Письмо Роскомнадзора от 10.02.2020 № 08АП-6782 «О направлении информации по протоколу совещания» (вместе с «Практическими рекомендациями по применению положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при обработке биометрических персональных данных несовершеннолетних»)
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в соответствии с пунктом 2.1 протокола совещания по вопросу соблюдения требований законодательства Российской Федерации в области персональных данных при подключении образовательных учреждений к программно-аппаратным комплексам с применением технологии распознавания лиц и обработки биометрических персональных данных от 24.01.2020 № П25-20пр (далее — Протокол) направляет практические рекомендации по применению положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при обработке биометрических персональных данных несовершеннолетних.
А.А.Приезжева
Порядок обработки биометрических персональных данных регулируется ст.
11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных).
В соответствии с ч. 1 ст. 11 Закона о персональных данных сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Следовательно, к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, голос, анализы ДНК и другие), а также иные физиологические или биологические характеристики человека, в том числе, изображение человека (фотография и видеозапись).
Биометрические персональные данные будут являться таковыми при наличии условий:
— они признаны таковыми в силу положений нормативных правовых актов;
— они характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
— они используются оператором для установления личности субъекта персональных данных.
Фотографические изображения посетителей организации, содержащиеся в системе контроля управления доступа (СКУД), будут являться биометрическими персональными данными, поскольку они характеризуют физиологические и биологические особенности человека, позволяют установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которого можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД.
Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным.
Отпечатки пальцев человека являются биометрическими персональными данными (дактилоскопической информацией), обработка которых осуществляется только в случаях, установленных Федеральным законом от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации», которым четко определены виды и порядок проведения дактилоскопической регистрации.
Так, согласно ст. 1 Федерального закона от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации» (далее — Закон № 128-ФЗ) государственная дактилоскопическая регистрация — деятельность, осуществляемая органами исполнительной власти по получению, учету, хранению, классификации и выдаче дактилоскопической информации, установлению или подтверждению личности человека.
В Российской Федерации проведение государственной дактилоскопической регистрации, а также использование дактилоскопической информации осуществляются в целях идентификации личности человека.
Проведение государственной дактилоскопической регистрации возможно в случаях:
— розыска пропавших без вести граждан Российской Федерации, иностранных граждан и лиц без гражданства;
— установления личности человека по отпечаткам пальцев (ладоней) рук неопознанного трупа;
— установления личности граждан Российской Федерации, иностранных граждан и лиц без гражданства, не способных по состоянию здоровья или возрасту сообщить данные о своей личности либо не имеющих документов, удостоверяющих личность;
— подтверждения личности граждан Российской Федерации, иностранных граждан и лиц без гражданства;
— предупреждения, раскрытия и расследования преступлений, а также предупреждения и выявления административных правонарушений.
Таким образом, дактилоскопическая регистрации посетителей для осуществления однократного/многократного пропуска на территорию не подпадает под действие Закона № 128-ФЗ. Следовательно, в таком случае осуществляется обработка биометрических персональных данных, не предусмотренная законом. Данное деяние образует состав административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП
Правовые основания обработки персональных данных установлены ч. 1 ст. 6 Закона о персональных данных.
Вместе с тем, правовое регулирование обработки биометрических персональных данных выделено в отдельной статье 11 Закона о персональных данных, которой определены правовые основания обработки указанной категории персональных данных.
В качестве одного из оснований обработки биометрических персональных данных установлено наличие согласия в письменной форме субъекта персональных данных.
Положениями ч. 2 ст. 11 Закона о персональных данных установлены случаи, при наступлении которых согласие в письменной форме субъекта персональных данных не требуется.
Так, согласно указанной норме обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, при обработке биометрических персональных данных несовершеннолетних лиц.
Полагаем необходимым отметить, что общий подход предоставления согласия, закрепленный в ч.
1 ст. 9 Закона о персональных данных, предусматривающий предоставление согласия субъекта персональных данных или его законного представителя в случае обработки биометрических персональных данных не применим, поскольку в соответствии с ч. 1 ст. 11 Закона о персональных данных соответствующее согласие в письменной форме может быть предоставлено исключительно субъектом персональных данных. Возможность делегирования права предоставления согласия в указанном случае законодательством Российской Федерации в области персональных данных не установлено.
Во всех случаях, не подпадающих под указанные в ч. 2 ст. 11 Закона о персональных данных, необходимо получение от субъекта личного согласия в письменной форме на обработку его биометрических персональных данных.
Таким образом, обработка биометрических персональных данных учащихся с согласия в письменной форме законного представителя субъекта персональных данных на обработку его биометрических персональных данных не допускается, за исключением случаев, предусмотренных ч.
2 ст. 11 Закона о персональных данных.
С учетом изложенного, законодательством Российской Федерации не предусмотрены случаи, предполагающие обработку биометрических персональных данных в целях установления личности для осуществления пропускного режима, в том числе в образовательные учреждения.
Таким образом, законодательством Российской Федерации в области персональных данных порядок и условия обработки биометрических персональных данных несовершеннолетних лиц не предусмотрены, что исключает наличие оснований для осуществления такой обработки образовательными учреждениями.
В этой связи в случае осуществления образовательными учреждениями обработки биометрических персональных данных несовершеннолетних лиц, необходимо принять меры по прекращению обработки биометрических персональных данных учащихся (несовершеннолетних) и их уничтожению (при наличии базы данных).
персональные данные, биометрия
Уведомление Роскомнадзора об обработке персональных данных в 2020 г / Хабр
Перед тем, как начать собирать персональные данные, оператору необходимо уведомить об этом Роскомнадзор в соответствии ч.
Без уведомления Роскомнадзора можно обойтись если вы:
- Обрабатываете данные в соответствии с трудовым законодательством.
- Данные получены в связи с заключением договора, стороной которого является субъект персональных данных. При этом сведения должны не распространятся и не передаваться третьим лицам без согласия субъекта. Только использование для исполнения договора и заключения договоров с субъектом.
- Сделанных субъектом ПДн общедоступными.
- Полученных для однократного пропуска субъекта ПДн на территорию, на которой находится оператор.
- Включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка.
- Обрабатываемых без использования средств автоматизации.
Бумажный носитель vs электронный документ: форма уведомления об обработке персональных данных в Роскомнадзор
При отправке уведомлений об обработке персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций у операторов часто возникает вопрос: нужно ли отправлять письмо с распечатанным уведомлением или достаточно заполнить электронную форму уведомления на портале Роскомнадзора.ФЗ-152, как и п. 3.2 Методических рекомендаций по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 разрешают отправлять уведомление на бумажном носителе или в форме электронного документа.
Несмотря на это полностью исключить бумажные носители из документооборота не удалось – так как правовым основанием для совершения регистрационных действий являются бумажные варианты документов, операторы обязаны направлять бумажные носители независимо от того, подавались ли они в электронном виде.
На практике направление уведомления о персональных данных в Роскомнадзор происходит в два этапа:
- заполнение формы уведомления Роскомнадзора в электронном виде – необходимо для ускорения работы по внесению данных в реестр и получения готовой заполненной формы для печати на бумажном носителе;
- отправка формы уведомления на бумажном носителе – является основанием для совершения Роскомнадзором регистрационных действий (уведомление регистрируется в уполномоченном органе и является основанием для внесения оператора в реестр).
Форма уведомления Роскомнадзора об обработке персональных данных в 2020 г.
ФЗ-152 не утверждает обязательную форму или бланк уведомления об обработке персональных данных. По закону главное – предоставить сведения, которые указаны в норме.
Форма уведомления об обработке персональных данных, рекомендуемая к использованию Роскомнадзором, содержится в Приложении № 1 к Методическим рекомендациям по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017. Данная форма содержит сведения, требуемые ст. 22 ФЗ-152 и необходимые для включения в реестр операторов.
На практике самый простой и быстрый способ получить заполненное уведомление о персональных данных в Роскомнадзор – заполнить форму, предложенную на портале персональных данных и без изменений распечатать её на бумажном носителе для направления в Роскомнадзор. Далее мы рассмотрим, как заполнить форму уведомления Роскомнадзора об обработке персональных данных.
Заполнение уведомления в Роскомнадзор: подпись, оформление и отправка уведомлений об обработке персональных данных
При оформлении и отправке уведомлений об обработке персональных данных у операторов часто возникают вопросы, связанные с подписанием и оформлением уведомлений.
Ниже приведены самые популярные из них.Кто может подписывать уведомление о персональных данных в Роскомнадзор?
Согласно ФЗ-152 уведомление в Роскомнадзор должны быть подписано уполномоченным лицом. Специальных требований к подписанию уведомлений не установлено.Исходя из общих положений законодательства здесь возможно несколько вариантов:
- Подписание уведомления лицом, имеющим право подписи без доверенности – к ним чаще всего относятся руководители (можно проверить в ЕГРЮЛ).
- Подписание уведомления по доверенности – может подписывать иное лицо. В таком случае к уведомлению нужно приложить доверенность на право подписи.
Оператору необходимо распечатать, подписать уведомление, проставить на нем печать и направить в территориальное отделение Роскомнадзора. В уведомлении на бумажном носителе необходимо указать текущую дату отправки уведомления в бумажном виде. Если уведомление подписано по доверенности, необходимо также приложить к нему оформленную доверенность или надлежащим образом заверенную копию.
Из дополнительных требований – Роскомнадзор также рекомендует размещать уведомление на фирменном бланке оператора.
В то же время важно понимать, что получение Роскомнадзором документа на бумажном носителе является основанием для совершения регистрационных действий, поэтому фиксация факта получения письма Роскомнадзором, находится в интересах оператора.
Заполнение уведомления в Роскомнадзор: сроки и порядок отправки уведомления об обработке персональных данных
ФЗ-152 обязывает операторов персональных данных высылать уведомление о начале обработки персональных данных. Операторам не стоит пренебрегать выполнением этого требования – не уведомление Роскомнадзора может повлечь привлечение к административной ответственности в соответствии с Статьей 19.7 КоАП РФУведомление в Роскомнадзор подразумевает включение оператора в реестр операторов по обработке персональных данных. Для включения в реестр оператору необходимо заполнить и отправить уведомление по обработке персональных данных.
Срок направления уведомления оператором – до начала обработки персональных данных. Срок включения в реестр – 30 дней с даты регистрации уведомления Роскомнадзором. Как правило, оператор о включении в реестр не уведомляется. Отслеживать статус уведомления можно самостоятельно по ссылке. Для проверки статуса уведомления нужно запомнить его номер и ключ – их можно найти в конце каждого электронного уведомления после его заполнения.
Заполнение уведомления в Роскомнадзор: цели обработки уведомления об обработке персональных данных
Направление уведомления об обработке персональных данных является условием начала обработки персональных данных, а его неправильное заполнение может оцениваться Роскомнадзором как предоставление неполных или недостоверных сведений об обработке данных.Несмотря на кажущуюся простоту заполнения уведомления, операторы часто сталкиваются с трудностями определения целей обработки персональных данных и продолжают указывать в уведомлении неполный перечень целей их обработки.
Определяем цели обработки данных
Цели обработки персональных данных должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, при которой такая обработка осуществляется.
При определении целей обработки персональных данных и заполнении уведомления необходимо проанализировать следующее:
- Цели деятельности оператора, определённые в его уставе, локальных актах, согласии на обработку персональных данных, анкетах, договорах, предусматривающих передачу персональных данных и пр.
- Основания получения персональных данных, деятельность, которую оператор осуществляет при получении и обработке персональных данных на таких основаниях.
Примеры заполнения информации о целях обработки персональных данных в уведомлениях:
цель обработки, регистрации сведений, необходимых для оказания услуг учащимся в области образования, персональных данных работников, сведений об их профессиональной служебной деятельности
цель обработки, регистрации сведений, необходимых для оказания жилищно-коммунальных услуг собственникам, жильцам помещений, персональных данных работников, сведений об их профессиональной служебной деятельностиПри определении целей рекомендуется привлекать специалистов, которые знакомы со всей деятельностью компании, а не заняты в одном отделе – это обеспечит правильность и полноту работы в сфере обработки персональных данных.
Заполняем уведомления об обработке персональных данных: Категории персональных данных
Указание неполного перечня обрабатываемых персональных данных – одно из типовых нарушений в сфере обработки персональных данных.
Чтобы избежать сложностей в заполнении уведомления разберёмся, какие сведения о персональных данных нужно указывать в уведомлении об обработке.Из законодательства следует, что категории персональных данных – это перечень персональных данных, конкретные сведения о субъекте, с помощью которых он идентифицируется или может быть идентифицирован.
Персональные данные группируются в зависимости от их особенностей, на основе чего их относят к специальным, биометрическим и иным видам категорий персональных данных.
Электронная форма уведомления на портале Роскомнадзора предлагает при определении категорий персональных данных указать конкретные сведения, которые будет собирать оператор – ФИО, дата, место рождения, семейное и социальное положение и пр.
Сложность в определении категории персональных данных при заполнении уведомления связана с тем, что сам по себе перечень персональных данных не является исчерпывающим.
В электронной форме уведомления есть графа «Другие категории персональных данных, не указанные в данном перечне», в которой оператор самостоятельно вписывает обрабатываемые персональные данные.
Операторы указывают не все «иные категории» и, как результат, нарушают требования законодательства. Так, операторы часто не указывают сведения о составе семьи; о трудовом и общем стаже, воинском учете; ИНН; СНИЛС и пр.
Во избежание неверного заполнения уведомления об обработке необходимо чётко определить цели обработки персональных данных, после чего указать, какие именно данные субъектов персональных данных будут обрабатываться для их достижения.
При этом нужно учитывать особенности толкования положений законодательства в части отнесения тех или иных данных к персональным. Так, согласно подходу Роскомнадзора к биометрическим персональным данным могут относиться не только данные изображения отпечатка пальца, радужной оболочки глаза и т.д., но и изображения лица.
Заполняем уведомления об обработке персональных данных: категории субъектов персональных данных
Статья 22 ФЗ-152 обязывает операторов указывать категории субъектов, персональные данные которых обрабатываются.
Логично, что субъектами персональных данных являются физические лица, но остаётся открытым вопрос, как их нужно идентифицировать в уведомлении Роскомнадзора.Категории субъектов персональных – это указание на правовой статус субъектов персональных данных, определение места физических лиц в отношениях с оператором.
Так, если оператор обрабатывает информацию в целях обработки персональных данных персонала, то такое физическое лицо определяется в уведомлении как «работник», что и является категорией субъектов персональных данных.
Контрагентов необходимо идентифицировать как сторону вида заключаемых с ними гражданско-правовых договоров.
Роскомнадзор в Методических рекомендациях по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 рекомендует указывать в уведомлениях виды отношений оператора с субъектами персональных данных, т.е. определять, какие отношения (трудовые, гражданско-правовые и пр.) связывают оператора и физическое лицо-субъекта персональных данных.
Таким образом, для указания полной и достоверной информации об обработке персональных данных, правильного уведомления Роскомнадзора необходимо описывать категории персональных данных по следующему образцу:
работники, состоящие в трудовых отношениях с оператором физические лица (абонент, пассажир, заказчик), состоящие в договорных или иных гражданско-правовых отношениях с операторома так же уделять внимание внутреннему аудиту персональных данных, периодически сверяя состав документов и информацию в них.
Заполнение уведомления в Роскомнадзор: внесение изменений в уведомление об обработке персональных данных
Если в деятельности организации, произошли изменения влияющие на процесс обработки персональных данных, оператору ПД необходимо направить информационное письмо регулятору в течение 10 рабочих дней с момента возникновения поправок для внесения изменений в ранее отправленное уведомление.Информационное письмо оформляется на бланке оператора по форме, определенной Приложением 2 к Рекомендациям, и направляется в территориальный орган Роскомнадзора по месту регистрации оператора в налоговом органе.
Поля, отмеченные *, обязательны для заполнения.
Если установится факт размещения в реестре операторов недостоверной или неполной информации, сотрудник Роскомнадзора информирует ответственное лицо в компании оператора путем направления в его адрес письма о перечне недостающих или неточных сведений. Решить вопрос необходимо в течение 30 дней со дня получения такого запроса. Далее мы рассмотрим как заполнить информационное письмо.
Видео по заполнению электронной формы уведомления можно посмотреть на ютуб канале ПДМастер, также как и видео по оформлению Согласия на обработку персональных данных и другие полезные материалы по тематике «Персональные данные»
Будущее регулирования ИИ в России
Новый экспериментальный правовой режим для развития проектов искусственного интеллекта (ИИ) разворачивается в Москве, а затем и по всей России. Первая инициатива была внесена в законопроект в начале этого года, который претерпел очень мало изменений после его первой публикации.
В результате с 1 июля 2020 года в России вступил в силу Федеральный закон № 123-ФЗ, вводящий особое правовое поле для «цифровых песочниц» в Москве.
Цифровые песочницы — это территории, на которых могут разрабатываться и тестироваться технологии, даже если такие технологии не подпадают под действие действующего законодательства. И в результате проблем, поставленных этим новым законом, в 2021 году вступит в силу более широкий закон – Федеральный закон № 258-ФЗ9.0003
Федеральный закон № 123-ФЗ
Этот экспериментальный режим позволяет компаниям работать над инновационными технологиями искусственного интеллекта, которые не регулируются действующим законодательством. Это дает возможность увидеть, как ИИ работает в реальных условиях.
Кроме того, новый закон является первым шагом в правовом регулировании ИИ в Российской Федерации, поскольку он вводит определения искусственного интеллекта и технологии искусственного интеллекта, которые могут быть использованы в будущих нормативных актах.
Продолжительность экспериментального режима составляет пять лет, и он стартовал в июле 2020 года9.0003
Экспериментальный режим также будет способствовать реализации проекта правительства Москвы «Москва — умный город 2030», направленного на развитие умной жизни, умной мобильности, умной экономики и умной среды в столице России. Хотя проект нацелен на фундаментальную цифровизацию города к 2030 году, некоторые технологии искусственного интеллекта уже стали неотъемлемой частью повседневной жизни москвичей. Например, беспилотные автомобили тестируются в Москве с 2019 года, и сейчас несколько компаний изучают возможность их использования на дорогах общего пользования.
Запуская цифровые песочницы, власти могут внимательно следить за тем, какие юридические вопросы возникают в результате повседневного использования ИИ, а какие из них необходимо срочно урегулировать. Наиболее очевидными тревожными проблемами в будущем являются ответственность в случае неисправности или неисправности ИИ, а также случайное раскрытие или удаление персональных данных ИИ.
Принципиальные опасения
Положения 123-ФЗ об обработке персональных данных уже вызвали значительную обеспокоенность граждан. Например, в законе указано, что никакие персональные данные, участвующие в проекте, не могут быть переданы лицам, не имеющим отношения к эксперименту, а также не могут храниться за пределами Москвы. Это кажется неясным, учитывая безграничную природу Интернета и тот факт, что облачные сервисы обычно используются для хранения данных и доступа к ним. При этом персональные данные останутся в распоряжении правительства Москвы, а также предпринимателей и юридических лиц, внесенных в специальный реестр операторов.
Обновление также вносит изменения в Закон о персональных данных. Часть 1 статьи 6 дополнена пунктом 9.1, в соответствии с которым обработка персональных данных, полученных в результате обезличивания, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных ст.
ФЗ.
В измененной статье 10 «Закона о персональных данных» указано, что «в целях повышения эффективности государственного или муниципального управления допускается обработка персональных данных о состоянии здоровья, полученных в результате обезличивания».
В то же время закон не затрагивает такие фундаментальные вопросы, как:
- где будут храниться данные наших цифровых идентификаторов и как они будут удалены;
- как именно будет обеспечиваться конфиденциальность граждан; и
- , кто будет нести ответственность в случае невозможности обезличивания данных.
Такое регулирование персональных данных также вызывает вопросы об основной цели нового закона, а также вызывает опасения, что участники экспериментального режима будут иметь доступ и могут обрабатывать персональные данные жителей Москвы.
Для минимизации негативного эффекта закона в Государственную Думу внесен законопроект, предлагающий отложить введение закона до июля 2025 года, чтобы внести больше ясности в отношении обработки обезличенных персональных данных.
В пояснительной записке к законопроекту указано, что использование и внедрение технологий искусственного интеллекта, в том числе систем слежения и распознавания лиц, вызывают серьезные и законные опасения у граждан.
В течение предлагаемого срока отсрочки могут быть устранены правовые пробелы, связанные с ответственностью должностных лиц за возможные нарушения ненадлежащего использования персональных данных. Проект получил отрицательные отзывы в первом чтении, а второе чтение в доработанной редакции состоится на осенней сессии Государственной Думы.
В целом у России есть ресурсы для внедрения инновационных технологий в деятельность страны, но законодательство все еще сильно отстает. Это может привести к злоупотреблению властью как властями, так и аккредитованными операторами, имеющими доступ к данным.
Федеральный закон № 258-ФЗ
В связи с этим необходимо комплексное регулирование ИИ в России. Однако первые шаги в этом регулировании уже сделаны, в том числе недавнее вступление в силу Федерального закона № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации».
Этот закон вступает в силу в январе 2021 года. В ближайшие годы ожидается принятие других соответствующих законов.
Этот новый закон позволит создавать цифровые песочницы по всей стране. В отличие от 123-ФЗ, 258-ФЗ устанавливает максимальную продолжительность режима в три года с возможным продлением.
К сферам, допущенным к участию в новом режиме, относятся медицина, транспорт и логистика, архитектура и строительство, финансы, дистанционная продажа товаров и услуг, коммунальное хозяйство, промышленное производство и сельское хозяйство. Другие сектора могут быть добавлены позже.
По новому закону правительство получит право устанавливать исключения из некоторых законодательных требований, препятствующих внедрению цифровых инноваций. Однако для того, чтобы цифровые песочницы заработали сразу после введения в действие 258-ФЗ, необходимо соответствующим образом скорректировать и отраслевые федеральные законы, регламентирующие направления соответствующей деятельности.
Более того, иерархия дублирующих положений между 123-ФЗ, распространяющимися на Москву, и 258-ФЗ, распространяющимися на всю страну, создает проблемы, которые необходимо решить в ходе реализации новых законов.
CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. Информация, которая представлена на веб-сайте, имеет уникальное название. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur пе devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignore les conseils juridiques d’un Professionalnel ou tarder à Consulter un Professionalnel sur la base de ce qu’il a lu dans ce site Web. Les Professionalsnels de Gowling WLG seront heureux de discuter avec l’utilisateur des différentes возможные варианты, касающиеся определенных вопросов juridiques précises.
Sujet (s) similaire (s) Технология, право искусственного интеллекта
Уведомление о конфиденциальности
Последнее обновление: декабрь 2020 г.
Настоящее Уведомление о конфиденциальности (далее — Уведомление) используется Акционерным обществом «Позитивные Технологии», расположенным по адресу: Российская Федерация, 107241, г. Москва, Щелковское шоссе, д. 23А, помещение 30, офис В (далее — «Компания», «мы» или «нас ») в отношении веб-сайтов, сервисов, аккаунтов в социальных сетях и других продуктов (сервисов) Компании, с помощью которых мы собираем персональные данные и которые ссылаются на Уведомление. Уведомление не распространяется на веб-сайты Компании, которые не ссылаются на Уведомление или содержат ссылку на документ, отличный от Уведомления, касающийся обработки персональных данных.
В этом Уведомлении мы открыто разъясняем все способы обработки персональных данных при использовании веб-сайтов Компании. Positive Technologies — эксперт в области защиты самых разных устройств, инфраструктур и данных. Поэтому мы понимаем важность правильного подхода к конфиденциальности и безопасности данных и придерживаемся принципа всесторонней и полной защиты персональных данных наших пользователей.
Уведомление разработано Компанией в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006 (далее — Закон). Как международная компания, мы учитываем положения других нормативных актов о персональных данных, в том числе Общего регламента по защите данных (GDPR).
1. Общая информация
1.1. Персональные данные — это любая информация, которая прямо или косвенно относится к определенному или указанному лицу. К персональным данным относятся, например, фамилия, имя, отчество или отчество человека, его должность, название компании, адрес электронной почты, номер телефона и другая информация.
Техническая информация также считается персональными данными, если она может быть отнесена к физическому лицу. Это включает в себя IP-адрес, тип операционной системы, тип устройства (компьютер, мобильный телефон, планшет), тип браузера, геолокацию, заполнение веб-формы и интернет-провайдера.
Если мы не можем каким-либо образом связать информацию с человеком, мы не будем рассматривать эту информацию как личные данные.
1.2. Вы понимаете, что мы обрабатываем только те персональные данные, которые мы получили от вас, как от физического лица, использующего наши веб-сайты, продукты, аккаунты в социальных сетях и сервисы (далее — Услуги).
1.3. Настоящее Уведомление определяет политику Компании в отношении обработки и защиты персональных данных и доступно по адресу https://www.ptsecurity.com/ww-en/privacy-policy/. Компания также предоставляет неограниченный доступ к Уведомлению любому лицу, которое лично связалось с Компанией.
1.4. Основной целью Компании является обеспечение защиты прав и свобод человека при обработке персональных данных, в том числе защита права на неприкосновенность личной и семейной жизни, четкое и неукоснительное выполнение требований законодательства Российской Федерации о персональных данных, в первую очередь все.
1.5. Действие настоящего Уведомления распространяется на все персональные данные о физических лицах, обрабатываемые Компанией, а также на процессы, связанные с обработкой персональных данных.
Компания может обрабатывать персональные данные с использованием автоматизированных средств обработки данных или без них. Процессы могут включать, помимо прочего, сбор, запись, систематизацию, накопление, хранение, изменение (обновление, модификацию), электронное копирование, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, стирание личные данные.
1.6. Компания обрабатывает персональные данные, включая хранение данных, на серверах, расположенных на территории Российской Федерации.
1.7. Компания имеет право обновлять настоящее Уведомление по мере необходимости. Уведомление подлежит пересмотру в случае существенных изменений международного или национального законодательства о персональных данных. Если мы обрабатываем персональные данные, мы обязуемся уведомлять вас о любых таких изменениях по электронной почте.
1.8. Компания не проверяет достоверность персональных данных или дееспособность лица, предоставляющего такие данные.
Вы гарантируете, что все данные достоверны, актуальны и соответствуют законодательству Российской Федерации.
2. Цели обработки персональных данных
Компания руководствуется принципами достаточности, разумности и целесообразности при обработке персональных данных. Мы выполняем процессы, связанные с обработкой персональных данных, в случаях и для целей, перечисленных в этом разделе.
2.1. При доступе к нашим Услугам. Персональные данные обрабатываются в целях обеспечения надлежащего исполнения обязательств Компанией, надлежащего оказания услуг, приема и обработки запросов на такие услуги, регистрации на Сервисах, идентификации пользователя Сервиса, восстановления пароля Сервиса, а также в любых другие дела, связанные с такими действиями. Использование вами Услуг означает безоговорочное согласие с настоящим Уведомлением и условиями обработки персональных данных, изложенными в нем. Если вы не согласны с этим Уведомлением, немедленно прекратите использование Сервисов.
2.2. При участии в мероприятиях, проводимых Компанией , и регистрации в качестве участника. Участие в мероприятиях, проводимых Компанией, означает безоговорочное согласие с настоящим Уведомлением и указанными в нем условиями обработки персональных данных. В случае несогласия Субъекта персональных данных с настоящим Уведомлением он обязан немедленно прекратить участие в мероприятиях.
2.3. Когда мы свяжемся с вами по телефону , чтобы получить обратную связь и предоставить вам любую точную и полную информацию, касающуюся деятельности Компании. Включая, помимо прочего, предоставление информации об Услугах и услугах, рассылку информации об Услугах и услугах по почте, мероприятия и рекламные мероприятия, организованные Компанией или уполномоченными третьими лицами, или и тем, и другим. Компания имеет право использовать предоставленный вами номер телефона и/или адрес электронной почты для связи с вами.
2.4. Когда мы получаем ваш отзыв для следующих целей:
- Получение информации о лояльности и удовлетворенности Услугами и услугами, для дальнейшего рассмотрения и обработки этой информации
- Анализ для улучшения качества Услуг и услуг
- Проведение любого типа исследования
2.
5. Для обеспечения защиты и конфиденциальности ваших личных данных. Обрабатывая персональные данные, мы обеспечиваем работоспособность и безопасность Сервисов, подтверждаем совершаемые вами действия, предотвращаем мошенничество, кибератаки и другие злоупотребления, а также проводим расследование таких случаев.
2.6. При рассмотрении кандидатов на вакантные должности, в том числе рассмотрение кандидата, на конкретную вакантную должность, принятие решения о приеме на работу или об отказе в приеме на работу, формирование резерва кандидатов.
3. Перечень обрабатываемых персональных данных
3.1. В зависимости от заполняемой вами веб-формы мы можем обрабатывать следующие персональные данные:
.3.1.1. Общие персональные данные: ФИО, должность, название компании, адрес электронной почты, номер телефона.
3.1.2. Иные персональные данные: пол, дата и место рождения, личная фотография, гражданство, сведения о месте жительства и регистрации, документы, удостоверяющие личность, сведения о занимаемой должности, условиях работы, основном и дополнительном образовании, профессиональном опыте и навыках, сведения о выслуге лет, медицинском страховании, воинском учете, семейном и семейном положении, сведениях о медицинских ограничениях для работы, пригодности к занимаемой должности (выполняемой работе), нарушениях и взысканиях, наградах и поощрениях, об окончании срока службы.
3.2. Другая информация, обрабатываемая Компанией:
3.2.1. Данные о технических устройствах: IP-адрес, тип операционной системы, тип устройства (компьютер, мобильный телефон, планшет), тип браузера, геолокация, заполнение веб-формы, интернет-провайдер.
3.2.2. Информация, полученная автоматически при доступе к Сервисам, в том числе интернет-сайтам с использованием файлов cookie. Файлы cookie — это текстовые фрагменты, которые автоматически сохраняются в памяти вашего интернет-браузера при использовании нашего веб-сайта. Это позволяет веб-сайту получать доступ к сохраненным данным на вашем компьютере и извлекать их при необходимости. Мы используем файлы cookie, чтобы запоминать язык, который вы используете для доступа к веб-сайту. Когда вы в следующий раз посетите наш веб-сайт, мы сможем учесть ваши предпочтения в отношении использования нашего веб-сайта. Большинство интернет-браузеров сохраняют файлы cookie автоматически, но вы всегда можете изменить настройки своего браузера и прекратить сохранение файлов cookie.
3.2.3. Информация, полученная в результате ваших действий, в том числе данные о отправленных комментариях, запросах, ответах и вопросах.
4. Принципы обработки персональных данных
Достаточность – основной принцип, которого мы придерживаемся при обработке персональных данных. Ваши личные данные не будут обрабатываться, если в этом нет крайней необходимости.
При обработке персональных данных мы также руководствуемся следующими принципами:
4.1. Законность и добросовестность обработки персональных данных.
4.2. Обработка персональных данных в соответствии с конкретными, заранее определенными и законными целями.
4.3. Предотвращение объединения баз данных, содержащих персональные данные, обрабатываемые в несовместимых целях.
4.4. Обработка только тех персональных данных, которые соответствуют целям их обработки.
4.5. Соответствие состава и объема персональных данных заявленной цели обработки.
4.6. Точность, достаточность, адекватность и достоверность персональных данных.
4.7. Правомерность технических мероприятий, направленных на обработку персональных данных.
4.8. Разумность и целесообразность обработки персональных данных.
4.9. Хранение персональных данных в формате, позволяющем идентифицировать физическое лицо, допускается только в течение времени, необходимого для их обработки, или до тех пор, пока действует согласие физического лица.
4.10. Обрабатываемые персональные данные подлежат немедленному уничтожению или обезличиванию в случаях, перечисленных в Уведомлении.
5. Обработка персональных данных
5.1. Сбор персональных данных
Персональные данные можно собирать следующими способами:
- Вы предоставляете личные данные, заполняя формы, в том числе онлайн-формы в Сервисах.
- Данные собираются автоматически с использованием технологий и сервисов, таких как веб-протоколы, файлы cookie, веб-маркеры, запускаемые только тогда, когда вы вводите свои данные.
- Вы предоставляете персональные данные в письменной форме, в том числе с использованием средств связи.
5.2. Хранение и использование персональных данных.
- Персональные данные должны храниться только на должным образом защищенных носителях, включая электронные носители, и обрабатываться с использованием средств автоматизированной обработки данных или без них.
- Если Компания применяет автоматизированную обработку персональных данных, она обязана использовать базы данных, расположенные на территории Российской Федерации.
5.3. Передача персональных данных
- Компания может предоставлять ваши персональные данные третьим лицам, включая, помимо прочего, консультантов, партнеров, поставщиков по соглашениям, подрядчиков и агентов (далее — Консультанты) с вашего согласия. Исключение составляют случаи, когда данные предоставляются для обеспечения соблюдения условий соглашения, нормативных требований, предотвращения или пресечения неправомерных действий с вашей стороны, защиты интересов Компании и третьих лиц.
- Персональные данные предоставляются Консультантам для достижения целей, изложенных ранее, а передача данных осуществляется на основании договора с соответствующим Консультантом. Консультанты обязуются использовать персональные данные строго в соответствии с настоящим Уведомлением для достижения заявленных целей и предоставления услуг по соглашению.
5.4. Уничтожение персональных данных
Компания уничтожает персональные данные в следующих случаях:
- Угроза безопасности Служб
- Цель обработки персональных данных достигнута, либо в ее достижении отпала необходимость.
- Вы нарушили Уведомление.
- Истек срок хранения персональных данных.
- Срок действия соглашения истек или был расторгнут.
- По вашему запросу или в случае отзыва физическим лицом согласия на обработку персональных данных.
6. Ваши права
6.1. Вы имеете право получать информацию об обработке ваших персональных данных, в том числе следующую:
- Подтверждение факта обработки ваших персональных данных
- Правовая основа для обработки ваших персональных данных
- Цели и методы, которые Компания использует для обработки ваших персональных данных
- Какие ваши персональные данные мы обрабатываем и откуда мы их получаем
- Время обработки ваших персональных данных, включая время хранения
- Порядок осуществления прав, предусмотренных законодательством Российской Федерации
- Информация о фактической или планируемой трансграничной передаче данных
- Информация о лицах, которым ваши персональные данные могут быть предоставлены по договору с Компанией или в соответствии с законодательством Российской Федерации
- Имя юридического лица или полное имя и адрес физического лица, обрабатывающего персональные данные, если такому юридическому или физическому лицу поручена или будет поручена обработка
- Иные сведения, предусмотренные законодательством Российской Федерации.
Вы имеете право получать такую информацию любое количество раз. Для этого направьте запрос в Компанию в порядке, предусмотренном разделом 11 Уведомления.
7. Обязанности Общества
7.1. В соответствии с требованиями Закона Компания обязуется сделать следующее:
7.1.1. По вашему запросу предоставить информацию об обработке ваших персональных данных, указанную в пункте 6.1 Уведомления, либо мотивированный отказ.
7.1.2. Принимать необходимые и достаточные меры для выполнения обязательств, предусмотренных Законом.
7.1.3. По вашему запросу обновлять обрабатываемые персональные данные, блокировать или удалять их, если они являются неполными, устаревшими, получены незаконным путем или не требуются для заявленной цели обработки.
7.1.4. Убедитесь, что персональные данные обрабатываются с должной осмотрительностью. Если персональные данные не могут быть обработаны с должной осмотрительностью, Компания должна удалить или обеспечить удаление персональных данных в течение 10 (десяти) рабочих дней после обнаружения того, что данные обрабатывались без должной осмотрительности.
7.1.5. Если срок действия соглашения с вами истекает или если вы отзываете свое согласие на обработку персональных данных, мы прекращаем обработку ваших персональных данных и удаляем их в течение 30 (тридцати) рабочих дней с момента получения вашего отзыва. Исключение может быть сделано, когда обработка продолжается в силу законодательства Российской Федерации.
8. Информация о защите персональных данных
8.1. Все личные данные, которые вы предоставляете, должны быть конфиденциальными по умолчанию. Защита персональных данных, обрабатываемых Компанией, обеспечивается путем реализации правовых, организационных и технических мер, необходимых и достаточных для обеспечения соблюдения требований законодательства Российской Федерации о защите персональных данных. Однако мы всегда стремимся обеспечить максимальную защиту ваших данных и применяем больше мер для защиты персональных данных, чем требуется по законодательству. Ниже приведены некоторые меры, которые Компания принимает для защиты персональных данных.
8.2. Правовые меры:
8.2.1. Разработка локальных нормативных актов Компании для выполнения требований законодательства Российской Федерации, включая настоящее Уведомление, и размещение его по адресу https://www.ptsecurity.com/ww-ru/privacy-policy/.
8.2.2. Отказ от использования любых способов обработки персональных данных, не соответствующих цели, заранее определенной Компанией.
8.3. Организационные мероприятия:
8.3.1. Назначение лица, ответственного за организацию обработки персональных данных. Вы можете связаться с этим человеком, используя следующий адрес электронной почты: [email protected].
8.3.2. Ограничение количества сотрудников Компании, имеющих доступ к персональным данным, и организация системы разрешений на доступ.
8.3.3. Регулярная оценка рисков, связанных с обработкой персональных данных.
8.3.4. Внутренние расследования для выявления любых фактов, связанных с несанкционированным доступом к персональным данным/
8.
3.5. Использование шифрования при обработке персональных данных/
8.3.6. Мониторинг и оценка безопасности сетевой инфраструктуры Компании/
8.3.7. Ознакомление работников Компании с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными нормативными актами Компании о защите персональных данных; обучение сотрудников.
8.3.8. Организация охраны помещений, в которых хранятся носители персональных данных, для предотвращения несанкционированного доступа или присутствия лиц, не имеющих права доступа в такие помещения
8.3.9. Организация обучения сотрудников Компании по различным аспектам обработки персональных данных
8.4. Компания обязуется и обязывает третьих лиц, в случае предоставления им права на обработку персональных данных, соблюдать конфиденциальность персональных данных и не использовать персональные данные без законного основания для их обработки.
9.
Трансграничная передача данных9.1. Мы международная компания. Поэтому в целях, указанных в этом Уведомлении, мы можем передавать ваши персональные данные в страны, отличные от тех, где они были первоначально получены. Это называется трансграничной передачей данных. Перед трансграничной передачей данных Компания гарантирует, что страна, в которую передаются персональные данные, обеспечивает надлежащую защиту ваших прав как субъекта персональных данных. В случае трансграничной передачи персональных данных мы защищаем ваши данные в соответствии с Уведомлением.
9.2. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающая адекватную защиту ваших прав, может осуществляться в следующих случаях:
- У нас есть ваше письменное согласие на трансграничную передачу ваших личных данных.
- Передача предусмотрена международными договорами Российской Федерации.
- Передача предусмотрена федеральными законами, если она необходима в целях защиты конституционных основ Российской Федерации, обеспечения обороны страны и безопасности государства, стабильного и безопасного функционирования транспортной системы, защиты интересов граждан, общества и государства в транспортной сфере от неправомерного вмешательства.
- Для выполнения соглашения, стороной которого вы являетесь.
- Для защиты вашей жизни, здоровья и других ваших жизненно важных интересов или интересов других лиц, когда невозможно получить ваше письменное согласие.
10. Ограниченное действие Уведомления
10.1. Вы также должны быть разумными и ответственными при размещении своих личных данных там, где они могут быть общедоступными, включая отзывы и комментарии к Сервисам.
10.2. Компания не несет ответственности за любые действия третьих лиц, получивших доступ к вашим личным данным в результате ваших действий.
11. Запросы субъекта персональных данных
11.1. Вы имеете право отправлять запросы в Компанию, в том числе запросы относительно использования ваших персональных данных:
11.1.1. Письменно на Преображенскую площадь, 8, Москва, 107061.
11.1.2. В электронном виде, отправив электронное письмо по адресу privacy@ptsecurity.
com.
11.2. Ваш запрос должен содержать следующую информацию:
11.2.1. Номер вашего идентификатора
11.2.2. Дата выдачи удостоверения личности, орган, выдавший
11.2.3. Информация, подтверждающая ваше участие в сделках с Компанией
11.2.4. Ваша подпись
11.3. Компания обязуется обработать ваш запрос и ответить в течение 30 (тридцати) календарных дней с момента получения запроса.
11.4. Вся корреспонденция, полученная Компанией (как письменные, так и электронные запросы), считается информацией с ограниченным доступом и не будет разглашаться без вашего письменного согласия.
12. Контактная информация и реквизиты Компании:
| Полное фирменное наименование | Акционерное общество «Позитивные Технологии» |
| Адрес | Российская Федерация, 107241, г. Москва, Щелковское шоссе, д. 23А, пом. 30, офис В |
| Почтовый адрес | 107061, Москва, Преображенская площадь, д. 8 |
| ОГРН | 1077761087117 |
| ИНН | 7718668887 |
| КПП (ИНН) | 771801001 |
| Контактная информация | Тел. : +7 495 744 0144 Факс: +7 495 744 0187 |
| Адрес электронной почты | info@ptsecurity.  |