными», если кандидата можно теоретически идентифицировать. То же самое относится и к IP-адресам. Если у контролера есть законная возможность обязать поставщика передать дополнительную информацию, которая позволяет ему идентифицировать пользователя по IP-адресу, это также личные данные. Кроме того, необходимо отметить, что личные данные не обязательно должны быть объективными. Субъективная информация, такая как мнения, суждения или оценки, может быть личными данными.Таким образом, это включает оценку кредитоспособности человека или оценку выполнения работы работодателем.

И последнее, но не менее важное: в законе говорится, что информация для справки о персонале должна относиться к физическому лицу. Другими словами, защита данных не распространяется на информацию о юридических лицах, таких как корпорации, фонды и учреждения. Для физических лиц, с другой стороны, защита начинается и прекращается с дееспособностью. По сути, человек получает эту способность с рождением и теряет ее после смерти.Следовательно, данные должны быть присвоены идентифицированным или идентифицируемым живым лицам, чтобы считаться личными.

Помимо общих личных данных, необходимо учитывать прежде всего особые категории личных данных (также известные как конфиденциальные личные данные), которые имеют большое значение, поскольку они подлежат более высокому уровню защиты. Эти данные включают генетические, биометрические данные и данные о состоянии здоровья, а также личные данные, раскрывающие расовое и этническое происхождение, политические взгляды, религиозные или идеологические убеждения или членство в профсоюзах.

Внешние ссылки

Органы

  • Европейский надзорный орган по защите данных ► Меры безопасности при обработке персональных данных (ссылка)
  • Управление по защите данных Остров Мэн ► Знайте свои данные — нанесение на карту 5 Вт (Ссылка)
  • Data Protection Authority UK ► Ключевые определения (Ссылка)
  • Европейская комиссия ► Что такое личные данные? (Ссылка)
  • Европейская комиссия ► Какие личные данные считаются конфиденциальными? (Ссылка)
  • Публикации ЕС ► Справочник по европейскому законодательству о защите данных — Персональные данные, стр. 83 (Ссылка)

Экспертный вклад

  • A&L Goodbody ► GDPR: Руководство для бизнеса — Определение личных и конфиденциальных данных, стр. 8 (Ссылка)
  • Bird & Bird ► Конфиденциальные данные и законная обработка (Ссылка)

Условия обработки данных — английский

В связи с Услугами, предоставляемыми в соответствии с соглашением об обслуживании («Соглашение об обслуживании ») поставщиком услуг в качестве обработчика данных, являющимся Imprima или соответствующим Аффилированным лицом, которое является стороной Соглашения об оказании услуг (соответствующая сторона, именуемая как « Поставщик услуг ») Клиенту в качестве контроллера данных (« Клиент »), стороны договорились, что эти условия обработки данных («Условия ») должны применяться для выполнения обязательств по соблюдению, наложенных на Клиента. в соответствии с Законом о защите данных.Эти Условия должны быть включены в Соглашение о предоставлении услуг посредством ссылки.

, ПРОДОЛЖАЯ ПРЕДОСТАВЛЯТЬ ИЛИ ПОЛУЧАТЬ УСЛУГИ, В зависимости от обстоятельств, СТОРОНЫ СОГЛАШАЮТСЯ С НАСТОЯЩИМИ УСЛОВИЯМИ.

НАСТОЯЩИЙ ДОГОВОР о нижеследующем:

  1. ОПРЕДЕЛЕНИЯ
    1. В настоящих Условиях слова, написанные с заглавной буквы, имеют значение, определенное в Соглашении о предоставлении услуг, если в настоящих Условиях прямо не указано иное ниже или в другом месте настоящих Условий:
      1. « Аффилированное лицо » означает любое лицо, которое напрямую или косвенно контролирует, контролируется или находится под общим контролем с стороной время от времени в течение Срока действия;
      2. «Закон о защите данных » означает законы о конфиденциальности данных, применимые к обработке в связи с Услугами, включая, где это применимо, Регламент (ЕС) 2016/679 с поправками или заменой любым последующим Регламентом, Директивой или другим правовой документ Европейского Союза, в том числе Общий регламент по защите данных или аналогичный закон, или применимые законы о конфиденциальности данных любой другой соответствующей юрисдикции;
      3. « Конечный пользователь » имеет значение, определенное в Соглашении о предоставлении услуг;
      4. « Services » означает услуги, описанные в Соглашении о предоставлении услуг и в разделе ниже;
      5. « Договорные положения » означают стандартные договорные положения Европейской комиссии о передаче персональных данных через границу, с поправками или заменой время от времени, или любой эквивалентный набор договорных положений, одобренный для использования в соответствии с Законом о защите данных; и
      6. « Персональные данные клиента » означает персональные данные, обрабатываемые нами в связи с Услугами, как описано ниже.В соответствии с пунктом 2.2 сюда могут входить личные данные Партнерской программы Клиента.
    2. Слова « субъект данных », « личные данные », « обработка » и их варианты, « контроллер » и « процессор » имеют значение, присвоенное им в Законе о защите данных. .
  2. НАЗНАЧЕНИЕ
    1. Аффилированные лица и Конечные пользователи назначают Клиента для предоставления и управления различными услугами, включая Услуги, от их имени.Соответственно, Персональные данные Клиента могут содержать персональные данные, в отношении которых Аффилированные лица Клиента и Конечные пользователи являются контролерами. Клиент подтверждает, что он уполномочен сообщать Поставщику услуг любые инструкции или другие требования от имени Аффилированных лиц Клиента и Конечных пользователей в отношении обработки Персональных данных Клиента Поставщиком услуг в связи с Услугами.
    2. Поставщик услуг назначается Клиентом для обработки Персональных данных Клиента от имени Клиента и / или Аффилированных лиц Клиента и / или Конечных пользователей, в зависимости от обстоятельств, когда это необходимо для предоставления Услуг или по иной договоренности сторон. на письме.
  3. ПРОДОЛЖИТЕЛЬНОСТЬ
    1. Настоящие Условия вступают в силу в более раннюю из следующих дат: (i) дата их исполнения или (ii) дата вступления в силу Соглашения о предоставлении услуг (« Дата вступления в силу ») и будет оставаться в полной силе и действовать до прекращения или истечения срока действия Соглашения о предоставлении услуг (« Срок »).
  4. УСЛУГИ
    1. Поставщик услуг может выполнять обработку Персональных данных клиента, как описано ниже:
      1. Описание услуг: Облачные услуги VDR Data Room.
      2. Предмет обработки: Переработка в связи с предоставлением Услуг.
      3. Продолжительность обработки: В течение срока действия Соглашения о предоставлении услуг.
      4. Характер и цель обработки: размещение персональных данных в комнате данных и предоставление конечным пользователям доступа к персональным данным клиентов и их обработки в рамках Услуг.
      5. Тип персональных данных: данные о занятости, данные акционеров, данные клиентов, коммерческие данные, данные о продажах, финансовые данные и т. Д.
      6. Категории субъектов данных: персонал, консультанты, акционеры, клиенты и другие лица.
  5. СОБЛЮДЕНИЕ ЗАЩИТЫ ДАННЫХ
    1. В отношении обработки Персональных данных Клиента в течение Срока, если иное не предусмотрено законом, Поставщик услуг соглашается:
      1. соблюдать Закон о защите данных в отношении их обработки Персональных данных Клиента;
      2. обрабатывает Персональные данные Клиента только в соответствии с требованиями, предъявляемыми к Услугам, в соответствии с документально оформленными законными инструкциями, которые Клиент разумно предоставляет в контексте Услуг время от времени, а также для внутренней бизнес-аналитики.Клиент гарантирует и постоянно заявляет, что его инструкции не приведут к нарушению закона Поставщиком услуг;
      3. сообщить Клиенту, если, по его мнению, инструкция нарушает Закон о защите данных;
      4. гарантировать, что весь персонал, уполномоченный Поставщиком услуг для обработки Персональных данных Клиента, взял на себя обязательство соблюдать конфиденциальность или находился под соответствующим установленным законом обязательством конфиденциальности;
      5. внедрить соответствующие технические и организационные меры для надлежащей защиты Персональных данных Клиента с учетом характера Персональных данных Клиента, которые должны быть защищены, и риска причинения вреда, который может возникнуть в результате любого нарушения безопасности (как определено ниже), как изложено в Соглашение о предоставлении услуг или соответствующие альтернативные меры и, как минимум, меры, изложенные в Приложении;
      6. незамедлительно информирует Клиента о любых запросах субъектов данных в соответствии с Законом о защите данных, а также о запросах регулирующих или правоохранительных органов, касающихся Персональных данных Клиента.Поставщик услуг может подтвердить каждый запрос доступа к данным. В случае согласования Поставщик услуг может за счет Клиента ответить на запрос на доступ к теме от имени Клиента;
      7. за счет Клиента предоставлять такую ​​помощь, которую Клиент может разумно потребовать для обеспечения соблюдения Клиентом Закона о защите данных в отношении безопасности данных, уведомлений о нарушениях данных, оценок воздействия на защиту данных и предварительных консультаций с компетентными надзорными органами, отвечающими за вопросы конфиденциальности и защиты данных;
      8. по выбору и за счет Клиента удалить или вернуть все Персональные данные Клиента Клиенту после окончания предоставления Услуг, а также удалить существующие копии всех Персональных данных Клиента, за исключением Персональных данных Клиента, заархивированных для непрерывности бизнеса и в целях аварийного восстановления, где это применимо, и анонимных Персональных данных Клиента, сохраняемых для законных деловых целей.Поставщик услуг может удалить или уничтожить любые Персональные данные Клиента, которые больше не нужны для соблюдения настоящих Условий; и
      9. за счет Клиента, предоставлять Клиенту информацию, разумно необходимую для демонстрации соблюдения Поставщиком услуг настоящих Условий и позволяя проводить аудиторские проверки независимой третьей стороной, по согласованию сторон.
    2. Клиент должен незамедлительно предоставить такую ​​помощь, как Поставщик услуг может разумно потребовать для соблюдения своих обязательств по обеспечению конфиденциальности и безопасности данных в соответствии с настоящими Условиями.
  6. УВЕДОМЛЕНИЕ
    1. Поставщик услуг по запросу Клиента и за счет Клиента предоставит каждому субъекту данных стандартное уведомление о конфиденциальности Клиента, которое Клиент может разумно запрашивать время от времени в соответствии с Соглашением об обслуживании.
  7. СУБПРОЦЕССОРЫ
    1. Поставщик услуг будет привлекать любых субподрядчиков, участвующих в обработке Персональных данных Клиента (каждый « Субпроцессор »), только с согласия Клиента, которое подлежит пункту 7.2, настоящим.
    2. При привлечении Субпроцессора Поставщик услуг:
      1. проведет разумную комплексную проверку;
      2. заключить договор на условиях, насколько это практически возможно, таких же, как и в настоящих Условиях, и который может включать в себя договорные положения для обеспечения надлежащих гарантий в отношении обработки Персональных данных Клиента; и
      3. информируют Клиента о любых предполагаемых изменениях, касающихся добавления или замены Вспомогательного процессора, время от времени. Если Клиент возражает против любого такого изменения на разумных основаниях, то, действуя добросовестно, стороны будут работать вместе, чтобы разрешить такое возражение.
  8. ИНЦИДЕНТЫ БЕЗОПАСНОСТИ
    1. « Нарушение безопасности » означает нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Персональным данным Клиента, переданным, хранящимся или в противном случае обрабатывается.
    2. Поставщик услуг незамедлительно уведомит Клиента, если ему станет известно о каком-либо нарушении безопасности. По возможности Поставщик услуг будет предоставлять поэтапные уведомления.
    3. Поставщик услуг расследует Нарушение безопасности и примет разумные меры для выявления, предотвращения и смягчения последствий Нарушения безопасности, вызванного Поставщиком услуг. За счет Клиента Поставщик услуг предпримет такие дальнейшие действия, которые Клиент может обоснованно запросить для соблюдения Закона о защите данных.
    4. Клиент не может выпускать или публиковать какие-либо документы, сообщения, уведомления, пресс-релизы или отчеты о любом Нарушении безопасности без предварительного письменного разрешения Поставщика услуг; в таком одобрении не должно быть необоснованно отказано.
  9. МЕЖДУНАРОДНАЯ ПЕРЕДАЧА ДАННЫХ
    1. Поставщик услуг гарантирует, что никакие Персональные данные Клиента не будут переданы ни одним из (9.1.1), ни (9.1.2) вариантов без явного предварительного письменного согласия Клиента, которое настоящим предоставляется с учетом пункта 9.2:
      1. Европейская экономическая зона; или
      2. на любую другую территорию, на которой наложены ограничения на передачу Персональных данных Клиента за границу в соответствии с Законом о защите данных.
    2. За счет Клиента Поставщик услуг предоставит такую ​​помощь, которую Клиент может разумно потребовать, чтобы гарантировать, что Договорные положения или другой применимый механизм передачи, такой как Рамочная программа обмена конфиденциальной информацией между ЕС и США, в отношении переводов из ЕС в США, существует для обеспечения надлежащего уровня защиты данных.
  10. РАЗНОЕ
    1. Пункт и другие заголовки в настоящих Условиях предназначены только для удобства справки и не должны составлять часть или иным образом влиять на значение или толкование настоящих Условий.
    2. В соответствии с пунктом 3 ответственность любой из сторон в соответствии с настоящими Условиями подлежит исключениям и ограничениям ответственности в соответствии с Соглашением о предоставлении услуг.
    3. Ничто в настоящих Условиях не исключает и не ограничивает ответственность любой из сторон, которая не может быть ограничена или исключена применимым законодательством.В соответствии с предыдущим предложением, (i) настоящие Условия и Соглашение об оказании услуг составляют полное соглашение между сторонами, касающееся обработки Персональных данных Клиента в рамках Услуг, и заменяют собой все предыдущие соглашения, договоренности, переговоры и обсуждения сторон, касающихся к его предмету; и (ii) при заключении настоящих Условий ни одна из сторон не полагалась, и ни одна из сторон не будет иметь никаких прав или средств правовой защиты на основании каких-либо заявлений, заявлений или гарантий, сделанных по небрежности или невиновности, за исключением тех, которые прямо изложены в настоящих Условиях.
    4. Клиент обязуется оплатить Поставщику услуг в течение 15 дней с даты выставления счета любые расходы и издержки, включая, помимо прочего, разумные гонорары адвокатам и стоимость подготовки и отправки корреспонденции, понесенные Поставщиком услуг и / или его Аффилированными лицами в связи с выполнением обязанностей в Расходы Клиента в соответствии с настоящими Условиями.
    5. Если Клиент указывает, что Услуги больше не могут быть предоставлены в соответствии с Соглашением об оказании услуг, как это предусмотрено Поставщиком услуг, из-за запроса Клиента, полностью или частично, приостановить или прекратить действие любого контракта с Субпроцессором, приостановить или прекратить любую передачу Персональных данных Клиента, уничтожить или вернуть Клиенту все Персональные данные Клиента или приостановить или прекратить доступ к Персональным данным Клиента или аналогичный запрос, Поставщик услуг имеет право расторгнуть Соглашение о предоставлении услуг без каких-либо обязательств в любое время с немедленное или отсроченное вступление в силу путем письменного уведомления Клиента.После расторжения Соглашения о предоставлении услуг Поставщиком услуг или Клиентом по причинам, связанным с настоящими Условиями или соблюдением Закона о защите данных, все сборы за услуги, расходы и другие платежи в соответствии с Соглашением об оказании услуг должны быть немедленно уплачены Клиентом Поставщику услуг, рассчитанные как если Соглашение об оказании услуг было расторгнуто на законных основаниях для удобства Клиента в соответствии с его условиями.
    6. Все уведомления о расторжении договора или нарушении должны быть на английском языке в письменной форме и адресованы основному контактному лицу или юридическому отделу другой стороны.Уведомление будет рассматриваться как полученное при получении, подтвержденное действующей квитанцией или электронным журналом. Почтовые уведомления будут считаться полученными через 48 часов с даты отправки заказным письмом.
    7. Положения настоящих Условий отделяются друг от друга. Если какая-либо фраза, пункт или положение являются недействительными или не имеющими исковой силы полностью или частично, такая недействительность или неисполнимость затрагивает только такую ​​фразу, пункт или положение, а остальная часть настоящих Условий остается в полной силе.
    8. Любая из сторон может передать свои права и / или обязанности по настоящим Условиям своему правопреемнику в результате слияния, приобретения, продажи, реорганизации или ликвидации.
    9. Настоящие Условия регулируются английским законодательством, и стороны подчиняются исключительной юрисдикции английских судов в отношении любого спора (договорного или внедоговорного), касающегося настоящих Условий, за исключением того, что любая из сторон может обратиться в любой суд за судебным запретом или другим помощь для защиты своей собственности, прав интеллектуальной собственности или конфиденциальной информации.

ПРИЛОЖЕНИЕ — Меры безопасности

Поставщик услуг должен принять следующие минимальные меры, если это применимо.

  • поддерживает сертификацию ISO 27001: 2013
  • межсетевые экраны последнего поколения
  • Контроль доступа пользователей с минимальными системными привилегиями с помощью идентификаторов пользователей и паролей с ограниченным сроком службы, в соответствующих случаях
  • ограниченный удаленный доступ и многофакторная аутентификация для удаленного доступа
  • в режиме реального времени защита антивирусное, антивирусное и антишпионское ПО
  • соответствие инструкциям производителя оборудования и программного обеспечения
  • разделение данных в зависимости от клиента и цели, где это необходимо
  • регулярные обновления программного обеспечения
  • безопасное удаление данных со списанных устройств
  • 256-битное шифрование портативных устройств хранения данных и шифрования личных данных в пути
  • Системы обнаружения и предотвращения вторжений;
  • резервное копирование данных с регулярным тестированием
  • процедуры обеспечения непрерывности бизнеса и аварийного восстановления
  • проверка персонала
  • контроль физического доступа с минимальными привилегиями
  • соглашения о неразглашении для персонала
  • обучение персонала вопросам конфиденциальности

Определение ключевых терминов | Уполномоченный по защите данных

Следующие термины, используемые в этом руководстве, имеют особое юридическое значение в соответствии с GDPR.Чтобы полностью понять свои права, прочтите следующий глоссарий ключевых терминов.

Персональные данные

Термин «персональные данные» означает любую информацию, касающуюся или касающуюся живого человека, который либо идентифицируется, либо может быть идентифицирован (такое лицо называется «субъектом данных»).

Физическое лицо может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор (например, IP-адрес) или на один или несколько факторов, специфичных для физического , физиологическая, генетическая, умственная, экономическая, культурная или социальная идентичность этого человека.

Обработка

Термин «обработка» относится к любой операции или набору операций, выполняемых с персональными данными. Обработка включает в себя хранение, сбор, извлечение, использование, объединение, стирание и уничтожение личных данных и может включать автоматические или ручные операции.

Комиссия по защите данных

«Комиссия по защите данных» была учреждена Законами о защите данных 1988–2018 годов («Законы о защите данных»). Согласно GDPR и Законам о защите данных, Комиссия отвечает за мониторинг применения GDPR в целях защиты прав и свобод людей в отношении обработки.В задачи Комиссии входит повышение осведомленности общественности и ее понимание рисков, правил, гарантий и прав в отношении обработки; рассмотрение жалоб, поданных субъектами данных; и сотрудничество (включая обмен информацией) с другими органами по защите данных в других странах-членах ЕС.

Контроллер данных

«Контроллер данных» относится к физическому лицу, компании или другому органу, который определяет цели и методы обработки персональных данных.

Процессор данных

«Обработчик данных» относится к физическому лицу, компании или другому органу, который обрабатывает персональные данные от имени контроллера данных.

Согласие

Некоторые виды обработки выполняются на основании вашего согласия. Согласно GDPR, согласие на обработку должно быть добровольным, конкретным и информированным. Вы не можете быть принуждены дать свое согласие, вам должны сообщить, для каких целей (целей) будут использоваться ваши данные, и вы должны показать свое согласие с помощью «заявления или четкого позитивного действия» (например, отметив поле).

Согласие — не единственное законное основание для обработки ваших личных данных.В статье 6 GDPR приводится полный список законных причин для обработки персональных данных:

  1. Согласие.
  2. Для выполнения договора.
  3. Для того, чтобы организация выполняла юридические обязательства.
  4. Если обработка персональных данных необходима для защиты жизненно важных интересов человека.
  5. Если обработка персональных данных необходима для выполнения задачи, выполняемой в общественных интересах.
  6. В законных интересах компании / организации (за исключением случаев, когда эти интересы противоречат интересам или правам и свободам человека или наносят им ущерб).*

* Важно отметить, что статья 6 (1) (f) предусматривает, что причина «законных интересов» недоступна государственным органам, в которых обработка осуществляется при выполнении их функций.

Профилирование

Профилирование — это любая автоматическая обработка личных данных, которая включает анализ или прогнозирование вашего поведения, привычек или интересов.

Особые категории персональных данных

Некоторые типы конфиденциальных персональных данных подлежат дополнительной защите в соответствии с GDPR.Они перечислены в статье 9 GDPR как «особые категории» персональных данных. К особым категориям относятся:

  1. Персональные данные, раскрывающие расовое или этническое происхождение.
  2. Политические взгляды.
  3. Религиозные или философские убеждения.
  4. Членство в профсоюзе.
  5. Генетические и биометрические данные, обрабатываемые с целью однозначной идентификации физического лица.
  6. Данные о здоровье.
  7. Данные о сексуальной жизни или сексуальной ориентации физического лица.

Обработка этих специальных категорий запрещена, за исключением ограниченных обстоятельств, изложенных в статье 9 GDPR.

Сотрудник по защите данных (DPO)

GDPR требует, чтобы контроллеры данных и обработчики данных при определенных обстоятельствах назначали ответственного за защиту данных (DPO). Контроллер данных также может добровольно принять решение о назначении DPO.

GDPR: что такое личные данные?

Персональные данные лежат в основе Общего регламента защиты данных (GDPR).Однако многие люди до сих пор не знают, что именно означает «личные данные».

Не существует окончательного списка того, что является, а что нет, персональными данными, поэтому все сводится к правильной интерпретации определения GDPR:

«[Л] личные данные» означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»).

Другими словами, любая информация, явно относящаяся к конкретному человеку. Но насколько широко это применимо?

GDPR поясняет, что это применяется всякий раз, когда физическое лицо может быть идентифицировано, прямо или косвенно, «посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или на один или несколько факторов, специфичных для физического, физиологическая, генетическая, ментальная, экономическая, культурная или социальная идентичность этого физического лица.”

Очень много информации. В определенных обстоятельствах чьи-либо IP-адреса, цвет волос, работа или политические взгляды могут считаться личными данными.

Квалификатор «определенные обстоятельства» заслуживает особого внимания, потому что вопрос о том, считается ли информация личными данными, часто зависит от контекста, в котором она собирается.


Контекст — это все

Организации обычно собирают много разных типов информации о людях, и даже если одна часть данных никого не выделяет, она может стать актуальной наряду с другой информацией.

Например, контролер данных, который запрашивает информацию о людях, скачивающих продукты со своего веб-сайта, может попросить их указать свою профессию.

Это не относится к сфере персональных данных GDPR, потому что, по всей вероятности, должность не является уникальной для одного человека.

Точно так же организация может спросить, в какой компании они работают, что, опять же, не может быть использовано для идентификации кого-либо, если только он не является единственным сотрудником.


Бесплатная загрузка PDF: Общий регламент ЕС по защите данных — Руководство по соответствию


Однако во многих случаях эти фрагменты информации могут использоваться вместе, чтобы сузить число физических, живых людей до такой степени, чтобы вы могли разумно установить чью-либо личность.

Другими словами, если вы ссылаетесь на кого-то с определенным названием должности в конкретной организации, может быть только один человек, который подходит под это описание.

Конечно, это не всегда так. Например, знание того, что кто-то работает бариста в Starbucks, мало что сужает.

В этих случаях эти две части информации вместе не будут считаться личными данными. Однако маловероятно, что эта информация будет храниться без определенного идентификатора, такого как имя человека или номер платежной ведомости.


Имена не всегда считаются личными данными

Вы можете подумать, что чье-то имя — это самый ясный пример личных данных; это буквально то, что определяет вас как вы . Но не всегда все так просто, как поясняет Управление комиссара по информации Великобритании:

«Само по себе имя Джон Смит не всегда может быть личными данными, потому что есть много людей с таким именем.

«Однако, если имя сочетается с другой информацией (например, адресом, местом работы или номером телефона), этого обычно будет достаточно для точной идентификации одного человека.”

Однако ICO также отмечает, что имена не обязательно нужны для идентификации кого-либо:

«Тот факт, что вы не знаете имени человека, не означает, что вы не можете идентифицировать [их]. Многие из нас не знают имен всех своих соседей, но мы все еще можем их опознать ».


См. Также:


Руководство по тому, что является (или могло бы быть) личными данными

Как мы уже объясняли, сложно сказать, соответствует ли определенная информация определению личных данных GDPR.

Тем не менее, компания облачных услуг Boxcryptor предоставляет список вещей, которые могут считаться персональными данными, либо сами по себе, либо в сочетании с дополнительной информацией:

  • Биографические данные или текущая жизненная ситуация , включая даты рождения, номера социального страхования, номера телефонов и адреса электронной почты.
  • Внешний вид, внешний вид и поведение , включая цвет глаз, вес и черты характера.
  • Данные о рабочем месте и информация об образовании , включая зарплату, налоговую информацию и количество студентов.
  • Частные и субъективные данные , включая религию, политические взгляды и данные геотрекинга.
  • Здоровье, болезни и генетика , включая историю болезни, генетические данные и информацию об отпуске по болезни.

Как организациям следует обращаться с личными данными

Если вы не уверены, является ли хранимая вами информация персональной, лучше проявить осторожность.

Это означает обеспечение того, чтобы обработка личных данных ограничивалась необходимостью, и хранить данные только до тех пор, пока они соответствуют своей цели.

Вам также следует настоятельно рассмотреть возможность псевдонимизации и / или шифрования информации, особенно если это особая категория личных данных.

Псевдонимизация маскирует данные, заменяя идентифицирующую информацию искусственными идентификаторами.

Несмотря на то, что псевдонимизация играет ключевую роль в защите данных — она ​​упоминается в GDPR 15 раз — и может помочь защитить конфиденциальность и безопасность личных данных, она имеет свои ограничения, поэтому в GDPR также упоминается шифрование.

Шифрование также скрывает информацию, заменяя идентификаторы чем-то другим. Но в то время как псевдонимизация позволяет любому, у кого есть доступ к данным, просматривать часть набора данных, шифрование позволяет только утвержденным пользователям получить доступ к полному набору данных.

Псевдонимизация и шифрование могут использоваться одновременно или по отдельности.


Если вы не уверены, обратитесь к DPO

Тем, кто хочет постоянно получать советы о том, как управлять личными данными, которые они собирают, следует проконсультироваться с DPO (офицером по защите данных).

DPO — это независимый эксперт, нанятый для ознакомления организаций с их требованиями соответствия GDPR. Они отвечают за многие задачи, в том числе:

  • Информирование и консультирование организации и ее сотрудников об их обязанностях;
  • Мониторинг политик и процедур защиты данных организации;
  • Рекомендации руководству, когда необходимы DPIA (оценка воздействия на защиту данных); и
  • Выступает в качестве контактного лица между организацией и ее надзорным органом.

GDPR гласит, что определенные организации должны назначать DPO, но даже если вы не соответствуете этим критериям, в любом случае может быть очень полезно назначить его.


Стать экспертом GDPR

Вы можете узнать больше о требованиях вашей организации к защите данных, пройдя индивидуальный онлайн-курс сертифицированного фонда GDPR

Этот однодневный курс проводится опытным экспертом по защите данных и дает всестороннее введение в Регламент и его правила.

Идеально подходит для менеджеров, которые хотят понять, как Регламент влияет на их организацию, и сотрудников, отвечающих за соблюдение GDPR, и доступен в различных формах, включая онлайн и для самостоятельного обучения.

Версия этого блога была первоначально опубликована 17 февраля 2018 года.

Что такое процессор данных

Определение обработчика данных, обзор некоторых основных задач и обязанностей обработчика данных по отношению к контроллеру данных и субъекту данных, договорным обязательствам и обязательствам по защите данных обработчика данных, а также тем, что контролеры данных должны делать при выборе обработчика данных в соответствии с Общий регламент по защите данных (GDPR) .

Два термина, которые постоянно используются в тексте GDPR, и все, что написано вокруг GDPR, от руководящих указаний Рабочей группы по статье 29 до рекомендаций надзорных органов, — это контролер и процессор.

Контроллер или контроллер данных — это просто организация (юридическое лицо, агентство, государственный орган и т. Д.) или физическое лицо, которое самостоятельно или в зависимости от организации и деятельности по обработке персональных данных в сотрудничестве с другими определяет, какие потребности происходит с персональными данными (а также собирает персональные данные) и, очевидно, играет ключевую роль в защите персональных данных.

Определение процессора данных и различных процессоров данных

Обработчик или обработчик данных — это лицо или организация, которые обрабатывают персональные данные в соответствии с инструкциями контролера для конкретных целей и услуг, предлагаемых контроллеру, которые включают обработку персональных данных (помня, что обработка может быть действительно многим в соответствии с GDPR)

Формальное определение процессора, которое вы можете прочитать в статьях GDPR (статья 4 GDPR) :

Обработчик означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера.

Согласно GDPR, у контролера и обработчика данных много схожих обязанностей, и они должны придерживаться многих схожих принципов. По сравнению с предшественником GDPR не так много изменилось в том, что такое процессор данных.

Основное отличие, однако, заключается в том, что GDPR имеет совершенно иную позицию в отношении обработчиков данных, в соответствии с которыми у них есть обязанности и ответственность, которые напрямую применимы и могут быть непосредственно обеспечены, а соблюдение GDPR является общим обязательством, как вы обнаружите.

Кроме того, обработчики данных должны помогать контролерам в различных обстоятельствах, где это уместно, например, в уведомлении о потенциальном нарушении личных данных или при рассмотрении оценки воздействия на защиту данных (дополнительные примеры ниже) .

И принципы статьи 5 GDPR в отношении обработки персональных данных применимы к обработчикам данных так же, как и к контролерам данных.

Некоторые примеры процессоров данных:
  • Отдел кадров вашей организации (контролер) располагает методами обработки личных данных кандидатов и сотрудников, которые необходимо защитить и использовать.Некоторые из этих действий по обработке данных HR (или все они или что-то среднее между ними) могут быть переданы на аутсорсинг. Компания, которой вы передаете на аутсорсинг, является переработчиком.
  • Ваша маркетинговая команда обрабатывает персональные данные потенциальных и существующих клиентов. Когда он работает с компанией или агентством электронного маркетинга, например, которые используют эти данные для кампаний, последние являются обработчиками.
  • Возможно, вы передали на аутсорсинг деятельность входящего контакт-центра своей организации или время от времени использовали колл-центр, когда вы хотите, чтобы люди могли звонить по определенному номеру в рамках кампании на телевидении и так далее.Контакт-центр затем становится процессором, собирающим информацию от людей, которые звонят — субъектов данных.

Конечно, существует гораздо больше потенциальных примеров, и часто процессоры будут работать с другими процессорами (подпроцессоры), несколько контроллеров будут работать с одним процессором, вы можете использовать несколько процессоров для одной задачи (например, несколько фирм по доставке посылок, если вы много продаете онлайн) и пр. Возможно, ваше маркетинговое агентство работает с партнерами для решения конкретных задач, при этом эти партнеры также обрабатывают личные данные и, таким образом, становятся обработчиками.

Обработчик никогда не владеет личными данными. То же самое касается контролера, который не владеет личными данными своих клиентов, потенциальных клиентов, сотрудников и т. Д. Личные данные принадлежат физическому лицу.

Тем не менее, контролер отвечает за то, как и почему используются личные данные, если это, конечно, происходит в соответствии с GDPR.

Если в качестве основания для законной обработки выбрано согласие, применяются все правила, касающиеся согласия. На практике, в зависимости от типа деятельности по обработке персональных данных, организации работают с несколькими методами законной обработки и с несколькими процессами и обработчиками.

Сложность обработки данных

Понятно, что контроллер несет ответственность за процессоры, с которыми он работает. (если вы знаете, что они не соответствуют правилам GDPR, вы можете рассмотреть других партнеров) , но процессор также может удерживаться несет ответственность вместе с контролером или другими обработчиками в случае нарушения GDPR, которое может привести к штрафам GDPR.

Как контроллеры, так и обработчики имеют свои обязанности в отношении клиентов, надзорных органов и т. Д. В области защиты персональных данных, GDPR и не только.Вот почему существуют контракты.

Звучит просто, но может быть сложно. Среди множества причин это может быть сложная:

  • реальность организации с несколькими отделами, задачами, обработчиками, партнерами и т. Д.,
  • факт, что процессоры могут находиться далеко за пределами ЕС,
  • тот факт, что определение обработки значительно расширилось в соответствии с GDPR (это практически все, что вы можете себе представить в отношении личных данных, включая хранение) ,
  • определение персональных данных расширено,
  • есть особые категории данных,
  • идентифицируемость важна (некоторые процессоры будут иметь конкретные данные, позволяющие идентифицировать человека; известные как идентификаторы или личная информация или PII; другие процессоры будут иметь другие данные или их сочетания) и, как упоминалось,
  • изменился акцент на обработчиков данных, а также их обязанности и ответственность.

Подумайте еще раз об этом примере логистики: также водитель, который доставляет посылки и по определению несет личные данные, такие как имя, адрес и т. Д. Клиентов, которые ждут свои посылки, — это (нанятый) обработчиком, если только компания выполняет свои собственные заказы, которые, вероятно, имеют больше данных об этих клиентах, чем водитель и так далее. Чем больше у вас данных и идентификаторов, тем выше риски. Тем не менее, все процессоры являются ключевыми в полной цепочке.

Обязанности обработчика данных — основные статьи GDPR

Общие обязанности обработчиков персональных данных разъясняются в статье 28 GDPR. Тем не менее, первый абзац на самом деле является обязанностью контролера в отношении ответственности и, как уже упоминалось, необходимости тщательного выбора обработчиков.

Проще говоря, контролеры должны убедиться, что они работают с обработчиками, которые предлагают достаточно гарантий относительно их фактической способности обрабатывать персональные данные в соответствии с GDPR и защиты прав субъекта данных.Или наоборот: процессоры должны соответствовать GDPR.

Обработчик данных не может подключать других обработчиков данных, если….

Процессор данных также не может подключать другой процессор без четкого разрешения от (и, следовательно, обязанности по уведомлению) контроллера.

Итак, если вы передали на аутсорсинг ряд задач, связанных с использованием личных данных, а компания, которой вы ее передали, слишком занята и нуждается в поиске другой компании для выполнения одной конкретной задачи (или считает, что это дешевле, как это часто бывает в очень многих компаниях). областях) , как контролер, вы должны это знать и утверждать.Это также происходит, когда есть (даже временное) изменение .

Обязанности обработчика данных вкратце — источник и полная статья LawInfographic.com — Jessica Lam

Контракт между контролером данных и обработчиком данных

Между обработчиком данных и контроллером данных также должен быть договор или какая-либо другая утвержденная правовая основа, которая не только оговаривает общий вид вещей, которые вы найдете в таком договоре, но также должна четко указывать предмет, продолжительность, характер и цель соответствующей обработки данных, а также тип персональных данных и категории субъектов данных, в дополнение к обязанностям и правам контролера.

Это, конечно же, далеко идущее и действенное решение для процессоров, особенно как

.
  • GDPR упоминает 8 обязанностей обработчика, которые должен содержать контракт, поэтому проверьте их все в статье 28, поскольку для такого контракта существует еще больше условий,
  • есть особые положения для переработчиков, которые сертифицированы (статья 42 GDPR и статья 43 GDPR) ,
  • Обязанность обработчиков — помогать контролерам в обеспечении безопасной обработки данных (статья 32 GDPR) , в случае, если может потребоваться уведомление об утечке персональных данных (статьи 33 и 34 GDPR) , проверяя, действительно ли DPIA (Оценка воздействия на защиту данных) может потребоваться (статья 35 GDPR, ) и, при необходимости, получить предварительную консультацию (статья 36 GDPR).

Процессоры (и субпроцессоры или любое лицо, работающее на процессоров) никогда не может обрабатывать персональные данные от имени контроллеров, за исключением случаев, когда у них есть четкие инструкции относительно обработки этих данных. Итак, никаких инициатив, когда у вас нет четкого мандата (статья 29 GDPR) .

Обработчики данных, учет и безопасная обработка

Обработчик данных также должен вести учет всех категорий операций по обработке, которые он выполнял от имени контролера, точно так же, как контролер должен это делать (статья 30 GDPR) .

Эта запись также должна содержать информацию, указанную в той же статье. Сюда входят имена и контактные данные всех контроллеров, с которыми работает процессор (в рамках обработки персональных данных, конечно) , самого обработчика данных, сотрудника по защите данных (если таковой имеется) , при возможных передачах личных данных в третью страну (часто происходит при аутсорсинге) и многое другое.

Как и в случае с контроллерами, обработчики также должны сотрудничать с надзорным органом по запросу (статья 31 GDPR) и принимать все меры для обеспечения достаточного уровня безопасности обработки (статья 32 GDPR) .

Обработчики данных и контроллеры: общие обязанности, общая ответственность

Как уже говорилось, принципы обработки персональных данных, изложенные в статье 5 GDPR, применимы как к обработчикам, так и к контролерам. Это касается многих других положений, касающихся задач, обязанностей и ответственности на нескольких уровнях.

Не воспринимайте обработчика данных просто как организацию, которая выполняет задачи по обработке данных ПОСЛЕ фактов или после того, как личные данные, необходимые для их обработки, становятся доступными обработчику.

Также и наоборот: обработчик данных часто является посредником между субъектом данных и контроллером данных. Если вы работаете с платформами и инструментами и (таким образом) партнеров, которые собирают персональные данные от субъектов данных в рамках своей работы, (например, онлайн-инструменты в рамках вашего веб-сайта, маркетинговые кампании, ранее упомянутый внешний контактный центр с входящим services, эта кадровая компания, когда она занимается подбором персонала, и любое кадровое агентство, которое вы решите использовать,) и т. д., обработчик данных должен следовать всем тем же правилам GDPR и предоставляет контроллеру данных данные и записи.

И последнее, но не менее важное: очевидно, что существуют также дополнительные правила в отношении конфиденциальных данных, дочерних элементов и прочего для процессоров. И в случае нарушения как контроллеры данных, так и обработчики данных де-факто часто несут ответственность, в зависимости от их роли в нарушении и многого другого. Но это совсем другое и очень индивидуальное дело.

Верхнее изображение: Shutterstock — Авторские права: SFIO CRACHO — Все остальные изображения являются собственностью их соответствующих владельцев. Хотя содержание этой статьи тщательно проверено, мы не несем ответственности за возможные ошибки и советуем вам обратиться за помощью в подготовке к GDPR.

Глоссарий по защите данных — University of Reading

Глоссарий по защите данных

Многие определения в этом глоссарии основаны на ключевых определениях Управления Комиссара по информации и выделены жирным шрифтом.Полные определения вместе с дополнительной информацией и полезными примерами можно найти на веб-странице с ключевыми определениями на веб-сайте Офиса Комиссара по информации. Дополнительная информация и сведения, относящиеся к Университету Рединга, выделены жирным шрифтом.

Согласие

Страница в разработке

Контроллер данных

Контроллер данных означает лицо, которое (самостоятельно, совместно или совместно с другими лицами) определяет цели и способ обработки любых персональных данных.

В случае Университета Рединга, Университет является контролером данных, поскольку он определяет цели и способ обработки любых персональных данных. Это включает ответственность за уничтожение данных, когда они больше не актуальны. Отдельные сотрудники или студенты, которые обрабатывают данные от имени Университета, являются пользователями данных. Персональные данные всегда должны обрабатываться в соответствии с Принципами защиты данных.

Обработчик данных

Обработчик данных в отношении персональных данных означает любое лицо (кроме сотрудника контроллера данных), которое обрабатывает данные от имени контроллера данных.

В случае Университета Рединга обработчиком данных является любое лицо или организация, которые обрабатывают данные или утилизируют конфиденциальные отходы от имени Университета.

Это очень часто распространяется на поставщиков программного обеспечения и услуг, которые использует Университет (Контроллер данных).

По закону мы обязаны иметь определенные обязательные условия в наших контрактах или соглашениях с этими поставщиками, регулирующие ответственность за безопасность данных.

Мы также обязаны проводить необходимую комплексную проверку этих поставщиков, чтобы гарантировать, что они могут защитить данные, которые они обрабатывают для нас.

Принципы защиты данных (DP)

Общий регламент по защите данных (GDPR) 2016 устанавливает принципы защиты данных. Таким образом, в них указано, что личные данные должны быть:

  • обрабатывается законно, справедливо и прозрачно,
  • собраны для определенных, явных и законных целей,
  • адекватно, актуально и ограничено тем, что необходимо,
  • точные и, при необходимости, актуальные,
  • хранятся в форме, позволяющей идентифицировать субъектов данных не дольше, чем это необходимо для целей, для которых эти данные обрабатываются, и
  • обрабатываются способом, обеспечивающим надлежащую безопасность личных данных.
  • Подотчетность занимает центральное место в GDPR. Контроллеры данных несут ответственность за соблюдение принципов и должны иметь возможность продемонстрировать это субъектам данных и регулирующему органу.

Более подробная информация представлена ​​на веб-сайте Управления Комиссара по информации.

Субъект данных

Субъект данных — физическое лицо, являющееся субъектом персональных данных.

