Что такое обработка персональных данных: Что значит обработка персональных данных: кем и по каким правилам осуществляется

Разное 

Содержание

Положение об обработке персональных данных НИУ ВШЭ — Национальный исследовательский университет «Высшая школа экономики»

For English version please follow the link

1. Общие положения

1.1. При обработке персональных данных Национальный исследовательский университет «Высшая школа экономики» (далее – НИУ ВШЭ, университет) исходит из необходимости обеспечения защиты прав и свобод человека и гражданина в соответствии с требованиями законодательства Российской Федерации.

1.2. Соблюдение Положения является главным условием обработки персональных данных университетом и обязательно для всех работников НИУ ВШЭ.

1.3. Целью Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, определение политики НИУ ВШЭ как оператора в отношении обработки персональных данных. Положение регулирует отношения НИУ ВШЭ и граждан, возникающие в связи с обработкой их персональных данных университетом.

1.4. НИУ ВШЭ принимает правовые, организационные и технические меры, необходимые для обеспечения исполнения законодательства о персональных данных, либо обеспечивает их принятие.

1.5. В Положение могут вноситься изменения без предварительного уведомления субъектов персональных данных и прочих лиц. Актуальная редакция Положения размещена на корпоративном сайте (портале) НИУ ВШЭ по адресу: https://www.hse.ru/data_protection_regulation.

1.6. Положение и изменения в него утверждаются приказом ректора НИУ ВШЭ.

2. Термины и определения

2.1. Термины и определения, используемые в Положении, приведены в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») и иными нормативными правовыми актами Российской Федерации, а именно:

2.1.1. персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

ПДн и их категории могут различаться по степени определенности и определимости субъекта ПДн и зависят от действительной возможности определения на их основе конкретного человека и гражданина (субъекта).

Данные, не определяющие личность человека и гражданина, или не позволяющие определить такую личность даже с применением каких-либо процедур[1], не являются ПДн, а их обработка не связана с необходимостью соблюдения законодательства Российской Федерации о ПДн. К указанным данным могут относится такие популярные сведения, как пол, возраст, должность[2], профессия, хобби и пр., и сведения, появляющиеся в связи с повсеместным проникновением сети Интернет в повседневную жизнь[3], до тех пор, пока такие сведения не позволяют установить личность человека и гражданина;

2.1.2. субъекты ПДн – определенные или определяемые (поддающиеся определению) физические лица. К числу таких лиц могут относиться работники, абитуриенты, обучающиеся и выпускники НИУ ВШЭ, участники олимпиад и других мероприятий, проводимых университетом, и иные лица;

2. 1.3. работник – физическое лицо, вступившее в трудовые отношения с университетом;

2.1.4. обучающийся – физическое лицо, осваивающее образовательную программу. Для целей Положения к обучающимся относятся также физические лица, приобретающие какие-либо знания, умения и навыки, формирующие компетенции, удовлетворяющие свои образовательные потребности в интеллектуальном, духовно-нравственном, физическом и (или) профессиональном совершенствовании в иной форме, а также абитуриенты;

2.1.5. выпускник – физическое лицо, завершившее освоение образовательной программы;

2.1.6. обработка персональных данных (далее – обработка ПДн) – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2. 1.7. оператор – государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Для целей Положения оператором является НИУ ВШЭ;

2.1.8. законодательство о ПДн – Конституция Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и иные нормативные правовые акты, регулирующие отношения, связанные с обработкой ПДн.

3. Условия обработки персональных данных

3.1. Получая ПДн от работников, обучающихся, иных лиц, указанных в настоящем Положении, и начиная их хранение, НИУ ВШЭ становится оператором. Обработка ПДн осуществляется НИУ ВШЭ с соблюдением принципов, условий и правил, предусмотренных законодательством о ПДн, в следующих основных случаях:

3. 1.1. обработка персональных данных осуществляется с согласия субъекта ПДн на обработку его ПДн. При этом для обработки специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических ПДн, если обработка таких ПДн не противоречит локальным нормативным актам НИУ ВШЭ, равно как и для включения любых ПДн в общедоступные источники ПДн и/или передачи ПДн работников третьим лицам необходимо получение указанного согласия в письменной форме либо в форме электронного документа, подписанного усиленной квалифицированной электронной подписью.

К указанному случаю относится, в частности, обработка ПДн:

  • соискателей на замещение вакантных должностей для целей, обусловленных принятием решения в отношении их кандидатур, в том числе получения информации у предшествующих работодателей, обеспечения должного уровня безопасности при их посещении территорий и помещений, на/в которых расположен НИУ ВШЭ; формирования и использования банка данных перспективных соискателей;
  • работников НИУ ВШЭ в целях информационного обеспечения деятельности НИУ ВШЭ, в том числе посредством ведения онлайн справочников, адресных книг, включая страницу «Преподаватели и сотрудники» корпоративного сайта (портала) НИУ ВШЭ, корпоративную информационную систему «Телефонный справочник» и иные общедоступные источники ПДн; печати и размещения информационных табличек; печати и предоставления визитных карточек; приема, фиксации и исполнения заявок, заявлений, запросов и иных видов обращений субъектов ПДн; оформления полисов обязательного медицинского страхования, добровольного медицинского страхования; обеспечения действующего в НИУ ВШЭ уровня безопасности, в том числе действующего пропускного режима и контроля его соблюдения, видеонаблюдения и видеозаписи на территории и в помещениях, на/в которых расположен НИУ ВШЭ; идентификации личности работника НИУ ВШЭ; проведения в НИУ ВШЭ мероприятий и освещения информации о них, в том числе при проведении видеозаписи проводимых мероприятий; обеспечения возможности НИУ ВШЭ для оформления отношений с кредитными организациями, открывающими и обслуживающими платежные карты для начисления и перечисления заработной платы; обеспечения возможности НИУ ВШЭ привлечения третьих лиц для ведения кадрового, бухгалтерского и налогового учета; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи; обеспечения правовой охраны интеллектуальной собственности; выполнения работ, в том числе научно-исследовательских, опытно-конструкторских и технологических, и оказания услуг по заказам третьих лиц и в рамках исполнения государственного задания, осуществления экспертно-аналитической деятельности; статистических и иных исследовательских целях, научной и иной творческой деятельности, осуществляемой в НИУ ВШЭ;
  • бывших работников НИУ ВШЭ в целях обеспечения ретроспективы кадрового учета; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; предоставления таким работникам справок, в том числе для подтверждения стажа и размеров заработной платы; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи;
  • участников проводимых НИУ ВШЭ или с его непосредственным участием познавательных, образовательных и научных мероприятий с целью учета количества участников, анализа их профессиональных интересов, обеспечения действующего в НИУ ВШЭ уровня безопасности, в том числе действующего пропускного режима и контроля его соблюдения, видеонаблюдения и видеозаписи на территории и в помещениях, на/в которых расположен НИУ ВШЭ; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи;
  • обучающихся НИУ ВШЭ в целях раскрытия и развития их талантов и способностей; эффективного формирования образовательных траекторий и внедрения в образовательные процессы практико-ориентированных компонентов, повышающих качество подготовки и востребованность успешных обучающихся на рынках труда; формирования возможностей онлайн образования, в частности, посредством единой информационной образовательной среды (LMS — Learning Management System) и иных платформ НИУ ВШЭ, в том числе с передачей их ПДн третьим лицам; учета посещаемости и успеваемости, а также определения причин, оказывающих негативное влияние на таковые; размещения на корпоративном портале (сайте) НИУ ВШЭ сведений о прохождении ими практик, подготовленных промежуточных (курсовых) и итоговых контрольных (выпускных квалификационных) работ, самих таких работ, результатов текущего контроля успеваемости, промежуточной, итоговой и государственной итоговой аттестации, для обеспечения открытости и прозрачности процесса их оценивания; обеспечения их участия в выполнении работ, в том числе научно-исследовательских, опытно-конструкторских и технологических работ, и оказании услуг по заказам третьих лиц и в рамках исполнения государственного задания; содействия в трудоустройстве, в том числе с передачей их ПДн третьим лицам; формирования единого сообщества обучающихся для повышения интереса и междисциплинарной интеграции; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи;
  • выпускников НИУ ВШЭ в целях содействия в трудоустройстве, в том числе с передачей их ПДн третьим лицам; формирования единого сообщества выпускников, в том числе для обеспечения возможности их взаимодействия с обучающимся (наставничества) и мотивации обучающихся; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи;
  • руководителей и иных представителей юридических лиц – контрагентов или потенциальных контрагентов по договорам, соглашениям и контрактам (далее в совокупности – договоры) в целях подготовки к заключению договоров и исполнения таких договоров, ведения учета заключенных договоров.

3.1.2. обработка ПДн необходима для осуществления и выполнения возложенных законодательством Российской Федерации на НИУ ВШЭ как оператора функций, полномочий и обязанностей, в том числе:

  • трудовым законодательством (включая законодательство об охране труда), состоящим из Трудового кодекса Российской Федерации, иных федеральных законов и законов субъектов Российской Федерации, содержащих нормы трудового права;
  • Правилами ведения реестра договоров, заключенных заказчиками по результатам закупки, утвержденными постановлением Правительства Российской Федерации от 31.10.2014 № 1132;
  • Порядком проведения олимпиад школьников, утвержденным приказом Министерства образования и науки Российской Федерации от 04.04.2014 № 267;
  • Порядком приема на обучение по образовательным программам высшего образования — программам бакалавриата, программам специалитета, программам магистратуры, утвержденным приказом Министерства образования и науки Российской Федерации от 14.
    10.2015 № 1147;
  • иными нормативными правовыми актами Российской Федерации.

К указанному случаю относится, в частности, обработка ПДн работников, обучающихся, абитуриентов, участников олимпиад и конкурсов, а также физических лиц – контрагентов НИУ ВШЭ.

3.1.3. обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем.

К указанному случаю относится, в частности, обработка ПДн обучающихся на местах по договорам об оказании платных образовательных услуг, в том числе обучающихся по дополнительным профессиональным программам, прочих получателей услуг и работ НИУ ВШЭ, а также физических лиц – контрагентов НИУ ВШЭ. К указанному случаю обработки ПДн может также относиться обработка, осуществляемая НИУ ВШЭ на основании предоставляемых в связи с заключением указанных договоров согласий на обработку ПДн.

3.1.4. обработка ПДн необходима для научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

3.1.5. обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн;

3.1.6. осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (ПДн, сделанные общедоступными субъектом ПДн).

3.2. Все вышеуказанные ПДн субъектов, групп субъектов ПДн и иные ПДн обрабатываются в объеме и в сроки, предусмотренные соответствующими согласиями на обработку ПДн, в том числе выраженными в тексте трудовых и гражданско-правовых договоров, и/или в нормативных правовых актах, и/или локальных нормативных актах НИУ ВШЭ, и/или вытекающими из таких нормативных правовых актов и локальных нормативных актов НИУ ВШЭ, либо в сроки, необходимые для достижения указанных целей. Вышеперечисленные условия обработки ПДн не являются исчерпывающими. Предоставляемые согласия на обработку ПДн могут дополнять или изменять иным образом цели, объем, способы и сроки обработки ПДн.

3.3. Обработка ПДн иных лиц осуществляется при наличии их согласий, если они фактически взаимодействуют с НИУ ВШЭ, в том числе в форме возникающих или существующих правоотношений. Если иное не указано в Положении, заключаемых договорах или предоставляемых субъектами ПДн согласиях на обработку ПДн, НИУ ВШЭ использует такие ПДн исключительно для целей, для которых они были предоставлены университету, в частности, в целях предоставления ответов на вопросы, предоставления доступа к определенной информации и знаниям.

3.4. Работники НИУ ВШЭ, которые обрабатывают ПДн в университете, заблаговременно, до начала обработки ПДн, должны убедиться в ее допустимости и законности, удостовериться относительно обладания университетом соответствующими полномочиями и/или согласиями субъектов ПДн. При отсутствии таких полномочий и/или согласий указанный работник НИУ ВШЭ должен обеспечить получение согласия от субъекта, обработка ПДн которого планируется. В этой связи он может:

  • предусматривать в различных электронных регистрационных формах, переписке по электронной почте и телефонных переговорах получение согласий на обработку ПДн от соответствующих субъектов ПДн с обязательной фиксацией такого согласия в любой позволяющей подтвердить факт его получения форме, в том числе с последующим личным подтверждением предоставления согласий такими субъектами;
  • применять рекомендуемую форму письменного согласия, размещенную на странице корпоративного сайта (портала) НИУ ВШЭ по адресу: https://legal.hse.ru/rndip/information_sharing.

3.5. К работникам НИУ ВШЭ, которые обрабатывают ПДн в университете, по должности относятся:

  • ректор;
  • президент, вице-президент, научный руководитель;
  • первые проректоры, проректоры, находящиеся в непосредственном подчинении ректору;
  • проректоры, находящиеся в непосредственном подчинении первым проректорам, старшие директора и директора по направлениям деятельности;
  • работники Секретариата университета;
  • главный бухгалтер;
  • работники Управления персонала;
  • работники Управления бухгалтерского учета;
  • работники Планово-финансового управления;
  • работники Дирекции по правовым вопросам;
  • работники Управления виз и регистраций Дирекции по интернационализации;
  • работники Управления делами;
  • работники Управления по информационным ресурсам и управления разработки и поддержки информационных систем портала Дирекции по связям с общественностью и информационным ресурсам;
  • работники Управления по работе с абитуриентами и Управления дополнительного образования – в отношении ПДн абитуриентов;
  • работники Дирекции основных образовательных программ, Дирекции по профессиональной ориентации и работе с одаренными учащимися, Управления дополнительного образования, факультетов – в отношении ПДн обучающихся;
  • работники Дирекции по безопасности;
  • работники Дирекции информационных технологий и Управления развития информационных технологий.

Ректор, первые проректоры, проректоры, директора и старшие директора могут делегировать часть своих полномочий иным работникам НИУ ВШЭ в порядке, предусмотренном локальными нормативными актами НИУ ВШЭ, а также определять иных лиц, которые в соответствии со своей трудовой функцией имеют непосредственное отношение к обработке ПДн.

3.6. Всякий раз, когда получение необходимого согласия на обработку ПДн невозможно и имеются достаточные основания полагать, что обработка ПДн может нарушить права субъекта(-ов) ПДн, соответствующий работник НИУ ВШЭ уведомляет любым фиксированным способом (на бумажном носителе, по корпоративной электронной почте, факсимильной связью) об этом Управление персонала НИУ ВШЭ (в отношении ПДн работников), руководителей структурных подразделений, реализующих образовательные программы (в отношении ПДн обучающихся), и/или Дирекция по правовым вопросам (в отношении ПДн остальных субъектов) для выработки обоснованного подхода к обработке ПДн или установления невозможности их обработки.

Руководители структурных подразделений НИУ ВШЭ, в непосредственной деятельности которых происходит обработка ПДн граждан, обеспечивают принятие всех необходимых мер по соблюдению законности обработки ПДн, в том числе получение согласий на обработку и, при необходимости, разработку локальных нормативных актов, определяющих условия обработки ПДн соответствующих групп субъектов.

3.7. В отсутствие указания на иное, предоставляя свои ПДн университету, субъект ПДн принимает условия Положения и тем самым свободно, своей волей и в своем интересе распоряжается ими, осознает последствия их предоставления и выражает свое согласие на их обработку в целях, для достижения которых они предоставляются, а также в целях соблюдения НИУ ВШЭ нормативных и ненормативных правовых актов, принимаемых в Российской Федерации; исполнения решений, поручений и запросов органов государственной власти, осуществляющих отдельные функции и полномочия учредителя НИУ ВШЭ, а также иных органов государственной власти и их должностных лиц; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи; осуществления НИУ ВШЭ уставной деятельности; а также аккумуляции сведений о лицах, взаимодействующих с НИУ ВШЭ, путем сбора, записи, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения, совершаемых, в том числе с использованием средств автоматизации. Объем обрабатываемых ПДн в указанном случае ограничивается теми данными, которые предоставлены субъектами ПДн самостоятельно, а срок обработки ПДн составляет 5 (пять) лет с момента их предоставления.

Несмотря на широкий перечень действий, допустимых с ПДн, на совершение которых дается такое согласие, при обработке ПДн НИУ ВШЭ ограничивается достижением конкретных, заранее определенных, законных целей и не допускает избыточности их обработки.

НИУ ВШЭ воздерживается от продажи или предоставления в пользование ПДн в какой-либо объективной форме. Обработка ПДн в НИУ ВШЭ за пределами вышеуказанных случаев, в отсутствие согласий субъектов ПДн на их обработку, запрещена.

4. Доступ к персональным данным

4.1. К обработке ПДн в НИУ ВШЭ допускаются только те лица, которые указаны или определены в Положении, лица, которым в установленном настоящим Положением порядке делегированы соответствующие полномочия, а также лица, чьи ПДн подлежат обработке.

4.2. Иные работники НИУ ВШЭ могут получать доступ к ПДн в целях чтения и подготовки методических, аналитических, сводных и иных материалов в части вопросов, относимых к деятельности таких лиц или структурных подразделений НИУ ВШЭ, к которым они относятся. Доступ иных работников НИУ ВШЭ к ПДн может быть осуществлен исключительно при условии предоставления университету обязательств таких лиц по сохранению соответствующих ПДн в тайне.

4.3. Доступ к ПДн, содержащимся в каких-либо электронных базах данных и в информационных системах университета, осуществляется на основании решения Старшего директора по информационным технологиям или лица, его замещающего. В основе такого решения лежит совокупность различных факторов, влияющих на возможность нарушения законодательства о ПДн, в частности, возможность неправомерного доступа и распространения ПДн.

4.4. Лица, виновные в нарушении порядка обработки ПДн, несут предусмотренную законодательством Российской Федерации ответственность. В отношении работников НИУ ВШЭ, нарушивших порядок обработки ПДн, могут быть применены дисциплинарные взыскания.

5. Особенности защиты персональных данных работников

5.1. Защита ПДн представляет собой принятие правовых, организационных и технических мер, направленных на:

  • обеспечение защиты ПДн от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн;
  • соблюдение конфиденциальности ПДн;
  • реализацию права на доступ к ПДн.

5.2. Университет обеспечивает эффективную работу системы защиты ПДн, которая включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн и информационных технологий, используемых в информационных системах. Обеспечение защиты ПДн в университете осуществляется Дирекцией информационных технологий Национального исследовательского университета «Высшая школа экономики».

5.3.  Защита ПДн работников НИУ ВШЭ от неправомерного их использования или утраты обеспечивается за счет средств университета в порядке, установленном федеральным законом.

5.4. Защита ПДн, хранящихся в электронных базах данных и в информационных системах университета, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системы паролей.

5.5. Организация хранения ПДн в университете осуществляется в порядке, исключающем их утрату или их неправомерное использование.

5.6. Организацию и контроль за защитой ПДн работников университета, осуществляют работники НИУ ВШЭ, которые обрабатывают ПДн в университете по должности, а также руководители соответствующих структурных подразделений, работники которых обрабатывают ПДн в университете по должности.

5.7. Для регламентации доступа работников НИУ ВШЭ к ПДн, документам, в том числе электронным, иным материальным носителям, базам данных и информационным системам, содержащим ПДн, в целях исключения несанкционированного доступа третьих лиц и защиты ПДн работников первые проректоры, проректоры, директора и старшие директора, а также руководители соответствующих структурных подразделений, работники которых обрабатывают ПДн в университете по должности, обязаны соблюдать и обеспечивать:

  • ограничение и регламентацию состава работников, трудовые обязанности которых требуют доступа к ПДн;
  • строгое избирательное и обоснованное распределение документов, иных материальных носителей, содержащих ПДн, между работниками;
  • рациональное размещение рабочих мест работников, при котором исключается бесконтрольное использование ПДн;
  • знание соответствующими работниками требований нормативных правовых и локальных нормативных актов по защите информации и сохранении конфиденциальности такой информации;
  • наличие необходимых условий в помещении для работы с документами, иными материальными носителями, базами данных и информационными системами, содержащими ПДн;
  • определение и регламентацию состава работников, имеющих право доступа к базам данных и информационным системам, содержащим ПДн;
  • организацию порядка уничтожения материальных носителей, содержащих ПДн, и его соблюдение;
  • своевременное выявление нарушения требований разрешительной системы доступа к ПДн;
  • работу в структурном подразделении по предупреждению утраты и разглашению ПДн при работе с ними;
  • ограничение доступа к документам, иным материальным носителям, базам данных и информационным системам, содержащим ПДн.

5.8. Для защиты ПДн работников в НИУ ВШЭ обеспечивается соблюдение, в частности:

  • порядка приема, учета и контроля деятельности посетителей;
  • пропускного режима;
  • учета и порядка выдачи пропусков;
  • технических средств охраны, сигнализации;
  • порядка охраны территории, зданий, помещений, транспортных средств;
  • требований к защите информации при интервьюировании и собеседованиях.

5.9. Все меры по обеспечению конфиденциальности ПДн при их обработке распространяются как на материальные носители, так ПДн, представленные в электронном формате.

6. Права субъекта персональных данных

6.1. Университет не осуществляет обработку ПДн в отсутствие согласий субъектов ПДн и/или за пределами условий обработки ПДн, указанных в законодательстве о ПДн, если иное не установлено законодательством Российской Федерации.

6.2. Субъект ПДн имеет право ознакомиться с объемом предоставленного им НИУ ВШЭ согласия и, при необходимости, обратиться в указанные в Положении структурные подразделения НИУ ВШЭ с целью совершения иных действий, предусмотренных законодательством о ПДн.

6.3. Любой субъект ПДн вправе направить в адрес НИУ ВШЭ отзыв предоставленного им согласия на обработку его ПДн в той же форме, в которой такое согласие от него было получено.

6.4. Субъект ПДн может осуществлять иные права, предусмотренные законодательством о ПДн.


[1] В частности, посредством поисковых запросов, запросов в информационно-коммуникационной сети «Интернет», в том числе в социальных сетях и пр.

[2] В случае, если она не уникальна, без указания места работы.

[3] В частности, сведения о динамических IP-адресах для непрофессионального потребителя услуг связи.

 

Если у Вас остались вопросы, связанные с обработкой персональных данных в Университете, вы хотите сообщить о нарушении или отозвать свое согласие, Вы можете связаться с нами, заполнив следующую форму.

Неавтоматизированная обработка персональных данных в России и международное законодательство

Регулирование обработки персональных данных не ограничивается лишь 152-ФЗ «О персональных данных» и несколькими подзаконными актами Роскомнадзора. Многие даже не догадываются, что существует довольно внушительное число международных нормативных актов, которые иногда напрямую не относятся к России, но влияют на работу отечественного бизнеса за рубежом. К таким актам прежде всего стоит отнести Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, которую наша страна ратифицировала 19 декабря 2005 г.

Примечание. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Но, несмотря на то что основной целью Конвенции является «обеспечение права на неприкосновенность личной сферы в связи с автоматизированной обработкой персональных данных», Российская Федерация заявила, что будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если ее применение соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации .

———————————
Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981.
Федеральный закон от 19.12.2005 №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

Основные требования к мерам по обеспечению безопасности персональных данных при неавтоматизированной обработке, а также особенности организации таковой в России установлены Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (далее – Положение).

———————————
Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Примечание. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Согласно Положению неавтоматизированной обработкой персональных данных (без применения средств автоматизации) считается обработка, при которой использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека. При этом обработка персональных данных не может быть признана автоматизированной только на том основании, что они содержатся в информационной системе либо были извлечены из нее.

Примечание. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Подавляющее большинство компаний в своей деятельности используют типовые формы документов, которые предполагают или допускают включение в них персональных данных. Положение содержит условия, которые необходимо соблюдать при использовании таких форм.

Типовые формы документов или связанные с ними документы (инструкции по заполнению, карточки, реестры, журналы) должны содержать информацию о цели обработки персональных данных, наименование и адрес компании-оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения, сроки обработки, перечень действий и общее описание используемых оператором способов их обработки.

Типовые формы также должны:

  • при необходимости получения письменного согласия на обработку персональных данных содержать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных;

  • быть составлены таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться только со своими персональными данными;

  • исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

При неавтоматизированной обработке персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм. При этом не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. При обработке различных категорий персональных данных для каждой категории должен использоваться отдельный материальный носитель.

Уточнение персональных должно осуществляться путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Хранение материальных носителей персональных данных должно обеспечивать их сохранность и исключать несанкционированный доступ. При этом материальные носители персональных данных, обработка которых осуществляется в различных целях, должны храниться раздельно и таким образом, чтобы можно было определить места их хранения для каждой из категорий персональных данных.

При этом обязанность установления перечня мер, необходимых для обеспечения сохранности персональных данных и исключающих несанкционированный доступ к ним, порядка их принятия, а также перечня лиц, ответственных за их реализацию, возложена на оператора.

Чтобы выполнить требования Положения к неавтоматизированной обработке персональных данных и избежать привлечения к ответственности, следует принять ряд мер.

Примечание. В числе наиболее критичных последствий несоблюдения требований законодательства в области персональных данных для коммерческих структур – потеря доверия клиентов и падение конкурентоспособности.

Практика показывает, что подавляющее большинство граждан отказываются от услуг организации, не обеспечившей должный уровень защиты конфиденциальной информации. Это приводит не только к потере существующих клиентов, но и к трудностям в привлечении новых.

В первую очередь необходимо проинформировать всех сотрудников и лиц, осуществляющих обработку персональных данных по договору, о факте обработки ими персональных данных, об особенностях и правилах осуществления такой обработки, ознакомить под роспись с нормативными и локальными правовыми актами.

В связи с этим целесообразно внести изменения в трудовые и гражданско-правовые договоры, должностные инструкции в части прав, обязанностей и ответственности в области персональных данных. Нелишним будет и заключение договора (обязательства) с указанием обязанностей и ответственности за нарушения режима конфиденциальности.

Лучше установить строго определенный перечень подразделений и должностей лиц, допущенных к работе с теми или иными категориями персональных данных.

Необходимо разработать и утвердить положение о неавтоматизированной обработке персональных данных. Такой документ должен быть основан на требованиях, установленных нормативно-правовыми актами РФ, с учетом требований Положения, определять порядок реализации и перечень мер, необходимых для обеспечения безопасности персональных данных при неавтоматизированной обработке, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, в том числе при использовании типовых форм документов, хранении, уничтожении и обезличивании персональных данных, и их ответственность за нарушение норм по обработке персональных данных. Также целесообразно разработать инструкции по заполнению типовых форм документов.

В случае сбора персональных данных для осуществления пропускного режима или в иных аналогичных целях необходимо разработать локальный правовой акт, содержащий сведения о цели и сроках обработки персональных данных, составе и способах их фиксации, перечне лиц, имеющих доступ к материальным носителям и ответственных за их ведение и хранение.

Таким образом, в компаниях возникает необходимость принятия мер и разработки нового, достаточно объемного пакета документов, который должен содержать не только общие документы, связанные, например, с получением согласия субъектов на обработку их персональных данных, уведомлением уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора), установлением целей и способов обработки персональных данных и т.д., но и документы, регламентирующие применение организационных и технических мер в отношении каждого из способов обработки персональных данных.

Именно наличие документации в первую очередь будут проверять контролирующие органы (одно из самых распространенных замечаний Роскомнадзора по результатам проверок операторов – это несоответствие типовых форм документов законодательству).

Несмотря на информатизацию общества и автоматизацию бизнес-процессов, в большинстве компаний обработка персональных данных осуществляется в том числе и неавтоматизированно и соответственно регламентируется Положением, а значит, возникает необходимость выделения содержащих персональные данные документов и информации, их особой маркировки, ведения отдельного учета, контроля доступа к ним и т. д.

Примечание. Законодательством РФ предусмотрены следующие санкции:

  • меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства;

  • направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;

  • административное приостановление деятельности, приостановка действия или лишение лицензий;

  • конфискация несертифицированных средств защиты информации, в том числе основного оборудования и программного обеспечения информационных систем, используемых средств шифрования;

  • штрафные санкции;

  • лишение права занимать определенные должности или заниматься определенной деятельностью;

  • обязательные работы;

  • исправительные работы;

  • арест;

  • лишение свободы на определенный срок;

  • дисциплинарная и материальная ответственность.

При реализации требований Федерального закона «О персональных данных» необходимо помнить, что обработка персональных данных включает два аспекта: формирование информационной системы персональных данных и последующую обработку с использованием средств автоматизации или без использования таких средств.

———————————
Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».

При необходимости обработки персональных данных оператор должен выполнять определенную последовательность действий, в том числе уведомить по предусмотренной форме уполномоченный орган по защите прав субъектов персональных данных – Роскомнадзор – о намерении осуществлять обработку данных, удостовериться, что персональные данные получены с соблюдением требований законодательства и соответствуют заявленным целям обработки, т.е. данные получены либо из открытого источника, либо во исполнение федерального закона, либо с соответствующим согласием субъекта и т. д.

При этом не стоит забывать, что персональные данные относятся к категории конфиденциальной информации и могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа. Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная тайна, нотариальная, адвокатская, банковская, тайна усыновления и т.д.). В режиме личной тайны – сведения об особенностях личности, ее пристрастиях, привычках, интересах. В режиме семейной тайны – сведения о взаимоотношениях членов семьи, в том числе родственных.

———————————
ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».

На этапе выбора конкретных мер по обеспечению безопасности персональных данных в зависимости от способа их обработки необходимо руководствоваться соответствующими нормативно-правовыми актами.

При этом следует обратить внимание на нечеткость в терминологии:

  • Закон не определяет понятие «автоматизированная обработка»;

  • в соответствии с Положением обработка считается неавтоматизированной, если она осуществляется при непосредственном участии человека;

  • в соответствии с ГОСТ 34.003-90 автоматизированным считается процесс, осуществляемый при совместном участии человека и средств автоматизации;

  • Конвенция же гласит, что «автоматическая обработка включает следующие операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических или (и) арифметических операций с такими данными, их изменение, стирание, восстановление или распространение».

———————————
Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».
Указ Президента РФ от 06.03.1997 №188 «Об утверждении Перечня сведений конфиденциального характера».

Возможно, чтобы понять разницу между автоматизированной и неавтоматизированной обработкой, необходимо обратиться к цели защиты персональных данных и причинам разделения этих понятий, которые заключаются в различии технологий, а соответственно, и в способах получения несанкционированного доступа к персональным данным в зависимости от способа их обработки. А ведь именно защита прав и свобод человека и гражданина при обработке его персональных данных является целью Федерального закона «О персональных данных».

В любом случае защиту персональных данных необходимо обеспечивать вне зависимости от способов обработки. Для того чтобы избежать негативных последствий, в том числе гражданской, уголовной и административной ответственности за нарушение требований по обработке персональных данных, сделать это нужно до 1 января 2011 г.

———————————
Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».

Е.Заяц

Консультант
по информационной безопасности
ЗАО «ДиалогНаука»
Источник: http://www.crmdaily.ru/novosti-rynka-crm/503-neavtomatizirovannaya-obrabotka-personalnyx-dannyx-v-rossii-i-mezhdunarodnoe-zakonodatelstvo.html

Возврат к списку


Что такое «персональные данные» и когда они «обрабатываются»?

Что такое «персональные данные» и когда они «обрабатываются»? | Комиссар по защите данных

Свяжитесь с намиPre-GDPR

Gaeilge Английский

  • Персональные данные в основном означают любую информацию о живом человеке , если это лицо либо идентифицировано, либо может быть идентифицировано . Персональные данные могут охватывать различные типы информации, такие как имя, дата рождения, адрес электронной почты, номер телефона, адрес, физические характеристики или данные о местонахождении — после того, как станет ясно, к кому относится эта информация, или если ее будет разумно возможно выяснить. .
  • Персональные данные не обязательно должны быть в письменной форме , это также может быть информация о том, как выглядит или звучит субъект данных, например фотографии или аудио- или видеозаписи , но закон о защите данных применяется только в тех случаях, когда эта информация обрабатывается « автоматизированными средствами » (например, в электронном виде) или как часть какой-либо другой файловой системы .
  • Персональными данными может быть информация, в которой субъект данных идентифицирован — «Любимый цвет Джона — синий» — или где они « идентифицируемый » — «Любимый цвет сестры Джона — синий» (где вы не знаете личность его сестры, но можете узнать, используя контекст и/или дополнительную информацию ).
  • Даже если личная информация частично анонимизирована или « псевдонимизирована », но это может быть отменено, и субъект данных может быть идентифицирован с использованием дополнительной информации, ее все равно следует считать персональными данными . Однако, если информация действительно обезличена, необратима и ее невозможно отследить до идентифицированного лица, она не считается персональными данными.
  • Чтобы определить, является ли лицо «идентифицируемым», в частности, когда информация об этом лице псевдонимизирована, все методы и информация, которые с достаточной вероятностью могут быть использованы контролером или другим лицом для идентификации кого-либо, прямо или косвенно, должны быть рассмотрены.
  • Определенные типы конфиденциальные персональные данные, называемые «особыми категориями» , подлежат дополнительной защите в соответствии с GDPR, и их обработка, как правило, запрещена, за исключением случаев, когда выполняются особые требования (например, наличие явного согласия), как подробно изложено в статье 9 GDPR . К особым категориям относятся: персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах; генетические данные; биометрические данные, обрабатываемые для однозначной идентификации человека; данные о здоровье; и данные о сексуальной жизни или сексуальной ориентации человека.
  • Закон о защите данных регулирует ситуации, когда персональные данные «обрабатываются» . Обработка в основном означает использование персональных данных любым способом , в том числе; сбор, хранение, извлечение, консультирование, раскрытие или передача кому-либо, удаление или уничтожение персональных данных. Хотя закон о защите данных не применяется, когда это делается для чисто личной или домашней деятельности.

Руководство по трансграничной обработке персональных данных

Январь 2009 г.

Цель

Управление Комиссара по вопросам конфиденциальности Канады (OPC) разработало это руководство, чтобы объяснить, как Закон о защите личной информации и электронных документов (PIPEDA) применяется к передаче личной информации третье лицо, в том числе третье лицо, работающее за пределами Канады, для обработки.

ПРИМЕЧАНИЕ. Руководство не распространяется на передачу личной информации для обработки федеральными, провинциальными или территориальными организациями государственного сектора. Эти рекомендации также не касаются каких-либо конкретных правил, регулирующих передачу для обработки, которые можно найти в законах о конфиденциальности провинциального частного сектора. Однако организации, не подпадающие под действие PIPEDA в отношении коммерческой деятельности в провинции, должны знать, что PIPEDA применяется к трансграничным переводам.

Справочная информация

Как указано в самом законодательстве, PIPEDA предназначена для «поддержки и продвижения электронной коммерции путем защиты личной информации, которая собирается, используется или раскрывается при определенных обстоятельствах». Это подтверждает, что надлежащая защита личной информации способствует и способствует развитию торговли, укрепляя доверие потребителей. Сегодняшняя глобально взаимозависимая экономика опирается на международные потоки информации. Эти трансграничные передачи действительно вызывают некоторые законные опасения по поводу того, куда направляется личная информация, а также что с ней происходит во время транзита и после того, как она прибудет в какое-либо иностранное место назначения. Доверие потребителей укрепится и укрепится, если потребители будут знать, что передача их личной информации регулируется четкими и прозрачными правилами.

Существуют различные подходы к защите личной информации, передаваемой для обработки. Государства-члены Европейского Союза приняли законы, запрещающие передачу личной информации в другую юрисдикцию, если только Европейская комиссия не определила, что другая юрисдикция обеспечивает «адекватную» защиту личной информации.

В отличие от этого межгосударственного подхода, Канада через PIPEDA выбрала межорганизационный подход, который не основан на концепции адекватности. PIPEDA не запрещает организациям в Канаде передавать личную информацию организации в другой юрисдикции для обработки. Однако в соответствии с PIPEDA организации несут ответственность за защиту передачи личной информации в рамках каждого отдельного соглашения об аутсорсинге. OPC может расследовать жалобы и проверять практику обработки личной информации в организациях.

Ключом является Принцип 1 Типового кодекса CSA для защиты личной информации, который составляет Приложение 1 PIPEDA. Принцип 1 касается баланса между защитой личной информации физических лиц и деловой необходимостью передачи личной информации по различным причинам, включая доступность поставщиков услуг, эффективность и экономичность.

Принцип 1 возлагает на организацию ответственность за защиту личной информации, находящейся под ее контролем. Принцип 4.1.3 Приложения 1 PIPEDA прямо признает, что личная информация может быть передана третьим лицам для обработки. Он также требует, чтобы организации использовали договорные или другие средства для «обеспечения сопоставимого уровня защиты, пока информация обрабатывается третьей стороной».

Принцип 1 гласит:

«Организация несет ответственность за личную информацию, находящуюся в ее владении или на хранении, включая информацию, которая была передана третьей стороне для обработки. Организация должна использовать договорные или другие средства для обеспечения сопоставимого уровня защиты во время обработки информации. третьим лицом».

Что означают эти термины в Принципе 1?

Передача

«Перевод» используется организацией. Не следует путать с раскрытием информации. Когда организация передает личную информацию для обработки, она может быть использована только для тех целей, для которых информация была первоначально собрана. Простым примером является передача личной информации с целью обработки платежей клиентам. Или, если использовать другой пример, интернет-провайдер может передать личную информацию третьей стороне, чтобы обеспечить доступность технической поддержки в режиме 24/7. Все чаще организации передают процессы на аутсорсинг третьим сторонам. Во многих случаях это связано с передачей личной информации. В контексте этого документа, когда мы говорим об аутсорсинге, мы имеем в виду именно аутсорсинг, связанный с личной информацией.

PIPEDA не различает внутреннюю и международную передачу данных.

Обработка

«Обработка» означает любое использование информации сторонним обработчиком для целей, для которых передающая организация может ее использовать.

Сопоставимый уровень защиты

«Сопоставимый уровень защиты» означает, что сторонний обработчик должен обеспечить защиту, которую можно сравнить с уровнем защиты, который получила бы личная информация, если бы она не была передана. Это не означает, что средства защиты должны быть одинаковыми по всем направлениям, но это означает, что в целом они должны быть эквивалентны.

Что должны делать организации?

Как следует из принципа, основным средством, с помощью которого организация может защитить личную информацию, отправляемую третьей стороне для обработки, является договор.

Независимо от того, где обрабатывается информация — в Канаде или в другой стране — организация должна принять все разумные меры для ее защиты от несанкционированного использования и раскрытия, пока она находится в руках стороннего обработчика. Организация должна быть уверена в том, что третья сторона имеет действующие политики и процессы, включая обучение своего персонала и эффективные меры безопасности, чтобы обеспечить постоянную надлежащую защиту информации, находящейся на ее попечении. Он также должен иметь право проводить аудит и проверку того, как третья сторона обрабатывает и хранит личную информацию, и осуществлять право на аудит и проверку, когда это оправдано.

OPC признает сложность электронного мира и понимает, что организация часто не может точно знать, куда передается информация во время ее передачи. Но при этом закон четко определяет ответственность, и организации должны в своих собственных интересах, а также в интересах своих клиентов делать все возможное для защиты информации.

Зачем соблюдать?

  • Ваши клиенты ожидают, что вы будете откровенны в своих действиях: они будут спрашивать.
  • Это передовой опыт: следование ему может дать вам конкурентное преимущество.
  • Закон требует, чтобы вы защищали личную информацию, пока она находится в руках стороннего процессора: несоблюдение может привести к жалобам и судебным искам.

Чего организация не может сделать по контракту — или любым другим способом — так это отвергнуть законы иностранной юрисдикции.

Итак, что может сделать организация для выполнения своих обязательств в соответствии с принципом 4.1.3 Приложения 1 PIPEDA, когда речь идет о передаче в иностранные юрисдикции в отношении вопроса доступа к личной информации иностранных судов, правоохранительных органов и национальных органы безопасности?

В ходе расследования жалобы CIBC Visa на аутсорсинг американской фирме OPC установил, что CIBC соблюдает требования PIPEDA. OPC полагался на руководящие принципы Управления управляющего финансовыми учреждениями для финансовых учреждений, регулируемых на федеральном уровне. Эти руководящие принципы советуют организациям уделять особое внимание правовым требованиям юрисдикции, в которой работает сторонний обработчик, а также «потенциальным иностранным политическим, экономическим и социальным условиям и событиям, которые могут привести к снижению способности иностранного поставщика услуг предоставлять услуги, а также любые дополнительные факторы риска, которые могут потребовать корректировки программы управления рисками».

Хотя эти рекомендации устанавливают высокие стандарты защиты конфиденциальной финансовой информации финансовыми учреждениями, другим организациям, передающим конфиденциальную личную информацию, также рекомендуется принять их к сведению.

Мы предполагаем, что любая организация, рассматривающая возможность аутсорсинга в другой юрисдикции, примет во внимание ряд факторов, например, потенциальную экономию средств, возможность обеспечить более качественное обслуживание клиентов, наличие специализированного опыта за пределами компании и другие практические соображения.

В случае аутсорсинга в другую юрисдикцию, PIPEDA не требует померного сравнения организациями иностранных законов с законами Канады. Но это требует, чтобы организации учитывали все элементы, связанные с транзакцией. В результате вполне может оказаться, что некоторые передачи являются неразумными из-за неопределенного характера иностранного режима или что в некоторых случаях информация является настолько конфиденциальной, что ее не следует отправлять ни в какую иностранную юрисдикцию.

Организации должны проявлять осмотрительность во всех отношениях с иностранными сторонними обработчиками.

Чего ожидать людям?

Люди должны ожидать, что их личная информация защищена, независимо от того, где она обрабатывается. Организации, передающие личную информацию третьим лицам, несут полную ответственность за сохранность этой информации. Физические лица должны ожидать прозрачности со стороны организаций, когда речь идет о переводе в иностранные юрисдикции.

Советы потребителям

  • Ожидайте прозрачности от организаций: но если сомневаетесь, спросите
  • Признать, что трансграничные потоки информации являются фактом жизни и очень распространены
  • Будьте внимательны к конфиденциальности: не думайте, что, поскольку вам «нечего скрывать», вы не должны делать все возможное, чтобы контролировать информацию о себе
  • Если вам неудобно, вы можете ознакомиться с политикой конфиденциальности других организаций. Вы также можете обсудить свои проблемы с нашим Office

Физические лица имеют право самостоятельно оценивать свои риски, когда речь идет о потенциальном доступе к их личной информации со стороны иностранных властей. Некоторые люди более склонны к риску, чем другие. Некоторые готовы пойти на определенный риск в обмен на удобство или доступ к определенной услуге.

Организации должны разъяснить лицам, что их информация может обрабатываться в иностранном государстве и что она может быть доступна правоохранительным органам и органам национальной безопасности этой юрисдикции. Они должны сделать это в четкий и понятный язык. В идеале они должны сделать это во время сбора информации . После того, как информированное лицо решило вести дела с определенной компанией, у него нет дополнительного права отказаться от передачи своей информации.

Краткое изложение основных выводов

OPC сделал ряд выводов, касающихся трансграничной передачи личной информации, в ходе расследований жалоб за последние несколько лет:

  • PIPEDA не запрещает организациям в Канаде передавать личную информацию организации в другой юрисдикции для обработки.
  • PIPEDA устанавливает правила, регулирующие передачу для обработки.
  • Передача на обработку — «использование» информации; это не раскрытие. Предполагая, что информация используется для целей, для которых она была первоначально собрана, дополнительное согласие на передачу не требуется.
  • Передающая организация несет ответственность за информацию, находящуюся в руках организации, которой она была передана.
  • Организации должны защищать личную информацию, находящуюся в руках обработчиков. Основным средством, с помощью которого это достигается, является контракт.
  • Никакой договор не может иметь приоритет над уголовным правом, законодательством о национальной безопасности или любым другим законодательством страны, в которую была передана информация.
  • Для организаций важно оценить риски, которые могут поставить под угрозу целостность, безопасность и конфиденциальность личной информации клиента, когда она передается сторонним поставщикам услуг, работающим за пределами Канады.
  • Организации должны быть прозрачными в отношении методов обработки личной информации. Это включает в себя информирование клиентов о том, что их личная информация может быть отправлена ​​для обработки в другую юрисдикцию и что, пока информация находится в другой юрисдикции, к ней могут получить доступ суды, правоохранительные органы и органы национальной безопасности.

Для получения дополнительной информации

OPC выпустил ряд результатов расследования, связанных с трансграничной передачей личной информации.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *