Политика защиты и обработки персональных данных

1. Назначение и область действия

1.1. Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в краевом государственном автономном учреждении дополнительного профессионального образования «Красноярский краевой научно-учебный центр кадров культуры» (далее — Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.2. Политика действует бессрочно после утверждения и до ее замены новой версией.

1.3. В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ-152 «О персональных данных».

1.4. Политика распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

2. Сведения об обработке персональных данных

2.1. Обработка персональных данных Оператором ведется смешанным способом: с использованием средств автоматизации и без.

2.2. Действия с персональными данными включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Обработка персональных данных осуществляется Оператором на законной и справедливой основе, правовыми основания для обработки являются:

  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 27. 07.2006г. № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 10.01.2002г. № 1-ФЗ «Об электронной цифровой подписи»;
  • Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;
  • Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
  • Закон РФ от 10.07.1992г. № 3266-1 «Об образовании»;
  • Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
  • Устав Оператора;
  • Согласие субъекта персональных данных на обработку персональных данных;
  • Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

2.4. Содержание и объем обрабатываемых персональных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:

  • заключение трудовых отношений с физическими лицами;
  • выполнение договорных обязательств Оператора;
  • соблюдение действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации.

2.5. К основным категориям субъектов персональных данных, чьи данные обрабатываются Оператором, относятся:

  • физические лица, состоящие в трудовых и гражданско-правовых отношениях с Оператором;
  • физические лица, состоящие в трудовых и гражданско-правовых отношениях с контрагентами Оператора;
  • посетители сайтов Оператора;
  • кандидаты на замещение вакантных должностей.

2.6. Для указанных категорий субъектов могут обрабатываться: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; ИНН, СНИЛС, контактная информация (телефон, адрес электронной почты), иные сведения, предусмотренные типовыми формами и установленным порядком обработки.

2.7. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.

2.8. Для персональных данных, не являющихся общедоступными, обеспечивается конфиденциальность.

2.9. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

  • достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 дней;
  • утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;
  • предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 дней;
  • невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;
  • отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;
  • отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении услуг — в течение 2 дней;
  • истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
  • ликвидация (реорганизация) Оператора.

2.10. Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:

  • цели, условия, сроки обработки персональных данных;
  • обязательства сторон, в том числе меры по обеспечению конфиденциальности;
  • права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

2.11. В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством.

Обязательным случаем получения предварительного согласия является, например, контакт с потенциальным потребителем при продвижении услуг Оператора на рынке.

2.12. Оператор зарегистрирован в реестре уполномоченного органа по защите прав субъектов персональных данных за номером № 24-17-004101. В реестре указаны сведения об Операторе, в том числе: полное наименование, контактная информация для обращений, сведения об обработке персональных данных и мерах по обеспечению безопасности.

3. Меры по обеспечению безопасности персональных данных

3.1. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

  • назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
  • проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
  • издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
  • обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
  • ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
  • применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
  • учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
  • резервное копирование информации для возможности восстановления;
  • осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.
4. Права субъектов персональных данных

4.1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.

4.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

4.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или  судебном порядке.

4.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. Роли и ответственность

5.1. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.

5.2. Контроль исполнения требований настоящей Политики осуществляется ответственными за организацию обработки персональных данных в пределах их полномочий.

5.3. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.

5.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.

5.5. Политика разрабатывается ответственным за организацию обработки персональных данных и вводится в действие после утверждения руководителем Оператора. Предложения и замечания для внесения изменений в Политику следует направлять по адресу . Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости. 

Персональные данные

Политика в отношении обработки персональных данных

1. Общие положения

Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые Общество с ограниченной ответственностью «ФРОО» (далее – Оператор).

1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://eldf. ru.

2. Основные понятия, используемые в Политике

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://eldf.ru.

2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.

2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.

2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://eldf.ru.

2.9. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее — персональные данные, разрешенные для распространения).

2.10. Пользователь – любой посетитель веб-сайта https://eldf.ru.

2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

3. Основные права и обязанности Оператора

3.1. Оператор имеет право:

– получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;

– в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;

– самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.

3.2. Оператор обязан:

– предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

– организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;

– отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;

– сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса;

– публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;

– принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

– прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;

– исполнять иные обязанности, предусмотренные Законом о персональных данных.

4. Основные права и обязанности субъектов персональных данных

4.1. Субъекты персональных данных имеют право:

– получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

– требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

– выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;

– на отзыв согласия на обработку персональных данных;

– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;

– на осуществление иных прав, предусмотренных законодательством РФ.

4.2. Субъекты персональных данных обязаны:

– предоставлять Оператору достоверные данные о себе;

– сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

4.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

5. Оператор может обрабатывать следующие персональные данные Пользователя

5.1. Фамилия, имя, отчество.

5.2. Электронный адрес.

5.3. Номера телефонов.

5.4. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).

5.5. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.

5.6. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

5.7. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Закона о персональных данных, допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 Закона о персональных данных.

5.8. Согласие Пользователя на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Закона о персональных данных. Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.

5.8.1 Согласие на обработку персональных данных, разрешенных для распространения, Пользователь предоставляет Оператору непосредственно.

5.8.2 Оператор обязан в срок не позднее трех рабочих дней с момента получения указанного согласия Пользователя опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.

5.8.3 Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.

5.8.4 Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Оператору требования, указанного в п. 5.8.3 настоящей Политики в отношении обработки персональных данных.

6. Принципы обработки персональных данных

6.1. Обработка персональных данных осуществляется на законной и справедливой основе.

6. 2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

6.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

6.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

6.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.

6.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

6. 7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7. Цели обработки персональных данных

7.1. Цель обработки персональных данных Пользователя:

– информирование Пользователя посредством отправки электронных писем;

– заключение, исполнение и прекращение гражданско-правовых договоров;

– предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте https://eldf.ru.

7.2. Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты [email protected] с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».

7.3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.

8. Правовые основания обработки персональных данных

8.1. Правовыми основаниями обработки персональных данных Оператором являются:

перечислите нормативно-правовые акты, регулирующие отношения, связанные с вашей деятельностью, например, если ваша деятельность связана с информационными технологиями, в частности с созданием сайтов, то здесь можно указать Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ;

– уставные документы Оператора;

– договоры, заключаемые между оператором и субъектом персональных данных;

– федеральные законы, иные нормативно-правовые акты в сфере защиты персональных данных;

– согласия Пользователей на обработку их персональных данных, на обработку персональных данных, разрешенных для распространения.

8.2. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://eldf.ru или направленные Оператору посредством электронной почты. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.

8.3. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).

8.4. Субъект персональных данных самостоятельно принимает решение о предоставлении его персональных данных и дает согласие свободно, своей волей и в своем интересе.

9. Условия обработки персональных данных

9.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

9.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

9.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

9.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

9.5. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

9.6. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – общедоступные персональные данные).

9.7. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

10. Порядок сбора, хранения, передачи и других видов обработки персональных данных

Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.

10.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.

10.2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.

10.3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора [email protected] с пометкой «Актуализация персональных данных».

10.4. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством.
Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора [email protected] с пометкой «Отзыв согласия на обработку персональных данных».

10.5. Вся информация, которая собирается сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект персональных данных и/или Пользователь обязан самостоятельно своевременно ознакомиться с указанными документами. Оператор не несет ответственность за действия третьих лиц, в том числе указанных в настоящем пункте поставщиков услуг.

10.6. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.

10.7. Оператор при обработке персональных данных обеспечивает конфиденциальность персональных данных.

10.8. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

10.9. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.

11. Перечень действий, производимых Оператором с полученными персональными данными

11.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

11.2. Оператор осуществляет автоматизированную обработку персональных данных с получением и/или передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.

12. Трансграничная передача персональных данных

12.1. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.

12.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.

13. Конфиденциальность персональных данных

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

14. Заключительные положения

14.1. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.

14.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://eldf.ru.

22.10.2021г.

Что вам следует знать о Законе о конфиденциальности штата Колорадо: Koley Jessen

Губернатор Колорадо Джаред Полис подписал Закон о конфиденциальности штата Колорадо («CPA») 8 июля 2021 года, в результате чего Колорадо стал третьим штатом (после Калифорнии и Вирджинии), принявшим всеобъемлющий закон о конфиденциальности для защиты своих жителей. CPA вступит в силу 1 июля 2023 года.

CPA будет применяться к юридическим лицам, ведущим бизнес в Колорадо или предоставляющим продукты или услуги, ориентированные на жителей Колорадо, которые либо (1) контролируют или обрабатывают персональные данные 100 000 или более потребителей. в течение года или (2) контролировать или обрабатывать персональные данные 25 000 или более потребителей и получать доход или скидку на цену товаров или услуг от продажи персональных данных. Применимого порога дохода нет. «Потребители» определяются в CPA как жители Колорадо, действующие в индивидуальном или домашнем контексте. CPA исключает лиц, действующих в коммерческом контексте или в контексте занятости, претендентов на работу и бенефициаров кого-либо, действующего в контексте занятости, из своего определения «потребитель». «Персональные данные» в соответствии с CPA определяются как «информация, которая связана или может быть обоснованно связана с идентифицированным или идентифицируемым лицом». Требования CPA не распространяются на обезличенные данные или общедоступную информацию.

Чтобы соответствовать CPA, предприятия должны предоставить потребителям четкие уведомления о конфиденциальности и провести оценку защиты данных для любой обработки персональных данных, которая представляет повышенный риск причинения вреда потребителям. CPA не предлагает особых указаний относительно того, что может или не может квалифицироваться как «повышенный риск причинения вреда», но генеральный прокурор Колорадо может обнародовать уточняющие правила до того, как CPA вступит в силу.

Права, предоставляемые потребителям в соответствии с CPA, включают право отказаться от обработки персональных данных для целевой рекламы или для продажи таких персональных данных. CPA предусматривает «выбираемый пользователем универсальный механизм отказа», который подпадающие под его действие юридические лица могут внедрить после вступления CPA в силу; однако с 1 июля 2024 г. универсальный механизм отказа станет обязательным. У CPA нет четких указаний относительно ожиданий от механизма отказа, но генеральный прокурор Колорадо обнародует правила с подробным описанием необходимых технических спецификаций к 1 июля 2023 года. Удобный для пользователя механизм должен позволять потребителям свободно и недвусмысленно выбирать отказ. обработки персональных данных. Простой настройки по умолчанию будет недостаточно.

В дополнение к праву на отказ, потребителям будет предоставлено право доступа к определенным личным данным — и получить их в переносимом, удобном для использования формате — и право исправлять неточности и удалять касающиеся их личные данные. Как только потребитель отправляет запрос на доступ, исправление, удаление или предоставление персональных данных, принимающая организация должна ответить на запрос потребителя в течение 45 дней с момента его получения. Потребители будут иметь право обжаловать решение организации.

Колорадо стал вторым штатом в 2021 году, принявшим всеобъемлющее законодательство о конфиденциальности данных, после того как ранее в этом году Вирджиния приняла Закон о защите данных потребителей (CDPA). Калифорния также недавно приняла новый закон о конфиденциальности данных путем голосования — Закон штата Калифорния о правах на неприкосновенность частной жизни («CPRA»), который расширит объем защиты, предоставляемой в настоящее время жителям Калифорнии Законом штата Калифорния о конфиденциальности потребителей от 2018 года.

Во многих отношениях , CPA похож на CDPA Вирджинии, но между всеми тремя законами о конфиденциальности есть различия, о которых должен знать каждый, кто ведет бизнес во всех трех штатах.

Время
  • Законы Калифорнии и Вирджинии вступят в силу 1 января 2023 года.
  • CPA вступит в силу 1 июля 2023 года.

Правоприменение
  • Как и Закон Вирджинии, CPA не предусматривает права частного иска. Генеральный прокурор и окружные прокуроры будут иметь исключительные полномочия по обеспечению соблюдения CPA.
  • Калифорнийский закон, однако, делает предоставляет частное право действия, и CPRA создает новое государственное агентство, Калифорнийское агентство по защите конфиденциальности, для обеспечения соблюдения Закона.

Сфера действия
  • Все три Закона будут применяться к компаниям, которые контролируют или обрабатывают персональные данные 100 000 или более потребителей в год.
  • CPA также будет применяться к предприятиям, которые контролируют или обрабатывают персональные данные 25 000 или более потребителей и получают доход или скидку на цену товаров или услуг от продажи персональных данных . В отличие от этого, Закон Вирджинии будет применяться к предприятиям, которые контролируют или обрабатывают персональные данные 25 000 или более жителей и получают более 50 процентов своего валового дохода от продажи персональных данных .
  • Закон штата Калифорния
  • также будет применяться к предприятиям, чей годовой валовой доход превышает 25 миллионов долларов США или которые получают 50 или более процентов своего годового дохода от продажи или обмена личной информацией потребителей.
  • * Обратите внимание, что все три закона предусматривают исключения для определенных предприятий, которые уже регулируются другими федеральными законами.

