Срок обработки персональных данных: Срок действия согласия на обработку персональных данных

Политика конфиденциальности ЦИАН (далее по тексту – «Политика») содержит информацию о том, как ЦИАН осуществляет обработку и защищает персональные данные.

1. Общие положения политики 

1.1. Настоящая Политика является неотъемлемой частью Пользовательского соглашения и Лицензионного договора, а также иных заключаемых с Пользователем  договоров в процессе пользования Сайтами Группы ЦИАН, когда это прямо предусмотрено их условиями.

1.2. Настоящая Политика действует в отношении всех персональных данных, которые ЦИАН может получить от Пользователя во время использования Сайтов и мобильных приложений группы ЦИАН.

1.3. ЦИАН не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайтах ЦИАН. На сайтах третьих лиц может быть собственная политика конфиденциальности и у Пользователя могут собираться или запрашиваться иные персональные данные.

1.4. Для конкретных услуг ЦИАН может публиковать дополнительные условия, дополняющие настоящую политику.

2.Состав и цели обработки персональных данных

2.1. Основной целью обработки персональных данных является выполнение обязательств перед Пользователем, предусмотренных Лицензионным соглашением ЦИАН и иными соглашениями по использованию сервисов Сайтов и мобильных приложений ЦИАН. Более подробная информация о целях обработки персональных данных и составе обрабатываемых данных приведена в Лицензионном соглашении ЦИАН и соответствующих соглашениях с Пользователем.

3. Принципы и способы обработки персональных данных

3.1. При обработке персональных данных ЦИАН руководствуется следующими принципами:

3.1.1. обеспечение законности целей и способов обработки персональных данных;

3.1.2. соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

3.1.3. соответствие объема и характера обрабатываемых персональных данных, а также способов обработки персональных данных целям обработки персональных данных;

3.1.4. отсутствие избыточных персональных данных по отношению к заявленным при сборе персональных данных целям;

3.1.5. обеспечение достоверности обрабатываемых персональных данных;

3.1.6. использование раздельных баз данных для несовместных целей обработки персональных данных.

3.2. Обработка персональных данных ЦИАН осуществляется как с использованием средств автоматизации, так и без использования средств автоматизации.

4. Правила обработки персональных данных

4.1. Персональные данные получаются непосредственно от Пользователей в процессе пользования Сайтами и мобильными приложениями ЦИАН. 

4.2. Сбор персональных данных осуществляется с использованием Сайтов группы ЦИАН, расположенных на территории Российской Федерации.

4.3. В случаях, предусмотренных процессами обработки персональных данных в ЦИАН, персональные данные могут быть переданы третьим лицам. Передача персональных данных третьим лицам может осуществляться с согласия Пользователя, а также в случаях, предусмотренных законодательством Российской Федерации, и на основании требований федеральных законов. Более подробная информация о третьих лицах, которым могут быть переданы персональные данные, а также об условиях , когда осуществляется передача персональных данных третьим лицам, приведена в Лицензионном соглашении, Договорах оферты и иных соглашениях, которые Пользователь принимает при обращении за услугами на Сайтах Группы ЦИАН.

4.4. Обработка персональных данных осуществляется в течение срока действия Лицензионного соглашения, иного Договора, соглашения по использованию сервисов Сайтов и мобильных приложений ЦИАН, и сроков, установленных законодательством Российской Федерации

5.Обеспечение безопасности персональных данных

5.1. ЦИАН принимает все необходимые меры защиты, в том числе предусмотренные законодательством Российской Федерации, направленными на обеспечение конфиденциальности и безопасности персональных данных. К применяемым в ЦИАН мерам защиты персональных данных в том числе относятся:

5.1.1. назначено лицо, ответственное за обеспечение безопасности персональных данных в ЦИАН;

5.1.2. определены актуальные угрозы безопасности персональных данных;

5.1.3. разработан и реализован комплекс мер защиты, обеспечивающий нейтрализацию актуальных угроз безопасности;

5.1.4. определены правила обеспечения безопасности персональных данных при их обработке;

5.1.5. осуществляется периодический контроль и оценка эффективности принимаемых мер защиты персональных данных.

6. Права Пользователей в отношении своих персональных данных

6.1. Пользователи в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» имеют право: 

6.1.1. запрашивать сведения о своих обрабатываемых в ЦИАН персональных данных, включая:

— подтверждение факта обработки персональных данных;

— правовые основания и цели обработки персональных данных;

— применяемые способы обработки персональных данных;

— полное наименование и место нахождения ЦИАН, сведения о третьих лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ЦИАН или на основании федерального закона;

— состав обрабатываемых персональных данных и источник их получения;

— сроки обработки персональных данных, в том числе сроки их хранения;

— порядок осуществления прав субъекта персональных данных, предусмотренных законодательством;

— информацию об осуществленной или о предполагаемой трансграничной передаче данных;

— наименование и адрес лица, осуществляющего обработку персональных данных по поручению ЦИАН, если обработка поручена или будет поручена такому лицу;

— иные сведения, предусмотренные законодательством;

6.1.2. требовать ознакомления с обрабатываемыми персональными данными;

6.1.3. требовать уточнения персональных данных, в случае если они являются неполными, устаревшими или неточными;

6.1.4. требовать блокирования персональных данных, в случае если они являются неполными, устаревшими или неточными, либо их обработка ЦИАН является неправомерной;

6.1.5. требовать уничтожения персональных данных, в случае если они являются незаконно полученными, либо, не являются необходимыми для заявленной цели обработки, либо, в случае отзыва согласия на обработку персональных данных.

6.1.6. требовать извещения ЦИАН всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

6.1.7. обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия ЦИАН при обработке и защите его персональных данных. 

7. Уточнение и уничтожение персональных данных

7.1. Уточнение персональных данных осуществляется Пользователем самостоятельно с использованием функций Сайтов и мобильных приложений. 

7.2. Персональные данные, обрабатываемые ЦИАН, подлежат уничтожению в следующих случаях: 

7.2.1. по достижении целей их обработки или в случае утраты необходимости в их достижении в срок, не превышающий тридцати дней с момента достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, иным соглашением между ЦИАН и субъектом персональных данных; 

7.2.2. в случае выявления неправомерной обработки персональных данных ЦИАН в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных; 

7.2.3. в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных, в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, иным соглашением между ЦИАН и субъектом персональных данных; 

7.2.4. в случае истечения срока хранения персональных данных, определяемого в соответствии с законодательством Российской Федерации и организационно-распорядительными документами ЦИАН; 

7.2.5. в случае предписания уполномоченного органа по защите прав субъектов персональных данных, Прокуратуры России или решения суда. 

7.3. Согласие на обработку персональных данных может быть отозвано Пользователем в любой момент. Для реализации права на отзыв Пользователь должен направить соответствующее обращение на адрес [email protected].

7.4. Отзыв согласия Пользователя на обработку персональных данных не может являться основанием для прекращения обработки при наличии у ЦИАН оснований, предусмотренных п. 2, 7, 10 части 1 ст. 6 Федерального закона от 27.07.2006 г.  № 152-ФЗ «О персональных данных».

7.5. В случае использования на Сайтах Группы Циан сервисов, содержащих технологию API Google (например, YouTube API Services), данные Пользователя обрабатываются также в соответствии с https://www.youtube.com/t/terms и https://policies.google.com/privacy.

Персональные данные — Общий регламент по защите данных (GDPR)

Термин «персональные данные» — это начало применения Общего регламента по защите данных (GDPR). Только если обработка данных касается личных данных, применяются Общие правила защиты данных. Термин определен в ст. 4 (1). Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.

Субъекты данных поддаются идентификации, если они могут быть прямо или косвенно идентифицированы, особенно посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или одну из нескольких специальных характеристик, которые выражают физические, физиологические, генетическая, ментальная, коммерческая, культурная или социальная идентичность этих физических лиц.На практике они также включают в себя все данные, которые каким-либо образом назначены или могут быть присвоены человеку. Например, телефон, кредитная карта или личный номер человека, данные учетной записи, номерной знак, внешний вид, номер клиента или адрес — все это личные данные.

Поскольку определение включает «любую информацию», следует предположить, что термин «личные данные» следует толковать как можно более широко. Это также предлагается в прецедентном праве Европейского суда, который также рассматривает менее явную информацию, такую ​​как записи рабочего времени, которые включают информацию о времени, когда сотрудник начинает и заканчивает свой рабочий день, а также перерывы или время, в которое не попадают в рабочее время, как личные данные.Кроме того, письменные ответы кандидата во время теста и любые замечания экзаменатора относительно этих ответов являются «личными данными», если кандидата можно теоретически идентифицировать. То же самое относится и к IP-адресам. Если у контролера есть законная возможность обязать поставщика передать дополнительную информацию, которая позволяет ему идентифицировать пользователя по IP-адресу, это также личные данные. Кроме того, необходимо отметить, что личные данные не обязательно должны быть объективными. Субъективная информация, такая как мнения, суждения или оценки, может быть личными данными.Таким образом, это включает оценку кредитоспособности человека или оценку выполнения работы работодателем.

И последнее, но не менее важное: в законе говорится, что информация для справки о персонале должна относиться к физическому лицу. Другими словами, защита данных не распространяется на информацию о юридических лицах, таких как корпорации, фонды и учреждения. Для физических лиц, с другой стороны, защита начинается и прекращается с дееспособностью. По сути, человек получает эту способность с рождением и теряет ее после смерти.Следовательно, данные должны быть присвоены идентифицированным или идентифицируемым живым лицам, чтобы считаться личными.

Помимо общих личных данных, необходимо учитывать прежде всего особые категории личных данных (также известные как конфиденциальные личные данные), которые имеют большое значение, поскольку они подлежат более высокому уровню защиты. Эти данные включают генетические, биометрические данные и данные о состоянии здоровья, а также личные данные, раскрывающие расовое и этническое происхождение, политические взгляды, религиозные или идеологические убеждения или членство в профсоюзах.

Внешние ссылки

Органы

• Европейский надзорный орган по защите данных ► Меры безопасности при обработке персональных данных (ссылка)
• Управление по защите данных Остров Мэн ► Знайте свои данные — нанесение на карту 5 Вт (Ссылка)
• Data Protection Authority UK ► Ключевые определения (Ссылка)
• Европейская комиссия ► Что такое личные данные? (Ссылка)
• Европейская комиссия ► Какие личные данные считаются конфиденциальными? (Ссылка)
• Публикации ЕС ► Справочник по европейскому законодательству о защите данных — Персональные данные, стр. 83 (Ссылка)

Экспертный вклад

• A&L Goodbody ► GDPR: Руководство для бизнеса — Определение личных и конфиденциальных данных, стр. 8 (Ссылка)
• Bird & Bird ► Конфиденциальные данные и законная обработка (Ссылка)

Условия обработки данных — английский

В связи с Услугами, предоставляемыми в соответствии с соглашением об обслуживании («Соглашение об обслуживании ») поставщиком услуг в качестве обработчика данных, являющимся Imprima или соответствующим Аффилированным лицом, которое является стороной Соглашения об оказании услуг (соответствующая сторона, именуемая как « Поставщик услуг ») Клиенту в качестве контроллера данных (« Клиент »), стороны договорились, что эти условия обработки данных («Условия ») должны применяться для выполнения обязательств по соблюдению, наложенных на Клиента. в соответствии с Законом о защите данных.Эти Условия должны быть включены в Соглашение о предоставлении услуг посредством ссылки.

, ПРОДОЛЖАЯ ПРЕДОСТАВЛЯТЬ ИЛИ ПОЛУЧАТЬ УСЛУГИ, В зависимости от обстоятельств, СТОРОНЫ СОГЛАШАЮТСЯ С НАСТОЯЩИМИ УСЛОВИЯМИ.

НАСТОЯЩИЙ ДОГОВОР о нижеследующем:

1. ОПРЕДЕЛЕНИЯ
   1. В настоящих Условиях слова, написанные с заглавной буквы, имеют значение, определенное в Соглашении о предоставлении услуг, если в настоящих Условиях прямо не указано иное ниже или в другом месте настоящих Условий:
      1. « Аффилированное лицо » означает любое лицо, которое напрямую или косвенно контролирует, контролируется или находится под общим контролем с стороной время от времени в течение Срока действия;
      2. «Закон о защите данных » означает законы о конфиденциальности данных, применимые к обработке в связи с Услугами, включая, где это применимо, Регламент (ЕС) 2016/679 с поправками или заменой любым последующим Регламентом, Директивой или другим правовой документ Европейского Союза, в том числе Общий регламент по защите данных или аналогичный закон, или применимые законы о конфиденциальности данных любой другой соответствующей юрисдикции;
      3. « Конечный пользователь » имеет значение, определенное в Соглашении о предоставлении услуг;
      4. « Services » означает услуги, описанные в Соглашении о предоставлении услуг и в разделе ниже;
      5. « Договорные положения » означают стандартные договорные положения Европейской комиссии о передаче персональных данных через границу, с поправками или заменой время от времени, или любой эквивалентный набор договорных положений, одобренный для использования в соответствии с Законом о защите данных; и
      6. « Персональные данные клиента » означает персональные данные, обрабатываемые нами в связи с Услугами, как описано ниже.В соответствии с пунктом 2.2 сюда могут входить личные данные Партнерской программы Клиента.
   2. Слова « субъект данных », « личные данные », « обработка » и их варианты, « контроллер » и « процессор » имеют значение, присвоенное им в Законе о защите данных. .
2. НАЗНАЧЕНИЕ
   1. Аффилированные лица и Конечные пользователи назначают Клиента для предоставления и управления различными услугами, включая Услуги, от их имени.Соответственно, Персональные данные Клиента могут содержать персональные данные, в отношении которых Аффилированные лица Клиента и Конечные пользователи являются контролерами. Клиент подтверждает, что он уполномочен сообщать Поставщику услуг любые инструкции или другие требования от имени Аффилированных лиц Клиента и Конечных пользователей в отношении обработки Персональных данных Клиента Поставщиком услуг в связи с Услугами.
   2. Поставщик услуг назначается Клиентом для обработки Персональных данных Клиента от имени Клиента и / или Аффилированных лиц Клиента и / или Конечных пользователей, в зависимости от обстоятельств, когда это необходимо для предоставления Услуг или по иной договоренности сторон. на письме.
3. ПРОДОЛЖИТЕЛЬНОСТЬ
   1. Настоящие Условия вступают в силу в более раннюю из следующих дат: (i) дата их исполнения или (ii) дата вступления в силу Соглашения о предоставлении услуг (« Дата вступления в силу ») и будет оставаться в полной силе и действовать до прекращения или истечения срока действия Соглашения о предоставлении услуг (« Срок »).
4. УСЛУГИ
   1. Поставщик услуг может выполнять обработку Персональных данных клиента, как описано ниже:
      1. Описание услуг: Облачные услуги VDR Data Room.
      2. Предмет обработки: Переработка в связи с предоставлением Услуг.
      3. Продолжительность обработки: В течение срока действия Соглашения о предоставлении услуг.
      4. Характер и цель обработки: размещение персональных данных в комнате данных и предоставление конечным пользователям доступа к персональным данным клиентов и их обработки в рамках Услуг.
      5. Тип персональных данных: данные о занятости, данные акционеров, данные клиентов, коммерческие данные, данные о продажах, финансовые данные и т. Д.
      6. Категории субъектов данных: персонал, консультанты, акционеры, клиенты и другие лица.
5. СОБЛЮДЕНИЕ ЗАЩИТЫ ДАННЫХ
   1. В отношении обработки Персональных данных Клиента в течение Срока, если иное не предусмотрено законом, Поставщик услуг соглашается:
      1. соблюдать Закон о защите данных в отношении их обработки Персональных данных Клиента;
      2. обрабатывает Персональные данные Клиента только в соответствии с требованиями, предъявляемыми к Услугам, в соответствии с документально оформленными законными инструкциями, которые Клиент разумно предоставляет в контексте Услуг время от времени, а также для внутренней бизнес-аналитики.Клиент гарантирует и постоянно заявляет, что его инструкции не приведут к нарушению закона Поставщиком услуг;
      3. сообщить Клиенту, если, по его мнению, инструкция нарушает Закон о защите данных;
      4. гарантировать, что весь персонал, уполномоченный Поставщиком услуг для обработки Персональных данных Клиента, взял на себя обязательство соблюдать конфиденциальность или находился под соответствующим установленным законом обязательством конфиденциальности;
      5. внедрить соответствующие технические и организационные меры для надлежащей защиты Персональных данных Клиента с учетом характера Персональных данных Клиента, которые должны быть защищены, и риска причинения вреда, который может возникнуть в результате любого нарушения безопасности (как определено ниже), как изложено в Соглашение о предоставлении услуг или соответствующие альтернативные меры и, как минимум, меры, изложенные в Приложении;
      6. незамедлительно информирует Клиента о любых запросах субъектов данных в соответствии с Законом о защите данных, а также о запросах регулирующих или правоохранительных органов, касающихся Персональных данных Клиента.Поставщик услуг может подтвердить каждый запрос доступа к данным. В случае согласования Поставщик услуг может за счет Клиента ответить на запрос на доступ к теме от имени Клиента;
      7. за счет Клиента предоставлять такую ​​помощь, которую Клиент может разумно потребовать для обеспечения соблюдения Клиентом Закона о защите данных в отношении безопасности данных, уведомлений о нарушениях данных, оценок воздействия на защиту данных и предварительных консультаций с компетентными надзорными органами, отвечающими за вопросы конфиденциальности и защиты данных;
      8. по выбору и за счет Клиента удалить или вернуть все Персональные данные Клиента Клиенту после окончания предоставления Услуг, а также удалить существующие копии всех Персональных данных Клиента, за исключением Персональных данных Клиента, заархивированных для непрерывности бизнеса и в целях аварийного восстановления, где это применимо, и анонимных Персональных данных Клиента, сохраняемых для законных деловых целей.Поставщик услуг может удалить или уничтожить любые Персональные данные Клиента, которые больше не нужны для соблюдения настоящих Условий; и
      9. за счет Клиента, предоставлять Клиенту информацию, разумно необходимую для демонстрации соблюдения Поставщиком услуг настоящих Условий и позволяя проводить аудиторские проверки независимой третьей стороной, по согласованию сторон.
   2. Клиент должен незамедлительно предоставить такую ​​помощь, как Поставщик услуг может разумно потребовать для соблюдения своих обязательств по обеспечению конфиденциальности и безопасности данных в соответствии с настоящими Условиями.
6. УВЕДОМЛЕНИЕ
   1. Поставщик услуг по запросу Клиента и за счет Клиента предоставит каждому субъекту данных стандартное уведомление о конфиденциальности Клиента, которое Клиент может разумно запрашивать время от времени в соответствии с Соглашением об обслуживании.
7. СУБПРОЦЕССОРЫ
   1. Поставщик услуг будет привлекать любых субподрядчиков, участвующих в обработке Персональных данных Клиента (каждый « Субпроцессор »), только с согласия Клиента, которое подлежит пункту 7.2, настоящим.
   2. При привлечении Субпроцессора Поставщик услуг:
      1. проведет разумную комплексную проверку;
      2. заключить договор на условиях, насколько это практически возможно, таких же, как и в настоящих Условиях, и который может включать в себя договорные положения для обеспечения надлежащих гарантий в отношении обработки Персональных данных Клиента; и
      3. информируют Клиента о любых предполагаемых изменениях, касающихся добавления или замены Вспомогательного процессора, время от времени. Если Клиент возражает против любого такого изменения на разумных основаниях, то, действуя добросовестно, стороны будут работать вместе, чтобы разрешить такое возражение.
8. ИНЦИДЕНТЫ БЕЗОПАСНОСТИ
   1. « Нарушение безопасности » означает нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Персональным данным Клиента, переданным, хранящимся или в противном случае обрабатывается.
   2. Поставщик услуг незамедлительно уведомит Клиента, если ему станет известно о каком-либо нарушении безопасности. По возможности Поставщик услуг будет предоставлять поэтапные уведомления.
   3. Поставщик услуг расследует Нарушение безопасности и примет разумные меры для выявления, предотвращения и смягчения последствий Нарушения безопасности, вызванного Поставщиком услуг. За счет Клиента Поставщик услуг предпримет такие дальнейшие действия, которые Клиент может обоснованно запросить для соблюдения Закона о защите данных.
   4. Клиент не может выпускать или публиковать какие-либо документы, сообщения, уведомления, пресс-релизы или отчеты о любом Нарушении безопасности без предварительного письменного разрешения Поставщика услуг; в таком одобрении не должно быть необоснованно отказано.
9. МЕЖДУНАРОДНАЯ ПЕРЕДАЧА ДАННЫХ
   1. Поставщик услуг гарантирует, что никакие Персональные данные Клиента не будут переданы ни одним из (9.1.1), ни (9.1.2) вариантов без явного предварительного письменного согласия Клиента, которое настоящим предоставляется с учетом пункта 9.2:
      1. Европейская экономическая зона; или
      2. на любую другую территорию, на которой наложены ограничения на передачу Персональных данных Клиента за границу в соответствии с Законом о защите данных.
   2. За счет Клиента Поставщик услуг предоставит такую ​​помощь, которую Клиент может разумно потребовать, чтобы гарантировать, что Договорные положения или другой применимый механизм передачи, такой как Рамочная программа обмена конфиденциальной информацией между ЕС и США, в отношении переводов из ЕС в США, существует для обеспечения надлежащего уровня защиты данных.
10. РАЗНОЕ
    1. Пункт и другие заголовки в настоящих Условиях предназначены только для удобства справки и не должны составлять часть или иным образом влиять на значение или толкование настоящих Условий.
    2. В соответствии с пунктом 3 ответственность любой из сторон в соответствии с настоящими Условиями подлежит исключениям и ограничениям ответственности в соответствии с Соглашением о предоставлении услуг.
    3. Ничто в настоящих Условиях не исключает и не ограничивает ответственность любой из сторон, которая не может быть ограничена или исключена применимым законодательством.В соответствии с предыдущим предложением, (i) настоящие Условия и Соглашение об оказании услуг составляют полное соглашение между сторонами, касающееся обработки Персональных данных Клиента в рамках Услуг, и заменяют собой все предыдущие соглашения, договоренности, переговоры и обсуждения сторон, касающихся к его предмету; и (ii) при заключении настоящих Условий ни одна из сторон не полагалась, и ни одна из сторон не будет иметь никаких прав или средств правовой защиты на основании каких-либо заявлений, заявлений или гарантий, сделанных по небрежности или невиновности, за исключением тех, которые прямо изложены в настоящих Условиях.
    4. Клиент обязуется оплатить Поставщику услуг в течение 15 дней с даты выставления счета любые расходы и издержки, включая, помимо прочего, разумные гонорары адвокатам и стоимость подготовки и отправки корреспонденции, понесенные Поставщиком услуг и / или его Аффилированными лицами в связи с выполнением обязанностей в Расходы Клиента в соответствии с настоящими Условиями.
    5. Если Клиент указывает, что Услуги больше не могут быть предоставлены в соответствии с Соглашением об оказании услуг, как это предусмотрено Поставщиком услуг, из-за запроса Клиента, полностью или частично, приостановить или прекратить действие любого контракта с Субпроцессором, приостановить или прекратить любую передачу Персональных данных Клиента, уничтожить или вернуть Клиенту все Персональные данные Клиента или приостановить или прекратить доступ к Персональным данным Клиента или аналогичный запрос, Поставщик услуг имеет право расторгнуть Соглашение о предоставлении услуг без каких-либо обязательств в любое время с немедленное или отсроченное вступление в силу путем письменного уведомления Клиента.После расторжения Соглашения о предоставлении услуг Поставщиком услуг или Клиентом по причинам, связанным с настоящими Условиями или соблюдением Закона о защите данных, все сборы за услуги, расходы и другие платежи в соответствии с Соглашением об оказании услуг должны быть немедленно уплачены Клиентом Поставщику услуг, рассчитанные как если Соглашение об оказании услуг было расторгнуто на законных основаниях для удобства Клиента в соответствии с его условиями.
    6. Все уведомления о расторжении договора или нарушении должны быть на английском языке в письменной форме и адресованы основному контактному лицу или юридическому отделу другой стороны.Уведомление будет рассматриваться как полученное при получении, подтвержденное действующей квитанцией или электронным журналом. Почтовые уведомления будут считаться полученными через 48 часов с даты отправки заказным письмом.
    7. Положения настоящих Условий отделяются друг от друга. Если какая-либо фраза, пункт или положение являются недействительными или не имеющими исковой силы полностью или частично, такая недействительность или неисполнимость затрагивает только такую ​​фразу, пункт или положение, а остальная часть настоящих Условий остается в полной силе.
    8. Любая из сторон может передать свои права и / или обязанности по настоящим Условиям своему правопреемнику в результате слияния, приобретения, продажи, реорганизации или ликвидации.
    9. Настоящие Условия регулируются английским законодательством, и стороны подчиняются исключительной юрисдикции английских судов в отношении любого спора (договорного или внедоговорного), касающегося настоящих Условий, за исключением того, что любая из сторон может обратиться в любой суд за судебным запретом или другим помощь для защиты своей собственности, прав интеллектуальной собственности или конфиденциальной информации.

ПРИЛОЖЕНИЕ — Меры безопасности

Поставщик услуг должен принять следующие минимальные меры, если это применимо.

• поддерживает сертификацию ISO 27001: 2013
• межсетевые экраны последнего поколения
• Контроль доступа пользователей с минимальными системными привилегиями с помощью идентификаторов пользователей и паролей с ограниченным сроком службы, в соответствующих случаях
• ограниченный удаленный доступ и многофакторная аутентификация для удаленного доступа
• в режиме реального времени защита антивирусное, антивирусное и антишпионское ПО
• соответствие инструкциям производителя оборудования и программного обеспечения
• разделение данных в зависимости от клиента и цели, где это необходимо
• регулярные обновления программного обеспечения
• безопасное удаление данных со списанных устройств
• 256-битное шифрование портативных устройств хранения данных и шифрования личных данных в пути
• Системы обнаружения и предотвращения вторжений;
• резервное копирование данных с регулярным тестированием
• процедуры обеспечения непрерывности бизнеса и аварийного восстановления
• проверка персонала
• контроль физического доступа с минимальными привилегиями
• соглашения о неразглашении для персонала
• обучение персонала вопросам конфиденциальности

Определение ключевых терминов | Уполномоченный по защите данных

Следующие термины, используемые в этом руководстве, имеют особое юридическое значение в соответствии с GDPR.Чтобы полностью понять свои права, прочтите следующий глоссарий ключевых терминов.

Персональные данные

Термин «персональные данные» означает любую информацию, касающуюся или касающуюся живого человека, который либо идентифицируется, либо может быть идентифицирован (такое лицо называется «субъектом данных»).

Физическое лицо может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор (например, IP-адрес) или на один или несколько факторов, специфичных для физического , физиологическая, генетическая, умственная, экономическая, культурная или социальная идентичность этого человека.

Обработка

Термин «обработка» относится к любой операции или набору операций, выполняемых с персональными данными. Обработка включает в себя хранение, сбор, извлечение, использование, объединение, стирание и уничтожение личных данных и может включать автоматические или ручные операции.

Комиссия по защите данных

«Комиссия по защите данных» была учреждена Законами о защите данных 1988–2018 годов («Законы о защите данных»). Согласно GDPR и Законам о защите данных, Комиссия отвечает за мониторинг применения GDPR в целях защиты прав и свобод людей в отношении обработки.В задачи Комиссии входит повышение осведомленности общественности и ее понимание рисков, правил, гарантий и прав в отношении обработки; рассмотрение жалоб, поданных субъектами данных; и сотрудничество (включая обмен информацией) с другими органами по защите данных в других странах-членах ЕС.

Контроллер данных

«Контроллер данных» относится к физическому лицу, компании или другому органу, который определяет цели и методы обработки персональных данных.

Процессор данных

«Обработчик данных» относится к физическому лицу, компании или другому органу, который обрабатывает персональные данные от имени контроллера данных.

Согласие

Некоторые виды обработки выполняются на основании вашего согласия. Согласно GDPR, согласие на обработку должно быть добровольным, конкретным и информированным. Вы не можете быть принуждены дать свое согласие, вам должны сообщить, для каких целей (целей) будут использоваться ваши данные, и вы должны показать свое согласие с помощью «заявления или четкого позитивного действия» (например, отметив поле).

Согласие — не единственное законное основание для обработки ваших личных данных.В статье 6 GDPR приводится полный список законных причин для обработки персональных данных:

1. Согласие.
2. Для выполнения договора.
3. Для того, чтобы организация выполняла юридические обязательства.
4. Если обработка персональных данных необходима для защиты жизненно важных интересов человека.
5. Если обработка персональных данных необходима для выполнения задачи, выполняемой в общественных интересах.
6. В законных интересах компании / организации (за исключением случаев, когда эти интересы противоречат интересам или правам и свободам человека или наносят им ущерб).*

* Важно отметить, что статья 6 (1) (f) предусматривает, что причина «законных интересов» недоступна государственным органам, в которых обработка осуществляется при выполнении их функций.

Профилирование

Профилирование — это любая автоматическая обработка личных данных, которая включает анализ или прогнозирование вашего поведения, привычек или интересов.

Особые категории персональных данных

Некоторые типы конфиденциальных персональных данных подлежат дополнительной защите в соответствии с GDPR.Они перечислены в статье 9 GDPR как «особые категории» персональных данных. К особым категориям относятся:

1. Персональные данные, раскрывающие расовое или этническое происхождение.
2. Политические взгляды.
3. Религиозные или философские убеждения.
4. Членство в профсоюзе.
5. Генетические и биометрические данные, обрабатываемые с целью однозначной идентификации физического лица.
6. Данные о здоровье.
7. Данные о сексуальной жизни или сексуальной ориентации физического лица.

Обработка этих специальных категорий запрещена, за исключением ограниченных обстоятельств, изложенных в статье 9 GDPR.

Сотрудник по защите данных (DPO)

GDPR требует, чтобы контроллеры данных и обработчики данных при определенных обстоятельствах назначали ответственного за защиту данных (DPO). Контроллер данных также может добровольно принять решение о назначении DPO.

GDPR: что такое личные данные?

Персональные данные лежат в основе Общего регламента защиты данных (GDPR).Однако многие люди до сих пор не знают, что именно означает «личные данные».

Не существует окончательного списка того, что является, а что нет, персональными данными, поэтому все сводится к правильной интерпретации определения GDPR:

«[Л] личные данные» означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»).

