Что должно содержать согласие на обработку персональных данных: Согласие на обработку персональных данных — Независимое театральное объединение "Зрительские симпатии"

Содержание

Согласие на обработку персональных данных

Физическое лицо (далее – «Субъект»), в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, дает свое согласие АО «Анкор» (юридический адрес: 109316, г. Москва, Остаповский проезд, дом 5 строение 12, этаж 2 офис 200) (далее – «Оператор») на обработку своих персональных данных. Принятием Согласия является предоставление своих персональных данных и простановка отметки о согласии с условиями данного документа на веб-странице(«галочки»).

Цель обработки	Подписка на новостную рассылку
Категории персональных данных	Имя; Адрес электронной почты
Действия, совершаемые в отношении персональных данных	Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ), блокирование, удаление, уничтожение
Способ обработки	Автоматизированный/ неавтоматизированный
Передача третьим лицам	Персональные данные Субъекта могут передаваться третьим лицам – юридическим лицам, входящим в Группу лиц Оператора¹.
Поручение третьим лицам	С целью поддержки информационных систем Оператора обработка персональных данных Субъекта может быть поручена ООО «ТимСервис» (111024, г. Москва, ш. Энтузиастов, д. 21, стр. 2)
Срок действия согласия	Согласие на обработку персональных данных действует до получения его отзыва.
Порядок отзыва согласия	Согласие Субъекта может быть отозвано по воле субъекта путем направления Заявления об отзыве Согласия Оператору. При этом Заявление должно содержать: Полные ФИО Соискателя, адрес электронной почты и номер мобильного телефона Цель (или цели) обработки персональных данных, для которой Субъект отзывает свое Согласие Заявление об отзыве согласия в письменном виде (на бумажном носителе) Субъект может передать (написать) офисе Оператора или направить в офис Почтой России. Заявление об отзыве согласия в электронном виде Соискатель может направить по эл. почте на адрес [email protected]. В случае отзыва согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г. В случае отзыва Согласия и отсутствия у Оператора оснований на обработку Оператор обязан прекратить обработку и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного заявления.

Политика в отношении обработки персональных данных

в отношении обработки персональных данных

1.

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая политика в отношении обработки персональных данных (далее – Политика) устанавливает основные положения в отношении обработки персональных данных пользователей сайта (далее – субъект персональных данных), собираемых оператором на принадлежащем ему сайте информационно-телекоммуникационной сети «Интернет» https://visa-russian.ru (далее – сайт).

1.2. Настоящая политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», иными нормативными правовыми актами Российской Федерации, регулирующими отношения в сфере обработки персональных данных.

1.3. Перечень персональных, подлежащих сбору обработке на сайте, устанавливается в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

1.4. Оператор руководствуется следующими основными принципами обработки персональных данных:

обработка персональных данных должна осуществляться на законной и справедливой основе;
обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей;
не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;

обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем по которому является субъект персональных данных;

обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

1.5. Обработка персональных данных осуществляется исключительно в целях оказания услуг, за которыми обращается субъект персональных данных на сайт оператора.

1.6. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя.

2. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Субъект персональных данных имеет право на получение следующих сведений (далее – сведения):

подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных его прав;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные действующим законодательством.

2.2. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2.3. Сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

2.4. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

2.5. В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом.

2.6. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения тридцати дней в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду должен содержать обоснование направления повторного запроса.

2.7. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2.8. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

2.9. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

2.10. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

2.11. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2.12. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

3. ОБЯЗАННОСТИ ОПЕРАТОРА

3.1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе сведения, указанные в пункте 2.1 настоящей Политики.

3.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

3.3. Если персональные данные получены не от субъекта персональных данных, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
цель обработки персональных данных и ее правовое основание;
предполагаемые пользователи персональных данных;
права субъекта персональных данных;
источник получения персональных данных.

Оператор освобождается от обязанности предоставить субъекту персональных указанную информацию в случаях, если:

субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
предоставление субъекту персональных данных указанной информации нарушает права и законные интересы третьих лиц.

3.4. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

3.5. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и настоящей Политикой.

3.6. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

3.7. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3.8. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

3.9. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва.

3.10. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пункте 3.9 настоящей Политики, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

4. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

4.2. Обеспечение безопасности персональных данных достигается:

определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учетом машинных носителей персональных данных;
обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

5.1. Контроль соблюдения настоящей Политики осуществляется соответствующим должностными лицами оператора.

5.2. Лица, виновные в нарушении требований настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.

5.3. Оператор вправе вносить изменений в настоящую Политику по мере необходимости или в силу изменения действующего законодательства. Все изменения подлежат немедленному опубликованию на сайте.

5.4. На сайте могут быть размещены ссылки на иные Интернет-ресурсы, не контролируемые оператором. Переход на указанные Интернет-ресурсы осуществляется исключительно волей субъекта персональных данных. Оператор не несет ответственности за конфиденциальность либо безопасность указанных Интернет-ресурсов.

5.5. Получение услуг на сайте осуществляется после ознакомления субъекта персональных данных с настоящей Политикой. Продолжая пользоваться сайтом и его услугами, субъект персональных данных подтверждает принятие настоящей Политики в полном объеме.

5.6. Вопросы в отношении настоящей Политики могут быть заданы по каналам связи, указанным на сайте.

Обработка персональных данных / Официальный сайт МБОУ «Школа №70»

Главная / Документы / Работа с персональными данными

1. Общие положения

Настоящая Политика разработана на основании Конституции РФ, Гражданского Кодекса РФ, Трудового Кодекса РФ, и в соответствии с требованиями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных», Постановления Правительства РФ от 21.03.2012 N 211″Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

Цель данной Политики – обеспечение прав граждан при обработке их персональных данных, и принятие мер от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных Субъектов.

Персональные данные могут обрабатываться только для целей, непосредственно связанных с деятельностью учреждения, в частности для:

предоставления образовательных услуг;
проведения олимпиад, консультационных семинаров; направление на обучение; направление работ сотрудников (учащихся, воспитанников) на конкурсы;
дистанционного обучения;
ведения электронного дневника и электронного журнала успеваемости (для школ, О(С)ОШ, интернатов;

«МБОУ «Школа №70»» собирает данные только в объеме, необходимом для достижения выше названных целей.

Передача третьим лицам, персональных данных без письменного согласия не допускаются.

Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.

Сотрудники, в обязанность которых входит обработка персональных данных Субъекта, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом, а также настоящей Политикой.

Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

Настоящая политика утверждается Директором МБОУ «Школа №70» и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным Субъекта.

2. Понятие и состав персональных данных

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее — Субъекту).

К персональным данным Субъекта, которые обрабатывает «Школа №70» относятся:

фамилия имя отчество;
адрес места жительства;
паспортные данные;
данные свидетельства о рождении;
контактный телефон;
результаты успеваемости и тестирования;
номер класса;
иная необходимая информация, которую субъект добровольно сообщают о себе для получения услуг предоставляемых МБОУ «Школа №70», если ее обработка не запрещена законом.

3. Принципы обработки персональных данных Субъекта

Обработка персональных данных – любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

МБОУ «Школа №70» ведет обработку персональных данных Субъекта с использованием средств автоматизации (автоматизированная обработка), и без использования таких средств (неавтоматизированная обработка).

Обработка персональных данных должна осуществляться на основе принципов:

законности целей и способов обработки персональных данных и добросовестности;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям МБОУ «Школа №70»;
соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
личной ответственности сотрудников МБОУ «Школа №70» за сохранность и конфиденциальность персональных данных, а также носителей этой информации.

4. Обязанности

В целях обеспечения прав и свобод человека и гражданина МБОУ «Школа №70» при обработке персональных данных Субъекта обязано соблюдать следующие общие требования:

обработка персональных данных Субъекта может осуществляться исключительно в целях оказания законных услуг Субъектам;
персональные данные Субъекта следует получать у него самого. Если персональные данные Субъекта, возможно, получить только у третьей стороны, то Субъекта должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудники МБОУ «Школа №70» должны сообщить Субъектам о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Субъекта дать письменное согласие на их получение;
МБОУ «Школа №70» не имеет права получать и обрабатывать персональные данные о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом. В частности, вправе обрабатывать указанные персональные данные Субъекта только с его письменного согласия;
предоставлять Субъекту или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя;
хранение и защита персональных данных Субъекта от неправомерного их использования или утраты обеспечивается МБОУ «Школа №70», за счет его средств в порядке, установленном действующим законодательством РФ;
в случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу Субъекта либо уполномоченного органа по защите прав субъектов персональных данных МБОУ «Школа №70» обязано осуществить блокирование персональных данных на период проверки;
в случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных Субъектом либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;
в случае достижения цели обработки персональных данных МБОУ «Школа №70» обязано незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней, и уведомить об этом Субъекта, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
в случае отзыва Субъектом согласия на обработку своих персональных данных МБОУ «Школа №70» обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней, если иное не предусмотрено соглашением между МБОУ «Школа №70» и Субъектом. Об уничтожении персональных данных МБОУ «Школа №70» обязан уведомить Субъекта;

5. Права Субъекта

Право на доступ к информации о самом себе.
Право на определение форм и способов обработки персональных данных.
Право на отзыв согласия на обработку персональных данных.
Право ограничивать способы и формы обработки персональных данных, запрет на распространение персональных данных без его согласия.
Право требовать изменение, уточнение, уничтожение информации о самом себе.
Право обжаловать неправомерные действия или бездействия по обработке персональных данных и требовать соответствующей компенсации в суде.
Право на дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения.
Право определять представителей для защиты своих персональных данных.
Право требовать от МБОУ «Школа №70» уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные Субъекта, обо всех произведенных в них изменениях или исключениях из них.

6. Доступ к персональным данным Субъекта

Персональные данные Субъекта могут быть предоставлены третьим лицам только с письменного согласия Субъекта.

Доступ Субъекта к своим персональным данным предоставляется при обращении либо при получении запроса Субъекта. МБОУ «Школа №70» обязано сообщить Клиенту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение тридцати рабочих дней с момента обращения или получения запроса.

Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Клиент имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных МБОУ «Школа №70», а также цель такой обработки;
способы обработки персональных данных, применяемые МБОУ «Школа №70»;
сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
перечень обрабатываемых персональных данных и источник их получения;
сроки обработки персональных данных, в том числе сроки их хранения;
сведения о том, какие юридические последствия для Клиента может повлечь за собой обработка его персональных данных.

Сведения о наличии персональных данных должны быть предоставлены Субъекта в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

Право Субъекта на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.

7. Защита персональных данных

Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.

Регламентация доступа персонала к документам и базам данных с персональными сведениями входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами компании. Для защиты персональных данных субъектов необходимо соблюдать ряд мер:

осуществление пропускного режима в служебные помещения;
назначение должностных лиц, допущенных к обработке ПД;
хранение ПД на бумажных носителях в охраняемых или запираемых помещениях, сейфах, шкафах;
наличие необходимых условий в помещении для работы с документами и базами данных с персональными сведениями;
в помещение, в котором находится вычислительная техника;
организация порядка уничтожения информации;
ознакомление работников, непосредственно осуществляющих обработку ПД, с требованиями законодательства РФ в сфере ПД, локальными актами оператора в сфере ПД и обучение указанных работников.
осуществление обработки ПД в автоматизированных информационных системах на рабочих местах с разграничением полномочий, ограничение доступа к рабочим местам, применение механизмов идентификации доступа по паролю и электронному ключу, средств криптозащиты;
осуществление внутреннего контроля соответствия обработки ПД требованиям законодательства.

Для защиты персональных данных создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур.

Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.

Для защиты персональных данных Субъектов необходимо соблюдать ряд мер:

порядок приема, учета и контроля деятельности посетителей;
технические средства охраны, сигнализации;
порядок охраны помещений, транспортных средств;
требования к защите информации, предъявляемые соответствующими нормативными документами.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

8. Ответственность за разглашение персональных данных и нарушение

МБОУ «Школа №70» ответственно за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность сотрудников за соблюдением, установленных в организации принципов уважения приватности.

Каждый сотрудник МБОУ «Школа №70», получающий для работы доступ к материальным носителям персональным данных, несет ответственность за сохранность носителя и конфиденциальность информации.

МБОУ «Школа №70» обязуется поддерживать систему приема, регистрации и контроля рассмотрения жалоб Субъектов, доступную как посредством использования Интернета, так и с помощью телефонной, телеграфной или почтовой связи.

Любое лицо может обратиться к сотруднику МБОУ «Школа №70» с жалобой на нарушение данной Политики. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в течение тридцати рабочих дней с момента поступления.

Сотрудники МБОУ «Школа №70» обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб Субъектов, а также содействовать исполнению требований компетентных органов. Лица, виновные в нарушении требований настоящей политики, привлекаются к дисциплинарной ответственности.

Внесены изменения в связи с переименованием
Утверждено на собрании трудового коллектива
Протокол № 01 от 27.

08. 2015 г.

«Утверждаю»
Директор МБОУ «Школа №70»
Г.Н.Лежнева
Приказ № 87 от 28.08.2015г.

Положение

о защите персональных данных сотрудников
МБОУ «Школа №70»

1 Общие положения

1.1. Целью данного Положения является защита персональных данных работников от несанкционированного доступа, неправомерного их использования или утраты.

1.2. Настоящее Положение разработано на основании статей Конституции РФ, Трудового Кодекса РФ, Федерального Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Кодекса об административных правонарушениях РФ, Гражданского Кодекса РФ, Уголовного Кодекса РФ, а также Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информатизации и защите информации».

1.3. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

1.4. Настоящее Положение утверждается и вводится в действие приказом Директора и является обязательным для ознакомления всеми работниками муниципального бюджетного общеобразовательного учреждения «Школа № 70» ( далее – Школа).

2 Понятие и состав персональных данных

2.1. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

2.2. В состав персональных данных работника входят данные, указанные в утвержденном Перечне персональных данных информационной системы персональных данных (ИСПДн) Школы.

2.3. Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения — соответствующий гриф ограничения на них не ставится.

3 Обработка персональных данных

3.1 Под обработкой персональных данных работника понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

3.2 В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

3.2.1 обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
3.2.2 при определении объема и содержания, обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами;
3.2.3 персональные данные следует получать у него самого. Если персональные данные работника, возможно, получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
3.2.4 работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни работника (информация о жизнедеятельности в сфере семейных, бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия;
3.2.5 работодатель не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.3 К обработке, передаче и хранению персональных данных работника могут иметь доступ сотрудники бухгалтерии.

3.4 Использование персональных данных возможно только в соответствии с целями, определившими их получение:

3.4.1 персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

3.5 Передача персональных данных работника третьим лицам возможна только с согласия работника или в случаях, прямо предусмотренных законодательством:

3.5.1 при передаче персональных данных работника работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций;
3.5.2 передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных;
3. 5.3 при передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.

3.6 Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.7 Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

3.8 Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

3.9 При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель учитывает личные качества работника, его добросовестный и эффективный труд.

4 Доступ к персональным данным

4.1 Внутренний доступ (доступ внутри организации): 4.1.1 право доступа к персональным данным имеют лица, указанные в утвержденном Списке пользователей ИСПДН Школы.

4.2 Внешний доступ:

4.2.1 к числу потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления;
- банки;
4.2.2 надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции;
4.2.3 организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения;
4. 2.4 другие организации.

Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только по письменному запросу на бланке организации с письменного согласия работника.

Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.

5 Защита персональных данных

5.1 Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

5.2 Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

5.3 Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.

5.4 Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

5.5 «Внутренняя защита»:

5.5.1 регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами организации;
5.5.2 для обеспечения внутренней защиты персональных данных работников предусматривается:
- назначение должностных лиц, допущенных к обработке ПД;
- хранение ПД на бумажных носителях в охраняемых или запираемых помещениях, сейфах, шкафах;
- наличие необходимых условий в помещении для работы с документами и базами данных с персональными сведениями;
- организация порядка уничтожения информации;
- ознакомление работников, непосредственно осуществляющих обработку ПД, с требованиями законодательства РФ в сфере ПД, локальными актами оператора в сфере ПД и обучение указанных работников.
- осуществление обработки ПД в автоматизированных информационных системах на рабочих местах с разграничением полномочий, ограничение доступа к рабочим местам, применение механизмов идентификации доступа по паролю и электронному ключу, средств криптозащиты;
- осуществление внутреннего контроля соответствия обработки ПД требованиям законодательства;
- не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только Директору, и в исключительных случаях, по письменному разрешению Директора, — начальникам отделов (например, при подготовке материалов для аттестации работника).

5.6 «Внешняя защита»:

5.6.1 для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для несанкционированного доступа и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др. ;
5.6.2 под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала;
5.6.3 для обеспечения внешней защиты персональных данных сотрудников необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим организации;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений;
- требования к защите информации при интервьюировании и собеседованиях.

5.7 Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.

5.8 По возможности персональные данные обезличиваются.

6 Права и обязанности работника

6.1 В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:

требовать исключения или исправления неверных или неполных персональных данных.
на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;
определять своих представителей для защиты своих персональных данных;
на сохранение и защиту своей личной и семейной тайны.

6.2 Работник обязан:

передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ.
своевременно сообщать работодателю об изменении своих персональных данных
ставить работодателя в известность об изменении фамилии, имени, отчества, что получает отражение в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и пр.

6.3 В целях защиты частной жизни, личной и семейной тайны работники не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

7 Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

7.1 Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональных данных и обязательное условие обеспечения эффективности этой системы.

7.2 Сотрудники, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

7.3 Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

7.4 Каждый сотрудник организации, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

7.5 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами:

7.5.1 за неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания;
7.5.2 должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях;
7. 5.3 в соответствии с Гражданским Кодексом РФ лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников;
7.5.4 уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.

7.6 Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

ПАМЯТКА

Уважаемые родители!

В соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и вступлением его в силу, в целях защиты персональных данных, обрабатываемых в МБОУ «Школа № 70», родителям (законным представителям) обучающихся необходимо заполнить листы согласия на обработку персональных данных (далее – сокращенно — ПДн).

Сейчас в нашей школе собираются, хранятся и обрабатываются ПДн Ваших детей. Поэтому администрации школы необходимо сделать все, чтобы было соблюдено действующее законодательство в области защиты персональных данных.

Для этого школа должна получить от родителей каждого ученика согласие на обработку или передачу его персональных данных.

Информация о ребенке и его законных представителях в образовательном учреждении используется в образовательном и воспитательном процессах. Данные об обучающихся используются и передаются в медицинские учреждения (в поликлинику при прохождении медосмотра), в санитарно-эпидемиологическую службу (при возникновении нештатных ситуаций), охранные службы в экстренных ситуациях (пожар), в военкомат (при постановке юношей на воинский учет), в Управление образования и молодежной политики города Рязани (статистические отчетность по численности и успеваемости, организация и проведение Г(И)А в 9 и ЕГЭ в 11 классах, при проведении конкурсов и олимпиад и др).

Лист согласия заполняется родителем (законным представителем) ребенка и прикрепляется к личному делу обучающегося.

В соответствии со ст.9 от 27 июля 2006 г. № 152-ФЗ «О персональных данных» письменное согласие должно включать в себя:

1) фамилию, имя, отчество, номер основного документа (паспорта), удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) цель обработки персональных данных;
3) перечень персональных данных, на обработку которых дается согласие субъекта ПДн;
4) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн.
Например, в соответствии с п. 38 Порядка проведения Единого Государственного Экзамена проводится автоматизированное распределение участников ЕГЭ и организаторов по аудиториям. Если нет согласия на обработку персональных данных, то обучающиеся 11 классов будут отсутствовать в списках при распределении аудиторий и не будут внесены в Российскую базу данных выпускников, что приведет к невозможности участия в сдачи ЕГЭ (получение бланков, контрольно измерительных материалов). Участие в дистанционных конкурсах и олимпиадах (отправка заявки на участие по сети Интернет), выставление на сайте школы информации о победителях олимпиад и конкурсов и т.д.
5) срок, в течение которого действует согласие, а также порядок его отзыва.

Настоятельно просим дать своё согласие на обработку указанных в согласии ПДн.

Мы гарантируем, что такое согласие будет храниться в школе, его содержание будет недоступно другим, действие согласия будет распространяться только на нашу школу. Любой другой оператор ПДн должен будет получать от Вас разрешение на обработку ПДн Ваших детей.

Просим отнестись с пониманием.
С уважением, администрация школы

Согласие на обработку персональных данных при отклике на вакансию и (или) отправке резюме

Настоящим нажимая кнопку «Оставить заявку», «Выберите файл» на сайте https://www.cds.spb.ru/ (далее — Сайт), в соответствии со статьей 9 Федерального закона «О персональных данных», Посетитель Сайта дает своей волей и в своем интересе согласие (далее — Согласие) ООО «ЦДС» (188689, Ленинградская область, Всеволожский р‐н, г. Кудрово, пр. Европейский, д.14, к.3, пом.11‐Н) (далее — Оператор)

на обработку персональных данных, которые будут сообщены Пользователем Сайта по собственной инициативе при отклике на вакансию и направлении резюме (далее — Персональные данные)

в целях рассмотрения вопроса о возможном трудоустройстве к Оператору и Третьим лицам, проведения собеседования для включения в кадровый резерв Оператора и Третьих лиц, проведения статистических исследований.

Посетитель Сайта дает согласие на осуществление следующих действий с персональными данными: сбор, запись, систематизация, накопление, анализ, использование, извлечение, распространение, в том числе и трансграничная передача, получение, обработку, хранение, уточнение (обновление, изменение), обезличивание, блокирование, удаление, уничтожение, путем ведения баз данных автоматизированным, неавтоматизированным способом.

Посетитель Сайта дает согласие на передачу в целях, указанных в настоящем согласии, своих персональных данных следующим третьим лицам:

ООО «Консалт‐недвижимость» (Россия, 197198, Санкт‐Петербург, проспект Добролюбова, дом 8, литер А, помещение 1‐Н, офис 600), ООО «Развитие» (Российская Федерация, 188660, Ленинградская область, Всеволожский район, поселок Бугры, улица Школьная, дом 11, корпус 2, помещение 26‐Н), ООО «ЛТС» (188660, Ленинградская обл, р‐н Всеволожский, п Бугры, ул Школьная, 11, корп 1, пом. 20‐Н) , ООО «Строй Прогресс» (188689, Ленинградская область, Всеволожский р‐н, г.Кудрово, пр. Европейский, д.14, к.3, пом.11‐Н), ООО «ПКБ «Строй‐Проект» (Россия, 197198, Санкт‐Петербург, проспект Добролюбова, дом 8, литер А), ООО «УК «ЦДС» (Россия, 197198, Санкт‐Петербург, проспект Добролюбова, дом 8, литер А), ООО «КЦ «ЦДС» (Россия, 197198, Санкт‐Петербург, проспект Добролюбова, дом 8, литер А) (далее — Третьи лица).

Посетитель Сайта выражает согласие и разрешает в целях, указанных настоящем согласии, использовать любые средства связи, в том числе: интернет; сообщения на адрес электронной почты; короткие текстовые сообщения (SMS) и мультимедийные сообщения (MMS) на номер телефона; а также посредством использования информационно‐коммуникационных сервисов, таких как Viber, WhatsApp и тому подобных; телефонных звонков.

Посетитель Сайта выражает согласие и разрешает Оператору и Третьим лицам объединять персональные данные в информационную систему персональных данных и обрабатывать персональные данные с помощью средств автоматизации либо без использования средств автоматизации.

Требование о предоставлении данных о наличии либо отсутствии персональных данных, условиях их использования, об исключении или исправлении (дополнении) неверных или неполных персональных данных, а также об отзыве настоящего согласия может быть направлено в виде соответствующего письменного заявления. Заявление должно содержать Ф.И.О., номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие факт обработки персональных данных Оператором, номер телефона, адрес электронной почты, дату составления требования и собственноручную подпись заявителя.

Настоящее согласие действует до момента его отзыва.

В случае отзыва согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных».

Посетитель Сайта понимает и соглашается с тем, что предоставление Оператору какой‐либо информации о себе, не являющейся контактной и не относящейся к целям, обозначенным Оператором, а ровно предоставление информации, относящейся к государственной, банковской и/или коммерческой тайне, информации о расовой и/или национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, а также иные сведений, касающихся личной жизни Посетителя Сайта или иного третьего лица запрещено.

Политика обработки персональных данных

Политика в отношении обработки персональных данных

1. Общие положения

Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ООО «Люкс Смайл» (далее – Оператор).

1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://luxsmile30.ru/.

2. Основные понятия, используемые в Политике

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://luxsmile30. ru/.
2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.
2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.
2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://luxsmile30.ru/.
2.9. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее — персональные данные, разрешенные для распространения).
2.10. Пользователь – любой посетитель веб-сайта https://luxsmile30.ru/.
2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

3. Основные права и обязанности Оператора

3.1. Оператор имеет право:
– получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
– в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;
– самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
3.2. Оператор обязан:
– предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
– организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
– отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
– сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса;
– публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
– принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
– прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;
– исполнять иные обязанности, предусмотренные Законом о персональных данных.

4. Основные права и обязанности субъектов персональных данных

4.1. Субъекты персональных данных имеют право:
– получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
– требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
– выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
– на отзыв согласия на обработку персональных данных;
– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
– на осуществление иных прав, предусмотренных законодательством РФ.

4.2. Субъекты персональных данных обязаны:
– предоставлять Оператору достоверные данные о себе;
– сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
4.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

5. Оператор может обрабатывать следующие персональные данные Пользователя

5.1. Фамилия, имя, отчество.
5.2. Номера телефонов.
5.3. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).
5.4. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.
5.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
5.6. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Закона о персональных данных, допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 Закона о персональных данных.
5.7. Согласие Пользователя на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Закона о персональных данных. Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
5.7.1 Согласие на обработку персональных данных, разрешенных для распространения, Пользователь предоставляет Оператору непосредственно.
5.7.2 Оператор обязан в срок не позднее трех рабочих дней с момента получения указанного согласия Пользователя опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.
5.7.3 Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.
5.7.4 Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Оператору требования, указанного в п. 5.7.3 настоящей Политики в отношении обработки персональных данных.

6. Принципы обработки персональных данных

6.1. Обработка персональных данных осуществляется на законной и справедливой основе.
6.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
6.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
6.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
6.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
6.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
6.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7. Цели обработки персональных данных

7.1. Цель обработки персональных данных Пользователя:
– информирование Пользователя посредством отправки электронных писем;
– заключение, исполнение и прекращение гражданско-правовых договоров;
– информирование об услугах, времени записи на прием в медицинское учреждение: в виде sms-сообщений, по e-mail и телефон.

7.2. Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты [email protected] с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».
7.3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.

8. Правовые основания обработки персональных данных

8.1. Правовыми основаниями обработки персональных данных Оператором являются:
– В соответствии со статьями 6, 9, 10 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
– федеральные законы, иные нормативно-правовые акты в сфере защиты персональных данных;
– согласия Пользователей на обработку их персональных данных, на обработку персональных данных, разрешенных для распространения.
8.2. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://luxsmile30.ru/ или направленные Оператору посредством электронной почты. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.
8.3. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).
8.4. Субъект персональных данных самостоятельно принимает решение о предоставлении его персональных данных и дает согласие свободно, своей волей и в своем интересе.

9. Условия обработки персональных данных

9.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
9.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
9.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.
9.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
9.5. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
9.6. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – общедоступные персональные данные).
9.7. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

10. Порядок сбора, хранения, передачи и других видов обработки персональных данных

Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
10.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
10.2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.
10.3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора [email protected] с пометкой «Актуализация персональных данных».
10.4. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством.
Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора [email protected] с пометкой «Отзыв согласия на обработку персональных данных».
10.5. Вся информация, которая собирается сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект персональных данных и/или Пользователь обязан самостоятельно своевременно ознакомиться с указанными документами. Оператор не несет ответственность за действия третьих лиц, в том числе указанных в настоящем пункте поставщиков услуг.
10.6. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.
10.7. Оператор при обработке персональных данных обеспечивает конфиденциальность персональных данных.
10.8. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
10.9. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.

11. Перечень действий, производимых Оператором с полученными персональными данными

11.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
11.2. Оператор осуществляет автоматизированную обработку персональных данных с получением и/или передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.

12. Трансграничная передача персональных данных

12.1. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
12.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.

13. Конфиденциальность персональных данных

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

14. Заключительные положения

14.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты [email protected].
14.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.
14.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://luxsmile30.ru/privacy/.

Согласие на обработку данных — Институт энергосбережения

Политика конфиденциальности

интернет-сайта в отношении обработки персональных данных в государственном бюджетном учреждении «Институт развития жилищно-коммунального хозяйства и энергосбережения им. Данилова» (скачать)

1. Общие положения

Настоящая политика конфиденциальности интернет-сайта в отношении обработки персональных данных (далее – Политика) разработана и применяется в государственном бюджетном учреждении «Институт развития жилищно-коммунального хозяйства и энергосбережения им. Данилова», (далее – Оператор) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), Федерального закона от 13.03.2006 № 38 ФЗ «О рекламе» и иными нормативными актами в области защиты персональных данных, действующими на территории Российской Федерации.

1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемыми Оператором.

1.2. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Настоящая Политика применяется в отношении всех персональных данных, которую Оператор может получить о посетителях веб-сайта https://ines ur.ru/.

2. Основные понятия, используемые в Политике

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://ines-ur.ru/.

2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.

2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.

2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.8. Субъект персональных данных – физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных.

2.9. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://ines-ur.ru/.

2.10. Персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее – персональные данные, разрешенные для распространения).

2.11. Пользователь – любой посетитель веб-сайта https://ines-ur.ru/.

2.12. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.13. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.14. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

2.15. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

3. Основные права и обязанности Оператора

3.1. Оператор имеет право:

– получать от субъекта персональных данных достоверную информацию и/или документы, содержащие персональные данные;

– в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;

– самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.

3.2. Оператор обязан:

– предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

– организовывать обработку персональных данных в порядке, установленном действующим законодательством Российской Федерации;

– отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;

– сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати календарных дней с даты получения такого запроса;

– публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;

– принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

– прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;

– исполнять иные обязанности, предусмотренные Законом о персональных данных.

4. Основные права и обязанности субъекта (ов) персональных данных

4.1. Субъекты персональных данных имеют право:

– получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, в которых не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

– требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

– на отзыв согласия на обработку персональных данных;

– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;

– на осуществление иных прав, предусмотренных законодательством Российской Федерации.

4.2. Субъекты персональных данных обязаны:

– предоставлять Оператору достоверные данные о себе;

– сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

4.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Российской Федерации.

5. Оператор может обрабатывать следующие персональные данные Пользователя

5.1. Фамилия, имя, отчество.

5.2. Электронный адрес.

5.3. Номера телефонов.

5.4. Название организации (место работы).

5.5. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).

5.6. Вышеперечисленные данные (далее по тексту Политики) объединены общим понятием Персональные данные.

5.7. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, Оператором не осуществляется.

5.8. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Закона о персональных данных, допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 Закона о персональных данных.

5.9. Согласие Пользователя на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Закона о персональных данных. Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.

5.9.1 Согласие на обработку персональных данных, разрешенных для распространения, Пользователь предоставляет Оператору путем проставления на Сайте в соответствующей форме отметки о согласии на обработку персональных данных. Давая данное согласие, Пользователь подтверждает, что действует по своей воле и в своем интересе, а также то, что указанные персональные данные являются достоверными.

5.9.2 Оператор обязан в срок не позднее трех рабочих дней с момента получения указанного согласия Пользователя опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.

5.9.3 Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.

5.9.4 Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Оператору требования, указанного в п. 5.9.3 настоящей Политики в отношении обработки персональных данных.

6. Принципы обработки персональных данных

6.1. Обработка персональных данных осуществляется на законной и справедливой основе.

6.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

6.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

6.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

6.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.

6.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных, или неточных данных.

6.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7. Цели обработки персональных данных

7.1. Цель обработки персональных данных Пользователя:

– информирование Пользователя посредством отправки электронных писем;

– заключение, исполнение и прекращение гражданско-правовых договоров;

– предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте https://ines-ur.ru/.

7.2. Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты ines- [email protected] с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».

7.3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.

8. Правовые основания обработки персональных данных

8.1. Правовыми основаниями обработки персональных данных Оператором являются:

– федеральные законы, иные нормативно-правовые акты в сфере защиты персональных данных;

– согласия Пользователей на обработку их персональных данных, на обработку персональных данных, разрешенных для распространения;

– уставные (учредительные) документы Оператора;

– договоры, заключаемые между оператором и субъектом персональных данных.

8.2. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://ines-ur.ru/ или направленные Оператору посредством электронной почты. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.

8.3. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).

8.4. Субъект персональных данных самостоятельно принимает решение о предоставлении его персональных данных и дает согласие свободно, своей волей и в своем интересе.

9. Условия обработки персональных данных

9.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

9.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

9.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

9.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

9.5. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

9.6. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – общедоступные персональные данные).

9.7. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

10. Порядок сбора, хранения, передачи и других видов обработки персональных данных

10.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.

10.2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.

10.3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора [email protected] с пометкой «Актуализация персональных данных».

10.4. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством.
Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора [email protected] с пометкой «Отзыв согласия на обработку персональных данных».

10.5. Вся информация, которая собирается сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект персональных данных и/или Пользователь обязан самостоятельно своевременно ознакомиться с указанными документами. Оператор не несет ответственность за действия третьих лиц, в том числе указанных в настоящем пункте поставщиков услуг.

10.6. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

10.7. Оператор при обработке персональных данных обеспечивает конфиденциальность персональных данных.

10.8. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

10.9. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.

11. Перечень действий, производимых Оператором с полученными персональными данными

11.2. Оператор осуществляет автоматизированную обработку персональных данных с получением и/или передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.

12. Трансграничная передача персональных данных

12.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.

13. Конфиденциальность персональных данных

13.1. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных.

14. Заключительные положения

14.2. В данный документ могут вноситься любые изменения и дополнения политики обработки персональных данных Оператором.

14.3. Политика действует бессрочно до замены ее новой версией.

14.4. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://ines-ur.ru/privacy/.

Согласие на обработку персональных данных



(Полное наименование оператора)

Приказ об утверждении формы Согласия на обработку персональных данных

Руководствуясь ст.6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

Утвердить прилагаемую форму Согласия на обработку персональных данных.

Ответственному за организацию обработки персональных данных :

— Обеспечить оформление Согласий со всеми субъектами персональных данных, обработка персональных данных которых должна осуществляться по их согласию.

Контроль за исполнением приказа оставляю за собой.


Руководитель
	(должность)		(личная подпись)		(расшифровка подписи)

на обработку персональных данных

Я, , даю согласие следующему лицу (“Оператор”):


Наименование оператора	Адрес регистрации

на обработку принадлежащих мне персональных данных.

разрешаю передачу персональных данных следующим лицам:

2.1.

организации, оказывающей Оператору услуги по ведению кадрового, налогового и бухгалтерского учета ( ) на . Цель и объем передаваемых персональных данных: персональные данные, обработка которых необходима для кадрового, налогового или бухгалтерского учета.

2.2.

Следующим лицам в целях . Срок действия согласия: . Перечень обрабатываемых персональных данных: .


Наименование третьего лица	Адрес регистрации	Цель передачи данных третьему лицу	Перечень персональных данных	Срок действия согласия

в целях разрешаю в течение обработку следующих персональных данных, отнесенных законодательством к категории специальных: .

в целях разрешаю в течение принятие следующих решений, затрагивающих мои права и интересы, на основании исключительно автоматизированной обработки персональных данных: . Осознаю, что указанное решение может повлечь для меня следующие последствия: . Информирован, что в случае принятия указанного решения я вправе заявить Оператору возражение в следующем порядке в следующие сроки: . Оператор обязан рассмотреть мое возражение в течение тридцати дней со дня его получения и уведомить меня о результатах его рассмотрения (п.4 ст. 16 Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных). Для принятия указанных выше решений разрешаю Оператору получать и обрабатывать персональные данные:

4.1.

полученные с помощью онлайн-сервиса . Перечень персональных данных: .

— на обработку следующих персональных данных: , в следующих целях: .

Обработка персональных данных включает в себя совершение следующих действий: .

Обработка персональных данных осуществляется без использования средств автоматизации.

Настоящее согласие может быть отозвано субъектом персональных данных досрочно тем же способом, которым было предоставлено. Независимо от способа предоставления согласия, оно может быть отозвано субъектом персональных данных следующими способами:

— путем предоставления Оператору собственноручно подписанного заявления об отзыве согласия заказным письмом с описью вложения по почтовому адресу Оператора (). Заявление должно содержать: ФИО, данные документа, удостоверяющего личность заявителя, дату составления заявления;

— путем предоставления Оператору заявления в электронной форме, подписанного усиленной квалифицированной электронной подписью заявителя, по электронной почте .

В случае отзыва Пользователем согласия на обработку персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленных законодательством.

Настоящее согласие оформлено в бумажной форме и подписано заявителем собственноручно.

Мне понятны порядок принятия затрагивающего мои права и интересы решения на основании исключительно автоматизированной обработки персональных данных, порядок заявления возражений против такого решения, порядок защиты своих прав и законных интересов.

_____________________________ / __________________________________________

(подпись) (расшифровка подписи)

GDPR: какую информацию я должен включить в форму информированного согласия, если обработка персональных данных основана на согласии субъектов данных?

Чтобы быть законным, обработка персональных данных должна основываться на одном из правовых оснований, предусмотренных в Общем регламенте защиты данных (GDPR) .

Если обработка персональных данных в рамках вашего исследовательского проекта основана на согласии субъекта данных в качестве правовой основы, это согласие должно соответствовать нескольким условиям .

1. Информирование субъектов данных

Вы должны проинформировать субъектов данных в понятной и легкодоступной форме и на ясном и простом языке о целях вашего исследования и о том, как будут обрабатываться их личные данные.

В совете по исследованию о том, как быть прозрачным для субъектов данных, вы найдете информацию и контрольный список для составления информационного письма.

2. Однозначное, свободное и конкретное согласие

Согласие должно быть недвусмысленным, бесплатным и конкретным , и вы должны сообщить субъектам данных о каждой цели, для которой данные обрабатываются.

Вы не можете использовать для этого предварительно отмеченные поля. Интерпретация отсутствия активности субъектов данных как дачи согласия также не допускается. В этих случаях это не «свободное» согласие.

3. Согласие на каждую операцию обработки

Согласие должно быть дано для каждой отдельной обработки.

Например, «общее» согласие на «научные исследования» недействительно. Вы должны как исследователь описать его более подробно (если возможно). Согласие также недействительно, если это принцип «бери или оставь», когда субъект данных должен либо соглашаться со всем, либо ни с чем.

4. Право на отзыв согласия

Согласно GDPR, субъекты данных имеют право отозвать свое согласие в любое время.

Как исследователь, важно, чтобы вы проинформировали субъектов данных о том, как они могут легко отозвать свое согласие. Если субъект данных не может воспользоваться этим правом, потому что осуществление этого права влечет за собой фундаментальные риски для достижения вашей исследовательской цели (как указано в реестре GDPR), вам следует упомянуть об этом.

5.Документирование согласия

Очень важно задокументировать согласие (письменное или устное).

6. Периодическая оценка согласия

Согласие может со временем потерять свою ценность.

«Дата истечения срока действия» согласия будет зависеть от контекста исследовательского проекта и от исходного согласия. Как исследователь, важно регулярно оценивать, соответствует ли полученное согласие вашей текущей исследовательской деятельности.

Широкое согласие на исследования

GDPR признает, что исследование не всегда может полностью описать цель обработки данных во время сбора данных.

По этой причине GDPR предусматривает, что субъекты данных должны иметь возможность дать свое согласие на определенные области научных исследований (« широкое согласие »), в которых соблюдаются признанные этические стандарты научных исследований. При этом важно также учитывать другие соответствующие нормативные акты, например, правила клинических исследований и т. Д.

Дополнительная информация

Последнее изменение: 31 августа 2021 г., 13:55

Соответствие GDPR: шесть оснований для сбора личных данных

Обновлено 24 апреля 2018 г.

Эта статья не является юридической консультацией и не предназначена для создания или повышения уровня отношений между адвокатом и клиентом.При необходимости вам следует обратиться за профессиональной юридической консультацией.

От Criteo Privacy Team:

Европейский общий регламент по защите данных вступает в силу в мае 2018 года, и одним из наиболее обсуждаемых вопросов для индустрии цифрового маркетинга является то, что технические идентификаторы, такие как файлы cookie и идентификаторы мобильной рекламы, теперь упоминаются в определении личных данных. Хотя многим американским компаниям, подпадающим под действие закона, это может показаться исключительным событием, это уже имело место во многих странах ЕС, включая Францию.Единственное отличие состоит в том, что теперь все государства-члены ЕС должны рассматривать файлы cookie и другие технические идентификаторы как персональные данные.

Чтобы узнать больше о том, как GDPR определяет личные данные и согласие, щелкните здесь.

Что это означает и как это применимо к вашему бизнесу?

GDPR предоставляет шесть баз для сбора и обработки данных в Европе:

Жизненный интерес личности
Общественный интерес
Договорная необходимость
Соблюдение юридических обязательств
Однозначное согласие физического лица
Законный интерес контролера данных

Важно отметить, что все эти шесть баз имеют одинаковую ценность, что означает, что они самодостаточны и исключают друг друга.Для компаний, занимающихся маркетингом или цифровым маркетингом, или собирающих данные для целей маркетинга, могут быть применимы две основы: (1) недвусмысленное согласие отдельного лица и (2) законный интерес контроллера данных.

(Подробнее: присоединяйтесь к нашему следующему вебинару 30 июня «Выживание в мире после GDPR»)

Какая из этих баз позволит компании собирать личные данные в форме технических идентификаторов (файлы cookie, мобильные идентификаторы и т. Д.))?

Мы в Criteo считаем, что недвусмысленное согласие является наиболее применимым основанием для наших клиентов и партнеров, которые собирают персональные данные, включая технические идентификаторы.

Что означает «недвусмысленное согласие человека»? Как это применимо к сбору онлайн-идентификаторов, таких как файлы cookie?

Во-первых, мы должны провести различие между недвусмысленным согласием и явным согласием. Явное согласие означает, что пользователь должен отказаться.Это относится к конфиденциальным личным данным, таким как раса, религия, сексуальная ориентация, политическая принадлежность и состояние здоровья. Важно отметить, что одни только онлайн-идентификаторы (например, файлы cookie) относятся к категории неконфиденциальных личных данных , поэтому явное согласие не требуется.

Мы ожидаем, что правила о недвусмысленном согласии будут основаны на существующей позиции местных органов по защите данных (DPA). Например, испанский DPA [1], одно из наиболее защищающих, недавно опубликованных руководящих принципов в Европе по GDPR, заявило, что согласие может быть недвусмысленным, если оно выводится из действий пользователя, а конкретный случай, используемый испанским DPA, таков: пользователя, продолжающего просматривать веб-сайт, который использует файлы cookie для отслеживания его / ее просмотра.

Клиенты и партнеры-издатели

Criteo не обрабатывают конфиденциальные данные, а работают с данными, относящимися к просмотру веб-страниц, покупательским намерениям и историей покупок, связанным с псевдонимными техническими идентификаторами.

(Подробнее о типах данных, которые собирает Criteo, и о том, как GDPR влияет на наши методы.) <

Условия, требуемые GDPR для действительного недвусмысленного согласия, очень похожи, если не идентичны условиям, уже подробно изложенным Рабочей группой по статье 29 в прошлом заключении [2]:

Конкретная информация: «Чтобы согласие было действительным, оно должно быть конкретным и основываться на соответствующей информации, предоставленной лицу.Другими словами, полное согласие без указания точной цели обработки данных неприемлемо ».
Время: «Как правило, согласие необходимо дать до начала обработки данных».
Активный выбор: «Согласие должно быть недвусмысленным. Следовательно, процедура запроса и предоставления согласия не должна оставлять сомнений в намерениях субъекта данных. В принципе, нет никаких ограничений на форму, которую может принимать согласие. Однако для того, чтобы согласие было действительным, оно должно быть активным указанием желания пользователя.Минимальным выражением индикации может быть любой вид сигнала, достаточно четкий, чтобы указывать на пожелания субъекта данных, и который должен быть понят контроллеру данных ».
Предоставлено бесплатно: «Согласие может быть действительным только в том случае, если субъект данных может осуществить реальный выбор, и нет риска обмана, запугивания, принуждения или значительных негативных последствий в случае его несогласия».

Как применяется «законный интерес оператора данных»?

Чтобы интерес был законным, цель обработки данных должна быть обоснованно ожидаемой пользователями.Обработка персональных данных для целей прямого маркетинга может рассматриваться и осуществляться как законный интерес. Однако этот законный интерес не может отменять основные права пользователей на неприкосновенность частной жизни, и необходимо принять соответствующие меры безопасности, чтобы снизить потенциальные риски для конфиденциальности пользователей. Основные стандарты, которые должны быть соблюдены, прежде чем пытаться заявить о законном интересе, следующие:

Объяснение того, какие данные собираются, конкретной цели, для которой они собираются, а также того, как это влияет на работу браузера в Интернете.
- Например: « Наш [веб-сайт / приложение] использует файлы cookie / рекламные идентификаторы в рекламных целях.Это позволяет нам показывать нашу рекламу посетителям, которые заинтересованы в наших продуктах, на партнерских веб-сайтах и в приложениях. Технологии перенаправления используют ваши файлы cookie или рекламные идентификаторы и отображают рекламу на основе вашего прошлого поведения при просмотре. Чтобы узнать больше и / или выступить против их услуг, обратитесь к их политике конфиденциальности, указанной ниже ».
Легкий доступ к политике конфиденциальности, а также к информации о любых отраслевых стандартах конфиденциальности или обязательствах, принятых вашим бизнесом.

Каковы стандарты установления законного интереса?

Некоторые ключевые вопросы, на которые каждая компания должна уметь ответить, чтобы установить, есть ли законный интерес:

Какова цель операции?
Это необходимо для достижения одной или нескольких конкретных целей организации?
Определяет ли GDPR или другое национальное законодательство конкретную деятельность по обработке данных как законную при условии завершения теста на балансировку и получения положительного результата?
Есть ли другой способ достижения цели?
Будет ли человек ожидать, что процесс обработки будет иметь место?
Каков характер обрабатываемых данных? Есть ли у данных такого рода какие-либо особые меры защиты в соответствии с GDPR?
Будет ли обработка ограничивать или ущемлять права людей?
Предоставляется ли частному лицу уведомление о справедливой обработке? Если да, то как? Достаточно ли они ясны и понятны в отношении целей обработки?

По мере того, как компании в индустрии цифрового маркетинга обновляют свою практику в соответствии с GDPR, важно помнить, что граждане ЕС хорошо осведомлены о целевой рекламе, понимают идентификаторы, которые ее стимулируют, и ожидают увидеть релевантную рекламу.Criteo в партнерстве с IPSOS провел опрос потребителей, чтобы понять ожидания пользователей из ЕС и их отношение к целевой онлайн-рекламе. Мы опросили 3000 пользователей Интернета в возрасте от 16 до 65 лет во Франции, Великобритании и Испании, создав репрезентативную демографическую выборку по полу, возрасту, региону и уровню дохода. В частности, мы обнаружили, что:

90% пользователей Интернета знают о поведенческом ретаргетинге
68% осведомлены о том, что файлы cookie позволяют осуществлять таргетированную рекламу
75% ожидают, что будут показаны объявления, соответствующие их интересам
73% предпочли бы видеть релевантную рекламу, чем платить дополнительную плату, чтобы не видеть рекламу

Мы будем внимательно следовать рекомендациям и рекомендациям, опубликованным местными органами по защите данных, по мере приближения к соблюдению GDPR.А пока узнайте больше о том, что делает Criteo для соблюдения GDPR, и что вам нужно знать о двух категориях персональных данных в GDPR.

Узнайте о наших продуктах, соответствующих GDPR.

[1] Guía del Reglamento General de Protección de Datos для ответственных за tratamiento https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf

[2] Рабочая группа по Статье 29 — 2013 Руководство по получению согласия на использование файлов cookie: http: // ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf

Контроль и обработка персональных данных

Введение

Общие правила защиты данных (GDPR) вступили в силу в ЕС 25 мая 2018.

Данные Закон о защите 2018 г., который был подписан 24 мая 2018 г., дал дополнительные влияние на GDPR в областях, где государства-члены обладают гибкостью (например, цифровой возраст согласия).

GDPR очень значительно увеличивает обязательства и ответственность для организаций и предприятий в том, как они собирают, используют и защищают личные данные. Организации и предприятия должны быть полностью прозрачными в отношении как они используют и защищают личные данные, и чтобы иметь возможность продемонстрировать ответственность за свою деятельность по обработке данных.

Определения защиты данных

Согласно GDPR, личные данные — это данные, которые относятся или могут идентифицировать человека отдельно или вместе с другими доступными Информация.Персональные данные могут включать ваше имя, адрес, контактные данные, идентификационный номер, IP-адрес, кадры видеонаблюдения, карты доступа / теги, аудиовизуальные или аудиозаписи данных о человеке и местоположении.

Субъект данных — это физическое лицо, к которому относятся личные данные. Вы можете прочитать о правах субъектов данных в нашем документе Доступ к вашему личные данные в соответствии с GDPR.

Любые действия с вашими личными данными, в том числе их хранение, известны как обработка .

Известна организация или предприятие, которые решают, что делать с вашими данными. как контроллер . Однако эта организация может разрешить другому лицу или юридическое лицо для обработки ваших личных данных от своего имени. Человек, который обрабатывает информация от имени контроллера данных известна как процессор .

В этом документе изложены обязанности контроллеров и обработчиков данных. согласно GDPR.

Обязательства по защите данных

Обязанность законной обработки персональных данных

Организации могут использовать или хранить личные данные только при наличии законного причина.GDPR устанавливает шесть стандартных законных причин, которые могут быть использованы организация:

Вы дали свое свободное и осознанное согласие.
Обработка необходима для выполнения контракта, стороной которого вы являетесь. к, например, доставка товара
Обработка необходима контроллеру для соблюдения обязательство, такое как обязательный сбор данных для защиты от денег отмывание доходов или налогообложение
Обработка необходима для защиты ваших жизненно важных интересов или жизненно важных интерес другого лица, например, доступ к медицинским записям в экстренная помощь
Обработка необходима для выполнения задачи, выполняемой в общественные интересы или когда контролер имеет официальные полномочия, такие как обработка общественной безопасности
Обработка необходима в законных интересах обработки организации, если это не противоречит вашим правам, например, чтобы предотвратить мошенничество

Вам должно быть предоставлено достаточно информации на простом и понятном языке, чтобы знать что организация собирается делать с вашими личными данными.Это часто можно найти в политиках конфиденциальности на веб-сайтах или в формах, которые вы можете прочитать или войти в систему человек.

Обязательство по разработке и эксплуатации соответствующих систем обработки

GDPR ввел концепцию защиты данных и защита данных по умолчанию .

Защита данных с помощью дизайна означает, что должны быть включены меры защиты данных когда любая система проектируется контроллером. В результате шансы уменьшаются непреднамеренные нарушения законодательства о защите данных.

Защита данных по умолчанию означает, что системы должны быть настроены как данные дружественная защита. Это должно означать, что единственные необходимые персональные данные собраны, хранятся в течение минимально необходимого периода и что лицо не включается автоматически для какой-либо ненужной обработки.

Контроллеры

могут подать заявку на сертификацию в Ирландии в Службу защиты данных. Комиссия, которая продемонстрирует, что их процессы разработаны с учетом с Положением.

Обязанность использовать процессоры, отвечающие требованиям законодательство

Если обработка должна выполняться процессором, а не контроллером, контроллер должен использовать только те процессоры, которые гарантируют, что их системы обработки соответствуют требованиям Положения.

Примеры его характера обработчиков включают зарплатные компании, бухгалтеров и компании по исследованию рынка, каждая из которых может хранить или обрабатывать личные информация от имени другого лица. Облачные провайдеры являются также обычно обработчики данных.

Контроллер должен иметь договор с обработчиком, определяющий объем обработки, требуемой контролером, и обязательств обработчика в соответствии с Регламентом. Процессор не может передать эту обработку другому обработчик без согласия контролера и аналогичный договор, согласованный с тот второй процессор.

Процессоры должны соблюдать любой соответствующий кодекс поведения, который может быть подготовлен. Комиссией по защите данных. Процессоры также могут получить сертификацию демонстрируя свое соответствие Регламенту.

Обязанность вести учет

Согласно GDPR, любой контролер, в котором работает более 250 сотрудников, или который обрабатывает конфиденциальную информацию, должен вести учет обработки деятельность под его ответственность.

Эта запись должна состоять из:

Наименование и контактные данные контролера
Цели обработки
Описание категорий субъектов данных и персональных данных
Категории получателей данных
Любая передача данных в третьи страны и данные этой страны гарантии
Срок стирания данных
Описание действующих мер защиты данных

Процессоры должны вести аналогичный учет.Эти записи могут быть проверены Комиссия по защите данных по запросу.

Обязательство по обеспечению безопасности данных

Контроллеры и обработчики обязаны обеспечивать безопасность личных данных. Они также должны гарантировать, что любые сотрудники не имеют доступа к каким-либо данным и не обрабатывают их. если они не обязаны это делать. Согласно GDPR, контроллеры и процессоры должны рассмотреть возможность внедрения современных мер безопасности, соответствующих рискам участвует в их деятельности. Например, риски могут исходить из-за случайного или незаконное уничтожение хранимых данных или несанкционированное раскрытие, доступ или изменение.

Меры безопасности могут включать анонимизацию или шифрование данных и восстановление или резервное копирование сохраненных данных. Контроллеры и процессоры должны регулярно проверять и оценивать меры безопасности, а также учитывать данные безопасность при утилизации оборудования.

Обязанность сообщать о нарушениях данных

Согласно GDPR, контролер должен уведомить Комиссию по защите данных о безотлагательное нарушение личных данных, если такое нарушение может привести к риск для прав и свобод субъекта данных.Уведомление должно быть сделал. самое позднее, в течение 72 часов после того, как диспетчер узнает о нарушение. Обработчики данных должны уведомить соответствующие контроллеры, если процессор становится известно о нарушении. Затем контролер должен уведомить субъекта данных без задержки.

Контроллер также должен незамедлительно уведомить субъекта данных в ясной и простым языком, если утечка данных может привести к высокому риску права и свободы субъекта данных. Пример ситуации повышенного риска будет там, где украдены ваши банковские реквизиты.

Обязанность проводить оценку воздействия на защиту данных

Согласно GDPR, когда контролер намеревается выполнить обработку с высокой степенью риска, они должны сначала провести оценку воздействия на защиту данных (DPIA). Данные Комиссия по защите опубликовала список операций по обработке данных, которые требуется DPIA.

Эти процессы включают обработку с использованием новых технологий, профилирование и автоматизированная обработка принятия решений, обработка большого количества конфиденциальных личные данные или систематический мониторинг общедоступной области.

Оценка воздействия на защиту данных должна включать:

Описание обработки и назначения
Оценка необходимости обработки
Оценка рисков для прав и свобод данных предметы
Меры по устранению рисков

Контроллер может проконсультироваться с Комиссией по защите данных, которая может дать совет контролеру. Комиссия по защите данных опубликовала подробное руководство для диспетчеров о том, как и когда проводить DPIA.

Контроллер должен провести проверку после начала обработки убедитесь, что это выполняется в соответствии с оценкой воздействия данных, которая была выполненный.

Контроллер также должен получить совет по защите данных. офицер.

Обязанность назначать сотрудников по защите данных (DPO)

Согласно GDPR, сотрудники по защите данных должны назначаться контролерами. и процессоры, основная деятельность которых заключается в обработке, требующей регулярный и систематический мониторинг субъектов данных в крупном масштабе или особые категории личных данных или данных, касающихся судимости и правонарушения.

Сотрудники по защите данных:

Должен быть назначен на основании профессиональных качеств и, в в частности, экспертные знания в области законодательства и практики защиты данных
Может быть штатным сотрудником или сторонним поставщиком услуг
Необходимо предоставить контактные данные Комиссии по защите данных
Должны быть обеспечены соответствующими ресурсами для выполнения своих задач и поддерживать свои экспертные знания
Должны подчиняться непосредственно высшему руководству в своих организация
Запрещается выполнять какие-либо другие задачи, которые могут привести к конфликту проценты

DPO должны участвовать во всех вопросах защиты данных и иметь ресурсы для выполнения своих задач.

Вы можете связаться с DPO организации по любым вопросам, касающимся вашего личные данные, хранящиеся в этой организации.

Задачи DPO:

Проинформировать и проконсультировать свою организацию по вопросам защиты данных обязательства
Следить за соблюдением своей организацией GDPR и любых национальных Законодательство о защите данных
Консультации по оценке и мониторингу воздействия на защиту данных производительность
Связь с надзорным органом

Комиссия по защите данных опубликовала подробное руководство о соответствующей квалификации для DPO.

Обязательство соблюдать нормы поведения и сертификации

Ассоциации и другие органы, представляющие контроллеров и процессоров, могут подготовить свод правил, в которых будет указано, каким должен быть GDPR. применяемый. Эти органы должны предоставить данные свои проекты кодексов поведения. Комиссия по охране на согласование.

В целях повышения прозрачности и соблюдения настоящего Регламента GDPR представит механизмы сертификации и знаки защиты данных, позволяя субъектам данных быстро оценить уровень защиты данных соответствующие продукты и услуги.Список сертифицированных организаций будет общедоступный.

Кодексы поведения

и утвержденные механизмы сертификации также помогут контролеры при выявлении рисков, связанных с их типом обработки и в соблюдении передовой практики.

Соблюдение утвержденного кодекса поведения или утвержденной сертификации механизм может использоваться как элемент для демонстрации соответствия обязательства контролера или процессора в соответствии с GDPR.

Обязательства, связанные с передачей данных за пределы ЕС

Любая передача личных данных за пределы ЕС или в международную организация будет строго регулироваться GDPR.Регламент также применяется к любой последующей передаче персональных данных из одного государства, не являющегося членом ЕС, в Другая.

Такая передача личных данных может иметь место, если европейские Комиссия решила, что государство, не являющееся членом ЕС, или деловой сектор в пределах в этой стране действует адекватный уровень защиты данных. Решая, если есть адекватная защита, Комиссия рассмотрит законы этой страны, уважение прав человека, наличие любого органа по защите данных и международные обязательства страны в отношении персональных данных.После принятия решения о том, имеет ли страна или сектор адекватная защита данных, Комиссия продолжит наблюдение за этой страной с точки зрения ее данных. методы защиты.

Комиссия публикует список всех таких одобренных стран, секторов и международные организации.

Если контроллер или процессор хочет передать данные в неутверждено страна, сектор или международная организация, которая контроллер или процессор должны обеспечивать соответствующие меры безопасности и гарантировать, что любые субъекты данных по-прежнему смогут осуществлять свои права.

Перенос данных в Великобританию

До окончания переходного периода любая полученная личная информация любой компанией или организацией в Великобритании от компаний и администраций в другие государства-члены подпадали под действие GDPR.

Передача личных данных в Великобританию по-прежнему разрешена на основании официального решения (так называемого решения об адекватности), принятого европейским Комиссия состоится 28 июня 2021 года. Это решение о достаточности останется в силе в течение четыре года, если Великобритания не внесет изменений в свое законодательство о защите данных.

Надзор и контроль

Независимые надзорные органы

Согласно GDPR, каждое государство-член ЕС должно иметь один или несколько независимых государственные органы, ответственные за мониторинг применения Регулирование. В Ирландии таким надзорным органом является Служба защиты данных. Комиссия.

Комиссия по защите данных:

Контролирует и обеспечивает выполнение GDPR
Повышает осведомленность общественности о правилах и правах в отношении данных обработка
Консультирует правительство по вопросам защиты данных
Повышает осведомленность контроллеров и процессоров о своих обязательства
Предоставляет физическим лицам информацию о защите их данных. права
Поддерживает список операций обработки, требующих защиты данных оценка воздействия
Рассматривает жалобы и проводит расследования, связанные с соблюдением Закон о защите данных

Комиссия по защите данных имеет право приказать любому контролеру или процессор для предоставления информации, которая требуется органу для оценки соблюдение Регламента.Может проводить расследования в отношении контроллеров. и процессоры в форме аудита данных, включая доступ к помещениям контроллер или процессор. Он может приказать контроллеру или процессору заменить их процессы соответствуют запросам субъектов данных. Защита данных Комиссия также может выдавать предупреждения контроллерам и процессорам и может запретить обработки, а также начать судебное разбирательство против контролера или процессор.

Организации, занимающиеся трансграничной обработкой персональных данных может иметь дело с одним ведущим надзорным органом, одним остановить магазин (OSS) для большей части своей обработки.

Европейский совет по защите данных

GDPR ввел новый европейский надзорный орган по защите данных. Европейские данные Совет по защите (EDPB) отвечает за соблюдение GDPR. последовательно по всему Европейскому Союзу. Он будет издавать руководящие принципы и рекомендации по применению Положения. Он также посоветует Комиссия ЕС о применении Регламента и любых обновлениях, которые могут быть требуется.

EDPB состоит из главы одного надзорного органа каждого члена государство и европейский надзорный орган по защите данных или их представители.

Пенальти

Штрафы применяются как к контроллерам, так и к процессорам, которые нарушают Регулирование. Существуют разные наказания, в зависимости от серьезности нарушение.

Серьезные нарушения

За самые серьезные нарушения (например, отсутствие достаточного согласие клиента на обработку данных или намеренное нарушение основных принципов конфиденциальности концепции) организации могут быть оштрафованы до 4% от их годового глобального оборота или 20 миллионов евро, в зависимости от того, что больше.

Мелкие нарушения

Согласно GDPR, организации, нарушившие Регламент, могут быть оштрафованы на сумму до 2% от их годового глобального оборота или 10 миллионов евро, в зависимости от того, что больше, для меньшие нарушения. Некоторые примеры меньших нарушений включают: отсутствие записей для того, чтобы не уведомлять надзорный орган и субъект данных о нарушение или непроведение оценки воздействия.

Дополнительная информация

Дополнительная подробная информация о GDPR по защите данных.т.е.

Комиссия по защите данных

21 Fitzwilliam Square South,
Дублин 2,
D02 RD28
Ирландия

Часы работы: 09:15 — 17:30 Пн — Чт, 09: 15-17: 15 Пятница

Тел .: +353 57 868 4800 / +353 0761 104800

Политика конфиденциальности Porsche — Porsche AG

Мы, Dr. Ing. h.c. F. Porsche AG (далее «мы» или «Porsche AG») рады вашему интересу к нашему онлайн-сервису в porsche.com / international (далее именуемая «Онлайн-служба»). Мы очень серьезно относимся к защите ваших личных данных. Ваши личные данные будут обрабатываться исключительно в соответствии с законодательными положениями закона о защите данных, в частности, с Общим регламентом защиты данных (далее «GDPR»). В этой Политике конфиденциальности мы информируем вас об обработке ваших личных данных и о ваших правах как субъекта данных, затронутых в связи с Онлайн-службой.Для получения информации об обработке персональных данных в других областях, пожалуйста, обратитесь к соответствующей политике конфиденциальности.

Если мы ссылаемся на настоящую Политику конфиденциальности из внешних профилей социальных сетей, следующие пояснения применимы только в той мере, в какой обработка происходит в нашей зоне ответственности и в той мере, в которой нет более конкретной и, следовательно, предварительной информации о защите данных в контексте такой профили в социальных сетях.

1. Контроллер и сотрудник по защите данных

Ответственный за обработку данных в качестве контроллера с точки зрения закона о защите данных:

Dr.Ing. h.c. F. Porsche AG
Porscheplatz 1
70435 Штутгарт
Германия
Телефон: (+49) 0711 911-0
Электронная почта: [email protected]

Если у вас есть вопросы или предложения относительно защиты данных, свяжитесь с нами. Вы можете связаться с нашим уполномоченным по защите данных следующим образом:

Dr. Ing. h.c. F. Porsche AG
Сотрудник по защите данных
Porscheplatz 1
70435 Штутгарт
Германия
Контакты: https: // www.porsche.com/privacy-contact/

2. Предмет защиты данных

Предметом защиты данных является защита личных данных. Это вся информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (так называемому субъекту данных). Сюда входит такая информация, как имя, почтовый адрес, адрес электронной почты или номер телефона, а также другая информация, которая может быть сгенерирована при использовании Онлайн-сервиса, в частности информация о начале, конце и объеме использования, а также о передаче вашего IP-адреса. адрес.

3. Цели и правовая основа обработки данных

Далее вы найдете обзор целей и правовых основ обработки данных в связи с Онлайн-службой. В любом случае мы обрабатываем персональные данные в соответствии с требованиями законодательства, даже если в отдельных случаях должно применяться иное правовое основание, чем указанное ниже.

Предоставление вами личных данных может требоваться по закону или контракту или может быть необходимо для заключения контракта.Мы отдельно укажем на это, если вы обязаны предоставить персональные данные и какие возможные последствия в этом случае может иметь непредоставление (например, потеря требований или наша позиция не предоставлять запрошенную услугу без предоставления определенной информации). Использование Онлайн-сервиса обычно возможно без регистрации. Для использования отдельных функций может потребоваться предварительная регистрация. Даже если вы используете Онлайн-сервис без регистрации, личные данные все равно могут обрабатываться.

3.1 Выполнение контракта и преддоговорные меры

Мы обрабатываем ваши персональные данные, если это необходимо для выполнения контракта, стороной которого вы являетесь, или для реализации преддоговорных мер, принятых в ответ на ваш запрос. Обработка данных основана на статье 6, абзаце 1, букве b) GDPR. Цели обработки включают предоставление возможности использования наших конкретных продуктов и услуг в рамках Онлайн-службы. Также обратите внимание на подробности в соответствующих документах, описывающих наши продукты и услуги в дополнение к настоящей Политике конфиденциальности.

В частности, это следующие функции:

Процесс регистрации и создание профиля пользователя

Заказы и подписка на журналы

Онлайн-чат

Заказы на маркетинговые материалы

Сохранение конфигурации как пропуска в приложении Wallet

3.2 Соблюдение юридических обязательств

Мы обрабатываем ваши персональные данные в соответствии с юридическими обязательствами, которым мы подчиняемся. Обработка данных осуществляется в соответствии с подпунктом c) пункта 1 статьи 6 GDPR. Эти обязательства могут возникать, например, из коммерческого, налогового, финансового или уголовного права. Цели обработки вытекают из соответствующего юридического обязательства; Как правило, обработка служит для выполнения обязательств по государственному контролю и информации.

3.3 Защита законных интересов

Мы также обрабатываем ваши личные данные, чтобы преследовать законные интересы самих себя или третьих лиц, если только ваши права, требующие защиты ваших личных данных, не перевешивают эти интересы. Обработка данных осуществляется в соответствии со статьей 6, абзацем 1, буквой f) GDPR. Обработка для защиты законных интересов выполняется для следующих целей или для защиты следующих интересов:

Дальнейшее развитие продуктов, услуг и предложений поддержки, а также другие меры по контролю деловых операций и процессов;
Повышение качества продукции, устранение ошибок и неисправностей, в том числе посредством анализа данных о транспортных средствах и отзывов клиентов;
Обработка данных в центральной платформе потенциальных клиентов и обслуживания клиентов, а также в системах восходящего и нижнего звена для удержания клиентов и продаж;
Анализ потребностей и сегментация клиентов, e.грамм. расчет и оценка симпатий, предпочтений и покупательского потенциала;
Рассмотрение внедоговорных запросов и вопросов;
Управление рисками и координация действий по отзыву;
Обеспечение законных действий, предотвращение и защита от нарушений закона (особенно уголовных правонарушений), предъявление исков и защита от судебных исков, меры внутреннего и внешнего соблюдения;
Обеспечение доступности, работы и безопасности технических систем, а также управление техническими данными;
Ответы и оценка запросов и отзывов о контактах.

Когда вы вызываете Онлайн-сервис, данные, относящиеся к вашему конечному устройству и использованию вами онлайн-предложения, обрабатываются и сохраняются в так называемом файле журнала. Это касается, в частности, технических данных, таких как дата и время доступа, продолжительность посещения, тип оконечного устройства, используемая операционная система, используемые функции, объем отправленных данных, IP-адрес и URL-адрес реферера. Мы обрабатываем эти данные для обеспечения технической эксплуатации, а также для определения и устранения неисправностей. При этом мы стремимся к постоянному обеспечению технической работоспособности.Мы не используем эти данные для того, чтобы делать выводы о вашей персоне.

Когда мы отправляем электронные письма для управления клиентами и потенциальными клиентами, мы можем использовать коммерчески доступные технологии, такие как пиксели отслеживания или переходные ссылки. Это позволяет нам анализировать, какое или сколько писем было доставлено, / или отклонено, и / или открыто. Последнее делается, в частности, с помощью пикселей отслеживания. Невозможно полностью измерить частоту открытия наших писем с помощью пикселей отслеживания, если вы отключили отображение изображений в своей почтовой программе.В этом случае электронное письмо не будет отображаться полностью. Однако мы по-прежнему можем отслеживать, открывалось ли электронное письмо, если вы нажимаете на текстовые или графические ссылки в письме. Используя переходные ссылки, мы можем анализировать, по каким ссылкам в наших электронных письмах нажимаются, и определять, какой интерес вызывают определенные темы. Щелкнув соответствующую ссылку, вы попадете на наш отдельный сервер анализа до того, как будет вызвана целевая страница. По результатам анализа мы можем сделать электронные письма более актуальными, рассылать их более целенаправленно или останавливать их отправку.Если вы не хотите, чтобы такие данные собирались и отслеживались, не нажимайте текстовые или графические ссылки в электронных письмах.

В рамках дальнейшего развития продуктов, услуг и предложений поддержки вы можете время от времени выбираться для участия в опросе при посещении нашей онлайн-службы. Участие добровольное. Мы не используем данные, собранные в ходе опросов, с целью сделать выводы о вас или вашей личности. Данные, непосредственно относящиеся к вашей личности, будут обрабатываться только в том случае, если вы предоставите их на добровольной основе в рамках опроса.

3.4 Согласие

Мы обрабатываем ваши персональные данные на основании соответствующего согласия. Обработка данных осуществляется на основании статьи 6, абзаца 1, буква а) GDPR. Если вы даете свое согласие, это всегда для определенной цели; цели обработки определяются содержанием вашего заявления о согласии. Вы можете отозвать любое предоставленное вами согласие в любое время, не затрагивая законность обработки, которая имела место на основании согласия до отзыва.

Если вы дали свое согласие, компании, перечисленные в заявлении о согласии, могут использовать данные на этой основе, например для индивидуальной поддержки клиентов и потенциальных клиентов и свяжемся с вами для этих целей через запрошенные вами каналы связи. Ваши данные будут использоваться в этом контексте, чтобы предложить вам вдохновляющий бренд и обслуживание клиентов с Porsche, а также сделать общение и взаимодействие с вами как можно более личными и актуальными. Какие из ваших данных фактически используются для поддержки отдельных клиентов и потенциальных клиентов, зависит, в частности, от того, какие данные были собраны на основе заказов и консультаций (например,грамм. при покупке или обслуживании продуктов Porsche) и данные, которые вы предоставили (например, ваши личные интересы) в соответствующих контактных пунктах (например, в центре Porsche).

Мы рассылаем информационные бюллетени после соответствующей регистрации, то есть с вашего согласия. Если содержание информационного бюллетеня специально описано в контексте регистрации, оно имеет решающее значение для объема согласия. Кроме того, наши информационные бюллетени содержат информацию о наших продуктах, предложениях, акциях и нашей компании.За обработку ваших данных отвечает организация, указанная в процессе регистрации. Регистрация осуществляется посредством так называемой процедуры двойного отказа, т.е. после регистрации вы получите электронное письмо с просьбой подтвердить регистрацию, чтобы предотвратить неправомерное использование вашего адреса электронной почты. Регистрации для информационного бюллетеня регистрируются нами, чтобы иметь возможность подтвердить процесс регистрации и содержащееся в нем согласие в соответствии с требованиями законодательства.Ведение журнала регистрации и необходимая обработка данных, введенных вами в процессе регистрации, соответственно, основываются на наших законных интересах в соответствии с подпунктом f пункта 1 статьи 6 GDPR. Вы можете в любой момент отозвать свое согласие на получение нашей рассылки, например путем отказа от подписки на информационный бюллетень. В конце каждого информационного бюллетеня вы найдете ссылку для отказа от подписки, чтобы воспользоваться этим правом.

3.5 Изменение цели

Если мы обрабатываем ваши персональные данные с целью, отличной от той, для которой данные были собраны, вне рамок соответствующего согласия или обязательного правового основания, мы примем во внимание, в соответствии с с пунктом 4 статьи 6 GDPR, совместимостью первоначальной и преследуемой цели, характером персональных данных, возможными последствиями дальнейшей обработки для вас и гарантиями защиты персональных данных.

3.6 Профилирование

Мы не выполняем автоматическое принятие решений или профилирование в соответствии со статьей 22 GDPR. Профилирование проводится только для защиты наших законных интересов, как описано выше.

4. Авторизация доступа на конечном устройстве

В тех случаях, когда функции Онлайн-службы требуют предоставления авторизации для доступа к вашему конечному устройству (например, доступ к данным о местоположении или фотографиям), предоставление этих разрешений является добровольным.Однако, если вы хотите использовать соответствующие функции, вы должны предоставить соответствующие разрешения, иначе вы не сможете использовать эти функции. Разрешения остаются активными до тех пор, пока вы не сбросили их на своем устройстве, отключив соответствующий параметр.

5. Файлы cookie и сопоставимые технологии

Мы используем файлы cookie и сопоставимые технологии в связи с Онлайн-службой, которые служат для связи с вашим конечным устройством и обмена сохраненной информацией (далее совместно именуемые «файлы cookie»).Эти файлы cookie в основном используются для обеспечения возможности использования функций Онлайн-сервиса. Общие примеры, в которых использование файлов cookie технически требуется в этом смысле, — это хранение выбранного языка, данных для входа в систему или списка покупок или отслеживания. Соответственно, технически необходимые файлы cookie могут использоваться нами для обеспечения обработки, описанной в разделе 3.1, и обеспечения надлежащей и безопасной работы Онлайн-службы. Обработка данных затем осуществляется на основании подпунктов b) и f) пункта 1 статьи 6 GDPR, поскольку это необходимо для реализации выбранных вами функций или для защиты наших законных интересов в функциональности Онлайн-сервиса.

Поскольку мы также должны использовать файлы cookie, чтобы анализировать использование онлайн-службы и иметь возможность нацеливать ее на ваши интересы и, при необходимости, предоставлять вам контент и рекламу на основе интересов, это делается исключительно на на основании вашего добровольного согласия в соответствии с подпунктом a) пункта 1 статьи 6 GDPR. После этого у вас будет возможность выполнить соответствующие настройки в Онлайн-сервисе через управление согласием. Вы можете отозвать любое предоставленное вами согласие в любое время, что вступит в силу в будущем.Дополнительную информацию о файлах cookie и их функциях, а также о параметрах настройки и отзыва можно найти непосредственно в соответствующих разделах управления согласием. Обратите внимание, что мы делаем доступным управление согласием в контексте Онлайн-службы, только если, помимо вышеупомянутых технически необходимых файлов cookie, должны использоваться файлы cookie, основанные на согласии.

Если вы не хотите использовать файлы cookie в целом, вы также можете предотвратить их хранение, соответствующим образом изменив настройки вашего конечного устройства.Сохраненные файлы cookie можно удалить в любое время в системных настройках вашего оконечного устройства. Обратите внимание, что блокировка определенных типов файлов cookie может привести к нарушению использования Веб-службы.

6. Интегрированные сторонние сервисы

Поскольку мы интегрируем услуги других поставщиков в рамках Онлайн-сервиса, чтобы предоставить вам определенный контент или функции (например, воспроизведение видео или планирование маршрута), и мы обрабатываем личные данные в Процесс, это делается на основании статьи 6, абзац 1, буквы b) и f) GDPR.Это связано с тем, что обработка данных необходима для реализации выбранных вами функций или для защиты наших законных интересов в оптимальном диапазоне функций Онлайн-службы. Поскольку файлы cookie могут использоваться в рамках этих сторонних услуг, применяются положения Раздела 5. Также ознакомьтесь с политикой конфиденциальности соответствующего стороннего поставщика в отношении сторонних услуг.

Услуги других поставщиков, которые мы интегрируем или на которых мы ссылаемся, предоставляются соответствующими третьими сторонами.Мы не имеем никакого влияния на содержание и функции сторонних сервисов и, как правило, не несем ответственности за обработку ваших персональных данных их поставщиками, за исключением случаев, когда сторонние сервисы полностью разработаны от нашего имени и затем интегрированы нами в наши собственная ответственность. Поскольку интеграция сторонней службы приводит к тому, что мы устанавливаем совместные процессы с ее поставщиком, мы определим с этим поставщиком в соглашении о совместном контроле в соответствии со статьей 26 GDPR, как выполняются соответствующие задачи и обязанности при обработке персональных данных. структурированы и кто какие обязательства по защите данных выполняет.Поскольку файлы cookie должны быть установлены на основании вашего согласия, вы получите дополнительную информацию об ответственности за установку этих файлов cookie и любых связанных сторонних сервисов в соответствующей области управления согласием.

Если не указано иное, профили в социальных сетях обычно включаются в Онлайн-службу только в качестве ссылки на соответствующие сторонние службы. После нажатия на встроенную ссылку с текстом / изображением вы будете перенаправлены на предложение соответствующего поставщика социальных сетей.После перенаправления личные данные могут собираться напрямую сторонним провайдером. Если вы вошли в свою учетную запись пользователя соответствующего поставщика социальных сетей, поставщик может иметь возможность назначить собранную информацию о конкретном посещении вашей личной учетной записи. Если вы взаимодействуете с помощью кнопки «Поделиться» соответствующего поставщика социальных сетей, эта информация может храниться в личной учетной записи пользователя и при необходимости публиковаться. Если вы хотите предотвратить присвоение собранной информации непосредственно вашей учетной записи, вы должны выйти из системы перед тем, как щелкнуть включенную ссылку с текстом / изображением.

7. Источники и категории данных в случае сбора третьими лицами

Мы также обрабатываем персональные данные, которые мы получаем от третьих лиц или из общедоступных источников. Ниже вы найдете обзор соответствующих источников и категорий данных, полученных из этих источников.

Группы компаний, центры Porsche и сервисные компании: информация об используемых вами продуктах и о ваших интересах;
Партнеры по сотрудничеству и поставщики услуг: данные кредитных агентств о кредитоспособности.

8. Получатели персональных данных

В нашей компании доступ к ним имеют только те лица, которым требуются ваши персональные данные для соответствующих целей. Ваши личные данные будут переданы внешним получателям только в том случае, если у нас есть на это законное разрешение или ваше согласие. Ниже вы найдете обзор соответствующих получателей:

Заказанные обработчики: Компании группы или внешние поставщики услуг, например, в областях технической инфраструктуры, производительности и обслуживания, а также обработки платежей, которые тщательно отбираются и проверяются.Обработчики могут использовать данные только в соответствии с нашими инструкциями.
Государственные органы: органы власти и государственные учреждения, такие как налоговые органы, прокуратура или суды, которым мы (должны) передавать личные данные, например для выполнения юридических обязательств или защиты законных интересов.
Частные организации: компании группы, центры Porsche и сервисные компании, партнеры по сотрудничеству, поставщики (непроцессорных) услуг или уполномоченные лица, такие как центры Porsche и сервисные компании, финансовые банки, кредитные агентства или поставщики транспортных услуг.

9. Обработка данных в третьих странах

Если передача данных осуществляется организациям, зарегистрированный офис или место обработки данных которых не находится в государстве-члене Европейского Союза, другом государстве-участнике Соглашения о Европейском экономическом пространстве или государство, для которого адекватный уровень защиты данных был определен решением Европейской комиссии, мы гарантируем перед передачей, что либо передача данных покрывается установленным законом разрешением, что гарантирует адекватный уровень защиты данных в отношении к передаче данных есть на месте (например.g. посредством соглашения о договорных гарантиях, официально признанных правил или обязательных внутренних правил защиты данных у получателя), или если вы дали свое согласие на передачу данных.

Если данные передаются на основании статей 46, 47 или 49, абзац 1, абзац 2 GDPR, вы можете получить от нас копию или ссылку на наличие гарантий адекватного уровня защиты данных в отношении Обмен данными. Пожалуйста, используйте информацию, представленную в разделе 1.

10. Срок хранения, удаление данных

Мы храним ваши личные данные, если на это есть законное разрешение, только до тех пор, пока это необходимо для достижения намеченных целей, или до тех пор, пока вы не отозвали свое согласие. В случае возражения против обработки мы удалим ваши личные данные, если их дальнейшая обработка не разрешена законом. Мы также удалим ваши личные данные, если мы будем вынуждены сделать это по другим юридическим причинам. Применяя эти общие принципы, мы обычно немедленно удаляем ваши личные данные.

после того, как законное разрешение перестало применяться и при условии, что не вмешивается никакая другая правовая основа (например, периоды хранения в соответствии с коммерческим и налоговым законодательством). Если последнее применимо, мы удалим данные после того, как другое правовое основание перестанет действовать;
, если ваши личные данные больше не требуются для целей, которые мы преследуем, и никакая другая правовая основа (например, периоды хранения в соответствии с коммерческим и налоговым законодательством) не вмешивается. В последнем случае мы удалим данные после того, как другое правовое основание перестанет действовать.

11. Права субъектов данных

Право доступа: Вы имеете право получать информацию о ваших личных данных, хранящихся у нас.

Право на исправление и удаление: Вы можете потребовать, чтобы мы исправили неверные данные и, если требования закона соблюдены, удалили ваши данные.

Ограничение обработки: Вы можете потребовать, чтобы мы ограничили обработку ваших данных, при условии соблюдения требований законодательства.

Переносимость данных: Если вы предоставили нам данные на основании контракта или согласия, вы можете, при соблюдении требований законодательства, потребовать, чтобы данные, которые вы нам предоставили, были переданы в структурированной общей форме. и машиночитаемый формат, или мы передаем его другому контроллеру.

Возражение: у вас есть право в любое время возразить против обработки нами данных на основании защиты законных интересов по причинам, связанным с вашей конкретной ситуацией.Если вы воспользуетесь своим правом на возражение, мы прекратим обработку данных, если мы не докажем веские причины для дальнейшей обработки, заслуживающие защиты, которые перевешивают ваши права и интересы.

Возражение против прямого маркетинга: если мы обрабатываем ваши персональные данные в целях прямого маркетинга, вы имеете право в любое время возразить против нашей обработки ваших данных для этой цели. Если вы воспользуетесь своим правом на возражение, мы прекратим обработку ваших данных для этой цели.

Отзыв согласия: если вы дали нам свое согласие на обработку ваших личных данных, вы можете отозвать его в любое время с вступлением в силу в будущем. Законность обработки ваших данных до отзыва остается неизменной.

Право подать жалобу в надзорный орган: Вы также можете подать жалобу в компетентный надзорный орган, если считаете, что обработка ваших данных нарушает применимое законодательство. Вы можете связаться с надзорным органом, ответственным за ваше место жительства или вашей страны, или с надзорным органом, отвечающим за нас.

Ваш контакт с нами и осуществление ваших прав: Кроме того, вы можете бесплатно связаться с нами, если у вас есть вопросы относительно обработки ваших личных данных и ваших прав как субъекта данных. Свяжитесь с нами по адресу https://www.porsche.com/privacy-contact/ или отправьте письмо по адресу, указанному в Разделе 1. Убедитесь, что мы можем точно идентифицировать вас. Если вы отзовете свое согласие, вы также можете выбрать способ связи, который вы использовали, когда дали свое согласие.

12. Ссылки на сторонние службы

Веб-сайты и службы других поставщиков, на которые ссылаются наши онлайн-службы, разработаны и предоставлены третьими сторонами. Мы не имеем никакого влияния на дизайн, содержание и функции этих сторонних сервисов. Мы категорически отмежевываем себя от всего содержания всех связанных сервисов третьих лиц. Обратите внимание, что службы третьих лиц, на которые есть ссылки в нашей Онлайн-службе, могут устанавливать свои собственные файлы cookie на ваше конечное устройство или собирать личные данные.Мы не можем на это повлиять. В этом отношении, пожалуйста, обращайтесь к поставщикам этих связанных сторонних услуг. Услуги третьих лиц, как правило, также включают услуги других компаний группы Porsche и центров Porsche, которые связаны в наших онлайн-сервисах или которые иным образом интегрированы в наши онлайн-сервисы, например:

Мой Порше;
Porsche Financial Services;
Porsche Classic Parts Explorer;
Porsche Tequipment / TEQ Finder;
Сертификаты на шины Porsche Service (доступны только в некоторых странах)

Соответствующий поставщик и контроллер могут быть идентифицированы с помощью соответствующих выходных данных и политики конфиденциальности отдельных сторонних сервисов.

13. Дата вступления в силу

Применяется последняя версия данной Политики конфиденциальности. Эта версия датирована 10.02.2021.

9 Примеры законной основы для обработки в соответствии с GDPR

Законность, прозрачность и справедливость являются ключевыми составляющими первого принципа обработки данных в Общем регламенте защиты данных (GDPR): «Персональные данные должны обрабатываться на законных основаниях, справедливо и прозрачно по отношению к субъекту данных ».

Каждый из этих элементов заслуживает особого внимания, но сегодня мы хотим конкретно рассмотреть «законное» требование, исследуя шесть законных оснований для обработки персональных данных в соответствии с GDPR:

С законными основаниями шутить нельзя — это основа для обработки данных в соответствии с GDPR.GDPR требует, чтобы каждая организация (правительственная, некоммерческая, коммерческая и т. Д.) Имела законную основу для каждого случая обработки данных. Те, кто не укажет надлежащим образом законное основание для каждой операции обработки, будут нарушать постановление.

Определения для каждой основы ясны, но может быть сложно понять, как связать каждую операцию обработки с правильным законным основанием. Чтобы помочь вам, мы составили список примеров трех правовых оснований, применимых к большинству глобальных коммерческих предприятий.

Кроме согласия, все другие законные основания для обработки данных требуют обработки необходимо . Это означает, что организации должны собирать и обрабатывать информацию только для определенной цели. Этот список будет сосредоточен на сценариях, когда обработка необходима для ведения бизнеса и подпадает под правовую основу контрактов, юридических обязательств или законных интересов. Мы написали еще одну запись в блоге о согласии, которую вы можете проверить здесь.

Этот пост не будет охватывать основы общественных задач и жизненно важных интересов, поскольку они с меньшей вероятностью повлияют на организации, расположенные в США.С.

Давайте нырнем!

Договорные отношения являются основной частью ведения бизнеса для многих организаций. Признавая, что контракты между клиентами и предприятиями могут требовать сбора личной информации, такой как номера кредитных карт и контактная информация, GDPR установил контракты в качестве законной основы для обработки.

Сценарий первый: преддоговорные отношения

В процессе продажи покупатель может запросить дополнительную информацию или подписаться на пробную версию, которая может потребовать обработки личных данных, таких как информация о кредитной карте или контактная информация.

Сценарий второй: новый контракт

Обработка персональных данных необходима для заключения нового или существующего контракта.

Использование юридических обязательств в качестве законной основы

Организации могут обрабатывать данные только на основании юридических обязательств, если это необходимо для соблюдения действующего законодательства государства-члена ЕС. Некоторые примеры этих юридических сценариев включают:

Сценарий 1: Информация о сотрудниках (зарплата и т. Д.) требуется регулирующему или государственному органу.
Сценарий второй: Уголовное расследование требует обработки персональных данных.
Сценарий третий: Судебные приказы или повестки требуют обработки персональных данных.
Сценарий четвертый: Информация из отчетов об авариях требует обработки для записей о здоровье и безопасности.

Использование законного интереса в качестве законной основы

Для многих организаций наиболее распространенным законным основанием для обработки данных является законный интерес.Эта основа позволяет организациям обрабатывать данные без согласия человека, если обработка не нарушает права, свободы или законные интересы человека. К сожалению, это описание довольно расплывчатое и оставляет ряд вопросов без ответа, но хорошая новость заключается в том, что GDPR предоставляет несколько конкретных примеров того, когда законный интерес может служить законным основанием.

Сценарий первый: прямой маркетинг и предотвращение мошенничества

Этот сценарий позволяет организации обрабатывать персональные данные без прямого согласия, когда цель обработки может быть описана как разумное ожидание, вытекающее из отношений между субъектом данных и контролером, в соответствии с этим интересом, например, прямая физическая или электронная рассылка эффективный отказ.Например:

Субъект данных запросил дополнительную информацию о конкретных услугах, предоставляемых организацией, и предоставил свою контактную информацию. Эта информация может быть обработана, чтобы ответить на их запрос. Законный интерес может использоваться в маркетинговых целях, если он оказывает минимальное влияние на конфиденциальность субъекта данных, и, вероятно, субъект данных не будет возражать против обработки или быть удивлен ею.
Субъект данных совершил действие, которое негативно повлияет на организацию, например не оплату счета.Организации может потребоваться обработать информацию о субъекте данных, чтобы получить платеж.

Сценарий второй: внутренние административные цели

Это довольно просто. Законный интерес может использоваться в качестве законного основания для передачи личных данных внутри организации для внутренних операций, таких как расчет заработной платы.

Сценарий третий: исследование рынка

Ситуации, требующие передачи данных о клиентах третьей стороне для анализа данных в рамках исследования рынка, могут подпадать под законный интерес.GDPR рассматривает деятельность по исследованию рынка как законный интерес при условии, что обработка никогда не повлияет отрицательно на субъект данных, а целью обработки данных является «разумное ожидание» для обслуживания (например, если исследование рынка позволит компании предоставлять своим клиентам лучший и персонализированный опыт работы с клиентами).

Здесь важно отметить, что компании, которые обрабатывают «особые категории данных» (например, расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, генетические данные и т. Д.) не могут полагаться на Закон в качестве законного основания для обработки такие данные.Однако можно использовать ограничительную форму согласия. Статья 9 (2) (1) разрешает обработку, основанную на «явном согласии», которое требует «явного заявления» об одобрении, повышенного требования помимо «четкого позитивного действия», необходимого для получения согласия при обработке «обычных» персональных данных. Рабочая группа по статье 29 (WP29) предлагает, чтобы письменное заявление, подписанное субъектом данных, где это уместно, было одним из средств демонстрации соблюдения этого требования.

Мы знаем, что только что перечисленные примеры охватывают лишь небольшую часть операций по обработке.Определение применимого законного основания может быть сложной задачей, но вот несколько полезных рекомендаций:

Во-первых, помните, что законное основание для обработки зависит от трех вещей:

Тип обрабатываемых данных,
Цель обработки,
Отношения между субъектами данных и контроллерами данных (т. Е. Сотрудником и работодателем против клиента и бизнеса).

После того, как вы определили эти три квалификации, задайте следующие вопросы:

Какая информация обрабатывается (конфиденциальная или общая)?
Какое влияние обработка может оказать на субъекта данных?
Какова вероятность того, что субъект данных даст согласие на обработку? Может ли субъект данных дать согласие?

Определение этих факторов и ответы на эти вопросы помогут вам понять необходимость обработки, последствия обработки и то, какая законная основа соотносится с конкретной обработкой.

Мы рассмотрим это подробнее в следующих сообщениях в блоге, но важно помнить, что использование согласия в качестве законного основания следует рассматривать как крайнюю меру и использовать в обстоятельствах, когда другие законные основания не применимы. Согласно GDPR, люди имеют право быть проинформированными о том, на каком законном основании организация обрабатывает их данные, что означает, что организациям требуется , чтобы предоставить субъекту данных уведомление о конфиденциальности, которое включает законное основание, которое они используют для обработки. .

После того, как вы определили законную основу, которую ваша организация будет использовать для определенного типа обработки данных, вы должны сосредоточить свое внимание на надлежащем документировании цели обработки и обоснования установленной вами законной основы. Правильное формулирование юридического обоснования обработки различных типов данных (информация о кредитной карте, данные о занятости и т. Д.) Является основной частью демонстрации того, что ваша организация соблюдает принцип подотчетности GDPR.В рамках этого процесса документации ваша организация должна вести надлежащий учет операций по обработке, кто имеет доступ к данным, описания отношений между организацией и субъектом данных, а также типы персональных данных.

Определение правильной законной основы для каждого процесса обработки данных будет сложной задачей, но даст вашей организации повод остановиться и подумать, почему вы собираете данные, которые вы делаете, какие типы данных действительно необходимы для ведения бизнеса и данные о последствиях обработка может иметь отношение к вашим клиентам или сотрудникам.Если у вас есть вопросы об определении законной основы или вам нужна помощь в отображении данных, которые обрабатывает ваша компания, у нас есть специалисты по GDPR, готовые помочь.

Заявление об ограничении ответственности: Focal Point Data Risk, LLC не является юридической фирмой и не предоставляет юридических консультаций. Этот контент предназначен только для информационных целей.

Подпишитесь на рассылку Privacy Pulse Focal Point ниже — ежемесячный информационный бюллетень с руководствами, вебинарами, интересными официальными документами и новостями, посвященными конфиденциальности данных.Вы можете отписаться в любое время.

Заявление о конфиденциальности Microsoft — конфиденциальность Microsoft

Когда продукт Microsoft собирает возраст и в вашей юрисдикции существует возраст, при котором для использования продукта требуется согласие или разрешение родителей, продукт либо блокирует пользователей младше этого возраста, либо запрашивает они должны предоставить согласие или разрешение от родителей или опекунов, прежде чем они смогут его использовать. Мы не будем сознательно просить детей младше этого возраста предоставить больше данных, чем требуется для продукта.

После получения согласия или разрешения родителей учетная запись ребенка обрабатывается так же, как и любая другая учетная запись. Ребенок может получить доступ к службам связи, таким как Outlook и Skype, а также может свободно общаться и обмениваться данными с другими пользователями любого возраста. Узнайте больше о согласии родителей и дочерних учетных записях Microsoft.

Родители или опекуны могут изменить или отозвать ранее сделанный выбор согласия, а также просмотреть, отредактировать или запросить удаление личных данных детей, для которых они предоставили согласие или разрешение.Как организатор семейной группы Microsoft, родитель или опекун может управлять информацией и настройками ребенка на своей странице семейной безопасности, а также просматривать и удалять данные ребенка на своей панели управления конфиденциальностью.

Выберите «Узнать больше» ниже, чтобы получить дополнительные сведения о детях и профилях Xbox.

Когда продукт Microsoft собирает возраст и в вашей юрисдикции существует возраст, при котором для использования продукта требуется согласие или разрешение родителей, продукт либо блокирует пользователей, не достигших этого возраста, либо запрашивает у них согласие или разрешение от родитель или опекун, прежде чем они смогут его использовать.Мы не будем сознательно просить детей младше этого возраста предоставить больше данных, чем требуется для продукта.

Ниже представлена дополнительная информация о сборе данных от детей в отношении Xbox.

Что такое Xbox? Xbox — это игровое и развлекательное подразделение Microsoft. Xbox размещает онлайн-сеть, состоящую из программного обеспечения, и позволяет работать в Интернете на нескольких платформах.Эта сеть позволяет вашему ребенку находить игры и играть в них, просматривать контент и общаться с друзьями на Xbox и в других игровых и социальных сетях. Дети могут подключаться к сети Xbox с помощью консолей Xbox, устройств Windows и мобильных устройств (Android и iPhone).

Консоли Xbox — это устройства, которые ребенок может использовать для поиска и воспроизведения игр, фильмов, музыки и других цифровых развлечений. Когда они входят в Xbox, в приложениях, играх или на консоли, мы назначаем их устройству уникальный идентификатор. Например, когда их консоль Xbox подключена к Интернету и они входят в систему, мы определяем, какую консоль и какую версию операционной системы консоли они используют.

Xbox продолжает предоставлять новые возможности в клиентских приложениях, которые подключены и поддерживаются такими службами, как сеть Xbox и облачные игры. При входе в систему Xbox мы собираем необходимые данные, чтобы обеспечить надежность, актуальность, безопасность и производительность этих приложений.

Данные, которые мы собираем при создании профиля Xbox . Вы как родитель или опекун должны дать согласие на сбор личных данных ребенка младше 13 лет.С вашего разрешения ваш ребенок может иметь профиль Xbox и пользоваться сетью Xbox в Интернете. Во время создания детского профиля Xbox вы войдете в свою учетную запись Microsoft, чтобы подтвердить, что вы являетесь взрослым организатором в своей семейной группе Microsoft. Мы собираем альтернативный адрес электронной почты или номер телефона, чтобы повысить безопасность учетной записи. Если вашему ребенку потребуется помощь в доступе к своей учетной записи, он сможет использовать один из этих альтернативных вариантов, чтобы подтвердить, что он владеет учетной записью Microsoft.

Мы собираем ограниченную информацию о детях, включая имя, дату рождения, адрес электронной почты и регион.Когда вы подписываете свой ребенок для профиля Xbox, он получает тег игрока (общедоступный ник) и уникальный идентификатор. Создавая профиль Xbox вашего ребенка, вы даете согласие Microsoft на сбор, использование и обмен информацией на основе их настроек конфиденциальности и связи в онлайн-сети Xbox. Настройки конфиденциальности и общения вашего ребенка по умолчанию установлены на самые строгие.

Данные, которые мы собираем . Мы собираем информацию об использовании вашим ребенком служб, игр, приложений и устройств Xbox, в том числе:

, когда они входят и выходят из Xbox, историю покупок и получаемый контент.
В какие игры они играют и какие приложения используют, их прогресс в игре, достижения, игровое время за игру и другая игровая статистика.
Данные о производительности консолей Xbox, Xbox Game Pass и других приложений Xbox, сети Xbox, подключенных аксессуаров и сетевого подключения, включая любые программные или аппаратные ошибки.
Контент, который они добавляют, выгружают или передают через сеть Xbox, включая текст, изображения и видео, которые они записывают в играх и приложениях.
Социальная активность, включая данные чата и взаимодействие с другими игроками, а также связи, которые они устанавливают (друзья, которых они добавляют, и люди, которые следят за ними) в сети Xbox.

Если ваш ребенок использует консоль Xbox или приложение Xbox на другом устройстве, имеющем доступ к сети Xbox, и это устройство включает в себя запоминающее устройство (жесткий диск или блок памяти), данные об использовании будут храниться на запоминающем устройстве и отправляться на Microsoft при следующем входе в Xbox, даже если они играли в автономном режиме.

Диагностические данные консоли Xbox . Если ваш ребенок использует консоль Xbox, консоль отправит необходимые данные в Microsoft. Требуемые данные — это минимальный объем данных, необходимых для обеспечения безопасности, надежности, актуальности и производительности Xbox.

Игра захватывает . Любой игрок в сеансе многопользовательской игры может записывать видео (игровые клипы) и делать снимки экрана, на которых они видят ход игры. Игровые клипы и снимки экрана других игроков могут запечатлеть игровой персонаж вашего ребенка и его тег игрока во время этого сеанса. Если игрок снимает игровые клипы и снимки экрана на ПК, полученные игровые клипы могут также записывать аудиочат, если это позволяют настройки конфиденциальности и связи вашего ребенка в онлайн-сети Xbox.

Субтитры .Во время чата Xbox в реальном времени («группового») игроки могут активировать функцию преобразования голоса в текст, которая позволяет им просматривать этот чат как текст. Если игрок активирует эту функцию, Microsoft использует полученные текстовые данные для создания субтитров чата для игроков, которым это нужно. Эти данные также могут использоваться для обеспечения безопасной игровой среды и соблюдения Стандартов сообщества для Xbox.

Использование данных . Microsoft использует собираемые нами данные для улучшения игровых продуктов и впечатлений, делая их со временем более безопасными и увлекательными.Собираемые нами данные также позволяют нам предоставлять вашему ребенку индивидуальный и тщательно подобранный опыт. Это включает их подключение к играм, контенту, услугам и рекомендациям.

Данные Xbox доступны для просмотра другим пользователям . Когда ваш ребенок использует сеть Xbox, его присутствие в сети (которое может быть настроено на «отображаться в автономном режиме» или «заблокировано»), тег игрока, статистика игры и достижения видны другим игрокам в сети. В зависимости от того, как вы устанавливаете настройки безопасности Xbox вашего ребенка, они могут обмениваться информацией во время игры или общения с другими пользователями в сети Xbox.

Чтобы сделать сеть Xbox безопасной игровой средой и обеспечить соблюдение Стандартов сообщества для Xbox, мы можем собирать и проверять голос, текст, изображения, видео и игровой контент (например, игровые клипы, загружаемые вашим ребенком, разговоры, которые они есть, и вещи, которые они выкладывают в клубах и на играх).

Данные Xbox предоставлены издателям игр и приложений . Когда ваш ребенок использует онлайн-игру Xbox или любое подключенное к сети приложение на своей консоли Xbox, ПК или мобильном устройстве, издатель этой игры или приложения имеет доступ к данным об их использовании, чтобы помочь издателю доставлять, поддерживать и улучшать его продукт.Эти данные могут включать в себя: идентификатор пользователя Xbox вашего ребенка, тег игрока, ограниченную информацию об учетной записи, такую как страна и возрастной диапазон, данные о взаимодействии вашего ребенка в игре, любые принудительные действия Xbox, игровые сеансы (например, ходы, сделанные в игре). или типы транспортных средств, используемых в игре), присутствие вашего ребенка в сети Xbox, время, которое он проводит за игрой или приложением, рейтинги, статистика, профили игроков, аватары или изображения игроков, списки друзей, ленты активности официальных клубов, к которым они принадлежат к, официальное членство в клубах и любой контент, который они создают или отправляют в игре или приложении.

Сторонние издатели и разработчики игр и приложений имеют свои собственные четкие и независимые отношения с пользователями, и их сбор и использование личных данных регулируются их политиками конфиденциальности. Вам следует внимательно изучить их политику, чтобы определить, как они используют данные вашего ребенка. Например, издатели могут раскрывать или отображать данные игры (например, в списках лидеров) через свои собственные службы. Вы можете найти их политики, связанные со страницами с описанием игр или приложений в наших магазинах.

Подробнее см. Обмен данными с играми и приложениями.

Чтобы прекратить совместное использование данных игры или приложения с издателем, удалите его игры или приложение со всех устройств, на которых они были установлены. Доступ некоторых издателей к данным вашего ребенка может быть отменен по адресуmicrosoft.com/consent.

Управление дочерними настройками . Как организатор семейной группы Microsoft, вы можете управлять информацией и настройками ребенка на его странице семейной безопасности, а также настройками конфиденциальности его профиля Xbox на странице конфиденциальности и безопасности в Интернете Xbox.

Вы также можете использовать приложение Xbox Family Settings для управления опытом вашего ребенка в сети Xbox, включая: расходы на магазины Microsoft и Xbox, просмотр активности вашего ребенка на Xbox, а также установку возрастных рейтингов и количества экранного времени.

Узнайте больше об управлении профилями Xbox в настройках безопасности и конфиденциальности Xbox в Интернете.

Узнайте больше о семейных группах Microsoft на странице Упростите жизнь своей семьи.

Доступ к данным о детях . Как организатор семейной группы Microsoft, родитель может просматривать и удалять данные ребенка на своей панели управления конфиденциальностью.Панель управления позволяет вам просмотреть личную информацию вашего ребенка, удалить ее и отказаться от дальнейшего сбора или использования информации вашего ребенка.

Чтобы закрыть учетную запись ребенка, войдите в систему с данными учетной записи на странице account.microsoft.com/profile и выберите «Как закрыть учетную запись».

Наследие .

Xbox 360 . Эта консоль Xbox собирает ограниченные необходимые диагностические данные. Эти данные помогают поддерживать нормальную работу детской консоли.
Kinect . Датчик Kinect представляет собой комбинацию камеры, микрофона и инфракрасного датчика, которая позволяет использовать движения и голос для управления игровым процессом. Например:
- Если вы выберете, камеру можно будет использовать для автоматического входа в сеть Xbox с помощью распознавания лиц. Эти данные остаются на консоли, никому не передаются и могут быть удалены в любое время.
- Для игры Kinect будет отображать расстояния между суставами на теле вашего ребенка, чтобы создать представление в виде фигурки, позволяющей играть.
- Микрофон Kinect может включать голосовой чат между игроками во время игры. Микрофон также позволяет выполнять голосовые команды для управления консолью, игрой или приложением, а также для ввода условий поиска.
- Сенсор Kinect также можно использовать для аудио- и видеосвязи через такие службы, как Skype.

Подробнее о Kinect на Xbox Kinect и конфиденциальности.

GDPR Персональные данные и конфиденциальные персональные данные

Статус: Изменен

Это модифицированная концепция .Определение личных данных изменено и упрощено, а определение конфиденциальных личных данных сохранено и расширено, чтобы охватить генетические данные и биометрические данные. Несмотря на то, что они остаются в основном такими же, есть некоторые изменения в условиях обработки личных данных и конфиденциальных личных данных.

Чем он отличается от текущего положения?

Личные данные

Определение в соответствии с Законом о защите данных 1998 года (DPA): данных, которые относятся к живому человеку, которого можно идентифицировать:

(а) из этих данных; или

(b) из тех данных и другой информации, которыми владеет или может получить контролер данных;

и включает в себя любое выражение мнения о человеке и любое указание на намерения контроллера данных или любого другого лица в отношении этого лица.

Определение согласно GDPR: любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.

Что изменилось?

Хотя определение выглядит упрощенным, в результате оно становится более подробным со ссылкой на серию идентификаторов, включая имя, онлайн-идентификаторы (например, IP-адрес) и данные о местоположении.

Конфиденциальные личные данные

Определение согласно DPA: личные данные, состоящие из информации о:

(a) расовое или этническое происхождение субъекта данных;

(b) его политические взгляды;

(d) является ли он членом профсоюза;

(e) его физическое или психическое здоровье или состояние;

(f) его сексуальная жизнь;

(g) совершение или предполагаемое совершение им какого-либо правонарушения; или

(h) любое судебное разбирательство по любому правонарушению, совершенному или предположительно совершенное им, распоряжение о таком разбирательстве или приговор любого суда по такому разбирательству.

Определение согласно GDPR: данные, состоящие из расового или этнического происхождения, политических взглядов, религиозных или философских убеждений или членства в профсоюзах, генетические данные, биометрические данные, данные, касающиеся здоровья или данные, касающиеся половой жизни или сексуальной ориентации физического лица.

Что изменилось?

Включение генетических и биометрических данных является новым. Ранее определение включало информацию об уголовных приговорах — теперь это рассматривается отдельно и подлежит еще более строгому контролю.

Условия обработки

В дополнение к соблюдению всех шести принципов защиты данных (см. Наш брифинг по GDPR: Принципы защиты данных), при обработке персональных данных контроллер данных также должен удовлетворять как минимум одному условию обработки. Если контроллер данных обрабатывает конфиденциальные персональные данные, также должно быть выполнено по крайней мере одно условие обработки конфиденциальных персональных данных. Условия обработки:

Личные данные

Основания для обработки персональных данных в соответствии с GDPR в целом повторяют основания для обработки персональных данных в соответствии с DPA.Обработка персональных данных будет законной только в том случае, если она удовлетворяет хотя бы одному из следующих условий:

Согласие субъекта данных — это в целом то же самое, что и в соответствии с DPA, но GDPR имеет более узкое представление о том, что представляет собой согласие, что означает, что получить согласие станет труднее. На практике это означает, что контроллерам данных придется прибегать к другим условиям обработки.
Необходимо для выполнения договора с субъектом данных или для принятия мер по подготовке к такому договору — нет изменений в формулировке в DPA.
Необходимо для соблюдения юридического обязательства — это в целом то же самое, что и в соответствии с DPA. Однако в соответствии с GDPR юридическое обязательство должно быть обязательством государства-члена или законодательства ЕС, которому подчиняется контролер. Однако этот закон не обязательно должен быть установленным законом.
Необходимо для защиты жизненно важных интересов субъекта данных или другого лица, если субъект данных не может дать согласие. — обработка необходима для защиты жизненно важных интересов субъекта данных.На это условие следует полагаться только тогда, когда нет другого доступного заземления, например неотложная медицинская помощь.
Необходимо для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера — это условие будет применяться, когда обработка необходима для выполнения задачи, выполняемой в общественных интересах или в целях осуществление официальных полномочий, возложенных на контролера. Эти функции должны возникать в соответствии с законодательством государства-члена или ЕС.
Необходимо для целей законных интересов — на это условие больше не могут полагаться государственные органы.

Конфиденциальные личные данные

Основания для обработки конфиденциальных данных в соответствии с GDPR в целом повторяют основания для обработки конфиденциальных данных в соответствии с DPA, но стали немного уже. Любая обработка персональных данных должна удовлетворять хотя бы одному из следующих условий:

Явное согласие субъекта данных, за исключением случаев, когда использование согласия запрещено законодательством ЕС или государства-члена — , нет изменений в формулировке DPA.
Необходимо для выполнения обязательств в соответствии с законодательством о занятости, социальном обеспечении или социальной защите или коллективным договором — это расширяет формулировку в DPA, делая ссылку на соблюдение обязательств по социальному обеспечению, законодательству о социальной защите и коллективным договорам. .
Необходимо для защиты жизненно важных интересов субъекта данных, который физически или юридически не может дать согласие. — это эквивалент формулировки в DPA.
Обработка, выполняемая некоммерческой организацией с политической, философской, религиозной или профсоюзной целью при условии, что обработка касается только членов или бывших членов (или тех, кто регулярно контактирует с ними в связи с этими целями) и при условии, что третье лицо не раскрывается без согласия — это эквивалент формулировки в DPA.
Данные, явно обнародованные субъектом данных — это эквивалент формулировки в DPA.
Необходимо для предъявления, исполнения или защиты судебных исков или в тех случаях, когда суды действуют в своем судебном качестве. — это то же самое, что и в соответствии с DPA, но была добавлена формулировка, касающаяся обработки данных судами, действующими в их судебном качестве.
Необходимо по причинам существенного общественного интереса на основании законодательства Союза или государства-члена, которое соразмерно преследуемой цели и которое содержит соответствующие меры безопасности. — это означает, что государства-члены могут расширять обстоятельства, при которых конфиденциальные данные могут обрабатываться в общественный интерес
Необходимо для целей профилактической медицины или медицины труда, для оценки работоспособности сотрудника, медицинского диагноза, оказания медицинской или социальной помощи или лечения или управления системами и услугами здравоохранения или социальной помощи на базе Союза или члена Закон штата или договор со специалистом в области здравоохранения
Необходимо по причинам общественного интереса в области общественного здравоохранения, таких как защита от серьезных трансграничных угроз здоровью или обеспечение высоких стандартов здравоохранения и лекарственных препаратов или медицинских устройств — оба этих условия расширяют позиции в DPA, предоставляя юридическое обоснование нормативного использования данных о здоровье в здравоохранении и предоставляя данные о здоровье поставщикам социальных услуг.
Необходимо для целей архивирования в общественных интересах, научных и исторических исследований или статистических целей в соответствии со статьей 89 (1) — это новое условие в соответствии с GDPR и предусматривает, что конфиденциальные данные могут обрабатываться для целей архивирование, исследования и статистика.

Какое влияние на организации?

Хотя определения шире, чем эквивалентные определения в текущем DPA, по большей части они просто кодифицируют текущие рекомендации и прецедентное право по значению «личные данные».

Однако обрабатывать информацию о судимости станет намного сложнее.

Какое действие требуется?

Просмотрите существующие собранные и обработанные данные и определите, собирает ли ваша организация и обрабатывает ли данные, попадающие в расширенные определения GDPR. Помните, что может быть включено в понятие «идентифицируемое физическое лицо» как часть определения Персональных данных.
No related posts.