Права потребителей
  • Все три закона обеспечивают схожие права потребителей, включая особую защиту «конфиденциальной» личной информации, такой как раса, религия, сексуальная ориентация и т. д. Законы Вирджинии и Колорадо требуют, чтобы подпадающие под действие закона организации получали согласие потребителя перед обработкой конфиденциальная личная информация. Это положение о согласии не включено в закон штата Калифорния.
  • Обязательный «выбираемый пользователем универсальный механизм отказа» CPA не требуется ни в Законе Калифорнии, ни в Законе Вирджинии.

Соответствие требованиям
  • Компании, на которые распространяются новые законы о конфиденциальности данных, должны:
    • Внедрение мер кибербезопасности;
    • Разработать и сообщить потребителям процесс, с помощью которого потребители могут подать запрос относительно своих личных данных и впоследствии обжаловать решение;
    • Предоставить четкое и заметное уведомление, информирующее потребителей о том, что они имеют право отказаться от целевой рекламы и продажи своих личных данных;
    • К 1 июля 2024 г. создать универсальный механизм отказа по выбору пользователя;
    • Обновите свою Политику конфиденциальности, чтобы объяснить сбор и использование данных;
    • Обновите свои контракты с третьими сторонами, чтобы убедиться, что они соблюдают законы;
    • Получите информированное согласие потребителей перед сбором конфиденциальных данных; и
    • Установите процедуру определения времени проведения оценки защиты данных.

Хотя CPA и другие новые законы о конфиденциальности данных не вступят в силу в течение некоторого времени, никогда не рано начать оценивать обязательства вашей компании по конфиденциальности данных и начинать работать над их соблюдением. Koley Jessen продолжит следить за развитием событий, связанных с новыми законами, и давать рекомендации по мере появления обновлений. Если у вас есть вопросы о том, нужно ли вашему бизнесу соблюдать новые законы о конфиденциальности данных и какие шаги вы должны предпринять для соблюдения новых законов, обратитесь к одному из специалистов в Koley Jessen’s Команда Закона о конфиденциальности и безопасности данных .

Особая благодарность Кайле Салливан, летнему юристу Коли Джессен, за ее вклад в эту статью.

Общий регламент по защите данных (GDPR)

Обзор

Что такое GDPR?

В настоящее время существует два Общих положения о защите данных: в Европейской экономической зоне (ЕЭП GDPR) и в Соединенном Королевстве (в соответствии с Законом о защите данных, GDPR Великобритании). Как GDPR ЕЭЗ, так и GDPR Великобритании регулируют сбор, использование, передачу, хранение и другую обработку персональных данных лиц в их соответствующих юрисдикциях.

К каким лицам применяются GDPR ЕЭЗ и GDPR Великобритании?

GDPR ЕЭЗ и GDPR Великобритании применяются ко всем лицам. Нет требования, чтобы человек был гражданином или резидентом страны, которая является членом ЕЭЗ или Великобритании.

В каких странах действует GDPR ЕЭЗ? Что такое ЕС и ЕЭЗ?

GDPR ЕЭЗ распространяется на все 27 стран-членов Европейского Союза (ЕС). Это также относится ко всем странам Европейской экономической зоны (ЕЭЗ). ЕЭЗ занимает большую территорию, чем ЕС, и включает Исландию, Норвегию и Лихтенштейн. С 1 января 2021 года Великобритания больше не является членом ЕС и больше не подпадает под действие GDPR ЕЭЗ. Швейцария также приняла закон о конфиденциальности, аналогичный GDPR.

Когда применяются GDPR ЕЭЗ и GDPR Великобритании?

Существует три типа ситуаций, на которые распространяется GDPR ЕЭЗ и GDPR Великобритании:

  1. Если человек находится в ЕЭЗ или Великобритании, любые личные данные, полученные от него в связи с предложением товара или услуга защищена GDPR этой области, даже если организация, предлагающая товар или услугу, не зарегистрирована в этой области. Защита персональных данных продолжается после того, как человек покинет ЕЭЗ или Великобританию.
  2. Учреждения в ЕЭЗ или Великобритании. Если персональные данные собираются или иным образом обрабатываются в контексте деятельности какого-либо учреждения в ЕЭЗ или Великобритании, то персональные данные защищены GDPR этой области, даже если обработка происходит за пределами ЕЭЗ или Великобритании.
  3. Если человек находится в ЕЭЗ или Великобритании, любые личные данные, полученные от него в связи с отслеживанием его поведения, когда поведение имеет место в ЕЭЗ или Великобритании.

К каким данным применяются GDPR ЕЭЗ и GDPR Великобритании?

GDPR ЕЭЗ и GDPR Великобритании применяются ко всем «персональным данным», которые включают любую информацию, относящуюся к живому, идентифицированному или идентифицируемому лицу. Примеры включают имя, SSN, другие идентификационные номера, данные о местонахождении, IP-адреса, онлайн-куки. , изображения, адреса электронной почты и контент, созданный субъектом данных.

GDPR ЕЭЗ и GDPR Великобритании включают более строгие меры защиты для особых категорий персональных данных, а именно:

  • Расовое или этническое происхождение
  • Данные о физическом или психическом здоровье
  • Политические взгляды
  • Половая жизнь и сексуальная ориентация
  • Религиозные или философские убеждения
  • Генетические и биометрические данные
  • Членство в профсоюзе

GDPR ЕЭЗ и GDPR Великобритании также налагают ограничения на обработку персональных данных, касающихся судимостей и правонарушений.

Положения о конфиденциальности

Глобальные заявления о конфиденциальности Tufts, доступные на странице Заявления о конфиденциальности и условиях использования, включают:

  • Глобальное заявление о конфиденциальности персональных данных
  • Заявление о конфиденциальности для будущих студентов и абитуриентов
  • Заявление о конфиденциальности для учащихся
  • Заявление о конфиденциальности для спонсируемых Tufts программ обучения за рубежом
  • Заявление о конфиденциальности для соискателей, преподавателей, сотрудников, консультантов и других лиц, предоставляющих услуги
  • Заявление о конфиденциальности для выпускников, доноров и других сторонников Tufts
  • Заявление о конфиденциальности для участников исследования
  • Заявление о конфиденциальности для участников онлайн-обучения и образовательных программ без степени

Права

GDPR ЕЭЗ и GDPR Великобритании предоставляют физическим лицам права, связанные с их Персональными данными. Для получения информации о том, как сделать запрос прав в соответствии с GDPR EEA или UK GDPR, см. Как сделать запрос на субъектный доступ.

Если физическое лицо направило запрос на осуществление своих прав GDPR в ЕЭЗ или Великобритании в письменной или устной форме, пожалуйста, предоставьте эту информацию незамедлительно и в любом случае в течение 24 часов по адресу [email protected].

Часто задаваемые вопросы

См. раздел «Часто задаваемые вопросы (FAQ) GDPR» (PDF) для получения дополнительных ответов на ваши вопросы GDPR ЕЭЗ и GDPR Великобритании.

Работа с информацией, защищенной GDPR ЕЭЗ или GDPR Великобритании

Руководство по ограниченной работе организаций с данными содержит основные правила работы с данными GDPR ЕЭЗ и GDPR Великобритании. Руководство включает практические шаги, которые вы можете предпринять для защиты этой конфиденциальной информации, а также других регулируемых институциональных данных.

Для получения информации о соблюдении GDPR ЕЭЗ и GDPR Великобритании при работе со списками рассылки см. Задачи GDPR(+) для списков рассылки Университета Тафтса.

Информацию о соблюдении GDPR ЕЭЗ и GDPR Великобритании для конференций, которые будут проводиться в США, см. в разделе «Соображения GDPR для конференций Tufts».

Исследования и GDPR ЕЭЗ и GDPR Великобритании

Информацию о GDPR ЕЭЗ, GDPR Великобритании и исследованиях Tufts можно найти в офисе вице-проректора по исследованиям: GDPR ЕЭЗ и GDPR Великобритании. Там вы найдете ответы на часто задаваемые вопросы, посвященные исследованиям, а также другие материалы.

Дополнительная информация

Для получения дополнительной информации см.:

  • Общие правила защиты данных Европейской экономической зоны (EEA GDPR) и Общие правила защиты данных Соединенного Королевства (UK GDPR) — часто задаваемые вопросы
  • GDPR.eu, Руководство по соответствию, разработанное совместно с ЕС
  • Справочник уполномоченного по информации Великобритании по GDPR
  • Великобритании

С кем связаться

Вопросы о GDPR ЕЭЗ и GDPR Великобритании можно направлять по адресу dataprivacy@tufts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *