Фз о хранении персональных данных: » » 27.07.2006 N 152- ( ) /

ФЗ-152 надоел, простое решение c хранением персональных данных на nginx / Хабр

Всем привет,

Я последние несколько лет очень часто сталкиваюсь с проектами по адаптации под 152-ФЗ и он мне, честно, порядком надоел. Поэтому, прочитав опять весь закон, все комментарии различных ведомств и трактовки уважаемых людей, а также проанализировав ряд решений, которые прошли успешно аудит. Я, кажется, нашел простой технический вариант как сделать ваш web-site, API или приложение, соответствующее закону о персональных данных 152-ФЗ в разрезе требования о сборе пнд на территории России.

Я даже автоматизировал развертывание этой штуки и это занимает не больше 10-ти минут. Давайте обсудим применимость данного подхода!?

Чуть-чуть про сам закон, 152-ФЗ

Я уже и не помню зачем он на самом деле создавался, толи для того, что бы фейсбук и твиттер хранили данные о Российских граждан в РФ и таким образом к ним был бы более простой способ доступа у правоохранительных органов. Возможно, для того, чтобы они были в безопасности. Назначение самого закона оставим за скобками, а углубимся сразу в его требования. Сам закон обширный, но самый большой камень преткновения описан в статье 18, п.5:

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.»

Хочу обратить внимание именно на слова «при сборе персональных данных». Если попробовать перевести в простой язык, то его можно трактовать так, что собирать данные нужно используя базу данных в РФ и еще держать ее актуальной. Никаких ограничений для других операций в законе нет и ограничений, что можно делать дальше с этими данными так же нет. Это самый тонкий момент тут, так как пояснений, что такое база-данных или другие понятия закон не описывает, то это все трактуют очень по разному. Вот самые распространенные трактовки, которые я слышу:

• Собирать персональные данные нужно в РФ, дальше можно их отправлять куда захочется.

• Вообще нельзя отправлять персональные данные за пределы РФ.

• Вообще ничего нельзя никуда отправлять и нельзя нигде ничего размещать за пределами РФ.

Но на основе того как уже реализуются системы и как проходят проверки, можно смело заявить, что первый вариант точно рабочий и валидный. Теперь разобравшись чуть-чуть с требованиями перейдем к тому как это можно реализовать и уже выдохнуть.

Варианты реализации

Ниже список вариантов как компании этот закон исполняют с технической стороны и что я встречал:

1. Вообще его игнорируют. Привет Facebook и Twitter.

2. Доказывают себе и другим, что у них нет персональных данных. Закон, кстати, так себе описывает, что такое персональные данные.

3. Арендуют сервер или виртуальную машину в РФ, кладут на него excel фаил — «персональные данные.xls» и отчитываются документально перед проверяющими органами.

4. Вносят руками данные локально в excel или в локальную систему перед тем как внести их в систему размещенную за пределами РФ.

5. Просто разворачивают копию системы в РФ и пользователей маршрутизируют на уровне DNS между площадками.

6. Выносят из приложения часть логики и размещают ее в РФ, где происходит сбор и хранение персональных данных. (Самый крутой вариант с моей точки зрения).

Вариантов я видел уже больше нескольких десятков, не буду браться за их оценку с точки зрения закона, а лучше сразу перейду, с моей точки зрения самому простому варианту, который кстати совсем не новый.

Описание реализации — Reverse Proxy

Концептуально выглядит он примерно как на архитектуре ниже.

Ничего сложного и логика работы следующая:

1. DNS на основе гео принадлежности пользователя маршрутизирует запросы. Если пользователь из РФ, то он идет по правой части картинки на прокси сервер. В данном случае на картинке Route53, но может быть и другой DNS сервис.

2. Reverse proxy, в данном случае это nginx принимает HTTP/HTTPS запрос и если он (POST, PUT, DELETE и тд), то кладет его локально в лог и в базу данных (PostgreSQL) с помощью плагина — rsyslog-pgsql в json формате.

3. Дальше запрос отсылается в первичную систему, получает ответ и отдает его пользователю.

4. Для пользователя процесс выглядит совершенно прозрачным и не нужно менять никакой логики у него, он как-будто взаимодействует с оригинальной системой.

«Постойте, так ведь это просто сбор логов HTTP/S запросов, разве это считается?» — спросите вы. С точки зрения закона он никак не регламентирует формат и структуру сбора и хранения данных и только говорит про использование базы-данных. Поэтому с логической точки зрения тут все по букве закона. Похоже, примерно так же SAP доработал свою систему, вот тут можно почитать более подробно в их блоге. Там очень часто упоминается, что пишется лог изменений в РФ.

В базе данных будут храниться HTTP/S логи запросов на создание и изменения, что-то вроде changefeed. Но это легко можно расширить если известна модель пересылаемых данных и встроить эту логику в виде python скрипта или просто сделать trigger в базе данных, которая будет схлопывать changefeed в нужную структуру, где запись об одном человеке будет одна.

Как развернуть это себе?

Я автоматизировал развертывания и настройки этого модуля и опубликовал его тут на Github как open source проект. Если кто-то хочет дополнить или расширить этот проект то смело пишите мне или создавайте pull request.

Краткое пояснения как развернуть:

1. Пропишите в вашей DNS записи A-record с айпи адресом на ваш сервер, который будет выступать reverse-proxy.

2. Зайдите на вашу виртуальную машину или свой сервер и сделайте: git clone https://github.com/Gaploid/FZ-152-Reverse-Proxy

3. Сделайте файл executable: chmod +x install.sh

4. Запустите скрипт: sudo ./install.sh <incoming_domain> <url_to_forward_traffic> Пример: sudo ./install.sh example.com http://example.com где <incoming_domain>это домен на который пользователь будет заходить, он может быть существующим. <url_to_forward_traffic> это адрес первоначальной системы.

5. Все, после этого если вы зайдете на <incoming_domain> все запросы POST, DELETE, PUT буду складываться локально в лог фаил — /var/log/nginx/reverse-access.log и в базу: proxy_logs в таблицу: accesslog.

Если вы хотите добавить HTTPS, то это можно сделать несколькими способами:

• Добавить свой существующий сертификат в nginx. Вот пример инструкции.

• Добавить новый сертификат от let’s encrypt. Я для этого сделал скрипт ./add_ssl.sh вам нужно просто его будет запустить на этом же сервере. Сертификат получается с помощью бота от let’s encrypt автоматически, но валидацию, что это действительно ваш домен он проводит путем проверки доступности по указанному домену <incoming_domain> вашего сервера, который вы указали на первом шаге.

Все на этом ваше мобильное приложение или даже веб-сайт если он работает через ваше API будет работать так как и работал и ничего в них не нужно менять.

Как еще это можно улучшить?

1. На nginx можно дополнительно выставить фильтр какие запросы перехватывать и вы можете указать, например, что нужно перехватывать если URL — myapp.com/profile/ в таком случае только запросы связанные с профилем будут сохраняться, что сильно уменьшит объем хранимых данных.

2. Как я писал выше можно добавить триггер в базу данных, которые будет парсить JSON запроса и класть уже в другую таблицу в структуру, когда на одного человека будет приходиться только одна запись.

3. Можно еще добавить веб интерфейс с поиском, который будет показывать все записи по поисковой строке, например по ФИО или айди человека.

Послесловие

Я ни в коем случае не претендую, что это решение является серебряной пулей для всех сценариев, а так же не берусь его оценивать с юридической стороны. Поэтому перед тем как использовать проконсультируйтесь с юристами в вашей компании или во внешних агентствах.

Причина по которой я написал эту статью — желание обсудить валидность и применимость данного варианта с комьюнити, поэтому смело пишите ваши мысли в комментариях.

Положение о персональных данных

Главная/Положение о персональных данных

Генеральный директор

Некоммерческого партнерства

«Ассоциация Европейского Бизнеса»

Положение о персональных данных

Некоммерческого партнерства «Ассоциация Европейского Бизнеса»

г. Москва

2016

1. Общие положения

1.1. Настоящее Положение разработано на основании Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

1.2. В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» под персональными данными (далее — «персональные данные») понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации лицу.

Персональными данными физического лица являются, в том числе, его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, расходы и другая информация.

1.3. Некоммерческое партнерство «Ассоциация Европейского Бизнеса» (далее –«Организация» или «АЕБ») является оператором, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных.

1.4. Работники, уполномоченные на обработку персональных данных, обеспечивают обработку персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», других нормативных правовых актов Российской Федерации и несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

1.5. Перечень лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Организации, утверждается настоящим Положением и приказом руководителя.

1.6. Целями настоящего Положения являются создание и определение условий для сбора, обработки, хранения и предоставления персональных данных.

1.7. Согласие лица, полученное Организацией, сохраняет силу в течение всего срока действия договорных отношений или иных юридически обязывающих отношений с данным лицом.

1.8. При получении, обработке, хранении и передаче персональных данных лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных, обязаны соблюдать следующие требования:

а) обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

б) персональные данные следует получать лично у субъектов персональных данных (далее – субъект или лицо), либо у надлежаще уполномоченных представителей субъектов персональных данных.

В случае возникновения необходимости получения персональных данных у третьей стороны следует известить лицо об этом заранее, получить письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных;

в) запрещается получать, обрабатывать и приобщать к личному делу персональные данные о политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;

г) при принятии решений запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

д) защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Организации в порядке, установленном Федеральным законом от 27. 07.2006 N 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации;

е) передача персональных данных третьей стороне не допускается без письменного согласия субъектов персональных данных, за исключением случаев, установленных федеральными законами;

ж) субъекты персональных данных и их представители должны быть ознакомлены под подпись с документами Организации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области;

з) субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны персональных данных;

и) при необходимости Организация, субъекты персональных данных и их представители должны совместно вырабатывать меры защиты персональных данных.

1.9. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Обработка персональных данных в Организации производится при непосредственном участии человека. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

2. Сохранение персональных данных в Организации

2.1. Организация гарантирует безопасность и конфиденциальность используемых персональных данных.

2.2. При необходимости Организация вправе проверять достоверность представленных сведений.

3. Получение, обработка, хранение персональных данных

3.1. В Организации устанавливается следующий порядок получения персональных данных:

3.

1.1. Организация не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, частной жизни.

3.2. Организация вправе обрабатывать персональные данные субъектов персональных данных только с их письменного согласия.

3.3. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать в себя:

• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

• наименование и адрес оператора, получающего согласие субъекта персональных данных;

• цель обработки персональных данных;

• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

• срок, в течение которого действует согласие, а также порядок его отзыва.

3.4. Согласие субъекта персональных данных на обработку персональных данных не требуется в следующих случаях:

• персональные данные являются общедоступными;

• обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Организации;

• по требованию полномочных государственных органов — в случаях, предусмотренных федеральным законом;

• обработка персональных данных в целях исполнения договора;

• обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно.

3.5. Организация обеспечивает безопасное хранение персональных данных, в т.ч.:

3.5.1. Хранение, комплектование, учет и использование содержащих персональные данные документов организуется в форме обособленного архива Организации. Такой архив ведется в электронном виде при непосредственном участии человека и на бумажных носителях. Обработка персональных данных не автоматизирована и ведется Организацией при непосредственном участии человека (сотрудника Организации).

3.5.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.5.3. Хранимые персональные данные подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их хранении обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

3.5.4. При хранении персональных данных Организация обеспечивает:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства обработки персональных данных или на бумажные документы, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

4. Передача персональных данных

4.1. Персональные данные передаются с соблюдением следующих требований:

• запрещается сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью лица, а также в других случаях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;

• не сообщать персональные данные в коммерческих целях без письменного согласия субъекта таких данных;

• предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;

• разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

• не запрашивать информацию о состоянии здоровья субъекта персональных данных;

• передавать персональные данные субъекта персональных данных его представителям в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их полномочий.

5. Доступ к персональным данным

5.1. Право доступа к персональным данным имеют:

• Генеральный директор АЕБ;

• Исполнительный директор АЕБ;

• лицо(а), назначенное приказом Генерального директора АЕБ;

• работники, взаимодействующие с определенным субъектом персональных данных;

• работники финансового отдела;

• руководители структурных подразделений по направлениям их деятельности.

5.2. Субъекты персональных данных в целях обеспечения защиты персональных данных имеют следующие права:

• на ознакомление с настоящим Положением;

• на полную информацию об их персональных данных и обработке этих данных;

• на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;

• на определение своих представителей для защиты своих персональных данных;

• на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных». При отказе Организации исключить или исправить персональные данные субъект персональных данных имеет право заявить в письменной форме Организации о своем несогласии с соответствующим обоснованием такого несогласия;

• на требование об извещении Организацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

• на обжалование в суд любых неправомерных действий или бездействия Организации при обработке и защите персональных данных.

5.3. Копировать и делать выписки персональных данных разрешается исключительно уполномоченным лицам АЕБ в служебных целях.

6. Порядок получения согласия субъекта

на обработку персональных данных

6.1. При начале взаимодействия с субъектами персональных данных, включая получение информации субъекта персональных данных впервые, ответственный сотрудник АЕБ обязан получить предварительное письменное согласие субъекта персональных данных в письменной форме (далее – «согласие»), в соответствии с образцом, приведенным в Приложении № 1 к настоящему Положению.

6.2. В том числе согласия должны быть получены:

• у членов Правления АЕБ;

• у кандидатов в члены Правления АЕБ;

• у членов Совета национального представительства АЕБ;

• у членов Ревизионной комиссии АЕБ;

• у членов и участников комитетов, подкомитетов, рабочих групп и иных временных и постоянных органов и групп, образуемых представителями членов АЕБ;

• у индивидуальных участников мероприятий АЕБ – физических-лиц, самостоятельно (от своего имени) участвующих в мероприятии;

• у любых физических лиц фото- и видеоизображения которых получаются и/или используются АЕБ, при этом изображение такого лица в данных материалах должно быть основным объектом;

• у иных физических лиц, предоставляющих персональные данные АЕБ, включая родственников сотрудников АЕБ.

6.3. Согласие заполняется, распечатывается ответственным сотрудником АЕБ и подписывается субъектом персональных данных в одном экземпляре, после чего передается уполномоченному сотруднику АЕБ и хранится в порядке, установленном настоящим Положением.

6.4. В формах заявления на членство в АЕБ в обязательном порядке указывается:

«Настоящим компания ( наименование компании-члена ) заверяет и гарантирует, что компания обладает надлежащими полномочиями на получение, передачу, обработку, использование и хранение персональных данных, которые НП «АЕБ» получает от компании в рамках осуществления НП «АЕБ» данных полномочий, а также в рамках прав и обязанностей члена, с соответствии с положениями применимого законодательства.».

6.5. В формы договоров АЕБ с физическими лицами в обязательном порядке вносится следующий пункт:

«В соответствии с настоящим договором НП «АЕБ» имеет право на получение, передачу, обработку, использование и хранение полученных персональных данных физического(их) лица(ц). Настоящее согласие действует со дня его предоставления до даты отзыва в письменной форме.».

6.6. В формы договоров АЕБ с контрагентами в обязательном порядке вносится следующий пункт:

«В соответствии с настоящим договором Стороны обязуются соблюдать порядок получения, передачи, обработки, использования и хранения персональных данных в соответствии с применимым законодательством и обязуются получить надлежащие согласия физических лиц на обработку их персональных данных.».

6.7. В онлайн-системы АЕБ в случае получения персональных данных в обязательном порядке вносится следующая оговорка:

«Я подтверждаю, что ознакомился(ась) с Порядком работы с персональными данными НП «АЕБ» и согласен(на) на обработку и передачу моих персональных данных, в том числе, без ограничений, свободно, своей волей и в своем интересе даю согласие на обработку, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), в том числе третьим лицам, обезличивание, блокирование, удаление, уничтожение и иные действия в отношении моих персональных данных внесенных в ( приводится название системы ). Настоящее согласие действует со дня его предоставления до даты отзыва в письменной форме.».

7. Ответственность за нарушение норм, регулирующих

обработку персональных данных

7.1. Работники АЕБ, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами.

7.2. Возмещение ущерба, причиненного неправомерным использованием информации, содержащей персональные данные, производится в соответствии с законодательством РФ.

Приложение № 1

к Положению о персональных данных

Некоммерческого партнерства «Ассоциация Европейского Бизнеса»

Согласие

на обработку персональных данных субъекта

персональных данных

(образец)

г. Москва «__» ______________ 20__ г.

Я, __________________________________________________________ (Ф.И.О.),

зарегистрированный(ая) по адресу _________________________________________

__________________________________________________________________________,

паспорт (либо иной документ, удостоверяющий личность)

серия _______ N _________ выдан ______________, ___________________________

(дата) (кем выдан)

__________________________________________________________________________,

свободно, своей волей и в своем интересе даю Некоммерческому Партнерству «Ассоциация Европейского Бизнеса» (АЕБ), расположенному по адресу: Российская Федерация, 127473, г. Москва, ул. Краснопролетарская, д. 16 стр. 3, согласие на обработку, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение моих персональных данных, в том числе:

(указываются конкретные данные, которые будут обрабатываться, например «фамилия, имя, отчество, место работы, адрес, email , должность, фото- и/или видеоизображение» и т.п.)

_______________________________________________________________________

_______________________________________________________________________

_______________________________________________________________________

_______________________________________________________________________.

Свои персональные данные предоставляю для обработки в целях: (например «проведения мероприятий АЕБ» или «осуществления членства в АЕБ» или «осуществления прав и обязанностей члена Правления АЕБ»)

_______________________________________________________________________

_______________________________________________________________________

______________________________________________________________________.

С Положением о персональных данных Некоммерческого партнерства «Ассоциация Европейского Бизнеса» ознакомлен(а).

Настоящее согласие действует со дня его подписания до даты отзыва в письменной форме.

Дата начала обработки персональных данных:

____________________________

(дата)

____________________________

(подпись)

Облако ФЗ 152 | Защищенный хостинг Cloud4Y

Хранение персональных данных (ФЗ-152)

Решение «Облако ФЗ 152» освобождает оператора персональных данных от ответственности за нарушение ФЗ-152 по части требований хранения персональных данных российский граждан в соответствии с законом РФ «О персональных данных».
Иными словами, если российское законодательство обязывает вашу компанию принимать все необходимые организационно-технические меры для защиты личных данных от несанкционированного и неправомерного доступа, выбирайте готовое решение от Cloud4Y.

White Paper об обработке данных

Мы обновили White Paper — подробное руководство по защите персональных данных по ФЗ-152.

Какой уровень защищённости вам нужен

Компании, так или иначе работающие с ПДн, обязаны выполнять требования ФЗ-152, обеспечивая защиту этих данных. В законе перечислены четыре категории персональных данных:

Общедоступные

Данные из открытых источников, которые опубликованы самим человеком или с его согласия. Например, список участников забега, опубликованный на сайте и в соцсетях организатора.

Биометрические

Биологические и физиологические характеристики, позволяющие идентифицировать человека. Например, отпечаток пальца, скан радужки глаза, ДНК.

Специальные

Информация о расовой принадлежности, состоянии здоровья, политических взглядах человека. Например, история болезни, поставленный врачами диагноз.

Иные

Персональные данные, которые не относятся к перечисленным ранее категориям. Это может быть корпоративная информация о партнёрах и сотрудниках, датах их отпуска, зарплате.

Уровень защиты зависит не только от категорий обрабатываемых данных, но и других факторов. Оставьте заявку, чтобы наши специалисты помогли вам определить, какой уровень защищённости вам нужен.

Определить уровень защищённости

Какие услуги мы предлагаем

В зависимости от категории размещенных информационных систем персональных данных, исполнение требований ФЗ-152 может включать в себя довольно длинный список задач. Специалисты по информационной безопасности Cloud4Y готовы взять на себя следующие обязанности.

1. Проведение аудита инфраструктуры клиента, определение уровня защищенности персональных данных и требований к защите
2. Разработка модели угроз в соответствии с методиками ФСБ
3. Проектирование архитектуры системы защиты персональных данных
4. Разработка пакета документов (модель угроз, технический дизайн, организационная документация и тд)
5. Внедрение средств информационной защиты
6. Разработка программы и методологии оценки эффективности мер информационной безопасности в соответствии с 21 приказом ФСТЭК России

Наши лицензии

Преимущества хранения персональных данных в облаке Cloud4Y

• Наличие аттестатов УЗ1-4, 1К, 1Г
• Средства защиты информации (СЗИ), лицензированные ФСБ и ФСТЭк
• Наличие сертификатов на защитные элементы облака
• Защита от несанкционированного доступа к данным
• Возможность работы с базами данных SQL, 1C

Самостоятельная защита ПДн vs. Хостинг ФЗ-152 в облаке

В таблице представлено сравнение в преимуществах размещения информационных систем персональных данных в защищенном облаке ФЗ-152 по сравнению с самостоятельной организацией и аттестацией инфраструктуры.

Самостоятельная защита

100% юридическая ответственность по ФЗ-152

Высокий CAPEX на закупку оборудования, лицензий профессиональных средств защиты

Необходимость аттестации инфраструктуры

Простой более 30% оборудования

Необходимость держать в штате специалиста по информационной безопасности

Необходимость подготовки аудиторскую и отчетную документацию в исполнительные органы регулярно и / или по запросу

Хранение ПДн в частном облаке Cloud4Y

Освобождение от юридической ответственности по 152-ФЗ (хранение данных)

NO CAPEX, возможность использовать общесистемное и специальное ПО провайдера

Защищенная инфраструктура провайдера прошла аттестацию лицензиатами ФСТЭК и подтвердила её соответствие требованиям безопасности 1УЗ, 1Г и 1К.

Почасовой биллинг и постоплата исключают плату за неиспользованные ресурсы

Специалисты технического отдела и отдела ИБ провайдера всегда на связи

Специалисты ИБ провайдера принимают ответственность за своевременное и качественную подготовку документации

Подключить облако ФЗ-152

Как организована защита информации в облаке ФЗ-152

Для того, чтобы привести инфраструктуру ИСПДн в соответствие с требованиями ФЗ-152, обычно рассматривают защиту информации на уровне дата-центра и уровне вендора.

Уровень дата-центра

Дата-центры Tier III

24/7 охрана, видеонаблюдение, многоуровневый контроль доступа

Источники бесперебойного питания, дизель-генераторные установки

Автоматическая система тушения пожара

Уровень вендора

Организационные меры

Организационные меры защиты информации включают разработка внутренних документов, регламентирующих обработку персональных данных, определение ответственных лиц, определение уровня защищенности персональных данных и требований по защите.

Технические меры

К техническим или программным мерам относятся межсетевой экран, антивирус Dr.Web, анализ защищенности, средства регистрации и учета, шифрование данных и другое.

Почему стоит доверять Cloud4Y

12 лет в «облаках»

С 2009 года компания успешно работает на российском и иностранном рынках облачных услуг.

Надёжная инфраструктура

4 дата-центра уровня TIER III, оборудование и ПО от ведущих вендоров уровня Enterprise: HP, Cisco, Juniper, NetApp, VMware, Veeam, Microsoft и тд.

Базовый SLA 99.982%

Оптическое кольцо, MetroCluster и механизмы резервирования позволяют гарантировать отказоустойчивость сервисов на уровне до SLA 99.99%

Прозрачная система расчетов

Почасовой биллинг и pay-as-you-go позволяют платить только за реально потребленные ресурсы.

Геораспределённое резервное копирование

Автоматическое создание резервной копии (14 точек восстановления) в отдельном геоудаленном ЦОД.

Гибкое масштабирование

Увеличивайте и уменьшайте ресурсы без обращения в техподдержку.

Техническая поддержка 24/7

Специалисты технической поддержки ответят в течении 10 минут на любой запрос.

Партнёрская программа

Зарабатывайте с Cloud4Y до 35% от годового контракта. White Label доступен.

Скачайте подробную презентацию о продукте. Скачать презентацию

Соглашение на хранение и обработку персональных данных

Настоящее пользовательское соглашение является публичной офертой (то есть предложением заключить соглашение).

Нажимая кнопки «Отправить», «Обратная связь» и любые другие кнопки для отправки данных форм, Вы считаетесь присоединившимся к нему.

Если вы считаете, что Соглашение или Администрация Сайта нарушает ваши права, сообщите об этом по электронному адресу: [email protected]

Предоставляя свои персональные данные Пользователь web-сайта iss.ru (именуемого далее «Сайт») даёт согласие на обработку, хранение и использование своих персональных данных на основании ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 г. в следующих целях:

• Осуществление клиентской поддержки;
• Получения Пользователем информации о маркетинговых событиях, об услугах Центра Обучения;
• Проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.

Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Пользователя Сайта такая как:

• Фамилия, Имя, Отчество
• Контактный телефон
• Адрес электронной почты
• Название компании–работодателя Пользователя и наименование должности Пользователя

Персональные данные Пользователей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.

Компания ISS обязуется не передавать полученные персональные данные третьим лицам, за исключением запросов уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ.
Компания ISS оставляет за собой право вносить изменения в одностороннем порядке в настоящие правила, при условии, что изменения не противоречат действующему законодательству РФ. Изменения условий настоящих правил вступают в силу после их публикации на Сайте.

для тех, кому нужно быстро разобраться

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.

Иные персональные данные

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе Mail.ru Cloud Solutions вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты MCS, что позволит быстрее пройти необходимые процедуры.

ТЫ+БУРГЕР — Хранение персональных данных

1. Термины и определения

Сайт – совокупность программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ в сети Интернет. Под Сайтом в Соглашении понимается Сайт, расположенный в сети Интернет по адресу: тыплюсбургер.рф 

Пользователь – пользователь сети Интернет и, в частности, Сайта, совершающий оформление заказа с использованием Сайта.

Федеральный закон (ФЗ) – Федеральный закон от 27 июля 2006 г. № 152 ФЗ «О персональных данных».

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является ИП Ильин А.Ю., расположенное по адресу: г.Н.Новгород, ул. Львовская, 5-87.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действие, направленное на раскрытие персональных данных определенному кругу лиц по предварительному согласию, в случаях, предусмотренных законом.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных.

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2. Общие положения

2.1. Положение о порядке хранения и защиты персональных данных Пользователей Сайта (далее — Положение) разработано с целью соблюдения требований законодательства РФ, содержащих персональные данные и идентификации Пользователей, находящихся на Сайте.

2.2. Положение разработано в соответствии с Конституцией РФ, Гражданским кодексом РФ, действующим законодательством РФ в области защиты персональных данных.

2.3. Положение устанавливает порядок обработки персональных данных Пользователей Сайта: действия по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению), уничтожению персональных данных.

2.4. Положение устанавливает обязательные для сотрудников Оператора, задействованных в обслуживании Сайта, общие требования и правила по работе со всеми видами носителей информации, содержащими персональные данные Пользователей Сайта.

2.5. В Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну Российской Федерации.

2.6. Целями Положения являются:

– обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

– исключение несанкционированных действий сотрудников Оператора и любых третьих лиц по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению) персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную вычислительную сеть Оператора, обеспечение правового и нормативного режима конфиденциальности недокументированной информации Пользователей Сайта; защита конституционных прав граждан на личную тайну, конфиденциальность сведений, составляющих персональные данные, и предотвращение возникновения возможной угрозы безопасности Пользователей Сайта.

2.7. Принципы обработки персональных данных:

– обработка персональных данных должна осуществляться на законной и справедливой основе;

– обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

– не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

– обработке подлежат только персональные данные, которые отвечают целям их обработки;

– содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

– при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;

– хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором, стороной которого является Пользователь;

– обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.

2.8. Условия обработки персональных данных.

2.8.1. Обработка персональных данных Пользователей Сайта осуществляется на основании Гражданского кодекса РФ, Конституции РФ, действующего законодательства РФ в области защиты персональных данных.

2.8.2. Обработка персональных данных на Сайте осуществляется с соблюдением принципов и правил, предусмотренных Положением и законодательством РФ.

Обработка персональных данных допускается в следующих случаях:

– обработка персональных данных необходима для использования Сайта, стороной которого является Пользователь;

– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Пользователя Сайта, если получение согласия невозможно;

– обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Пользователей Сайта;

– обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальными потребителями с помощью средств связи, а также в целях политической агитации, при условии обязательного обезличивания персональных данных.

2.9. Цели обработки персональных данных.

2.9.1. Обработка персональных данных Пользователей Сайта осуществляется исключительно в целях предоставления Пользователю возможности взаимодействовать с Сайтом (совершить оформление заказа).

2.9.2. Сведениями, составляющими персональные данные на Сайте, является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

2.10. Источники получения персональных данных Пользователей.

2.10.1. Источником информации обо всех персональных данных Пользователя является непосредственно сам Пользователь.

2.10.2. Источником информации о персональных данных Пользователя являются сведения, полученные вследствие предоставления Оператором Пользователю возможности оформления заказа через Сайт.

2.10.3. Персональные данные Пользователей относятся к конфиденциальной информации ограниченного доступа.

2.10.4. Обеспечения конфиденциальности персональных данных не требуется в случае их обезличивания, а также в отношении общедоступных персональных данных.

2.10.5. Оператор не имеет права собирать и обрабатывать персональные данные Пользователя о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, частной жизни, за исключением случаев, предусмотренных действующим законодательством.

2.10.6. Оператор не имеет права получать и обрабатывать персональные данные Пользователя о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральным законом.

2.11. Способы обработки персональных данных.

2.11.1. Персональные данные Пользователей Сайта обрабатываются исключительно с использованием средств автоматизации.

2.12. Права субъектов (Пользователей) персональных данных.

2.12.1. Пользователь имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к конкретному субъекту персональных данных (Пользователю), а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона «О персональных данных».

2.12.2. Пользователь имеет право на получение от Оператора при личном обращении к нему либо при получении Оператором письменного запроса от Пользователя следующей информации, касающейся обработки его персональных данных, в том числе содержащей:

– подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;

– правовые основания и цели обработки персональных данных;

– цели и применяемые Оператором способы обработки персональных данных;

– наименование и место нахождения Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона;

– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен Федеральным законом;

– сроки обработки персональных данных, в том числе сроки их хранения;

– порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;

– информацию об осуществленной или о предполагаемой трансграничной передаче данных;

– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

– иные сведения, предусмотренные Федеральным законом или другими федеральными законами;

– требовать изменения, уточнения, уничтожения информации о самом себе;

– обжаловать неправомерные действия или бездействие по обработке персональных данных и требовать соответствующей компенсации в суде;

– на дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения;

– определять представителей для защиты своих персональных данных;

– требовать от Оператора уведомления обо всех произведенных в них изменениях или исключениях из них.

2.12.3. Пользователь имеет право обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке действия или бездействие Оператора, если считает, что последний осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы.

2.12.4. Пользователь персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Положение об обработке персональных данных

Дополнительная информация

Положение об обработке персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

   1. Настоящее Положение об обработке персональных данных (далее – Положение, настоящее Положение) разработано ООО «ЛАНИТ-Интеграция» (далее также – Оператор) и применяется в соответствии с п. 2 ч. 1 ст. 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
      Настоящее Положение определяет политику Оператора в отношении обработки персональных данных.
      Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
      Настоящее Положение и изменения к нему утверждаются руководителем Оператора и вводятся приказом Оператора.
   2. В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» под персональными данными клиентов, физических лиц понимается любая информация, относящаяся к прямо или косвенно определённому или определяемому на основании такой информации клиенту, физическому лицу (далее – персональные данные).
   3. ООО «ЛАНИТ-Интеграция» является оператором, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных.
   4. Целью обработки персональных данных является:
      • обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
      • оказание Оператором физическим и юридическим лицам услуг, связанных с хозяйственной деятельностью Оператора, включая контакты Оператора с такими лицами, в том числе по электронной почте, по телефону, по адресу, предоставленным соответствующим лицом;
      • направление консультаций, ответов обратившимся лицам с помощью средств связи и указанных ими контрактных данных;
      • продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (допускается только при условии предварительного согласия субъекта персональных данных).
   5. Обработка организована Оператором на принципах:
      • законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
      • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
      • обработки только персональных данных, которые отвечают целям их обработки;
      • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
      • недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
      • обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
      • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
   6. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящим Положением.
   7. Персональные данные обрабатываются с использованием и без использования средств автоматизации.
   8. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных.
      1. Ответственный за организацию обработки персональных данных получает указания непосредственно от исполнительного органа Оператора и подотчетен ему.
      2. Ответственный за организацию обработки персональных данных вправе оформлять и подписывать уведомление, предусмотренное ч. 1 и 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
   9. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему.
   10. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
   11. При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей Оператор обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
   12. Условия обработки персональных данных Оператором. Обработка персональных данных допускается в следующих случаях:
       • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
       • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
       • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
       • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
       • обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
       • обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных;
       • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
       • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
   13. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном Положением о хранении персональных данных у Оператора.
   14. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
   15. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.

2. ОБЕСПЕЧЕНИЕ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

   1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
   2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
   3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту расположения Оператора в рабочее время Оператора.
   4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
   5. В случае представления интересов субъекта персональных данных представителем полномочия представителя подтверждаются доверенностью, оформленной в установленном порядке.
   6. В случаях предоставления субъектом персональных данных письменного согласия на использование персональных данных для такого согласия достаточно простой письменной формы.
   7. Оператор гарантирует безопасность и конфиденциальность используемых персональных данных.
   8. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.

3. ПОЛУЧЕНИЯ, ОБРАБОТКА, ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

   1. У Оператора устанавливается следующий порядок получения персональных данных:
      1. При обращении за получением услуг Оператора клиент указывает установленные соответствующими формами данные.
      2. Оператор не получает и не обрабатывает персональные данные клиента о его расовой принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, если законом не предусмотрено иное.
      3. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации Организация вправе получать и обрабатывать данные о частной жизни клиента только с его письменного согласия.
   2. В случае принятия клиентом оферты, размещённой на сайте Оператора, либо заключения другого договора с Оператором обработка персональных данных клиента осуществляется для исполнения соответствующего договора, вступившего в силу вследствие принятия условий оферты клиентом либо заключения другого договора соответственно.
   3. Также Оператор вправе обрабатывать персональные данные клиентов, обратившихся к Оператору физических лиц только с их согласия на использование персональных данных.
   4. Согласие клиента на обработку персональных данных не требуется в следующих случаях:
      • персональные данные являются общедоступными;
      • обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Организации;
      • по требованию полномочных государственных органов — в случаях, предусмотренных федеральным законом;
      • обработка персональных данных в целях исполнения договора, заключённого с Оператором;
      • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
      • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение его согласия невозможно.
   5. Оператор обеспечивает безопасное хранение персональных данных, в том числе:
      1. Хранение, комплектование, учет и использование содержащих персональные данные документов организуется в форме обособленного архива Оператора.
      2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

   1. Персональные данные передаются с соблюдением следующих требований:
      • запрещается сообщать персональные данные третьей стороне без письменного согласия клиента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни, здоровью клиента, а также в других случаях, предусмотренных законами;
      • не сообщать персональные данные в коммерческих целях без письменного согласия субъекта таких данных;
      • предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
      • разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
      • не запрашивать информацию о состоянии здоровья клиента, за исключением тех сведений, которые относятся к вопросу о возможности выполнения клиентом обязательств по договору с Оператором;
      • передавать персональные данные клиента его представителям в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

5. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

   1. Право доступа к персональным данным имеют:
      • руководитель Оператора;
      • работающие с определённым клиентом работники Оператора;
      • работники бухгалтерии;
      • работники, осуществляющие техническое обеспечение деятельности Оператора.
   2. Клиенты в целях обеспечения защиты персональных данных имеют следующие права:
      • на полную информацию об их персональных данных и обработке этих данных;
      • на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
      • на определение своих представителей для защиты своих персональных данных;
      • на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
   3. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с разрешения руководителя.

6. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

   1. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
   2. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.

GDPR против Федерального закона о персональных данных

Правительства разных стран все больше внимания уделяют Интернету: они занимаются борьбой с пиратством в СМИ, пропагандой и распространением запрещенных товаров. Использование Интернета во всех сферах жизни и объем содержащихся в нем персональных данных породили очень важную тенденцию — защиту персональных данных (ПД) физических лиц. Желание государства регулировать эту сферу вполне закономерно.В этой статье мы сравниваем российский и европейский подходы к защите права личности на неприкосновенность частной жизни.

Законы и правила России и ЕС

Основными документами, регулирующими работу с персональными данными, являются принятый в 2006 году Федеральный закон № 152 Российской Федерации и Европейский общий регламент о защите персональных данных (GDPR), вступивший в силу 25 мая 2018 года.

Российское законодательство определяет персональные данные как любую информацию, относящуюся прямо или косвенно к определенному или идентифицируемому лицу (субъекту ПД).Также есть понятие оператора ПД. Это относится к лицам и организациям, участвующим в обработке ПД. Обработка — это любое действие, выполняемое с персональными данными.

Термины, введенные в GDPR, очень похожи, но есть и серьезные различия. Например, определение персональных данных и их характеристик в GDPR гораздо шире. Это сделано для того, чтобы исключить какие-либо недоразумения, если неясно, относится ли информация к ПД или нет. В отличие от 152-ФЗ, где есть концепция оператора ПД, GDPR имеет «контроллер» и «процессор».Согласно GDPR, контроллеры определяют цели и средства обработки, в то время как обработчики от их имени непосредственно занимаются обработкой.

Основные отличия 152-ФЗ от GDPR

Имея дело с личными данными, вы должны убедиться, что они правильно обрабатываются и защищаются. Организация обязана назначить лицо, ответственное за обработку персональных данных — этот пункт распространен в российских и европейских правилах.В GDPR есть понятие Data Protection Officer — он подчиняется напрямую высшему руководству компании, но, в отличие от 152-ФЗ, эту задачу можно поручить стороннему подрядчику (юридическому лицу).

В России организации обязаны наладить процессы обработки персональных данных в соответствии с законодательством Российской Федерации: создавать и внедрять системы защиты, уведомлять Роскомнадзор. Необходимо получить согласие субъектов ПД (в том числе при передаче их ПД третьим лицам), подготовить и опубликовать соответствующие положения на сайте.Кроме того, согласно закону о локализации 242-ФЗ, базы персональных данных находятся на территории России.

GDPR не требует обязательного хранения персональных данных в странах ЕС. Хотя европейские правила во многом перекликаются с российским законодательством, существуют серьезные различия в отношении трансграничной передачи ПД — это возможно только в тех странах, которые, по мнению Европейского Союза, должным образом защищают личные данные.

Согласно 152-ФЗ, трансграничная передача разрешена всем странам, присоединившимся к Конвенции Совета Европы о защите физических лиц в отношении автоматической обработки персональных данных, а также ряду неприсоединившихся государств. обеспечивающие защиту частичных разрядов.

Российское законодательство разрешает сбор персональных данных в объеме, соответствующем целям обработки, и их хранение в течение периода, необходимого для целей обработки.Согласно GDPR, правовой основой для обработки PD является договор, согласие, общественный, жизненно важный или законный интерес.

Требования к защите

Одним из ключевых отличий GDPR от 152-FZ является защита персональных данных с учетом рисков потенциального ущерба. Если ущерб (психологический, финансовый или материальный) велик и возможен — обработка не может быть произведена.

Российское законодательство включает только понятие уровня защиты персональных данных.Это зависит от их типа, количества и наличия незаявленных возможностей в системном и прикладном программном обеспечении. В этом случае даются конкретные инструкции по использованию сертифицированных средств защиты (приказ ФСТЭК № 21), а GDPR не имеет таких подзаконных актов.

Статья 25 GDPR требует, чтобы компании создавали системы со встроенной защитой личных данных и системы конфиденциальности по умолчанию — концепция «Конфиденциальность по дизайну и конфиденциальность по умолчанию».

Контроллер данных обязан интегрировать систему защиты данных во все бизнес-процессы (включая процессы разработки продуктов или услуг) на ранней стадии их проектирования, а затем постоянно поддерживать такую ​​систему.Например, при разработке мобильного приложения необходимо проанализировать и предотвратить возможные риски, связанные с конфиденциальностью, а также установить механизмы управления такими рисками перед кодированием.

Согласно концепции, лучший способ снизить риски конфиденциальности — не создавать их.

Штрафы за нарушения

Роскомнадзор может приехать в любую организацию с проверкой по результатам систематического мониторинга или по обращению физического лица.Также существуют плановые проверки, список которых размещен на сайте агентства. Если организация не уведомила Роскомнадзор о том, что она является оператором ПД, это не спасет ее от проверок, равно как и формальное оформление готовых документов, скачанных из Интернета, не поможет — Роскомнадзор обязательно проверит информационные системы и выяснит реальную ситуацию. Частично может помочь перенос персональных данных в защищенное облако 152-ФЗ, принадлежащее облачному провайдеру, но необходимо помнить, что именно оператор устанавливает цель обработки и несет ответственность за нарушения.

Последствия нарушения достаточно серьезные: блокировка сайта организации, большие штрафы для юридических и должностных лиц, приостановление деятельности компании на срок до 90 дней, а также лишение должностного лица права занимать определенные должности или заниматься определенной деятельностью. на срок от 2 до 5 лет. Несертифицированные средства защиты информации могут быть конфискованы и, конечно же, организация понесет репутационные потери.

За нарушение GDPR также существует ответственность.Однако если в России по разным статьям уголовного и гражданского кодекса преступники заплатят до трехсот тысяч рублей, то в Европе ограничений по суммам нет — штрафы могут достигать 4% от годового оборота Компания.

Secure Cloud 152-ФЗ, защита персональных данных

Secure Cloud 152-ФЗ, защита персональных данных

6Lcw28EZAAAAAJLkjojwSw1Q2C-PWoKunq81tfM2

Отправить запрос на услуги в Linxdatacenter

Обработка любых массивов персональных данных в защищенной среде;

Все, что вы ожидаете от облака — масштабируемость, надежность, круглосуточная поддержка.

Виртуальная инфраструктура на базе наших дата-центров:

Устойчивое решение на базе продуктов VMware, NetApp и Cisco;

Беспроблемный переход на безопасные облака и создание гибридных сред;

Технические средства обеспечения защиты информации, обеспечивающие III и IV уровни защиты персональных данных;

Инфраструктура сертифицирована по стандартам ISO 27001, ISO 9001, PCI DSS и сертифицирована на соответствие требованиям ФСТЭК (Федеральная служба по техническому и экспортному контролю России) по хранению персональных данных;

Содействие в реализации юридических и технических аспектов проекта на всех этапах и круглосуточная поддержка со стороны инженеров Linxdatacenter после запуска.

Предлагаете ли вы другие сложные проекты?

Индивидуальные проектные решения по обработке персональных данных можно обсудить с нашим специалистом в индивидуальном порядке.

Мы используем технические решения, гарантирующие защиту всей виртуальной инфраструктуры: продукты S-Terra для защиты виртуальных сетей, шифрование сетевого трафика, использование GHOST-VPN, а также использование специальных версий Антивируса Касперского для виртуальных сред, а также как сканер уязвимостей RedCheck для своевременного обнаружения уязвимостей наряду с постоянным мониторингом безопасности виртуальной среды.

Что Федеральный закон 152-ФЗ определяет персональные данные?

+

+

Любая информация о людях, включая имена и контактные данные, пол, вероисповедание, а также личное мнение по любым темам.Закон распространяется как на клиентов, так и на сотрудников. Если вы работаете с людьми, вы почти наверняка подпадаете под действие закона.

Кто является оператором персональных данных в соответствии с Федеральным законом 152-ФЗ?

+

+

Любое физическое или юридическое лицо, которое определяет цели сбора и обработки персональных данных или выполняет какие-либо операции с такими данными, включая сбор, хранение, анализ, использование, передачу и т. Д.

Чаще всего проверкам на выполнение требований, установленных Федеральным законом 152-ФЗ, подвергаются организации из сферы финансовых услуг, здравоохранения, образования, гостеприимства, телекоммуникаций, рекламы и розничной торговли.

Каковы требования Федерального закона 152-ФЗ?

+

+

Оператор персональных данных в целях соблюдения законодательства должен разработать внутренний регламент работы с персональными данными, реализовать меры технической защиты и локализовать данные на территории Российской Федерации.

Закон устанавливает различные требования к уровню применимой безопасности в зависимости от типа персональных данных, которые обрабатывает оператор, и от степени обработки. Эти уровни подробно описаны в п. 8 Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119.

Кто проверяет соблюдение Федерального закона 152-ФЗ?

+

+

Регулирующими органами, ответственными за соблюдение требований, являются Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций), ФСБ (Федеральная служба безопасности) и ФСТЭК.Роскомнадзор — это орган, наиболее активно проводящий проверки. Как правило, ведомство заботится о соответствии порядка и безопасности обработки персональных данных требованиям закона.

Какая ответственность предусмотрена за нарушение Федерального закона 152-ФЗ?

+

+

Нарушение Федерального закона 152-ФЗ может повлечь за собой все виды ответственности, в том числе гражданскую, дисциплинарную, административную и уголовную.

• Дисциплинарная ответственность в соответствии с ТК РФ предусмотрена для лиц, ответственных за обработку персональных данных, включая возмещение прямого ущерба.

• Гражданский кодекс Российской Федерации позволяет гражданам требовать компенсации от организации, если им был причинен моральный или имущественный ущерб из-за нарушения правил, предусмотренных для операций с персональными данными.

• В зависимости от существа правонарушения административная ответственность составляет до 100 тысяч рублей для физических лиц за нарушение законодательства о персональных данных, до 800 тысяч для должностных лиц, до 20 тысяч рублей для индивидуальных предпринимателей и до 18 миллионов рублей. для организаций.

Нарушение закона о персональных данных может привести к включению организации в реестр нарушителей, сайты которых впоследствии блокируются операторами связи по запросу Роскомнадзора.

Клиент: Разработчик сервиса цифровых визиток и облачной платформы для управления техническим обслуживанием оборудования.

+

+

Цель: Организовать бесперебойную обработку данных в безопасной облачной среде с доступностью сервиса для пользователей.

Решение: Linxdatacenter организовал операции с персональными данными в формате IaaS (инфраструктура как услуга) на своей платформе в Санкт-Петербурге.Петербург. Миграция проводилась поэтапно с тестированием доступности сети после каждого этапа внедрения.

Клиент: Департамент IT-компании.

+

+

Цель: Перенести приложение с персональными данными в безопасную облачную среду в течение времени, ограниченного сроком контракта между клиентом и сертифицирующей организацией.

Решение: Linxdatacenter выполнила работы в сотрудничестве с подрядчиком заказчика после распределения зон ответственности. Linxdatacenter также взял на себя некоторые обязанности клиента, связанные с защитой данных. Работы были выполнены в срок, соблюдение Закона о защите персональных данных подтверждено третьей стороной — лицензиатом ФСТЭК.

Вас также может заинтересовать

Если вы не уверены, что базовое решение вам подходит, попробуйте наше индивидуальное решение для хранения личных данных.

Colliers | Политика конфиденциальности

Настоящая Политика обработки персональных данных (далее именуемая «Политика») применима к информации о Пользователе, которая находится по адресу https://www.colliers.com/ и может быть получена Colliers Международная компания с ограниченной ответственностью (далее именуемая «Оператор») при использовании веб-сайта Colliers International.Политика обработки персональных данных составлена ​​в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1. Основные определения, используемые в Политике:

«Персональные данные» означает любую информацию, относящуюся к физическому лицу, которое может быть прямо или косвенно идентифицировано или идентифицируемым (Субъект персональных данных).

«Персональные данные, для которых Субъект персональных данных санкционировал распространение» — персональные данные, доступ к которым Субъект персональных данных разрешил неограниченному кругу лиц, дав согласие на обработку персональных данных, которые субъект персональных данных разрешил распространять в соответствии с в порядке, установленном настоящим Федеральным законом.;

«Предоставление Персональных данных» — действия, направленные на раскрытие Персональных данных определенному лицу или определенному кругу лиц.

«Автоматическая обработка данных» означает обработку персональных данных с помощью компьютерного оборудования. «Обработка данных» означает любое действие (операцию) или набор действий (операций), выполняемых с использованием или без использования оборудования автоматизации в отношении Персональных данных, включая сбор, запись, систематизацию, накопление, хранение, исправление (обновление, изменение). , извлечение, использование, передача, в том числе трансграничная передача (распространение, предоставление, доступ), с согласия субъекта персональных данных, обезличивание, блокирование, удаление, уничтожение Персональных данных;

Персональные данные, для которых санкционированное распространение Субъектом персональных данных будет обрабатываться в соответствии с ограничениями и условиями, предусмотренными статьей 10.1 Закона № 152-ФЗ от 27 июля 2006 г.

«Конфиденциальность персональных данных» означает обязательное требование к Оператору или другому лицу, имеющему доступ к Персональным данным, не разрешать их распространение без согласия Субъекта Персональных данных или иного законного основания. «Блокирование Персональных данных» означает временное прекращение обработки Персональных данных (за исключением случаев, когда обработка требуется для исправления Персональных данных).

«Обезличивание Персональных данных» означает действия, которые делают невозможным определение принадлежности Персональных данных конкретному Пользователю или другому Субъекту Персональных данных без использования дополнительной информации.

«Распространение Персональных данных» означает любые действия, направленные на раскрытие Персональных данных неопределенному кругу лиц (Передача Персональных данных) или ознакомление с Персональными данными неограниченного круга лиц, в том числе раскрытие Персональных данных в СМИ, размещение в информационных и телекоммуникационных сетях или предоставление доступа к Персональным данным иным способом.

«Трансграничная передача персональных данных» — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

«Уничтожение Персональных данных» означает любые действия, приведшие к безвозвратному уничтожению Персональных данных с невозможностью дальнейшего восстановления Персональных данных в Информационной системе Персональных данных и / или к уничтожению физических носителей, содержащих Персональные данные. «Информационная система персональных данных» — это набор Персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, обеспечивающих их обработку. «Пользователь веб-сайта Colliers International» (далее «Пользователь») — это лицо, имеющее доступ к веб-сайту через Интернет и использующее веб-сайт Colliers International.

«Файлы cookie» — это небольшой фрагмент данных, отправленный веб-сервером, хранящийся на компьютере пользователя и пересылаемый веб-клиентом или веб-браузером на веб-сервер в HTTP-запросе при попытке открыть страницу соответствующего веб-сайта.

«IP-адрес» — это уникальный сетевой адрес узла в компьютерной сети, организованной на основе IP-протокола.

«Веб-сайт» — это вся информация (текстовая и графическая) и функции, размещенные в Интернете по адресу https: //www.colliers.com /, включая все внутренние страницы этого адреса.

«Администрация сайта» — уполномоченные сотрудники Оператора, которые действуют от его имени и организуют обработку или обработку Персональных данных, а также определяют цели обработки Персональных данных, объем обрабатываемых Персональных данных, выполняемые действия (операции). с Персональными данными.

2. Общие положения

2.1. Настоящая Политика определяет порядок обработки и защиты Информации о Пользователе, которую Оператор может получить при заполнении Регистрационной формы на сайте https: // www.colliers.com/, Администрацией (Оператором) сайта, а также порядок и согласие Пользователя на получение информационных бюллетеней при заполнении регистрационной формы на сайте https://www.colliers.com/.

2.2. Целью настоящей Политики является обеспечение надлежащей защиты Информации о пользователях, включая их Персональные данные, от несанкционированного доступа и раскрытия, а также соблюдение законодательных норм в отношении рекламы, в том числе при получении Пользователем рекламной информации.

2.3. Отношения, связанные со сбором, хранением, распространением и защитой информации, предоставляемой Пользователем, регулируются настоящей Политикой и действующим законодательством Российской Федерации.

2.4. Используя веб-сайт Colliers International, Пользователь соглашается на обработку Персональных данных Оператором и получение рекламной информации от Оператора в соответствии с настоящей Политикой и условиями обработки Персональных данных Пользователя, заполнив регистрационные формы.

2,5. Если Пользователь не согласен с условиями Политики, Пользователь должен прекратить использование Сайта.

2.6. Настоящая Политика применима только к веб-сайту Colliers International. Администрация Сайта не контролирует и не несет ответственности за сторонние сайты, на которые Пользователь может перейти, перейдя по ссылкам, доступным на Сайте.

2.7. Персональные данные, разрешенные к обработке в соответствии с настоящей Политикой, предоставляются Пользователем путем заполнения регистрационной формы и включают следующую информацию:

— ФИО Пользователя;

— контактный телефон Пользователя;

— адрес электронной почты.

2.8. Заполняя регистрационную форму, Пользователь выражает свое согласие с условиями настоящей Политики. Это согласие дается для выполнения действий с указанными Персональными данными, необходимых для достижения целей, указанных в Разделе 3 настоящего Соглашения, включая, помимо прочего, сбор, систематизацию, накопление, хранение, исправление (обновление, изменение), использование, передачу третьим лицам. (включая трансграничную передачу (распространять — при условии получения отдельного согласия от Субъекта персональных данных — предоставлять, доступ)), обезличивать, блокировать, удалять, уничтожать персональные данные и выполнять любые другие действия, предусмотренные применимым законодательством Российской Федерации.

2.9. Нажимая «Отправить», Пользователь соглашается на все вышеуказанные действия с Персональными данными, предоставленными при заполнении регистрационных форм, и на получение рекламных информационных бюллетеней от Оператора. Срок действия этого согласия (если дано): до истечения шести месяцев после отзыва Пользователем согласия на получение соответствующей информации.

3. Цели обработки персональных данных

3.1. Цели обработки персональных данных пользователя:

— заключение, исполнение и расторжение гражданско-правовых договоров;

— предоставление Пользователю доступа к сервисам, информации и / или материалам, содержащимся на сайте https: // www.colliers.com/;

— продвижение услуг Оператора с последующей отправкой почты, электронной почты, сообщений в WhatsApp, Viber, Contact, а также телефонных звонков и SMS рекламного контента, информационных и информационных бюллетеней, приглашений на мероприятия Оператора, уведомлений о предложениях, событиях, скидки и другая рекламная информация или новости.

3.2. Пользователь всегда может отказаться от получения рекламных сообщений, отправив Оператору электронное письмо с пометкой «Отказаться от получения уведомлений о новых услугах и специальных предложениях».

3.3. Обезличенные данные Пользователя, собранные с помощью служб интернет-статистики, используются для сбора информации о действиях Пользователя на Сайте, для улучшения качества Сайта и его содержания. Администрация сайта обрабатывает обезличенные данные Пользователя, если это разрешено в настройках браузера Пользователя (файлы cookie и JavaScript включены).

4. Правовые основы обработки персональных данных

4.1. Администрация сайта обрабатывает Персональные данные Пользователя только в том случае, если они вводятся и / или отправляются Пользователем самостоятельно через специальную форму, расположенную на сайте https: // www.colliers.com/. Заполняя соответствующую форму и / или отправляя свои Персональные данные Оператору, Пользователь соглашается с настоящей Политикой.

5. Порядок сбора, хранения, передачи и других видов обработки персональных данных

5.1. Безопасность Персональных данных, обрабатываемых Администрацией Сайта, обеспечивается путем принятия правовых, организационных и технических мер, необходимых для полного соблюдения требований действующего законодательства в области защиты Персональных данных.

5.2. Администрация (Оператор) сайта обеспечивает сохранность Персональных данных и принимает все возможные меры для предотвращения несанкционированного доступа к Персональным данным.

5.3. При обнаружении неточностей в Персональных данных Пользователь может обновить их самостоятельно, отправив уведомление с пометкой «Обновление Персональных данных» на адрес электронной почты Оператора.

5.4. Срок обработки персональных данных начинается с даты его вступления в силу и заканчивается в день соответствующего запроса.Пользователь может в любой момент отозвать свое согласие на обработку Персональных данных, отправив Администрации сайта уведомление с пометкой «Отзыв согласия на обработку Персональных данных», «Отзыв согласия на обработку Персональных данных, для которых Субъект Персональных данных Авторизованное распространение »на адрес электронной почты Оператора или письменное уведомление на адрес местонахождения.

5.5. Пользователь соглашается с тем, что Администрация (Оператор) Сайта вправе передавать Персональные данные третьим лицам исключительно для целей, указанных в Разделе 3 настоящей Политики обработки Персональных данных, и за исключением случаев, связанных с действующим законодательством.

5.6. Персональные данные Пользователя могут быть переданы уполномоченным государственным органам Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.

5.7. В случае утери или разглашения Персональных данных Администрация сайта информирует Пользователя об утере или разглашении Персональных данных.

5.8. Администрация сайта принимает все организационные и технические меры, необходимые для защиты Персональной информации Пользователя от несанкционированного или случайного доступа, уничтожения, изменения, блокировки, копирования, распространения, а также от иных неправомерных действий третьих лиц.

5.9. Администрация сайта совместно с Пользователем принимает все меры, необходимые для предотвращения убытков или иных негативных последствий, вызванных потерей или разглашением Персональных данных Пользователя.

6. Трансграничная передача персональных данных

6.1. Оператор должен гарантировать, что иностранное государство, в которое предполагается передать Персональные данные, обеспечило надежную защиту прав Субъектов Персональных данных до начала трансграничной передачи Персональных данных.

6.2. Трансграничная передача Персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае письменного согласия Субъекта Персональных данных на такую ​​трансграничную передачу своих Персональных данных и / или в случае заключения договора, стороной которого является Субъект персональных данных.

7. Обязанности сторон

7.1. Администрация сайта обязуется:

7.1.1. Использовать полученную информацию только в целях, указанных в п. 3 настоящей Политики.

7.1.2. Обеспечить конфиденциальность конфиденциальной информации, не разглашать такую ​​информацию без предварительного письменного согласия Пользователя, а также не продавать, не обменивать, не публиковать или не разглашать иными способами Персональные данные Пользователя, которые переданы, за исключением пунктов 5.5., 5.6 настоящей Политики.

7.1.3. Принимать превентивные меры для защиты конфиденциальности Персональных данных Пользователя в соответствии с процедурой, обычно используемой для защиты такой информации в существующей деловой практике.

7.2. Пользователь обязуется:

7.2.1. Предоставьте информацию о Персональных данных, необходимых для использования Веб-сайта.

7.2.2. Обновить или изменить предоставленную информацию о Персональных данных в случае изменения этой информации.

8. Ответственность

8.1. В случае неисполнения обязательств Оператор несет ответственность за убытки, понесенные Пользователем в связи с неправомерным использованием Персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных пунктом 5.2. и п. 7.2. настоящей Политики.

8.2. В случае утери или разглашения конфиденциальной информации Оператор не несет ответственности, если такая конфиденциальная информация:

8.2.1. Стала общественным достоянием до того, как была потеряна или раскрыта.

8.2.2. Был получен от третьего лица до его получения Оператором.

8.2.3. Была раскрыта с согласия Пользователя.

8.2.4. Была раскрыта сторонними веб-сайтами и сервисами, ссылки на которые доступны на Сайте, в случае перехода по таким ссылкам и использования таких сервисов Пользователем.

8.3. Пользователь несет полную ответственность за возможные последствия предоставления неточных и / или неполных Персональных данных.

9. Заключительные положения

9.1. Любые разъяснения по интересующим вопросам, связанным с обработкой его Персональных данных, Пользователь может получить, связавшись с Администрацией сайта.

9.2. В этом документе будут отражены любые изменения Политики обработки персональных данных Оператора. Политика действует бессрочно до замены ее новой версией.

9.3. Текущая версия Политики обработки персональных данных доступна по следующей ссылке: https://www.colliers.com/

Если у вас есть какие-либо вопросы по поводу Политики обработки персональных данных, свяжитесь с нами:

Пресненская наб., 10

БЦ Башня на Набережной, блок С

Москва, 123112, Россия

Телефон +7 495 258 5151

Защита персональных данных в России

6.2.1 Правовая база

Статьи 23 и 24 Конституции России (1993 г.) уже показывают, что основными субъектами, на которые направлено законодательство о защите данных, являются субъекты данных и операторы данных.Эти же идеи нашли отражение в законодательстве.

Статья 23 гласит: «Каждый имеет право на неприкосновенность частной жизни, личные и семейные тайны, защиту чести и доброго имени». Конфиденциальность — это право контролировать информацию о себе. Право на неприкосновенность частной жизни является универсальным правом человека и признано таковым во Всеобщей декларации прав человека и Европейской конвенции о правах человека. Это основа права на защиту данных. Право на защиту данных проистекает из конфиденциальности, но не является универсальным правом человека.Он нацелен на операторов персональных данных, чтобы обеспечить их справедливую обработку. Соответственно, статья 24 Конституции РФ касается операторов персональных данных. Он требует, чтобы «сбор, хранение, использование и распространение информации о частной жизни не разрешались без согласия человека». До принятия специального законодательства в декабре 2005 г. Россия ратифицировала Конвенцию 1981 г. о защите физических лиц в отношении автоматической обработки персональных данных (Конвенция Совета Европы).Конвенция Совета Европы — это фундамент, на котором несколько стран построили свое законодательство о защите данных.

В июле 2007 года Государственная Дума приняла два закона, посвященных защите данных: Федеральный закон № 149-ФЗ « Об информации, информационных технологиях и загрузите информацию » (Об информации, информационных технологиях и защите данных, Закон о защите данных) и Федеральный закон № 152-ФЗ « О персональных данных » (Закон о персональных данных). Положения этих законов были обычными и аналогичными положениям Европейской директивы о защите данных 1995 г. (Garrie and Byhovsky 2017, 239).Закон о персональных данных является основным законом, регулирующим эту сферу в России. Он устанавливает цель защиты персональных данных — обеспечение прав и свобод человека и гражданина при обработке своих данных (статья 2).

До 2014 года российские правила защиты данных не отличались от Конвенции Совета Европы. После террористических актов в Волгограде в 2013 году Государственная Дума приняла антитеррористический пакет законов. Частью этого пакета стал Федеральный закон от 21 июля 2014 г.242-ФЗ (Закон о локализации), который ввел требование о локализации (подробнее об этом в разделе 6.3). Помимо российского законодателя, несколько органов власти уполномочены создавать положения о защите данных. Активную роль в этой сфере играют президент России, правительство России и федеральные службы (подробнее см. Гл. 3).

6.2.2 Органы исполнительной власти

Среди органов государственной власти Роскомнадзор играет наиболее активную роль. Дмитрий Медведев учредил Роскомнадзор в 2008 г.1715 г.). Роскомнадзор подчиняется Министерству цифрового развития, связи и массовых коммуникаций (Минкомсвязи). У него много важных компетенций, таких как мониторинг средств массовой информации и ведение реестров операторов данных и запрещенных веб-сайтов (Постановление правительства о Роскомнадзоре). Что касается конкретных полномочий Роскомнадзора, то вектор деятельности этой Федеральной службы отклоняется от того направления, в котором нацелена защита персональных данных — обеспечение прав и свобод личности.В соответствии со статьей 23 Закона о защите данных Роскомнадзор может расследовать и инициировать контроль и надзор за операторами данных без учета нарушения личных прав физических лиц. Он действует независимо от того, имеют ли лица, чьи данные обрабатываются, какие-либо претензии к операторам данных. В результате деятельность Роскомнадзора направлена ​​на защиту данных как таковых, а не на защиту индивидуальных прав, затрагиваемых обработкой данных (Терещенко, 2018, 146).

Помимо Роскомнадзора, несколько других органов власти осуществляют свои полномочия по обеспечению соблюдения политики защиты данных в России. Прокуратура отвечает за преследование уголовных дел, связанных с нарушением защиты данных. Федеральная служба по техническому и экспортному контролю отвечает за надзор за безопасностью персональных данных в информационной инфраструктуре России.

6.2.3 Основные категории законодательства о защите данных

Основными категориями, определяющими законодательство о защите данных в России, являются данные, персональные данные, операторы данных, обработка данных и передача персональных данных.Статья 2 (1) Закона о защите данных определяет информацию как любые данные независимо от формы их представления. Согласно статье 3 (1) Закона о персональных данных, персональные данные — это любая информация, прямо или косвенно связанная с определенным или идентифицируемым физическим лицом (субъектом данных). Закон не защищает данные, не относящиеся к идентифицируемому физическому лицу (анонимные данные). Следуя этому определению, может быть трудно провести различие между техническими данными и личными данными, поскольку почти любая транзакция, совершенная в Интернете, будет представлять собой личные данные (Bauer et al.2015, 2).

Когда дело доходит до установления критериев того, что считается идентифицируемым лицом, практика Роскомнадзора может создать некоторую двусмысленность. Например, в 2017 году из Пенсионного фонда России произошла утечка информации, содержащей полные имена и фамилии его клиентов, их номера налогоплательщиков и информацию об их пенсионных накоплениях. Согласно ответу Пенсионного фонда, это не является утечкой данных, поскольку такие данные не позволяют идентифицировать личность (Терещенко, 2018, 152).Роскомнадзор никакими действиями не отреагировал на это нарушение. Несмотря на то, что Пенсионный фонд хотел обезопасить взлом, информация, содержащая имена, фамилии и идентификационные номера, без сомнения, является личными данными. В комментарии к Закону о персональных данных от 2015 года высокопоставленные должностные лица Роскомнадзора заявили, что индивидуальный номер налогоплательщика позволяет однозначно идентифицировать физическое лицо (Гафурова и др. 2015, 16).

Закон о персональных данных различает категории персональных данных.Согласно статье 10 закона, особые правила применяются к данным, касающимся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни. Обработка таких данных может осуществляться только в случаях, предусмотренных законом, например, если субъект данных дает письменное согласие на обработку данных.

В соответствии со статьей 3 (2) Закона о персональных данных, оператор — это орган, компания или физическое лицо, которое организует и (или) выполняет обработку персональных данных.Оператор также определяет цель обработки персональных данных и состав обрабатываемых персональных данных, а также действия в отношении персональных данных. Законодательство о защите данных применяется ко всем операторам данных и третьим лицам, уполномоченным операторами. Общее правило заключается в том, что операторы данных должны уведомить Роскомнадзор о своем намерении обработать данные до того, как приступить к обработке данных (статья 22). Есть определенные случаи, когда в таком уведомлении нет необходимости, например, когда обработка данных осуществляется в соответствии с трудовым законодательством, если данные включают только фамилию, имя и отцовское имя субъекта данных или если субъект данных раскрыл данные в открытый доступ.

При сборе персональных данных операторы должны информировать субъектов об определенных необходимых аспектах обработки данных. Например, согласно статье 18.1 (1) (2) операторам необходимо опубликовать политику обработки данных. Закон применяет разумный подход, возлагая это обязательство на операторов, которые являются юридическими лицами. На практике это означает, что физическим лицам, а также индивидуальным предпринимателям не нужно публиковать свою политику обработки.

Операторам данных необходимо установить меры безопасности.Согласно статье 18.1 закона операторы данных вправе выбирать меры, которые им необходимо принять в соответствии с законом. В соответствии с законом рекомендуемые меры включают назначение сотрудника по защите данных, реализацию определенных организационных и технических мер, направленных на защиту данных, а также выполнение внутреннего контроля и аудита.

Интересно, что в перечень таких мер не входит обязательство уведомлять об утечке данных ни Роскомнадзор, ни субъекты данных.Была попытка внести поправки в законодательство и ввести обязанность уведомлять Роскомнадзор, МВД и даже соответствующих субъектов данных об утечках данных, но законопроект не принимается Госдумой с 2017 года (Законопроект № 416052 -6).

Обработка данных — это любое действие или комбинация действий, связанных с персональными данными (со средствами автоматизации или без них), включая сбор, запись, систематизацию, хранение, извлечение и передачу.Обработка должна быть адекватной, актуальной и не чрезмерной по отношению к цели, для которой обрабатываются данные. Согласно статье 5 (7) Закона о персональных данных, один из принципов обработки данных заключается в том, что после достижения цели, для которой была обработана информация, оператору необходимо анонимизировать или уничтожить данные, если не было договоренности об обратном. . На данный момент нет подробных правил уничтожения данных. Однако соответствующие поправки, разрешающие Роскомнадзору устанавливать такие подробные правила, находятся на рассмотрении Госдумы (законопроект «О прекращении действия персональных данных»).

Согласие субъектов данных является неотъемлемой частью обработки персональных данных. В соответствии со статьей 9 Закона о защите данных физическое лицо должно дать письменное согласие на обработку данных. Согласие должно быть конкретным, информированным и преднамеренным. Его можно получить в любой форме, подтверждающей его получение, включая заполнение онлайн-форм. Субъект данных может позже передумать и отозвать согласие на обработку данных. Операторы данных несут бремя доказательства того, что субъект данных дал свое согласие.

В соответствии со статьей 9 (4) (4) закона, в некоторых случаях, в том числе при обработке данных, касающихся политических взглядов, религиозных убеждений, состояния здоровья и интимной жизни, согласие должно быть дано в письменной форме. Письменная форма согласия должна включать цель обработки данных. Закон конкретно не требует, чтобы обработчик данных запрашивал у субъекта данных отдельное согласие для каждой цели обработки данных. Обработчики данных часто толкуют это положение таким образом, чтобы перечислить различные цели обработки данных в одной форме.Тем не менее, поскольку толкование закона в обратном направлении возможно, существует существенный риск того, что Роскомнадзор потребует письменного согласия от субъекта данных для каждой цели обработки данных. Так было в споре между обществом с ограниченной ответственностью (ООО) «Скартел» и Роскомнадзором ( ООО «Скартел» против Управления Роскомнадзора по Центральному федеральному округу ). Арбитражный суд города Москвы, а затем апелляционный суд подтвердили позицию Роскомнадзора. Клиенты «Скартел» подписали условия, в которых перечислены определенные цели обработки данных.После этого некоторые клиенты заключили дополнительные соглашения онлайн. Такие соглашения включают больше целей обработки данных. Суды согласились с Роскомнадзором в том, что согласие на такие дополнительные цели обработки данных после дословного прочтения закона также должно быть дано в письменной форме на бумажных носителях. Чтобы исправить эту ситуацию, Минкомсвязи подготовило поправки к закону о защите данных, которые, среди прочего, позволят получить единое согласие человека на несколько целей обработки данных (законопроект «О единой форме согласия»).Это один из примеров, когда целью поправок является облегчение бремени для операторов данных, в отличие от создания множества новых правил, вводящих ограничения и обязательства в сфере защиты данных, как будет показано в следующих разделах этой главы.

Персональные данные могут обрабатываться без согласия субъекта данных в определенных случаях (статья 6). Например, согласие не требуется, если обработка данных необходима для профессиональной журналистской деятельности или когда это необходимо для исполнения решения суда или государственного органа.

6.2.4 Передача за пределы России

Операторы данных могут передавать личные данные за пределы России. Перед осуществлением такой передачи оператор должен убедиться, что права субъекта персональных данных получат адекватную защиту в стране-получателе перевода. Статья 12 (1) Закона о персональных данных предусматривает, что все стороны, подписавшие Конвенцию Совета Европы, обеспечивают надлежащую защиту персональных данных. Кроме того, Роскомнадзор ведет регулярно обновляемый список стран, обеспечивающих такую ​​защиту (Приказ Роскомнадзора о списке стран с адекватной защитой персональных данных).

6.2.5 Территориальная сфера применения

Интернет распространяется за пределы национальных границ. Граждане России могут получить доступ к сайтам операторов, расположенных по всему миру (кроме заблокированных Роскомнадзором). Это не означает, что все эти операторы должны соответствовать требованиям русской локализации. Закон о защите данных конкретно не устанавливает территориальную сферу его применения. При этом при определении операторов персональных данных закон не ограничивает операторов только компаниями, зарегистрированными в России.По мнению Роскомнадзора, Закон о персональных данных является обязательным для иностранных компаний, обрабатывающих персональные данные в России (Роскомнадзор, 2019a). Территориальный охват определяется обработкой данных, которая (1) либо имеет место, либо направлена ​​на Россию, либо (2) касается данных российских граждан. Важно не место нахождения компании / лица, а территория, на которую направлены действия такой компании или лица. Тем не менее, компании, зарегистрированные за пределами России, могут подпадать под действие российского законодательства о защите данных.Аналогичным образом статья 3 GDPR устанавливает, что ее требования к защите данных являются обязательными не только для компаний, учрежденных в государствах-членах ЕС, но и для компаний, расположенных в любой точке мира, если они обрабатывают данные граждан ЕС. Важность территориального аспекта российских правил защиты данных усиливается с принятием требования о локализации для операторов данных.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Путем ввода личных данных на сайте omega-r.com, пользователь соглашается с ООО «Омега-Софт» (г. Йошкар-Ола, Воскресенский проспект, 17) на обработку его персональных данных, указанных при заполнении веб-форм, и подтверждает, что предоставляет согласие на обработку любой личной информации.

ООО «Омега-Софт» гарантирует конфиденциальность полученной информации. Обработка персональных данных осуществляется с целью эффективного выполнения заказов, контрактов и других обязательств, принятых компанией в качестве обязательных для вас.Принятие Оферты согласия — это нажатие на кнопку отправки Форм, размещенных на сайте. Пользователь дает согласие ООО «Омега-Софт», владеющему сайтом omega-r.com, на обработку его персональных данных на следующих условиях:

Это согласие дается на обработку персональных данных как без автоматизации, так и с ее использованием. .

Согласие на обработку персональных данных Пользователя дается исключительно и исключительно для информирования о продуктах и ​​услугах, а также для ответа на запросы Пользователя через форму обратной связи на сайтах.Основанием для обработки персональных данных являются: ст. 24 Конституции РФ; Изобразительное искусство. 6 Федерального закона № 152-ФЗ «О персональных данных».

При обработке персональных данных будут выполняться следующие действия: сбор, систематизация, накопление, хранение, уточнение / обновление / изменение, использование, распространение (в том числе передача), обезличивание, блокирование и уничтожение и любые другие операции с любыми персональными данными. .

Передача персональных данных третьим лицам осуществляется на основании законодательства Российской Федерации, договора с участием субъекта персональных данных или с его согласия.

Также обработка может быть прекращена по запросу субъекта персональных данных. Хранение персональных данных, записанных на бумажных носителях, осуществляется в соответствии с Федеральным законом № 125-ФЗ «Об архивном деле в Российской Федерации» и иными нормативными правовыми актами в области архивного дела и архивного хранения.

Согласие может быть отозвано субъектом персональных данных или его представителем путем направления письменного заявления в ООО «Омега-Софт» или его представителю по адресу, указанному в начале настоящего Соглашения.В случае отзыва субъектом персональных данных или его представителя для обработки персональных данных ООО «Омега-Софт» вправе продолжить обработку персональных данных без разрешения субъекта при наличии оснований, указанных в пп. 2-111 пп. 1, 2, пункты 2 и 10 2 статьи 11 Федерального закона от 26.06.2006 № 152-ФЗ «О персональных данных».

Согласие на обработку персональных данных дается Пользователем на неопределенный срок. Пользователь настоящим подтверждает и подтверждает это своими правами и обязанностями в соответствии с Федеральным законом «О персональных данных».Пользователь заявляет, что он также ознакомлен с процедурой отзыва согласия на обработку персональных данных.

COOKIES

При посещении нашего сайта мы можем отправлять файлы cookie на ваш компьютер, которые позволяют идентифицировать ваш браузер. Мы используем файлы cookie для улучшения качества услуг, сохранения пользовательских предпочтений и отслеживания пользовательской информации. Используя наш веб-сайт, вы соглашаетесь получать и передавать файлы cookie. В случае вашего несогласия с использованием файлов cookie, мы просим вас сделать соответствующие настройки в браузере или воздержаться от использования веб-сайта

Наши ресурсы используют различные типы файлов cookie:

Файлы cookie связаны с производительностью и аналитикой.Эти файлы помогают нам понять, как посетители взаимодействуют с сайтом, предоставляя информацию об областях, которые они посетили, и количестве времени, проведенного на сайте, они показывают проблемы в работе интернет-ресурса, например, сообщения об ошибках. Это помогает улучшить работу сайта. Файлы cookie также помогают измерять эффективность рекламных кампаний и оптимизировать содержание сайтов для тех, кто заинтересован в нашей рекламе. Этот тип файлов cookie не может использоваться для вашей идентификации.Вся собираемая и анализируемая информация анонимна.

Функциональные файлы cookie. Эти файлы cookie служат для идентификации пользователей, возвращающихся на наш сайт. Они позволяют индивидуально подбирать контент сайта и запоминать свои предпочтения. Если вы заблокируете этот тип файлов, это может повлиять на производительность и функциональность веб-сайта и может ограничить доступ к контенту на сайте. Рекламные файлы cookie. Эти файлы cookie записывают информацию о ваших действиях в Интернете, включая посещения наших сайтов и страниц, а также информацию о ссылках и рекламе, которые вы выбираете для просмотра.

Согласие на обработку персональных данных

I (далее — «Субъект персональных данных») согласно требованиям ст. 24 Конституции Российской Федерации и Федерального закона от 27.07.2006 № «О персональных данных» № 152-ФЗ даю согласие на обработку ООО «БЛГ Логистикс Аутомобайл СПБ», зарегистрированного в соответствии с законодательством Российской Федерации по адресу: адрес: 198035, г. Санкт-Петербург, ул. Гапсальская, 5 А (далее — Компания) моих персональных данных, указанных в форме обратной связи на сайте www.blg-logistics.ru (далее — «Интернет-сайт»).

Персональные данные, представленные на веб-сайте, включают любую информацию, касающуюся меня как Субъекта персональных данных, в частности: имя, адрес электронной почты, место работы и номер телефона, которые необходимы для заполнения формы обратной связи на веб-сайте.

Обработка персональных данных включает в себя сбор, систематизацию, накопление, хранение, точность, обновление, изменение, использование, распространение, передачу (включая трансграничный переход), обезличивание, блокирование, удаление, бессрочное хранение, запись на электронные носители, а также любые другие действие, совершенное с персональными данными в соответствии с действующим законодательством Российской Федерации.

Обработка Персональных данных осуществляется только с целью регистрации Субъекта персональных данных в базе данных Сайта и отправки Субъекту персональных данных ответа на вопрос из раздела «Сообщение» в форме обратной связи.

Основанием для обработки Персональных данных является ст. 24 Конституции РФ; искусство. 6 Федерального закона «О персональных данных» № 152-ФЗ и настоящее согласие на обработку персональных данных.

Дата согласия на обработку персональных данных совпадает с датой заполнения и отправки формы обратной связи на Сайте.

Компания

принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от незаконного или случайного доступа, удаления, изменения, блокировки, копирования, передачи, распространения персональных данных, а также других незаконных действий в отношении персональных данных и принимает на себя обязательства по сохранять конфиденциальность персональных данных Субъекта персональных данных.

Я подтверждаю и даю свое согласие на то, что:

• Настоящее согласие на обработку персональных данных действительно в течение всего периода обработки персональных данных до его окончания или до отзыва настоящего согласия Субъектом персональных данных
• Настоящее согласие может быть отозвано Субъектом персональных данных путем отправки письменного уведомления на адрес Компании, указанный в данном согласии.
• Предоставление персональных данных третьим лицам без их согласия влечет ответственность в соответствии с действующим законодательством Российской Федерации.

Настоящим подтверждаю, что давая согласие на обработку моих персональных данных, я действую по своей воле и в своих интересах.

Приложение Bynder по обработке данных

CCPA	означает Закон Калифорнии о конфиденциальности потребителей, Cal. Civ. Кодекс § 1798.100 и последующие, а также подзаконные акты по его применению.
Контроллер	означает организацию, которая определяет цели и средства обработки персональных данных.
Клиент	означает юридическое лицо, которое является стороной Соглашения с Bynder.
Законодательство о защите данных	означает все законы и правила, применимые к обработке персональных данных в соответствии с Соглашением.
Субъект данных	означает идентифицированное или идентифицируемое лицо, к которому относятся Персональные данные.
EEA	означает Европейскую экономическую зону.
GDPR	означает Регламент 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы. 95/46 / EC (Общие правила защиты данных).
Персональные данные	означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу, если такие данные обрабатываются Bynder от имени Клиента.
Обработка	(и все времена глаголов) означает любую операцию или набор операций, которые выполняются с Персональными данными, независимо от того, используются ли автоматизированные средства, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, поиск, консультация, использование, раскрытие путем передачи, распространения или иного предоставления, согласования или комбинации, ограничения, стирания или уничтожения;
Обработчик	означает организацию, которая обрабатывает персональные данные от имени Контроллера, включая, где это применимо, любого «поставщика услуг», как этот термин определен в CCPA.
Субпроцессор	означает Процессор, задействованный Bynder.
Стандартные договорные положения	означают Приложение 4, прилагаемое к настоящему DPA и являющееся его частью в соответствии с Решением C (2010) 593 Европейской комиссии о стандартных договорных условиях для передачи персональных данных обработчикам, созданным в третьих странах в соответствии с Директивой 95 / 46 / EC. No related posts. alexxlab Автор записи Добавить комментарий Отменить ответ Ваш адрес email не будет опубликован. Обязательные поля помечены * Комментарий * Имя * Email * Сайт