Другими словами, любая информация, явно относящаяся к конкретному человеку. Но насколько широко это применимо?

GDPR поясняет, что это применяется всякий раз, когда физическое лицо может быть идентифицировано, прямо или косвенно, «посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или на один или несколько факторов, специфичных для физического, физиологическая, генетическая, ментальная, экономическая, культурная или социальная идентичность этого физического лица.”

Очень много информации. В определенных обстоятельствах чьи-либо IP-адреса, цвет волос, работа или политические взгляды могут считаться личными данными.

Квалификатор «определенные обстоятельства» заслуживает особого внимания, потому что вопрос о том, считается ли информация личными данными, часто зависит от контекста, в котором она собирается.

Организации обычно собирают много разных типов информации о людях, и даже если одна часть данных никого не выделяет, она может стать актуальной наряду с другой информацией.

Например, контролер данных, который запрашивает информацию о людях, скачивающих продукты со своего веб-сайта, может попросить их указать свою профессию.

Это не относится к сфере персональных данных GDPR, потому что, по всей вероятности, должность не является уникальной для одного человека.

Точно так же организация может спросить, в какой компании они работают, что, опять же, не может быть использовано для идентификации кого-либо, если только он не является единственным сотрудником.

Однако во многих случаях эти фрагменты информации могут использоваться вместе, чтобы сузить число физических, живых людей до такой степени, чтобы вы могли разумно установить чью-либо личность.

Другими словами, если вы ссылаетесь на кого-то с определенным названием должности в конкретной организации, может быть только один человек, который подходит под это описание.

Конечно, это не всегда так. Например, знание того, что кто-то работает бариста в Starbucks, мало что сужает.

В этих случаях эти две части информации вместе не будут считаться личными данными. Однако маловероятно, что эта информация будет храниться без определенного идентификатора, такого как имя человека или номер платежной ведомости.

Вы можете подумать, что чье-то имя — это самый ясный пример личных данных; это буквально то, что определяет вас как вы . Но не всегда все так просто, как поясняет Управление комиссара по информации Великобритании:

«Само по себе имя Джон Смит не всегда может быть личными данными, потому что есть много людей с таким именем.

«Однако, если имя сочетается с другой информацией (например, адресом, местом работы или номером телефона), этого обычно будет достаточно для точной идентификации одного человека.”

Однако ICO также отмечает, что имена не обязательно нужны для идентификации кого-либо:

«Тот факт, что вы не знаете имени человека, не означает, что вы не можете идентифицировать [их]. Многие из нас не знают имен всех своих соседей, но мы все еще можем их опознать ».

См. Также:

Как мы уже объясняли, сложно сказать, соответствует ли определенная информация определению личных данных GDPR.

Тем не менее, компания облачных услуг Boxcryptor предоставляет список вещей, которые могут считаться персональными данными, либо сами по себе, либо в сочетании с дополнительной информацией:

• Биографические данные или текущая жизненная ситуация , включая даты рождения, номера социального страхования, номера телефонов и адреса электронной почты.
• Внешний вид, внешний вид и поведение , включая цвет глаз, вес и черты характера.
• Данные о рабочем месте и информация об образовании , включая зарплату, налоговую информацию и количество студентов.
• Частные и субъективные данные , включая религию, политические взгляды и данные геотрекинга.
• Здоровье, болезни и генетика , включая историю болезни, генетические данные и информацию об отпуске по болезни.

Если вы не уверены, является ли хранимая вами информация персональной, лучше проявить осторожность.

Это означает обеспечение того, чтобы обработка личных данных ограничивалась необходимостью, и хранить данные только до тех пор, пока они соответствуют своей цели.

Вам также следует настоятельно рассмотреть возможность псевдонимизации и / или шифрования информации, особенно если это особая категория личных данных.

Псевдонимизация маскирует данные, заменяя идентифицирующую информацию искусственными идентификаторами.

Несмотря на то, что псевдонимизация играет ключевую роль в защите данных — она ​​упоминается в GDPR 15 раз — и может помочь защитить конфиденциальность и безопасность личных данных, она имеет свои ограничения, поэтому в GDPR также упоминается шифрование.

Шифрование также скрывает информацию, заменяя идентификаторы чем-то другим. Но в то время как псевдонимизация позволяет любому, у кого есть доступ к данным, просматривать часть набора данных, шифрование позволяет только утвержденным пользователям получить доступ к полному набору данных.

Псевдонимизация и шифрование могут использоваться одновременно или по отдельности.

Тем, кто хочет постоянно получать советы о том, как управлять личными данными, которые они собирают, следует проконсультироваться с DPO (офицером по защите данных).

DPO — это независимый эксперт, нанятый для ознакомления организаций с их требованиями соответствия GDPR. Они отвечают за многие задачи, в том числе:

• Информирование и консультирование организации и ее сотрудников об их обязанностях;
• Мониторинг политик и процедур защиты данных организации;
• Рекомендации руководству, когда необходимы DPIA (оценка воздействия на защиту данных); и
• Выступает в качестве контактного лица между организацией и ее надзорным органом.

GDPR гласит, что определенные организации должны назначать DPO, но даже если вы не соответствуете этим критериям, в любом случае может быть очень полезно назначить его.

Вы можете узнать больше о требованиях вашей организации к защите данных, пройдя индивидуальный онлайн-курс сертифицированного фонда GDPR

Этот однодневный курс проводится опытным экспертом по защите данных и дает всестороннее введение в Регламент и его правила.

Идеально подходит для менеджеров, которые хотят понять, как Регламент влияет на их организацию, и сотрудников, отвечающих за соблюдение GDPR, и доступен в различных формах, включая онлайн и для самостоятельного обучения.

Версия этого блога была первоначально опубликована 17 февраля 2018 года.

Что такое процессор данных

Два термина, которые постоянно используются в тексте GDPR, и все, что написано вокруг GDPR, от руководящих указаний Рабочей группы по статье 29 до рекомендаций надзорных органов, — это контролер и процессор.

Контроллер или контроллер данных — это просто организация (юридическое лицо, агентство, государственный орган и т. Д.) или физическое лицо, которое самостоятельно или в зависимости от организации и деятельности по обработке персональных данных в сотрудничестве с другими определяет, какие потребности происходит с персональными данными (а также собирает персональные данные) и, очевидно, играет ключевую роль в защите персональных данных.

Обработчик или обработчик данных — это лицо или организация, которые обрабатывают персональные данные в соответствии с инструкциями контролера для конкретных целей и услуг, предлагаемых контроллеру, которые включают обработку персональных данных (помня, что обработка может быть действительно многим в соответствии с GDPR)

Формальное определение процессора, которое вы можете прочитать в статьях GDPR (статья 4 GDPR) :

Обработчик означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера.

Согласно GDPR, у контролера и обработчика данных много схожих обязанностей, и они должны придерживаться многих схожих принципов. По сравнению с предшественником GDPR не так много изменилось в том, что такое процессор данных.

Основное отличие, однако, заключается в том, что GDPR имеет совершенно иную позицию в отношении обработчиков данных, в соответствии с которыми у них есть обязанности и ответственность, которые напрямую применимы и могут быть непосредственно обеспечены, а соблюдение GDPR является общим обязательством, как вы обнаружите.

Кроме того, обработчики данных должны помогать контролерам в различных обстоятельствах, где это уместно, например, в уведомлении о потенциальном нарушении личных данных или при рассмотрении оценки воздействия на защиту данных (дополнительные примеры ниже) .

И принципы статьи 5 GDPR в отношении обработки персональных данных применимы к обработчикам данных так же, как и к контролерам данных.

• Отдел кадров вашей организации (контролер) располагает методами обработки личных данных кандидатов и сотрудников, которые необходимо защитить и использовать.Некоторые из этих действий по обработке данных HR (или все они или что-то среднее между ними) могут быть переданы на аутсорсинг. Компания, которой вы передаете на аутсорсинг, является переработчиком.
• Ваша маркетинговая команда обрабатывает персональные данные потенциальных и существующих клиентов. Когда он работает с компанией или агентством электронного маркетинга, например, которые используют эти данные для кампаний, последние являются обработчиками.
• Возможно, вы передали на аутсорсинг деятельность входящего контакт-центра своей организации или время от времени использовали колл-центр, когда вы хотите, чтобы люди могли звонить по определенному номеру в рамках кампании на телевидении и так далее.Контакт-центр затем становится процессором, собирающим информацию от людей, которые звонят — субъектов данных.

Конечно, существует гораздо больше потенциальных примеров, и часто процессоры будут работать с другими процессорами (подпроцессоры), несколько контроллеров будут работать с одним процессором, вы можете использовать несколько процессоров для одной задачи (например, несколько фирм по доставке посылок, если вы много продаете онлайн) и пр. Возможно, ваше маркетинговое агентство работает с партнерами для решения конкретных задач, при этом эти партнеры также обрабатывают личные данные и, таким образом, становятся обработчиками.

Обработчик никогда не владеет личными данными. То же самое касается контролера, который не владеет личными данными своих клиентов, потенциальных клиентов, сотрудников и т. Д. Личные данные принадлежат физическому лицу.

Тем не менее, контролер отвечает за то, как и почему используются личные данные, если это, конечно, происходит в соответствии с GDPR.

Если в качестве основания для законной обработки выбрано согласие, применяются все правила, касающиеся согласия. На практике, в зависимости от типа деятельности по обработке персональных данных, организации работают с несколькими методами законной обработки и с несколькими процессами и обработчиками.

Понятно, что контроллер несет ответственность за процессоры, с которыми он работает. (если вы знаете, что они не соответствуют правилам GDPR, вы можете рассмотреть других партнеров) , но процессор также может удерживаться несет ответственность вместе с контролером или другими обработчиками в случае нарушения GDPR, которое может привести к штрафам GDPR.

Как контроллеры, так и обработчики имеют свои обязанности в отношении клиентов, надзорных органов и т. Д. В области защиты персональных данных, GDPR и не только.Вот почему существуют контракты.

Звучит просто, но может быть сложно. Среди множества причин это может быть сложная:

• реальность организации с несколькими отделами, задачами, обработчиками, партнерами и т. Д.,
• факт, что процессоры могут находиться далеко за пределами ЕС,
• тот факт, что определение обработки значительно расширилось в соответствии с GDPR (это практически все, что вы можете себе представить в отношении личных данных, включая хранение) ,
• определение персональных данных расширено,
• есть особые категории данных,
• идентифицируемость важна (некоторые процессоры будут иметь конкретные данные, позволяющие идентифицировать человека; известные как идентификаторы или личная информация или PII; другие процессоры будут иметь другие данные или их сочетания) и, как упоминалось,
• изменился акцент на обработчиков данных, а также их обязанности и ответственность.

Подумайте еще раз об этом примере логистики: также водитель, который доставляет посылки и по определению несет личные данные, такие как имя, адрес и т. Д. Клиентов, которые ждут свои посылки, — это (нанятый) обработчиком, если только компания выполняет свои собственные заказы, которые, вероятно, имеют больше данных об этих клиентах, чем водитель и так далее. Чем больше у вас данных и идентификаторов, тем выше риски. Тем не менее, все процессоры являются ключевыми в полной цепочке.

Общие обязанности обработчиков персональных данных разъясняются в статье 28 GDPR. Тем не менее, первый абзац на самом деле является обязанностью контролера в отношении ответственности и, как уже упоминалось, необходимости тщательного выбора обработчиков.

Проще говоря, контролеры должны убедиться, что они работают с обработчиками, которые предлагают достаточно гарантий относительно их фактической способности обрабатывать персональные данные в соответствии с GDPR и защиты прав субъекта данных.Или наоборот: процессоры должны соответствовать GDPR.

Процессор данных также не может подключать другой процессор без четкого разрешения от (и, следовательно, обязанности по уведомлению) контроллера.

Итак, если вы передали на аутсорсинг ряд задач, связанных с использованием личных данных, а компания, которой вы ее передали, слишком занята и нуждается в поиске другой компании для выполнения одной конкретной задачи (или считает, что это дешевле, как это часто бывает в очень многих компаниях). областях) , как контролер, вы должны это знать и утверждать.Это также происходит, когда есть (даже временное) изменение .

Между обработчиком данных и контроллером данных также должен быть договор или какая-либо другая утвержденная правовая основа, которая не только оговаривает общий вид вещей, которые вы найдете в таком договоре, но также должна четко указывать предмет, продолжительность, характер и цель соответствующей обработки данных, а также тип персональных данных и категории субъектов данных, в дополнение к обязанностям и правам контролера.

Это, конечно же, далеко идущее и действенное решение для процессоров, особенно как

• GDPR упоминает 8 обязанностей обработчика, которые должен содержать контракт, поэтому проверьте их все в статье 28, поскольку для такого контракта существует еще больше условий,
• есть особые положения для переработчиков, которые сертифицированы (статья 42 GDPR и статья 43 GDPR) ,
• Обязанность обработчиков — помогать контролерам в обеспечении безопасной обработки данных (статья 32 GDPR) , в случае, если может потребоваться уведомление об утечке персональных данных (статьи 33 и 34 GDPR) , проверяя, действительно ли DPIA (Оценка воздействия на защиту данных) может потребоваться (статья 35 GDPR, ) и, при необходимости, получить предварительную консультацию (статья 36 GDPR).

Процессоры (и субпроцессоры или любое лицо, работающее на процессоров) никогда не может обрабатывать персональные данные от имени контроллеров, за исключением случаев, когда у них есть четкие инструкции относительно обработки этих данных. Итак, никаких инициатив, когда у вас нет четкого мандата (статья 29 GDPR) .

Обработчик данных также должен вести учет всех категорий операций по обработке, которые он выполнял от имени контролера, точно так же, как контролер должен это делать (статья 30 GDPR) .

Эта запись также должна содержать информацию, указанную в той же статье. Сюда входят имена и контактные данные всех контроллеров, с которыми работает процессор (в рамках обработки персональных данных, конечно) , самого обработчика данных, сотрудника по защите данных (если таковой имеется) , при возможных передачах личных данных в третью страну (часто происходит при аутсорсинге) и многое другое.

Как и в случае с контроллерами, обработчики также должны сотрудничать с надзорным органом по запросу (статья 31 GDPR) и принимать все меры для обеспечения достаточного уровня безопасности обработки (статья 32 GDPR) .

Как уже говорилось, принципы обработки персональных данных, изложенные в статье 5 GDPR, применимы как к обработчикам, так и к контролерам. Это касается многих других положений, касающихся задач, обязанностей и ответственности на нескольких уровнях.

Не воспринимайте обработчика данных просто как организацию, которая выполняет задачи по обработке данных ПОСЛЕ фактов или после того, как личные данные, необходимые для их обработки, становятся доступными обработчику.

Также и наоборот: обработчик данных часто является посредником между субъектом данных и контроллером данных. Если вы работаете с платформами и инструментами и (таким образом) партнеров, которые собирают персональные данные от субъектов данных в рамках своей работы, (например, онлайн-инструменты в рамках вашего веб-сайта, маркетинговые кампании, ранее упомянутый внешний контактный центр с входящим services, эта кадровая компания, когда она занимается подбором персонала, и любое кадровое агентство, которое вы решите использовать,) и т. д., обработчик данных должен следовать всем тем же правилам GDPR и предоставляет контроллеру данных данные и записи.

И последнее, но не менее важное: очевидно, что существуют также дополнительные правила в отношении конфиденциальных данных, дочерних элементов и прочего для процессоров. И в случае нарушения как контроллеры данных, так и обработчики данных де-факто часто несут ответственность, в зависимости от их роли в нарушении и многого другого. Но это совсем другое и очень индивидуальное дело.

Верхнее изображение: Shutterstock — Авторские права: SFIO CRACHO — Все остальные изображения являются собственностью их соответствующих владельцев. Хотя содержание этой статьи тщательно проверено, мы не несем ответственности за возможные ошибки и советуем вам обратиться за помощью в подготовке к GDPR.

Глоссарий по защите данных — University of Reading

Глоссарий по защите данных

Многие определения в этом глоссарии основаны на ключевых определениях Управления Комиссара по информации и выделены жирным шрифтом.Полные определения вместе с дополнительной информацией и полезными примерами можно найти на веб-странице с ключевыми определениями на веб-сайте Офиса Комиссара по информации. Дополнительная информация и сведения, относящиеся к Университету Рединга, выделены жирным шрифтом.

Согласие

Страница в разработке

Контроллер данных

Контроллер данных означает лицо, которое (самостоятельно, совместно или совместно с другими лицами) определяет цели и способ обработки любых персональных данных.

В случае Университета Рединга, Университет является контролером данных, поскольку он определяет цели и способ обработки любых персональных данных. Это включает ответственность за уничтожение данных, когда они больше не актуальны. Отдельные сотрудники или студенты, которые обрабатывают данные от имени Университета, являются пользователями данных. Персональные данные всегда должны обрабатываться в соответствии с Принципами защиты данных.

Обработчик данных

Обработчик данных в отношении персональных данных означает любое лицо (кроме сотрудника контроллера данных), которое обрабатывает данные от имени контроллера данных.

В случае Университета Рединга обработчиком данных является любое лицо или организация, которые обрабатывают данные или утилизируют конфиденциальные отходы от имени Университета.

Это очень часто распространяется на поставщиков программного обеспечения и услуг, которые использует Университет (Контроллер данных).

По закону мы обязаны иметь определенные обязательные условия в наших контрактах или соглашениях с этими поставщиками, регулирующие ответственность за безопасность данных.

Мы также обязаны проводить необходимую комплексную проверку этих поставщиков, чтобы гарантировать, что они могут защитить данные, которые они обрабатывают для нас.

Принципы защиты данных (DP)

Общий регламент по защите данных (GDPR) 2016 устанавливает принципы защиты данных. Таким образом, в них указано, что личные данные должны быть:

• обрабатывается законно, справедливо и прозрачно,
• собраны для определенных, явных и законных целей,
• адекватно, актуально и ограничено тем, что необходимо,
• точные и, при необходимости, актуальные,
• хранятся в форме, позволяющей идентифицировать субъектов данных не дольше, чем это необходимо для целей, для которых эти данные обрабатываются, и
• обрабатываются способом, обеспечивающим надлежащую безопасность личных данных.
• Подотчетность занимает центральное место в GDPR. Контроллеры данных несут ответственность за соблюдение принципов и должны иметь возможность продемонстрировать это субъектам данных и регулирующему органу.

Более подробная информация представлена ​​на веб-сайте Управления Комиссара по информации.

Субъект данных

Субъект данных — физическое лицо, являющееся субъектом персональных данных.

Другими словами, субъект данных — это физическое лицо, о котором относятся определенные персональные данные.Закон не считает субъектом данных умершее лицо, которого нельзя идентифицировать или отличить от других.

Запрос на доступ к субъекту данных

См. Запрос на доступ к теме.

Уведомление о справедливой обработке (FPN)

Уведомления о добросовестной обработке — это «мелкий шрифт», который появляется в формах, которые иногда называют заявлениями о конфиденциальности или текстами коллекций. Они используются для информирования лица, от которого собираются личные данные, субъекта данных , о том, как их данные будут обрабатываться.

Руководство Управления Комиссара по информации по написанию уведомлений о добросовестной обработке данных приводится здесь.

Формы разрешений

См. Формы согласия.

Персональные данные

Персональные данные означают любую информацию, относящуюся к идентифицируемому лицу («субъекту данных»), которое может быть прямо или косвенно идентифицировано, в частности, посредством ссылки на идентификатор.

Это определение предусматривает широкий спектр личных идентификаторов, составляющих личные данные, включая имя, идентификационный номер, данные о местоположении или онлайн-идентификаторы.Персональные данные могут включать любые из следующих:

Имя

Дата рождения

Почтовый адрес (а) (включая почтовые индексы)

Контактный телефон (а)

Адрес электронной почты (es

Уникальные идентификаторы (включая: идентификационные номера студентов, идентификационные номера сотрудников, номера паспортов, номера NHS, номера национального страхования, ORCID, уникальные идентификационные номера участников исследования, уникальные идентификационные номера заявителей, регистрацию транспортного средства, номера водительских прав)

Изображения лиц, включая камеры видеонаблюдения, фото

Данные о местоположении (для включения любых данных GPS-слежения)

Онлайн-идентификаторы (для включения данных IP-адреса)

Экономические / финансовые данные (в отношении идентифицируемого физического лица)

Записи об образовании включая, но не ограничиваясь, записи, хранящиеся в университете и других образовательных учреждениях

Консультации

Пастырские записи, включая формы смягчающих обстоятельств

Дисциплинарный протокол

Учебная документация

Записи о трудоустройстве с резюме, ссылки

Гражданство / место жительства

Этническая принадлежность

Психическое здоровье (статус, условия медицинской документации, включая инвалидность)

Физическое здоровье (статус, состояние медицинской документации, включая инвалидность)

Диетические потребности

Сексуальная ориентация / Сексуальная жизнь

Генетические данные (включая данные ДНК)

Биометрические данные (например, изображение лица или данные отпечатков пальцев)

Политические взгляды

Членство в профсоюзе

Религиозные или философские убеждения

Судебные приговоры и преступления (включая предполагаемые правонарушения и обвинительные приговоры)

GDPR применяется как к автоматизированным персональным данным, так и к системам ручной регистрации, в которых персональные данные доступны в соответствии с определенными критериями.Это может включать в себя хронологически упорядоченные наборы ручных записей, содержащие личные данные.

Псевдонимизированные персональные данные — например, с ключом — также могут подпадать под определение персональных данных.

Заявление о конфиденциальности

См. Уведомление о справедливой обработке.

Обработка

«Обработка» означает любую операцию или набор операций, которые выполняются с персональными данными или с наборами персональных данных, независимо от того, используются ли автоматизированные средства, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультации, использование, раскрытие путем передачи, распространения или иного предоставления, согласования или комбинации, ограничения, стирания или уничтожения;

Получатель

Получатель в отношении персональных данных означает любое лицо, которому раскрываются данные, включая любое лицо (такое как сотрудник или агент контроллера данных, обработчик данных или сотрудник или агент обработчика данных), которому они раскрываются в процессе обработки данных для контроллера данных, но не включают в себя какое-либо лицо, для которого раскрытие информации было или может быть сделано в результате или с целью конкретного запроса этим лицом или от его имени. сделано при осуществлении любых полномочий, предоставленных законом.

Льготы по предупреждению преступности

Это исключения в Законе о защите данных (2018 г.), который позволяет организациям раскрывать личные данные, раскрытие которых является одной из «целей преступления и налогообложения», а именно:

• Предупреждение или раскрытие преступлений
• Задержание или преследование правонарушителей или
• Начисление или взимание любого налога или пошлины или любого
  наложения аналогичного характера

и соблюдение обычных положений Закона о защите данных может нанести ущерб одной из этих целей.

Конфиденциальные личные данные

Конфиденциальные персональные данные (или данные особой категории в соответствии с GDPR) означают персональные данные, состоящие из информации о субъекте данных —

(а) расовое или этническое происхождение,

(б) политические взгляды,

(в) религиозные или философские верования,

(d) член профсоюза (в значении Закона 1992 года о профсоюзах и трудовых отношениях (объединение)),

(д) генетические данные,

(е) биометрические данные,

(г) данные о здоровье,

(h) половая жизнь или сексуальная ориентация,

Конфиденциальные личные данные могут включать любые из следующих:

* Этническая принадлежность

* Психическое здоровье (статус, условия медицинской документации, включая инвалидность)

* Физическое здоровье (статус, состояние медицинской документации, включая инвалидность)

* Диетические требования

* Сексуальная ориентация / Сексуальная жизнь

* Генетические данные (включая данные ДНК)

* Биометрические данные (например, изображение лица или данные отпечатков пальцев)

* Политические взгляды

* Членство в профсоюзе

* Религиозные или философские убеждения

Subject Access Request (SAR)

В случае университета запрос на предметный доступ (SAR) должен быть направлен сотруднику по защите данных через офис IMPS. SAR должен быть составлен в письменной форме с использованием соответствующей формы; вы можете загрузить форму запроса на доступ к теме в виде документа Word (1 МБ) или получить бумажные копии в офисе IMPS.

Если вам нужна информация о результатах экзаменов, обратитесь в экзаменационный офис.Сценарии экзамена освобождены от предметного доступа.

Третья сторона

Третья сторона в отношении персональных данных означает любое лицо, кроме —

(а) субъект данных,

(б) контроллер данных, или

(c) любой обработчик данных или другое лицо, уполномоченное обрабатывать данные для контроллера данных или процессора.

Выражение «третья сторона» не включает сотрудников или агентов контроллера данных или обработчика данных, которые рассматриваются как часть контроллера или обработчика данных.Обратите внимание, что «третья сторона» отличается от «получателя», который эффективно отделяет сотрудников / агентов контроллера / процессора данных от самого контроллера / процессора данных.

GDPR: что такое конфиденциальные личные данные?

GDPR (Общий регламент по защите данных) проводит различие между «личными данными» и «конфиденциальными личными данными».

В этом блоге мы рассмотрим разницу между этими терминами и начнем с повторения определения персональных данных в Регламенте:

«[Л] личные данные» означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»).

Другими словами, любая информация, явно относящаяся к конкретному человеку. При определенных обстоятельствах сюда может входить что угодно, от чьего-либо имени до его внешнего вида.

Мы подробно рассказали о личных данных и обстоятельствах, в которых они применяются к GDPR, в нашем предыдущем блоге, поэтому теперь мы сосредоточимся на конфиденциальных личных данных.

В самом базовом определении конфиденциальные данные — это особый набор «особых категорий», которые требуют дополнительной защиты.Эти категории:

• Расовое или этническое происхождение;
• Политические взгляды;
• Религиозные или философские убеждения;
• Членство в профсоюзе;
• Генетические данные; и
• Биометрические данные (обрабатываются для однозначной идентификации кого-либо).

Узнайте больше о GDPR в нашей бесплатной зеленой книге, Общий регламент ЕС по защите данных — Руководство по соответствию

Конфиденциальные личные данные следует хранить отдельно от других личных данных, предпочтительно в запираемом ящике или картотеке.

Как и в случае с личными данными в целом, их следует хранить на ноутбуках или портативных устройствах только в том случае, если файл был зашифрован и / или псевдонимизирован.

Псевдонимизация маскирует данные, заменяя идентифицирующую информацию искусственными идентификаторами. Хотя псевдонимизация играет ключевую роль в защите данных — она ​​упоминается в GDPR 15 раз — и может помочь защитить конфиденциальность и безопасность личных данных, она имеет свои ограничения, поэтому в GDPR также упоминается шифрование.

Шифрование также скрывает информацию, заменяя идентификаторы чем-то другим.Но в то время как псевдонимизация позволяет любому, у кого есть доступ к данным, просматривать часть набора данных, шифрование позволяет только утвержденным пользователям получить доступ к полному набору данных.

Псевдонимизация и шифрование могут использоваться одновременно или по отдельности.

Как и следовало ожидать, существуют дополнительные правила при обработке конфиденциальных личных данных. Вы должны не только задокументировать законное основание для обработки в соответствии со статьей 6 GDPR, вы также должны документально подтвердить законное основание в соответствии со статьей 9.

Статья 6 гласит, что организации должны ссылаться на одно из следующих законных оснований:

• Договор с физическим лицом : например, на поставку товаров или услуг, которые они запросили, или на выполнение обязательства по трудовому договору.
• Соблюдение юридического обязательства : обработка данных для определенной цели является требованием закона.
• Жизненно важные интересы : например, при обработке данных будет защищена чья-то физическая неприкосновенность или жизнь (либо субъект данных, либо кто-то еще).
• Общедоступная задача : например, выполнение официальных функций или задач в общественных интересах. Обычно это касается государственных органов, таких как правительственные ведомства, школы и другие образовательные учреждения; больницы; и полиция.
• Законные интересы : когда организация частного сектора имеет реальную и законную причину (включая коммерческую выгоду) для обработки персональных данных без согласия, при условии, что это не перевешивается негативными последствиями для прав и свобод человека.
• Согласие : когда субъект данных соглашается на обработку, когда он представлен с четким объяснением личных данных, которые будут собираться, и того, для чего они будут использоваться.

Статья 9 гласит, что организации должны обрабатывать конфиденциальные персональные данные только в том случае, если организация:

• Требуется информация для выполнять из задач и осуществлять e особые права субъекта данных в области занятости и законодательства о социальном обеспечении и социальной защите.
• Получил e x явное согласие , более строгая форма согласия, в которой организации предоставляют дополнительную информацию и более четко разъясняют, как эти данные будут использоваться.
• Требуется информация для защиты жизненно важных интересов (как в статье 6).
• Имеет законный интерес для обработки информации (как в статье 6).
• Использует информацию, которая явно обнародована субъектом данных
• Требуется информация для установления, исполнения или защиты d судебных исков .
• Требуется информация для выполнения публичной задачи (как в статье 6).
• Использует информацию в целях профилактической медицины или медицины труда, здравоохранения социальной помощи или для проведения медицинской диагностики / оценки трудоспособности работника.
• Требуется информация для выполнения задач в общественных интересах в области здравоохранения , таких как защита от серьезных трансграничных угроз здоровью или обеспечение высоких стандартов качества и безопасности здравоохранения.
• Требуется информация для архивных целей в общественных интересах, для научных или исторических исследовательских целей или для статистических целей .

Распространенное заблуждение относительно GDPR состоит в том, что все организации должны запрашивать согласие на обработку персональных данных. Как видно из приведенного выше списка, согласие — это только один из вариантов, а строгие правила в отношении того, как вы его получаете и поддерживаете, означают, что это, как правило, наименее предпочтительный вариант.

Есть также юридические сложности, когда вы полагаетесь на согласие. Например, предположим, что вам нужны чьи-то личные данные для выполнения контракта, но вы использовали согласие вместо положения о договорных обязательствах.

Если физическое лицо отзывает свое согласие, вы по закону обязаны удалить его записи из вашей базы данных. Однако вы не можете выполнить свои договорные требования без их информации, что поставит вас в безвыходную ситуацию.

Подобные нюансы распространены во всем GDPR, и любая организация, не потратившая время на тщательное изучение своих требований, может оказаться в затруднительном положении.Это может привести к длительному ущербу, от действий правоприменительных органов и штрафов регулирующих органов до плохой прессы и потери клиентов.

Вы можете узнать больше о различиях между личными данными и конфиденциальными личными данными, пройдя наш сертифицированный самостоятельный онлайн-курс обучения GDPR Foundation.

Этот однодневный курс — идеальное введение в GDPR и требования, которым вы должны соответствовать.