Другими словами, субъект данных — это физическое лицо, о котором относятся определенные персональные данные.Закон не считает субъектом данных умершее лицо, которого нельзя идентифицировать или отличить от других.

Запрос на доступ к субъекту данных

См. Запрос на доступ к теме.

Уведомление о справедливой обработке (FPN)

Уведомления о добросовестной обработке — это «мелкий шрифт», который появляется в формах, которые иногда называют заявлениями о конфиденциальности или текстами коллекций. Они используются для информирования лица, от которого собираются личные данные, субъекта данных , о том, как их данные будут обрабатываться.

Руководство Управления Комиссара по информации по написанию уведомлений о добросовестной обработке данных приводится здесь.

Формы разрешений

См. Формы согласия.

Персональные данные

Персональные данные означают любую информацию, относящуюся к идентифицируемому лицу («субъекту данных»), которое может быть прямо или косвенно идентифицировано, в частности, посредством ссылки на идентификатор.

Это определение предусматривает широкий спектр личных идентификаторов, составляющих личные данные, включая имя, идентификационный номер, данные о местоположении или онлайн-идентификаторы.Персональные данные могут включать любые из следующих:

Имя

Дата рождения

Почтовый адрес (а) (включая почтовые индексы)

Контактный телефон (а)

Адрес электронной почты (es

Уникальные идентификаторы (включая: идентификационные номера студентов, идентификационные номера сотрудников, номера паспортов, номера NHS, номера национального страхования, ORCID, уникальные идентификационные номера участников исследования, уникальные идентификационные номера заявителей, регистрацию транспортного средства, номера водительских прав)

Изображения лиц, включая камеры видеонаблюдения, фото

Данные о местоположении (для включения любых данных GPS-слежения)

Онлайн-идентификаторы (для включения данных IP-адреса)

Экономические / финансовые данные (в отношении идентифицируемого физического лица)

Записи об образовании включая, но не ограничиваясь, записи, хранящиеся в университете и других образовательных учреждениях

Консультации

Пастырские записи, включая формы смягчающих обстоятельств

Дисциплинарный протокол

Учебная документация

Записи о трудоустройстве с резюме, ссылки

Гражданство / место жительства

Этническая принадлежность

Психическое здоровье (статус, условия медицинской документации, включая инвалидность)

Физическое здоровье (статус, состояние медицинской документации, включая инвалидность)

Диетические потребности

Сексуальная ориентация / Сексуальная жизнь

Генетические данные (включая данные ДНК)

Биометрические данные (например, изображение лица или данные отпечатков пальцев)

Политические взгляды

Членство в профсоюзе

Религиозные или философские убеждения

Судебные приговоры и преступления (включая предполагаемые правонарушения и обвинительные приговоры)

GDPR применяется как к автоматизированным персональным данным, так и к системам ручной регистрации, в которых персональные данные доступны в соответствии с определенными критериями.Это может включать в себя хронологически упорядоченные наборы ручных записей, содержащие личные данные.

Псевдонимизированные персональные данные — например, с ключом — также могут подпадать под определение персональных данных.

Заявление о конфиденциальности

См. Уведомление о справедливой обработке.

Обработка

«Обработка» означает любую операцию или набор операций, которые выполняются с персональными данными или с наборами персональных данных, независимо от того, используются ли автоматизированные средства, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультации, использование, раскрытие путем передачи, распространения или иного предоставления, согласования или комбинации, ограничения, стирания или уничтожения;

Получатель

Получатель в отношении персональных данных означает любое лицо, которому раскрываются данные, включая любое лицо (такое как сотрудник или агент контроллера данных, обработчик данных или сотрудник или агент обработчика данных), которому они раскрываются в процессе обработки данных для контроллера данных, но не включают в себя какое-либо лицо, для которого раскрытие информации было или может быть сделано в результате или с целью конкретного запроса этим лицом или от его имени. сделано при осуществлении любых полномочий, предоставленных законом.

Льготы по предупреждению преступности

Это исключения в Законе о защите данных (2018 г.), который позволяет организациям раскрывать личные данные, раскрытие которых является одной из «целей преступления и налогообложения», а именно:

  • Предупреждение или раскрытие преступлений
  • Задержание или преследование правонарушителей или
  • Начисление или взимание любого налога или пошлины или любого
    наложения аналогичного характера

и соблюдение обычных положений Закона о защите данных может нанести ущерб одной из этих целей.

Конфиденциальные личные данные

Конфиденциальные персональные данные (или данные особой категории в соответствии с GDPR) означают персональные данные, состоящие из информации о субъекте данных

(а) расовое или этническое происхождение,

(б) политические взгляды,

(в) религиозные или философские верования,

(d) член профсоюза (в значении Закона 1992 года о профсоюзах и трудовых отношениях (объединение)),

(д) генетические данные,

(е) биометрические данные,

(г) данные о здоровье,

(h) половая жизнь или сексуальная ориентация,

Конфиденциальные личные данные могут включать любые из следующих:

* Этническая принадлежность

* Психическое здоровье (статус, условия медицинской документации, включая инвалидность)

* Физическое здоровье (статус, состояние медицинской документации, включая инвалидность)

* Диетические требования

* Сексуальная ориентация / Сексуальная жизнь

* Генетические данные (включая данные ДНК)

* Биометрические данные (например, изображение лица или данные отпечатков пальцев)

* Политические взгляды

* Членство в профсоюзе

* Религиозные или философские убеждения

Subject Access Request (SAR)

«Субъектный доступ» — это право физического лица на доступ к относящимся к нему личным данным, которые хранятся в Университете.

Ваш запрос будет обрабатываться очень ограниченным числом сотрудников в группе IMPS под наблюдением сотрудника IMPS (защиты данных) университета, который будет обязан просматривать все запрашиваемые вами данные, включая данные о персонале, финансовом и профессиональном здоровье. записи. Отправляя запрос на доступ к теме, вы соглашаетесь с тем, что группе IMPS потребуется запросить и просмотреть данные о вас, чтобы оценить, что может быть раскрыто. Информация о третьих лицах, включая персонал, в некоторых случаях может быть скрыта.Все данные будут обрабатываться надежно и со строжайшей конфиденциальностью.

Офис IMPS обязан установить личность запрашивающего. Для удостоверения личности обычно требуется один документ, который включает удостоверение личности с фотографией и подпись, например, водительские права с фотографией или паспорт, а также текущий счет за коммунальные услуги или выписку из банка с указанием вашего имени и адреса. Запросы от внутренних сотрудников могут не требовать этого, и вы будете проинформированы о том, как сделать запрос, если это так.

Офис IMPS будет координировать сбор соответствующей информации. Университет будет соблюдать SAR как можно быстрее, но будет гарантировать, что ответ будет предоставлен в течение 1 календарного месяца с момента получения удостоверения личности, если нет веской причины для задержки. Законы о защите данных допускают продление до 2 месяцев для ответа на очень сложные запросы. Если вы можете четко описать искомые данные, это маловероятно. Мы также можем отклонить запросы, которые считаются явно необоснованными или чрезмерными, и оставляем за собой право взимать плату.В таких случаях причина отказа, задержки или любых подлежащих уплате сборов будет объяснена в письменной форме.

В случае университета запрос на предметный доступ (SAR) должен быть направлен сотруднику по защите данных через офис IMPS. SAR должен быть составлен в письменной форме с использованием соответствующей формы; вы можете загрузить форму запроса на доступ к теме в виде документа Word (1 МБ) или получить бумажные копии в офисе IMPS.

Если вам нужна информация о результатах экзаменов, обратитесь в экзаменационный офис.Сценарии экзамена освобождены от предметного доступа.

Третья сторона

Третья сторона в отношении персональных данных означает любое лицо, кроме —

(а) субъект данных,

(б) контроллер данных, или

(c) любой обработчик данных или другое лицо, уполномоченное обрабатывать данные для контроллера данных или процессора.

Выражение «третья сторона» не включает сотрудников или агентов контроллера данных или обработчика данных, которые рассматриваются как часть контроллера или обработчика данных.Обратите внимание, что «третья сторона» отличается от «получателя», который эффективно отделяет сотрудников / агентов контроллера / процессора данных от самого контроллера / процессора данных.

GDPR: что такое конфиденциальные личные данные?

GDPR (Общий регламент по защите данных) проводит различие между «личными данными» и «конфиденциальными личными данными».

В этом блоге мы рассмотрим разницу между этими терминами и начнем с повторения определения персональных данных в Регламенте:

«[Л] личные данные» означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»).

Другими словами, любая информация, явно относящаяся к конкретному человеку. При определенных обстоятельствах сюда может входить что угодно, от чьего-либо имени до его внешнего вида.

Мы подробно рассказали о личных данных и обстоятельствах, в которых они применяются к GDPR, в нашем предыдущем блоге, поэтому теперь мы сосредоточимся на конфиденциальных личных данных.

В самом базовом определении конфиденциальные данные — это особый набор «особых категорий», которые требуют дополнительной защиты.Эти категории:

  • Расовое или этническое происхождение;
  • Политические взгляды;
  • Религиозные или философские убеждения;
  • Членство в профсоюзе;
  • Генетические данные; и
  • Биометрические данные (обрабатываются для однозначной идентификации кого-либо).

Узнайте больше о GDPR в нашей бесплатной зеленой книге, Общий регламент ЕС по защите данных — Руководство по соответствию


Конфиденциальные личные данные следует хранить отдельно от других личных данных, предпочтительно в запираемом ящике или картотеке.

Как и в случае с личными данными в целом, их следует хранить на ноутбуках или портативных устройствах только в том случае, если файл был зашифрован и / или псевдонимизирован.

Псевдонимизация маскирует данные, заменяя идентифицирующую информацию искусственными идентификаторами. Хотя псевдонимизация играет ключевую роль в защите данных — она ​​упоминается в GDPR 15 раз — и может помочь защитить конфиденциальность и безопасность личных данных, она имеет свои ограничения, поэтому в GDPR также упоминается шифрование.

Шифрование также скрывает информацию, заменяя идентификаторы чем-то другим.Но в то время как псевдонимизация позволяет любому, у кого есть доступ к данным, просматривать часть набора данных, шифрование позволяет только утвержденным пользователям получить доступ к полному набору данных.

Псевдонимизация и шифрование могут использоваться одновременно или по отдельности.

Правила обработки конфиденциальных персональных данных

Как и следовало ожидать, существуют дополнительные правила при обработке конфиденциальных личных данных. Вы должны не только задокументировать законное основание для обработки в соответствии со статьей 6 GDPR, вы также должны документально подтвердить законное основание в соответствии со статьей 9.

Статья 6 гласит, что организации должны ссылаться на одно из следующих законных оснований:

  • Договор с физическим лицом : например, на поставку товаров или услуг, которые они запросили, или на выполнение обязательства по трудовому договору.
  • Соблюдение юридического обязательства : обработка данных для определенной цели является требованием закона.
  • Жизненно важные интересы : например, при обработке данных будет защищена чья-то физическая неприкосновенность или жизнь (либо субъект данных, либо кто-то еще).
  • Общедоступная задача : например, выполнение официальных функций или задач в общественных интересах. Обычно это касается государственных органов, таких как правительственные ведомства, школы и другие образовательные учреждения; больницы; и полиция.
  • Законные интересы : когда организация частного сектора имеет реальную и законную причину (включая коммерческую выгоду) для обработки персональных данных без согласия, при условии, что это не перевешивается негативными последствиями для прав и свобод человека.
  • Согласие : когда субъект данных соглашается на обработку, когда он представлен с четким объяснением личных данных, которые будут собираться, и того, для чего они будут использоваться.

Статья 9 гласит, что организации должны обрабатывать конфиденциальные персональные данные только в том случае, если организация:

  • Требуется информация для выполнять из задач и осуществлять e особые права субъекта данных в области занятости и законодательства о социальном обеспечении и социальной защите.
  • Получил e x явное согласие , более строгая форма согласия, в которой организации предоставляют дополнительную информацию и более четко разъясняют, как эти данные будут использоваться.
  • Требуется информация для защиты жизненно важных интересов (как в статье 6).
  • Имеет законный интерес для обработки информации (как в статье 6).
  • Использует информацию, которая явно обнародована субъектом данных
  • Требуется информация для установления, исполнения или защиты d судебных исков .
  • Требуется информация для выполнения публичной задачи (как в статье 6).
  • Использует информацию в целях профилактической медицины или медицины труда, здравоохранения социальной помощи или для проведения медицинской диагностики / оценки трудоспособности работника.
  • Требуется информация для выполнения задач в общественных интересах в области здравоохранения , таких как защита от серьезных трансграничных угроз здоровью или обеспечение высоких стандартов качества и безопасности здравоохранения.
  • Требуется информация для архивных целей в общественных интересах, для научных или исторических исследовательских целей или для статистических целей .

Следует ли использовать согласие?

Распространенное заблуждение относительно GDPR состоит в том, что все организации должны запрашивать согласие на обработку персональных данных. Как видно из приведенного выше списка, согласие — это только один из вариантов, а строгие правила в отношении того, как вы его получаете и поддерживаете, означают, что это, как правило, наименее предпочтительный вариант.

Есть также юридические сложности, когда вы полагаетесь на согласие. Например, предположим, что вам нужны чьи-то личные данные для выполнения контракта, но вы использовали согласие вместо положения о договорных обязательствах.

Если физическое лицо отзывает свое согласие, вы по закону обязаны удалить его записи из вашей базы данных. Однако вы не можете выполнить свои договорные требования без их информации, что поставит вас в безвыходную ситуацию.

Подобные нюансы распространены во всем GDPR, и любая организация, не потратившая время на тщательное изучение своих требований, может оказаться в затруднительном положении.Это может привести к длительному ущербу, от действий правоприменительных органов и штрафов регулирующих органов до плохой прессы и потери клиентов.

Что еще нужно знать?

Вы можете узнать больше о различиях между личными данными и конфиденциальными личными данными, пройдя наш сертифицированный самостоятельный онлайн-курс обучения GDPR Foundation.

Этот однодневный курс — идеальное введение в GDPR и требования, которым вы должны соответствовать.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *