Федеральный закон о персональных данных — Российская газета
Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года
Глава 1. Общие положения
Статья 1. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Статья 2.
Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
8) обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
11) трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
12) общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.
Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Глава 2. Принципы и условия обработки персональных данных
Статья 5. Принципы обработки персональных данных
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Статья 7. Конфиденциальность персональных данных
1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обеспечение конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
Статья 8. Общедоступные источники персональных данных
1.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2.
Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Статья 11. Биометрические персональные данные
1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Статья 12. Трансграничная передача персональных данных
1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Статья 13.
Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.
2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.
Глава 3. Права субъекта персональных данных
Статья 14. Право субъекта персональных данных на доступ к своим персональным данным
1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи.
Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя.
Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов..jpg)
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 4. Обязанности оператора
Статья 18.
Обязанности оператора при сборе персональных данных
1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.
2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.
Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных
1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.
5. Уполномоченный орган по защите прав субъектов персональных данных обязан:
1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
3) вести реестр операторов;
4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.
6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.
8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.
9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.
Статья 24. Ответственность за нарушение требований настоящего Федерального закона
Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Глава 6. Заключительные положения
Статья 25. Заключительные положения
1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.
2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.
4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
Президент
Российской Федерации
В. Путин
Ответственность за разглашение персональных данных по 137 УК РФ
Разглашение персональных данных 137 УК РФ — указанная статья закона квалифицирует данное деяние как преступное, влекущее за собой уголовную ответственность. Сущность юридического понятия персональных данных, необходимость законной защиты конфиденциальности частной жизни человека, ответственность за разглашение персональных данных — все эти вопросы рассмотрены в нашей статье.
Виды ответственности за разглашение персональных данных
Каждый человек наделен Конституцией РФ правом на сохранение тайны частной жизни (ст. 23). Защита этого права обеспечивается путем выполнения положений ст. 24 Конституции, декларирующей, что сбор и распространение сведений о личной, семейной жизни человека без его согласия незаконны.
Смысл юридического термина «персональные данные» сформулирован в законе «О персональных данных» от 27.07.2006 № 152-ФЗ. Это любая информация о различных данных, прямо или косвенно относящаяся к физическому лицу. При этом информация может касаться как определенного физического лица, так и того, кого пытаются определить.
Подробнее о том, что такое персональные данные, мы рассказали здесь.
Пример
Есть физическое лицо — Иванов Иван Иванович. Очевидно, что указанные личные данные не позволят однозначно установить определенного человека, ведь лиц с такими «параметрами» наверняка очень много. Тем не менее Ф. И. О. — это персональные данные известного нам физического лица.
Информация же «Иванов Иван Иванович, паспорт 45 08 № 123456» позволяет идентифицировать (определить) конкретного человека — выбрать из многочисленной группы одного с точной характеристикой.
Персональные данные включают Ф. И. О., реквизиты удостоверения личности, место и дату рождения, адрес, образование, семейное, имущественное положение, номер страхового свидетельства и другую подобную информацию, относящуюся исключительно к конкретному человеку.
Кадровая служба работодателя в силу своих функций занимается сбором документов работников, формированием их личных дел в целях установленного порядка кадрового учета. Личное дело сотрудника содержит сведения о семейной, личной жизни, должности и сумме вознаграждения за труд, удостоверении личности и пр. Документарный состав личных дел — это персональные данные сотрудников, и наниматель, следуя положениям законодательства, обязан обеспечить их защиту (ст. 18.1 закона № 152-ФЗ).
Что будет, если не получить согласие на обработку и использование персональных данных, читайте здесь.
А здесь вы найдете образец такого согласия.
Ст. 7 закона № 152-ФЗ закрепляет статус конфиденциальности персональных данных. Указанная статья запрещает в общем случае лицам, имеющим доступ к личной информации, раскрывать эти сведения, не имея на то согласия их обладателя.
Последствия несоблюдения правил трудовой дисциплины, в том числе раскрытия информации, подробно описаны в статье «Дисциплинарный проступок по ТК РФ — понятие и признаки».
За несоблюдение данной нормы возникает ответственность (ст. 24 закона № 152-ФЗ). Основные ее виды следующие:
- дисциплинарная — по ТК РФ;
- административная — по КоАП РФ;
- уголовная — по УК РФ.
О величине санкций за разглашение персональных данных сотрудников работником, имеющим доступ к такой информации, рассказали эксперты КонсультантПлюс. Получите пробный доступ к системе К+ и бесплатно переходите в Путеводитель по кадровым вопросам.
Ст. 81 (о разглашении персональных данных, ставших доступными в связи с исполнением должностных обязанностей) и 90 ТК РФ (о нарушении порядка получения, хранения, обработки информации, имеющей признаки персональной) в качестве максимальной меры ответственности за разглашение персональной информации называют увольнение.
Подробнее о дисциплинарной ответственности см. статью «Дисциплинарная ответственность работника и ее виды».
Согласно ст. 13.11 и 13.14 КоАП РФ разглашение персональных данных наказывается административным штрафом.
Штраф по КоАП планируют увеличить в 10 раз. Законопроект уже внесен в Госдуму. Подробнее о планируемых нововведениях узнайте в Обзорном материале от КонсультантПлюс. Если у вас нет доступа к системе К+, получите пробный онлайн-доступ бесплатно.
Уголовная ответственность по ст. 137 УК РФ
Виновные в неисполнении условий получения, хранения и защиты информации, составляющей персональные данные, могут быть привлечены и к уголовной ответственности.
Ст. 137 УК РФ в качестве состава преступления называет несоблюдение неприкосновенности частной жизни. Обратимся к понятию частной жизни. Ст. 152.2 ГК РФ определяет частную жизнь человека как сведения о его происхождении, месте жительства, личной, семейной жизни и т. д. Список сведений является открытым. Сравнивая понятие частной жизни в гражданском законодательстве и понятие персональных данных в законе № 152-ФЗ, можно сделать вывод об их тождественности.
Умышленные действия, выражающиеся в незаконном сборе, распространении сведений о частной жизни человека без его согласия, признаются преступлением, наказуемым по ст. 137 УК РФ, т. е. влекут за собой уголовную ответственность.
Квалифицирующим признаком данного преступления является факт использования служебного положения при совершении указанных действий.
Уголовная ответственность определяется в виде:
- либо штрафа;
- либо обязательных, принудительных или исправительных работ;
- либо лишения свободы.
Итоги
Разглашение персональных данных человека без его согласия незаконно и влечет за собой ответственность в соответствии с трудовым, административным, а в случае умышленных действий — уголовным законодательством.
Более полную информацию по теме вы можете найти в КонсультантПлюс.Пробный бесплатный доступ к системе на 2 дня.
Вступает в силу новый закон о персональных данных
В ближайшее время вступит в действие новый закон о персональных данных, который будет актуален для всех организаций, работающих с клиентами. Архитектор по информационной безопасности ActiveCloud Антон Грецкий рассказал о том, кого коснется новый закон, что будет относиться к персональным данным, какие изменения должны будут произвести компании после вступления закона в силу.
Так что же такое персональные данные? Закон определяет их следующим образом:
Как любой закон, закон о персональных данных имеет свою область применения. Это важно понимать при работе с персональными данными. Так в каких случаях он работает?
А в каких нет? Вот они: Например, вы спокойно можете фотографировать своих друзей на вечеринке, а потом обмениваться фотографиями, а если на фотосессии в парке к вам в кадр попал человек – вы не нарушили закон, так как он не запрещает вести фотосъемку в общественных местах.
В отдельных случаях обрабатывать персональные данные субъекта можно без его согласия.
-
Во-первых, это касается обработки данных в рамках оперативной и следственной деятельности.
-
Во-вторых, в рамках налогового законодательства – ваша налоговая не только про вас не забудет, но имеет право собирать информацию о вашей финансовой активности.
-
И в третьих в случаях, когда субъект не может как предоставить информацию о себе, так и дать согласие на ее обработку – например, когда человек поступает в больницу после тяжелого ДТП. Также без согласия можно обрабатывать персональные данные, которые стали общедоступными – например, когда человек сам выложил в открытый доступ в социальных сетях свой номер телефона, адрес или дату рождения.
С вступлением в силу нового закона у нас появится новое действующее лицо – оператор персональных данных.
Кто он такой?
То есть новый закон о персональных данных придется соблюдать любой организации и физическому лицу, которые собирают и обрабатывают данные.
Оператор персональных данных имеет право:
Поручать обработку данных третьим лицам. Например, вы можете допустить обработку данных аутсорс-разработчикам сайта для интернет-магазина, при условии получения согласия на обработку от субъектов данных. Чтобы реализовать это требование, наниматели и работники, так же будут заключать соглашения о неразглашении;
Предоставлять информацию третьим лицам. Но если, например, для доставки товара из интернет-магазина оператор должен сообщить адрес и ФИО клиента своему курьеру, сделать это без согласия клиента будет нельзя.
Обязанности оператора персональных данных будут следующие:
Важно запомнить, что обработка персональных данных будет невозможна без получения согласия субъекта данных.
Это основное законное основание. Как правильно получать согласие на обработку?
Согласие субъекта имеет обязательный перечень информации, которую оно должно включать:
Субъект персональных данных — это физическое лицо, в отношении которого осуществляется сбор, обработка, распространение, предоставление персональных данных. Какие права будут у субъекта персональных данных согласно новому законодательству?
А как теперь защищать персональные данные? Как и к защите любой информации ограниченного распространения, не отнесенной к государственным секретам, требования к защите персональных данных определены в законе «Об информации информатизации и защите информации», а требования к системам защиты информации в приказе ОАЦ №62.
Однако в части защиты персональных данных закон определяет перечень обязательных мер.
Закон устанавливает, что уполномоченный орган по защите прав субъектов данных вправе требовать от оператора изменения, удаления или блокирования недостоверных, или полученных незаконным путем данных и устранения прочих нарушений закона.
Других мер реагирования, которые может применить уполномоченный орган в отношении нарушителей, закон не содержит.
Меры ответственности за неправомерные действия в отношении данных уже предусмотрены в законодательстве. Согласно статье 22.13 Кодекса Республики Беларусь об административных правонарушениях (далее — КоАП) умышленное незаконное разглашение данных человеком, которому они стали известны в связи с его профессиональной деятельностью, — влечет штраф от четырех до двадцати базовых величин.
Это то, что необходимо знать о Законе о персональных данных уже сейчас. Возможно, до его вступления в силу произойдут другие изменения. Будем наблюдать. И обязательно расскажем об этом вам.
Часто задаваемые вопросы:
1. Когда планируется вступление в силу нового закона о персональных данных с РБ?
Закон после второго чтения был направлен на доработку. К примеру, изменится название закона.
Планируется, что он будет называться «Закон о ЗАЩИТЕ персональных данных». Ожидается, что закон вступит в силу в марте 2020г.
2. Можно ли публиковать в открытом доступе серию и номер паспорта клиента?
Конечно, нет. Это один из видов персональных данных, который подлежит защите. В случае, если сам клиент опубликует где-то в открытых источниках эти данные, то они автоматически станут общедоступными персональными данными и требования по их защите предъявляться не будут, но это частный случай и вряд ли такое произойдет.
3. Какие требования (обязанности/ответственность) будут предъявлены к владельцам систем безопасности на объектах (системы контроля и управления доступом, системы видеонаблюдения) после принятия Закона о персональных данных?
После принятия Закона о защите персональных данных владельцы систем, в случае, если они будут являться операторами, будут обязаны реализовать меры по защите информации, указанные в данном законе.
Подробнее требования по организации защиты персональных данных (информации ограниченного распространения) указаны в приказе ОАЦ №62. Помните, что предпринимаемые меры по защите информации также зависят от класса системы, в которой она обрабатывается. Класс системы определяется согласно СТБ 34.101.30-2017г.
4. Как в соответствии с нормами планируемого закона о персональных данных построить процесс обработки и хранения персональных данных при получении их по электронным каналам, например, данных из резюме кандидата на работу?
Во-первых, необходимо получить согласия субъекта на обработку данных. Удобнее всего разместить его на сайте вашей компании. После ознакомления с перечнем обрабатываемой вами информации и целями обработки, субъект может дать осознанное согласие. Далее субъект сможет загрузить резюме или заполнить форму прямо на вашем сайте. Помните, что вы обязаны в любой момент удалить всю информацию о субъекте и прекратить обработку его данных, как только он этого потребует.
Так же, без согласия субъекта резюме, к примеру, не может быть передано из одной компании в другую с той же целью – найма на работу.
5. Какие действия в рамках планируемого к принятию закона необходимы при получении от клиента заявления об отзыве/запрете на обработку персональных. Например, клиент-физлицо является должником компании, после начала процесса досудебного взыскания (письма, телефонные звонки и т.д.) компания получает от клиента-должника заявление об отзыве/запрете на обработку персональных данных. Какие действия и каким образом может далее предпринимать компания?
В случае, если клиент является должником компании, но в процессе досудебного взыскания вдруг решает заявить об отзыве/запрете на обработку своих персональных данных вам следует обратиться в суд. В таком случае сразу же начнут действовать иные нормы законодательства, а предоставление персональных данных судебным органам в рамках процесса, даже в случае если субъект данных против (а это всегда так) не противоречит нормам Закона.
6. Произошло слияние двух компаний А и В. Вся клиентская база компании А перешла в компанию В. У компании А были письменные (или иные) разрешения от клиентов на обработку персональных данных. У компании В нет разрешений на обработку клиентов компании А. Каким образом и на основании каких норм законодательства компания В может осуществлять обработку персональных данных пула клиентов компании А?
Для осуществления компанией B обработки персональных данных пула клиентов компании А ей необходимо получить согласие каждого клиента из пула. Процедура получения согласия и его содержание описано выше. В случае отсутствия согласия каждого конкретного клиента, обработка его персональных данных невозможна.
7. Будет ли установлена по новому закону:
— необходимость аттестации негосударственной информационной системы в связи с хранением в ней персональных данных.
— необходимость аттестации негосударственной информационной системы если планируется ее взаимодействие с государственными информационными системами.
Нет, данные нормы закон не затрагивает. Они регулируются Законом «Об информации, информатизации и защите информации» и приказом ОАЦ №62.
8. Предусмотрена ли новым законом о персональных данных ОБЯЗАТЕЛЬНАЯ аттестация уполномоченными организациями используемых информационных систем субъектов хозяйствования РБ (например таких как: CRM, 1С, собственные кадровые БД и т.п.), содержащих персональные данные (или их отдельные элементы: имя, фамилию, телефон)? Если да, то в какие сроки?
Данный закон не касается вопросов, связанных с аттестацией. Хочу обратить внимание, что аттестации подлежит не информационная система, а система защиты информации информационной системы. Закон «Об информации, информатизации и защите информации» говорит о том, что системы защиты информации любых информационных систем (не зависимо от формы собственности) должны быть аттестованы, если в информационных системах обрабатывается информация ограниченного распространения.
В то числе и персональные данные.
Вопрос о защите персональных данных в соответствии с требованиями нового закона становится все более актуальным. Как правильно реализовать поставленную задачу?
Компания ActiveCloud окажет вам услуги по IT-консалтингу, проведет аудит и поможет построить эффективную и экономически обоснованную систему защиты информации, проведет аттестацию уже существующей системы защиты информации или выполнит работы по актуализации в связи с изменениями в законодательстве.
Присылайте свои вопросы по информационной безопасности и защите персональных данных на е-мейл: [email protected]
Соглашение о конфиденциальности обработки и защиты персональных данных
Соглашение о конфиденциальности обработки и защиты персональных данных
от 27.04.2018 г.
Соглашение о конфиденциальности обработки персональных данных (далее – Соглашение) действует в отношении всей информации, которую ООО «Легион Проект» (далее — Компания) могут получить о Пользователе во время использования им сайтов https://legion-project.
ru/.
Основанием для обработки персональных данных являются: статья 24 Конституции РФ и статья 6 Федерального закона № 152-ФЗ «О персональных данных» с дополнениями и изменениями.
- Термины и определения
Персональные данные – информация, которую Пользователь предоставляет о себе самостоятельно при отправке формы Обратной связи и оформлении заявки или в процессе использования сайтов https://legion-project.ru/, включая персональные данные Пользователя. Обязательная для предоставления Сервисов информация помечена специальным образом. Иная информация предоставляется Пользователем на его усмотрение:
— фамилия, имя, отчество Пользователя,
— электронный адрес Пользователя,
— номер телефона Пользователя,
— название организации.
Сайт – это совокупность текстов, графических элементов, дизайна, изображений, программного кода, фото- и видеоматериалов и иных результатов интеллектуальной деятельности, содержащихся в сети Интернет под доменными именами https://legion-project.
ru/.
Администрация Сайта – это лицо, обладающее правами администрирования Сайта.
Пользователь, субъект персональных данных – это любое лицо, осуществившее вход на Сайт и принявшее условия настоящего Соглашения, независимо от факта прохождения процедур отправки форм.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Неавтоматизированная обработка персональных данных – обработка персональных данных при непосредственном участии человека, содержащихся в информационной системе персональных данных либо извлеченных из такой системы.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- 2. Общие положения
2.1. Принимая условия настоящего Соглашения, пользователь даёт своё согласие ООО «Легион Проект» на сбор, хранение и обработку своих персональных данных, указанных путём использования пользователями сайтов https://legion-project.ru/ (далее — Сайт), а также нажимая кнопки «Отправить сообщение», «Отправить» и заполняя web-формы, содержащие Ваши персональные данные.
2.2. Передавая Ваши персональные данные ООО «Легион Проект», Вы соглашаетесь на условия, описанные в Положении. Мы гарантируем добросовестный сбор данных и сохранение их конфиденциальности в соответствии с действующим законодательством РФ. В случае несогласия с этими условиями Пользователь должен воздержаться от использования сайтов https://legion-project.
ru/.
2.3. В ходе обработки с персональными данными будут совершены следующие операции: сбор, хранение, уточнение, передача, блокирование, удаление, уничтожение.
2.4. Компания обязуется не передавать полученную от Пользователя информацию третьим лицам. Не считается нарушением предоставление персональных данных третьим лицам, действующим на основании договора с Компанией, для исполнения обязательств перед Пользователем и только в рамках настоящего Соглашения.
2.5. Персональные данные хранятся и обрабатываются до завершения всех необходимых процедур либо до ликвидации Компании.
2.6. Администрация имеет право отправлять информационные, в том числе рекламные сообщения, на электронную почту и мобильный телефон Пользователя с его согласия, выраженного посредством совершения им действий, однозначно идентифицирующих этого абонента и позволяющих достоверно установить его волеизъявление на получение сообщения.
2.7. Согласие может быть отозвано Пользователем или его представителем путём направления письменного заявления в Компанию по электронному адресу, указанному на Сайте.
2.8. Пользователь вправе отказаться от получения рекламной и другой информации без объяснения причин отказа путем информирования Администрации о своем отказе по любому телефону, указанному на Сайте, либо посредством направления соответствующего заявления на любой электронный адрес, указанный на Сайте.
- Заключительные положения
3.1. Пользователь принимает политику использования файлов cookies, используемую на Сайте, и даёт согласие на получение информации об IP-адресе и иных сведений о его активности на Сайте. Данная информация не используется для установления личности Пользователя.
3.2. Компания при обработке персональных данных принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного доступа к ним, а также от иных неправомерных действий в отношении персональных данных, в соответствии с действующим законодательством РФ.
3.3. Компания вправе периодически обновлять настоящее Положение. Датой выпуска считается дата, указанная в верхней части Положения. Если Вы продолжаете каким–либо образом взаимодействовать с Компанией, в частности (не ограничиваясь) через указанные в настоящем Положении сайты, Вы соглашаетесь с действующей в это время редакцией Положения.
Битва за персональные данные
Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? Если ваши права нарушили – сражайтесь. Закон на вашей стороне
Драться – плохо. Но если дерешься – побеждай!
(из х/ф «Парень-каратист»)
Купил сим-карту известного сотового оператора. Казалось бы, ничего особенного. А все-таки приятно: новый номер – можно сказать, жизнь с чистого листа.
Однако маленькую радость омрачает звонок с неизвестного номера:
«Наталья Михайловна, добрый день. Это сотрудник коллекторского агентства. Звонок записывается. Уведомляем, что за вами числится задолженность…»
И так с десяток звонков ежедневно, включая выходные.
Родители учили быть вежливым. Потому во время первого разговора с коллектором представился, подробно объяснил, что произошла ошибка, что никакой Натальи Михайловны не знаю и знать не хочу, и настоятельно попросил больше не беспокоить. Но собеседник оказался настоящим профессионалом, верным своему нелегкому ремеслу:
«Еще раз спрашиваю, вы – Наталья Михайловна?»
Настроение и карма стремительно портятся. В голове пробежала мысль: взять свои боксерские перчатки и по-мужски ответить обидчику. Потом, правда, берешь себя в руки, вспоминаешь про этику поведения и диспозиции некоторых норм Уголовного кодекса.
Приходится ежедневно блокировать поступающие номера коллекторов, которые, несмотря на мужской голос в трубке, каждый раз недоверчиво интересуются, не Наталья ли ты Михайловна.
Список заблокированных номеров близится к нескольким сотням, но звонки продолжают поступать.
Знакомая ситуация? Что делать? Давайте разберемся без лишних эмоций.
Вправе ли банки и МФО передавать персональные данные клиентов коллекторам и другим лицам?
Уважаемый читатель, прошу прощения, но вынужден привести немного сухой теории. Она нам пригодится.
Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
В соответствии с законом персональные данные представляют собой любую информацию, относящуюся к физическому лицу – субъекту этих данных.
Под обработкой персональных данных понимается любое действие с ними, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
По общему правилу, обработка персональных данных и передача этой обязанности другому лицу допускаются только с согласия субъекта данных. При этом согласие на обработку данных должно быть конкретным, информированным, сознательным и в любой момент может быть отозвано. Без него операторы1 и иные лица, получившие доступ к личной информации, не вправе раскрывать и распространять данные, если иное не предусмотрено федеральным законом.
Выдавая кредит, банк обычно получает у заемщика письменное согласие на обработку и передачу его персональных данных третьим лицам, в частности коллекторам. Вместе с тем законодательством предусмотрено право заемщика отозвать это согласие. Так закон защищает должника, если он при заключении кредитного договора или договора займа не подумал о возможных негативных сценариях. Для реализации указанного права достаточно сообщить кредитору об отзыве согласия заказным письмом с уведомлением о вручении или сделать это через нотариуса.
Но на этом все может и не закончиться. Дело в том, что Закон о персональных данных предусматривает исключения, когда согласие на обработку данных не требуется. К примеру, их обработка допускается:
- если необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- если необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон “О микрофинансовой деятельности и микрофинансовых организациях”».
В тех случаях, когда заемщик не предоставил банку «универсальное» согласие или отозвал его, кредитная организация может сослаться на вышеуказанные исключения. Тем самым якобы подтверждая правомерность передачи данных третьим лицам.
Между тем ссылка эта сомнительная, поскольку заемщик не является стороной по договору, заключенному между банком и коллекторами. Судебная практика подтверждает: передача банком по агентскому договору другой организации персональных данных заемщика без его согласия недопустима (см., к примеру, Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 1 августа 2017 г. № 78-КГ17-45).
(Как не допустить передачи долга коллекторскому агентству и что делать тем, на кого взыскатели оказывают давление, читайте в материалах «Берете кредит – помните о коллекторах», «Как должнику защититься от грубого произвола представителей банка».)
Как происходит утечка персональных данных?
Законодательство обязывает операторов принимать серьезные меры по обеспечению безопасности персональных данных при их обработке (подробнее об этом читайте в публикации «Операторов обработки персональных данных начнут проверять по новым правилам»)..jpg)
Эти требования столь объемные и затратные, что многие операторы предпочитают их игнорировать.
В небольших компаниях защите персональной информации часто вообще не уделяется внимания. И даже солидные холдинги не всегда выстраивают адекватную систему защиты данных, причем как клиентов, так и своих работников.
Известны случаи, когда документы, содержащие персональные данные, в том числе копии договоров, паспортов, анкет, выбрасывались на помойку. Причинами такого поведения могут быть халатность работников, отсутствие сформированной культуры «конфиденциальности» и контроля работодателей за ее соблюдением, а иногда –надлежащих условий хранения документации. Не менее весомым фактором является то, что сейчас нет тотального контроля за соблюдением требований со стороны регулятора – Роскомнадзора.
Порой информация становится доступной посторонним лицам из-за неосторожности: когда данные отправляются по электронной почте по незащищенным каналам связи (без использования средств шифрования) или через мессенджеры.
Бывают случаи «невинного» распространения данных через селфи. Также информация разглашается путем копирования ее на флеш-карты или в результате выноса из здания организации не до конца уничтоженных документов.
Иногда персональная информация раскрывается работниками оператора умышленно из корыстных мотивов. В результате данные кредитных карт, паспортов, анкет клиентов могут попасть в руки мошенников.
Какими могут быть последствия утечки данных?
В эпоху цифровых технологий информация становится валютой. Тем не менее многие раздают свои персональные данные «направо-налево», не думая о последствиях. А они могут быть весьма неприятными. Как минимум это бесконечные звонки из разных организаций. Но бывают последствия и посерьезнее: мошенники могут открыть от вашего имени кредитные линии, удачно пошопиться в Интернете или купить авиабилет в экзотическую страну.
Что делать, если в распространении личной информации виноват банк?
Вычислить вину кредитной организации в разглашении персональных данных не так просто.
Для этого необходимо провести настоящее расследование, поэтому запасайтесь терпением.
Для начала следует направить в банк и коллекторам запрос о предоставлении информации, касающейся обработки ваших данных. Такое право предусмотрено ч. 7 ст. 14 Закона о персональных данных. Вы можете рассчитывать на получение следующей информации:
- подтверждение факта обработки персональных данных оператором;
- правовые основания обработки данных;
- цели и применяемые оператором способы обработки данных;
- наименование и местонахождение оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым они могут быть переданы на основании договора с оператором или федерального закона;
- обрабатываемые персональные данные и источник их получения;
- сроки обработки данных, в том числе сроки их хранения;
- информация об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора.
После получения ответов на запросы направляем жалобы в территориальный орган Роскомнадзора и прокуратуру с подробным изложением обстоятельств неправомерного разглашения персональных данных. Результаты проведенных проверок пригодятся вам во время защиты своих интересов в суде.
Далее собираем все обращения и ответы на них, готовим претензию о прекращении неправомерного использования персональных данных, возмещении убытков и компенсации морального вреда. Если претензия остается без удовлетворения или ответа – идем в суд.
Помните: персональные данные – настоящая находка для мошенников. Будьте внимательнее при подписании документов. Это поможет уберечься от битвы за свои личные данные, а также от порчи настроения и кармы.
«Драться – плохо. Но если дерешься – побеждай!» – советовал Мастер из старого доброго боевика. Если ваши права нарушены, надо сражаться. Но не стальными кулаками, как учил Мастер.
Силой закона.
1 Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных).
Правомерно ли предоставление сотрудниками полиции персональных данных третьих лиц по запросу средств массовых информаций?
Частью 9 статьи 14 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» предусмотрено, что государственные органы, определенные в соответствии с нормативным правовым актом, регламентирующим функционирование государственной информационной системы, обязаны обеспечить достоверность и актуальность информации, содержащейся в данной информационной системе, доступ к указанной информации в случаях и в порядке, которые предусмотрены законодательством, а также защиту указанной информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
Более того, в статье 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»[1] закреплено, что операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Согласно пункту 1 статьи 3 ФЗ-152 под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (пункт 3 статьи 3 ФЗ-152).
Оператором персональных данных признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (пункт 2 статьи 3 ФЗ-152).
В соответствии с пунктом 1 статьи 6 ФЗ-152 обработка персональных данных должна осуществляться с соблюдением, в частности, правил, предусмотренных данным Федеральным законом.
В силу пункта 8 части 1 статьи 6 ФЗ-152 обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается, в частности, в случае, если это необходимо для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
К обязанностям журналиста в силу пункта 5 части 1 статьи 49 Закона Российской Федерации от 27.12.1991 № 2124-1 «О средствах массовой информации» отнесена обязанность получать согласие (за исключением случаев, когда это необходимо для защиты общественных интересов) на распространение в средстве массовой информации сведений о личной жизни гражданина от самого гражданина или его законных представителей.
Согласие субъекта на обработку его персональных данных должно быть конкретным, информированным и сознательным и должно содержать перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных (часть 1, пункт 7 части 4 статьи 9 ФЗ-152).
На основании изложенного, в предоставлении запрашиваемой информации правомерно в случае если запрашиваемая сторона докажет необходимости ее раскрытия для защиты общественных интересов, как того требует пункт 8 части 1 статьи 6 ФЗ-152, либо предоставит подтверждение наличия согласия субъекта персональных данных на обработку его данных.
Правовой отдел
ГУ МВД России по Челябинской области 08.02.2019
[1] Далее – «ФЗ-152».
Персональные данные сотрудников: определение, правила работы
У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.
Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.
Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.
Основная информация о персональных данных:
Глава 14 Трудового кодекса РФ
Закон № 152-ФЗ О персональных данных
Положение об особенностях обработки персональных данных без средств автоматизации
Каких работодателей касаются правила о персональных данных
Каждый человек сам решает, что и кому сообщать о себе.
Это его частная жизнь, она конфиденциальна.
Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.
Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.
Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.
Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.
Что такое персональные данные работника
Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст.
3 Закона № 152-ФЗ.
Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.
Вот список для ориентира:
Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.
Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.
Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.
Фото работника — например, на пропуск.
Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.
Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.
Сдавайте отчётность без бухгалтерских знаний
Эльба — бухгалтерия, с которой справится любой. Сервис подготовит платёжки на зарплату, налоги и взносы — а потом сам сформирует отчётность.
Что будет за нарушение закона о персональных данных
За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.
Административная ответственность: штрафыРаботу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.
Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.
Попасть на административную ответственность можно за сам факт нарушения закона.
Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.
Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.
Гражданско-правовая ответственность: моральный вред работникуЕсли по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.
Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.
Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.
Уголовная ответственностьВ тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст.
137 УК РФ.
В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.
Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.
Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.
Правила работы с персональными данными работника
Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:
🔐 Персональные данные работника обрабатывают только с его письменного согласия.
🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.
🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.
О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.
🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.
🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.
🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.
🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.
🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.
Как настроить работу с персональными данными: инструкция
Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.
1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.
Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.
Пример положения о защите персональных данных работников
2. Назначьте ответственного за персональные данные.
Так нужно в силу ст. 22.1 Закона № 152-ФЗ.
Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.
ИП и организации с одним учредителем ответственным назначают себя.
Пример приказа о назначении ответственного за работу с персональными данными
Пример обязательства о неразглашении
3. Берите с каждого работника письменное согласие на обработку персональных данных.
Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.
Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.
Пример согласия на обработку персональных данных
Пример согласия на получение персональных данных у третьих лиц
Типовая форма трудового договора для микропредприятия
4. Храните документы с персональными данными в надёжном месте.
Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель.
Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.
Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.
Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.
5. Уничтожайте персональные данные полностью.
Отслужившие документы нельзя просто взять и выбросить в мусорное ведро или отправить на черновики. Нельзя даже хранить на всякий случай — это нарушение.
Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.
Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.
6. Если нужно, уведомляйте Роскомнадзор.
По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.
Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ.
Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.
Электронное уведомление Роскомнадзору
Образцы бумажных уведомлений
А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.
Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.
7. Исполняйте требования закона не только формально.
Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.
Постарайтесь никому не рассказывать о жизни работников.
Так вы не нарушите закон.
Примеры положений о конфиденциальности и защите данных
Конфиденциальность и защита данных . Каждый Агент, Эмитент и Гарант обязуются уважать и защищать конфиденциальность всей информации, полученной в результате или в соответствии с настоящим Соглашением, и не будут без предварительного письменного согласия других сторон раскрывать любую такую информацию третьей стороне, за исключением случаев, когда это требуется каким-либо применимым законом или нормативным актом или специально уполномочено на это в соответствии с настоящим Соглашением или каким-либо отдельным соглашением, особенно если предоставление такой информации является целью или частью услуги, предоставляемой соответствующим Агентом.Чтобы предоставлять свои услуги Эмитенту и Гаранту и выполнять юридические обязательства, которым он подчиняется, каждый Агент будет обрабатывать (в частности, помимо прочего, путем сбора, записи, организации, хранения, адаптации или изменения, извлечения, консультирование, использование, раскрытие путем передачи, распространения или иного предоставления третьим лицам) данных, относящихся к Эмитенту (включая, помимо прочего, название, адрес, род занятий, национальность, корпоративную форму Эмитента и т.
д.).). И Эмитент, и Гарант могут свободно отказать в предоставлении этой информации любому Агенту и, таким образом, воспрепятствовать соответствующему Агенту использовать эти системы обработки данных. Однако такой отказ будет препятствием для начала или продолжения деловых отношений между Эмитентом и соответствующим Агентом. Агент будет запрашивать только информацию, необходимую для выполнения своих обязательств и предоставления Эмитенту и Гаранту своих услуг. Каждый из Эмитента и Гаранта может по своему запросу получить доступ к относящимся к ним данным и будет иметь право вносить в них изменения.Данные будут храниться в течение периода, который соответствующий Агент обязан хранить по закону. И Эмитент, и Гарант прямо разрешают передачу данных третьим сторонам или в головной офис каждого Агента (или любого другого лица, предоставляющего услуги такому Агенту), если такая передача необходима для того, чтобы такой Агент мог предоставлять свои услуги агенту. Эмитент и / или Гарант или для выполнения юридических обязательств, которым он или такое третье лицо несет.
И Эмитент, и Гарант прямо разрешают такую передачу, включая, в соответствующих случаях, любую передачу третьим сторонам, зарегистрированным за пределами Европейских сообществ.
NDA-GDPR
ПРИЛОЖЕНИЕ
ДОГОВОР О неразглашении информации —
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ —
ТЕХНИКА БЕЗОПАСНОСТИ
ПРЕАМБУЛА
Соглашения о сотрудничестве были заключены / будут заключены между Сторонами на определенных условиях и соглашениях, изложенных в них.
В дополнение к вышеупомянутым соглашениям и на период сотрудничества между ними Стороны соглашаются и взаимно соглашаются со следующим:
А.СОГЛАШЕНИЕ О НЕРАСКРЫТИИ ИНФОРМАЦИИ
ПОСКОЛЬКУ Стороны признают, что для продолжения их сотрудничества необходимо раскрыть определенную информацию, которая является конфиденциальной информацией и коммерческой тайной (далее именуемая «Конфиденциальная информация»).
ПОСКОЛЬКУ термин «Конфиденциальная информация» включает, но не ограничивается, информацию, раскрываемую сторонами устно или письменно, в электронном виде или любым другим способом (не обязательно являясь «конфиденциальной») относительно: a) информации, относящейся к компаниям или аффилированным компаниям группы компаний или информацию о сотрудниках или любом другом физическом или юридическом лице, связанном с ними; (b) все финансовые данные, относящиеся к основному соглашению, которые будут использоваться исключительно для целей сотрудничества (c) все виды информации, такие как данные и детали организации, финансовой политики, бизнес-планов и стратегий, партнерств и инвестиций компаний и / или связанных компаний, полученные Сторонами любым способом и в любой форме (письменной, электронной или устной) и без обязательной пометки «конфиденциально».
ПОСКОЛЬКУ ограничения на раскрытие или использование Конфиденциальной информации не применяются, и Стороны не несут ответственности за раскрытие или использование Конфиденциальной информации, если существует любое из следующих условий: (а) если до ее получения от другой Стороны, он был разработан стороной-получателем независимо или был законно известен Стороне-получателю; (b) если после его получения (i) он стал доступен широкой публике без ограничений, или (ii) он был законно получен Стороной-получателем из других источников, при условии, что такой источник не получил его из-за нарушение обязательства конфиденциальности по отношению к третьему лицу или сторонам; или (c) если он становится общеизвестным помимо раскрытия любой из Сторон
ПОСКОЛЬКУ Стороны соглашаются согласиться на раскрытие такой информации на основе конфиденциальности.
НАСТОЯЩИМ, ПОЭТОМУ, принимая во внимание обещания и договоренности, условия и соглашения, а также для других хороших и ценных соображений, получение и достаточность которых настоящим подтверждаются, Стороны настоящим соглашаются о нижеследующем:
Стороны обязуются использовать Конфиденциальную информацию только в рамках согласованной цели.
Стороны не будут своими действиями разглашать или вызывать разглашение конфиденциальной информации третьим лицам.
Стороны обязуются сообщать конфиденциальную информацию только тем из своих сотрудников, которым она необходима, и в то же время обязуются, что вышеуказанные лица полностью осведомлены об обязательствах Сторон, вытекающих из настоящего соглашения, и что они принимают на себя то же самое. обязательства, изложенные в настоящем соглашении.
Стороны обязуются сохранять конфиденциальную информацию и принимать все необходимые меры для предотвращения ее разглашения посторонним лицам.
Вся конфиденциальная информация, включая ее копии, независимо от их использования, будет оставаться исключительной собственностью Стороны, которая ее раскрыла, и будет возвращена ей без промедления по истечении — по любой причине — сотрудничества или по запросу.
Стороны соглашаются, что в случае невыполнения одной из них вышеуказанных обязательств возмещает и возмещает любой понесенный ущерб (издержки, расходы, последствия) другой Стороны.
Стороны признают, что конфиденциальная информация является ценной коммерческой тайной и что несанкционированное разглашение такой информации нанесет непоправимый вред другой Стороне.
Стороны признают, что их обязательства в отношении конфиденциальной информации, неразглашения и неиспользования такой информации будут продолжать применяться, если сотрудничество истекает или заменяется по любой причине.
Невзирая на вышесказанное, получатель может раскрыть Конфиденциальную информацию в той мере, в какой такое раскрытие требуется по закону или постановлению суда, при условии, однако, что получатель предоставит раскрывающей стороне предварительное письменное уведомление о таком раскрытии и разумную помощь в получении порядок защиты Конфиденциальной информации от публичного разглашения.
B. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ — ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ БЕЗОПАСНОСТИ
ПРЕАМБУЛА
Настоящие условия регулируют защиту личных данных, которыми обмениваются Стороны в контексте и для целей заключенного или подлежащего заключению соглашения о сотрудничестве. Все условия двусторонние для Сторон.
1. ОПРЕДЕЛЕНИЯ
1.1 В контексте настоящего Соглашения следующие термины имеют следующие значения:
1.1.1 «Закон о защите персональных данных» : относится к Регламенту (ЕС) 679/2016 с поправками, а также ко всем применимым национальным и европейским законам о защите физических лиц в отношении обработки персональных данных, защиты личных данных и конфиденциальности в секторе электронных коммуникаций, а также любых ограничений или условий, касающихся обработки личных данных.
1.1.2 «Обработка» означает любую операцию или набор операций, которые выполняются с персональными данными или с наборами персональных данных, независимо от того, используются ли автоматизированные средства, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, поиск, консультация, использование, раскрытие путем передачи, распространения или иного предоставления, согласования или комбинации, ограничения, стирания или уничтожения.
1.1.3 «Орган по надзору за защитой данных» означает надзорный орган или другой компетентный орган, ответственный за мониторинг применения Закона о защите персональных данных в контексте обработки в соответствии с настоящим соглашением.
1.1.4 «Применимый закон» : все законы, правила, постановления, нормативные положения, включая прецедентное право, а также любые директивы или циркуляры любого регулирующего органа и любой применимый Кодекс поведения с поправками и применимы к обработке личных данных. Данные или иным образом во исполнение обязательств любой из сторон по настоящему документу.
1.1.5 «Инцидент безопасности» : любая случайная, незаконная или несанкционированная потеря, уничтожение, изменение, доступ, использование, раскрытие, повреждение или ухудшение Личных данных в процессе обработки или любой другой инцидент, который может разумно привести к случайному, незаконному или несанкционированная потеря, уничтожение, изменение, доступ, использование, раскрытие, повреждение или повреждение Персональных данных в процессе обработки.
1.1.6 «Персональные данные» означает любую информацию, относящуюся к идентифицированному или не идентифицируемому прямо или косвенно физическому лицу, и имеет значение, присвоенное ей Законом о защите персональных данных, и включает, помимо прочего, следующую информацию : имя и фамилия, возраст, дата рождения, пол, адрес, контактные данные, документы, удостоверяющие личность, выданные государственными органами (например,грамм. паспорт, номер социального страхования), идентификационный номер, данные о местонахождении, онлайн-идентификатор или любая специальная информация, относящаяся к физическому состоянию, здоровью, психологическому состоянию, генетическому материалу, психической, экономической, культурной и социальной идентичности этого физического лица.
1.1.7 «Договор» означает договор / соглашения о сотрудничестве между Сторонами.
1.1.8 «Субподрядчик» означает любое физическое или юридическое лицо, которому Стороны поручают выполнение всех или части своих обязательств по настоящему Соглашению или которое в любом случае обрабатывает от имени Сторон Персональные данные.
1.1.9 «Услуги» — услуги, предоставляемые на основании соглашения / соглашений Сторон.
1.1.10 «Персональные данные в процессе» определяется как Персональные данные, предоставленные любой из Сторон другой Стороне, или Персональные данные, которые обрабатываются любой из Сторон от имени другой Стороны. Обрабатываемые персональные данные включают следующие категории субъектов данных и персональные данные.
Категории субъектов данных: Клиенты и сотрудники
Категории персональных данных: Все
2.ОБЩИЕ ОБЯЗАННОСТИ СТОРОН
2.1. При выполнении своих обязательств по Контракту, включая обработку Персональных данных в процессе, Стороны обязаны соблюдать Закон о защите персональных данных.
2.2. Стороны не имеют права использовать или обрабатывать Персональные данные в процессе, кроме как для предоставления Услуг, указанных в Договоре, и только в течение периода, указанного в Договоре.
Если любая такая обработка явно не входит в сферу действия согласованных Услуг, Стороны не будут обрабатывать такую обработку, если нет предварительного письменного указания от Стороны, собирающей личные данные, и при условии, что это разрешено законом.В соответствии с пунктом 3 настоящего Приложения (Субподряд) Стороны не будут раскрывать обрабатываемые Персональные данные какой-либо третьей стороне, если это прямо не требуется в соответствии с Применимым законодательством. Каждая Сторона должна принять во внимание предложения уполномоченного по защите данных другой Стороны, если они законны, заранее осознавая, что такие предложения направлены на беспрепятственное сотрудничество Сторон. Каждая сторона несет единоличную ответственность за получение и обработку персональных данных, которые стали ей известны при осуществлении ее коммерческой деятельности.2.3 Стороны должны принять соответствующие технические и организационные меры в соответствии с применимой передовой практикой и современным уровнем техники в соответствующей области деятельности для защиты обрабатываемых Персональных данных от случайного или незаконного уничтожения или случайной потери (включая удаление), изменение (включая уничтожение), несанкционированное раскрытие, использование или доступ, а также любые другие незаконные формы обработки.
В частности, Стороны обеспечат применение тестов доступа, мер шифрования и псевдонимизации, а также регулярной процедуры тестирования и оценки эффективности технических и организационных мер для безопасности обработки.2.4 Стороны должны гарантировать, что обрабатываемые Персональные данные доступны и обрабатываются только персоналом Сторон, который строго необходим для выполнения обязанностей, имеющихся в настоящее время у них, и что такой персонал должным образом обучен в отношении обработки Персональных данных. Data и связан обязательством о конфиденциальности в отношении обработки персональных данных.
3. СУБПОДРЯДЧИКИ
3.1. Стороны могут привлекать надежных субподрядчиков для выполнения своих обязательств и предоставления Услуг в соответствии с условиями настоящего соглашения.
3.2 Любой Субподрядчик может обрабатывать Персональные данные только в том случае, если это необходимо для выполнения Сторонами обязательств по Договору, и Стороны приложат все усилия, чтобы гарантировать, что Субподрядчик не будет обрабатывать Персональные данные для каких-либо других целей.
4. ИНЦИДЕНТ БЕЗОПАСНОСТИ
4.1 Принимая во внимание цель сотрудничества и добросовестно, каждая Сторона должна уведомить другую Сторону как можно скорее, как только ей станет известно о любом инциденте безопасности по электронной почте, и эта информация должна включать, где это возможно, категории и приблизительное количество субъектов данных и записей, относящихся к инциденту, его влиянию и потенциальным последствиям, а также затронутых субъектов данных в результате этого Инцидента, а также корректирующие меры, которые должны быть приняты Сторонами.Обязанность сотрудничать распространяется на случаи, когда субъект данных отзывает свое согласие. Однозначно согласовано, что вышеупомянутая обязанность предоставлять информацию между сторонами касается инцидентов безопасности, которые имеют отношение к цели их сотрудничества, как это очевидно из соответствующего Контракта.
4.2 Каждая Договаривающаяся сторона применяет за свой счет (в той мере, в какой инцидент безопасности является следствием нарушения ее обязательств по настоящему документу) все средства правовой защиты для устранения причин инцидента безопасности и предоставляет всю разумную помощь другой стороне в ходе корректирующих действий, которые должны быть предприняты последним.
5. СОТРУДНИЧЕСТВО И СОДЕЙСТВИЕ
5.1 Сторона, обрабатывающая персональные данные, полученные от другой Стороны, также уведомит другую Сторону в течение трех рабочих дней, если она получит сообщение от любого лица, государственного органа или любой третьей стороны о обрабатываемых Персональных данных, и не будет отвечать ни на какие заявление, если это не требуется в соответствии с Применимым законодательством. В этом отношении другая Сторона незамедлительно всеми разумными средствами будет содействовать Договаривающейся Стороне, которая собирает и обрабатывает персональные данные, чтобы она могла ответить на такие запросы относительно Персональных данных в установленные законом сроки.
6. СРОК И ПРЕКРАЩЕНИЕ
6.1 Нарушение любого условия данного Приложения считается существенным нарушением Контракта.
6.2. Однозначно согласовано, что обязательства, взятые на себя Сторонами в соответствии с настоящим Приложением, остаются в силе после прекращения (любыми средствами и любым способом) Контракта.
7. ФАЙЛ И ОТЧЕТЫ
7.1 Каждая Договаривающаяся сторона должна вести все записи, требуемые Законом о защите персональных данных, и, по запросу стороны, собирающей персональные данные, предоставлять их ей.
7.2 Каждая Договаривающаяся сторона имеет право за свой счет, с предварительным уведомлением и с согласия другой стороны провести аудит систем, политик и процедур, которым придерживается другая сторона при обработке Персональных данных. Такая проверка может проводиться с согласия Сторон до одного раза в год, за исключением проверок, проводимых по запросу компетентного органа по защите данных, который может быть запрошен в любое время или после инцидента безопасности.По завершении вышеуказанных проверок Сторона, проводившая аудит, должна уведомить другую Договаривающуюся сторону о несоблюдении обязательств по защите данных, изложенных в настоящем документе. В этом случае инспектируемая Сторона должна будет внести любые необходимые изменения для соблюдения этих обязательств.
7.3 Невзирая на вышеизложенное, каждая Сторона обязана предоставлять по запросу другой Стороны любую необходимую информацию, демонстрирующую ее соблюдение Закона о защите персональных данных, включая, в частности, копию отчетов каждого независимого аудитора, которые относится к соблюдению настоящего Соглашения (с ограничением, что оно будет заключаться не чаще одного раза в год).
8. МЕЖДУНАРОДНЫЕ ПЕРЕДАЧИ
8.1 Каждая Сторона обязана заранее уведомлять другую Сторону о любой обработке, производимой людьми или любым из ее Субподрядчиков, учрежденных за пределами ЕС. После подписания настоящего Соглашения обработка Персональных данных Сторонами и субподрядчиками также может происходить в странах за пределами ЕС.
8.2 В любом случае передача осуществляется в соответствии с Законом о защите личных данных.
Дата последнего изменения: 13.06.2019
Дата публикации: 13.06.2019
Страница не найдена — Ресурсный центр по глухоте
В соответствии с указаниями правительства с четверга 5 ноября центр будет закрыт на 4 недели.
Центр откроется в четверг, 3 декабря.
Наши услуги будут продолжены в период изоляции.
Чтобы связаться с нами, используйте следующий адрес электронной почты
Телефон: 01744 23887 (следуйте инструкциям голосовой почты)
Оставайтесь в безопасности
Наш новый проект I CAN направляется в Ливерпуль, Ноусли, Сефтон и Виррал. Свяжитесь с нами, чтобы узнать больше!
Мы с гордостью сообщаем, что работа по замене пола зала наконец завершена, и мы с нетерпением ждем возможности снова поприветствовать наши существующие группы пользователей и любые новые группы, которые хотели бы использовать зал.Проект финансировался Biffa Award, многомиллионным фондом, который помогает строить сообщества и трансформировать жизнь посредством присуждения грантов сообществам и экологическим проектам по всей Великобритании. Без их поддержки мы не смогли бы пользоваться залом, так как он становился небезопасным из-за неровного пола, в результате чего наши группы поддержки глухих и группы местного сообщества остались без места для встреч.
Из-за пандемии нам пришлось закрыть центр, но мы прилагаем все усилия, чтобы создать безопасную среду, чтобы мы могли снова открыться в ближайшие недели.Надеюсь, мы сможем пригласить всех на праздничное мероприятие позже в этом году. А пока я хотел бы выразить огромное СПАСИБО Biffa Award за поддержку работы, которую мы проводим в Ресурсном центре глухоты.
ДРК, как и многие другие благотворительные организации, сталкивается с серьезными финансовыми проблемами в результате пандемии Covid-19 и необходимости наложения ограничений на использование нашего центра и предоставляемых нами услуг. Мы полагаемся на получение дохода для финансирования наших основных услуг, который был значительно сокращен во время изоляции.
Мы благодарны за поддержку Steve Morgan Foundation и Liverpool City Region Emergency Fund , которые выделили гранты, чтобы помочь нам продолжать предоставлять основные услуги и поддерживать благотворительность в это трудное время.
Спасибо
Если вы занимаетесь самоизоляцией и нуждаетесь в предметах первой необходимости, включая рецепты и покупки, мы можем предложить безопасный и контролируемый сбор и доставку в соответствии с правительственными директивами.Пожалуйста, свяжитесь с 07508 851 959
Соглашения о неразглашении информации — Обзор —
Соглашения о неразглашении информации являются основным продуктом мира высоких технологий и уже много лет занимают эту роль. Однако это было неизменным в течение многих лет, поскольку законы и отрасль менялись и развивались, роль Соглашения о неразглашении немного изменилась. В течение многих лет основной задачей соглашений о неразглашении являлось установление и поддержание статуса коммерческой тайны раскрываемой конфиденциальной информации. Иногда это делалось, чтобы гарантировать, что заказчик сохранил конкурентное преимущество в информации, которую он заплатил за разработку, и защитить эту информацию от повторного использования консультантами, которым, возможно, заплатили за выполнение части этой работы по разработке.
Иногда соглашения о неразглашении использовались, чтобы сохранить патентованный характер работы по разработке, пока она не будет завершена, а затем может быть подана заявка на патент.
Основные элементы NDA:
Объем: Какая информация включена в NDA; то есть какая информация является конфиденциальной информацией для целей Соглашения. Письменная конфиденциальная информация должна быть помечена как конфиденциальная. О раскрытии устной конфиденциальной информации следует объявить на собрании до раскрытия информации; и письменно подтвердили, что эта информация была раскрыта в этот день этим людям после того, как они были проинформированы о том, что это конфиденциальная информация раскрывающей стороны.
Цель: Соглашение о неразглашении информации должно включать утвержденную цель раскрытия информации. По сути, это точно указывает, для каких целей получающая сторона уполномочена использовать эту конфиденциальную информацию.
Во многих соглашениях о неразглашении также указывается, что принимающая сторона не будет использовать конфиденциальную информацию в собственных интересах.
Стандарт обслуживания: В соглашении о неразглашении информации должен быть указан требуемый стандарт обслуживания принимающей стороны, т. Е. Строгий стандарт (самый высокий и обычно зарезервированный для разработки чистых помещений) или такой же, который использует принимающая сторона со своей конфиденциальной информацией ( наиболее распространены) и др.В соглашении о неразглашении информации также часто указывается, что конфиденциальная информация будет передаваться только по принципу служебной необходимости сотрудникам и консультантам, которые в письменной форме согласились защищать конфиденциальную информацию. Большинство соглашений о неразглашении обычно возлагают на принимающую сторону ответственность перед раскрывающей стороной за все нарушения соглашений о неразглашении в отношении людей, которым принимающая сторона раскрывает информацию в рамках соглашения о неразглашении.
Исключения: Большинство соглашений о неразглашении включают список элементов, на которые не распространяется обязательство о конфиденциальности. Если вы можете доказать ( i ), что вы знали информацию до того, как они ее раскрыли; ( ii ), что вы независимо разработали ту же информацию, не имея доступа к информации, которая была раскрыта; ( iii ) информация, которая переходит в общественное достояние без нарушения принимающей стороной; ( iv ) информация, которую другая сторона раскрывает вам без обязательств по соблюдению конфиденциальности; и ( против ) раскрытие информации, обязательное для исполнения законом.Эти исключения являются довольно стандартными и предназначены для того, чтобы убедиться, что принимающая сторона не окажется в невыгодном конкурентном положении из-за того, что они согласились с NDA.
В отличие от большинства других контрактов, основное средство правовой защиты, которое вам нужно искать при раскрытии конфиденциальной информации о неразглашении информации, — это судебный запрет.
Вы хотите, чтобы другая сторона перестала копировать ваш IP или разглашать ваши коммерческие секреты. Многие соглашения о неразглашении включают условие, что нарушение приведет к немедленному и непоправимому ущербу, поэтому судебный запрет является уместным.Соглашаясь с этим в Соглашении о неразглашении, он избегает необходимости оспаривать эти факты до получения судебного запрета.
Часто в NDA также указывается:
- То, что Раскрывающая сторона не гарантирует раскрытие информации (она предоставляется «КАК ЕСТЬ», помните, часто раскрываемая информация все еще находится в процессе разработки и завершения;
- Принимающая сторона не обязана заключать соглашение, если NDA было сделано для целей оценки.
- Важно помнить, что при раскрытии информации на международном уровне, в отличие от США, разрешен обратный инжиниринг; поэтому, если вы раскрываете информацию для использования за пределами США, у вас, вероятно, должен быть пункт, запрещающий обратный инжиниринг.
С новым Общим регламентом по защите данных ( GDPR ), который вступил в силу в мае 2018 года, существует обширная международная правовая база, которая помогает сосредоточиться на конфиденциальности, целостности и доступности ( CIA ) данных. В этом контексте требуется, чтобы Контроллеры, которые собирают данные, и Процессоры, обрабатывающие эти данные, выполняли соответствующие Соглашения о конфиденциальности для защиты конфиденциальности Личной информации субъекта данных.В соответствии с GDPR принимающая сторона обязана незамедлительно уведомить раскрывающую сторону в случае нарушения «События безопасности» и помочь свести к минимуму последствия (это требование о договорном уведомлении является ключевым элементом регулирования конфиденциальности GDPR и связанных с ним соблюдение обязательств). Также в соответствии с общей целью GDPR по «минимизации данных», а именно как минимум личной идентифицируемой информации (« PII »), такой как имя, адрес, адрес электронной почты и номер телефона, как можно короче, с очень прозрачным уведомлением и права субъекта данных.
Многие соглашения о неразглашении и почти все международные соглашения о неразглашении требуют, чтобы раскрывающая сторона уничтожила или вернула Конфиденциальную информацию, раскрытую по истечении срока действия или раньше, по запросу.
часто используются в связи с юридическим урегулированием, потому что одна или обе стороны не хотят, чтобы детали спора или урегулирования были общедоступными. Этой функцией иногда злоупотребляли, например, штат Нью-Джерси просто объявил недействительным использование соглашения о неразглашении в отношении заявлений о сексуальных домогательствах, посчитав, что общественность остро нуждается в информации об этих обвинениях.
Соглашения о неразглашении — это чрезвычайно распространенная часть технологического бизнеса, независимо от того, используются ли они для защиты коммерческой тайны, сохранения вашего права на подачу патента, устранения недобросовестной конкуренции в контексте конкурентных заявок или для соблюдения ваших нормативных требований в отношении безопасности или конфиденциальности.
Однако, хотя соглашения о неразглашении являются основным продуктом большинства технологических предприятий, они используются самыми разными способами, и часто общие элементы дополняются некоторыми « нестандартными условиями », такими как отсутствие конкуренции, передача прав ИС и широкие выплаты.NDA при правильном использовании легко и быстро внедряются, но, пожалуйста, поймите, что они являются юридическими документами и часто могут выходить далеко за рамки обычного NDA; вам необходимо внимательно изучить соглашения о неразглашении перед продолжением.
Получение максимальной отдачи от соглашений о неразглашении информации
Есть некоторые вопросы, которые коммерчески важны для бизнеса, но вам, тем не менее, необходимо поделиться информацией с третьей стороной, например, с потенциальным франчайзи, покупателем бизнеса или новым инвестором.Прежде чем раскрывать информацию, важно защитить свой бизнес и убедиться, что получатель конфиденциальной информации знает, что он должен уважать конфиденциальный характер информации и наказывать за невыполнение этого требования.
Ваш бизнес может добиться этого, заключив соглашение о неразглашении. В этой статье наши коммерческие юристы ответят на ваши часто задаваемые вопросы о соглашениях о неразглашении.
Перейти к:
- Что такое соглашение о неразглашении?
- Когда бизнесу следует использовать соглашение о неразглашении?
- Каков закон о раскрытии конфиденциальной информации третьими лицами?
- Как работает соглашение о неразглашении?
- Каковы основные положения соглашения о неразглашении информации?
- Какие бывают типы соглашений о неразглашении?
- Как долго длится соглашение о неразглашении?
- Можно ли расторгнуть соглашение о неразглашении?
- Являются ли соглашения о неразглашении юридически обязательными и имеющими исковую силу?
- Какая информация не включена или не включена в NDA?
- Нужно ли нотариально заверять соглашение о неразглашении?
- Как работают взаимные соглашения о неразглашении?
- Как работают односторонние соглашения о неразглашении информации?
- Должны ли сотрудники подписывать соглашения о неразглашении информации в рамках своих трудовых договоров?
- Оговорки о недопустимости обхода в соглашениях о неразглашении информации
- Оговорки о недопустимости действий в соглашениях о неразглашении информации
- Оговорки о недопустимости конкуренции в соглашениях о неразглашении информации
- Влияет ли GDPR на соглашения о неразглашении?
- Что произойдет, если вы нарушите соглашение о неразглашении?
- Стоит ли соглашение о неразглашении?
Что такое соглашение о неразглашении?
Соглашение о неразглашении — это юридический договор о конфиденциальном обмене информацией.
Самый эффективный способ обеспечения конфиденциальности раскрываемой информации — заключение соглашения о неразглашении. Это не только идентифицирует конфиденциальную информацию, поэтому не может быть никаких споров относительно ее конфиденциального характера, но также накладывает на получателя конфиденциальной информации договорное обязательство, которое легче обеспечить, чем требование по общему или общему праву.
Прежде чем раскрывать информацию о вашем бизнесе, которая, по вашему мнению, является коммерчески важной, вам необходимо учесть:
- Нужно ли делиться информацией или вы можете действовать в отсутствие раскрытия конфиденциальной информации?
- Подпадает ли организация, которую вы раскрываете, нормативным правилам о конфиденциальности, например, к адвокатам, деятельность которых регулируется Юридическим обществом и которые подпадают под строгие профессиональные правила конфиденциальности клиентов?
- Использование соглашения о неразглашении, если раскрытие информации необходимо третьей стороне, и вы не уверены, что они подпадают под действие правил профессиональной конфиденциальности, чтобы обеспечить вашему бизнесу достаточную защиту от нарушения конфиденциальности.
Если идет обсуждение соглашения о неразглашении, вы также можете услышать документ, называемый соглашением о конфиденциальности или NDA.
Когда бизнесу следует использовать соглашение о неразглашении?
Что составляет коммерческую конфиденциальную информацию, варьируется от компании к бизнесу, но ниже приведены примеры того, где следует рассматривать соглашение о неразглашении:
- Описание изобретения, нового продукта или технологии потенциальному партнеру, которые не запатентованы или у вас нет защиты интеллектуальной собственности (например, в рамках соглашения о совместном предприятии или для инвестора).
- Предоставление информации о вашем бизнесе потенциальному покупателю или франчайзи в рамках договора купли-продажи франшизы. Эта информация может включать ваши подробные управленческие счета, бизнес-планы, прогнозируемые прогнозы или ключевых клиентов.
- Предоставление информации потенциальному поставщику услуг, например, фрилансеру или субподрядчику, чтобы они могли рассчитывать стоимость работы.
Соглашение о неразглашении или конфиденциальности может иметь следующий вид:
- Первоначальное соглашение в рамках предварительных деловых переговоров.
- Является частью основного коммерческого контракта, такого как соглашение о создании совместного предприятия или франчайзинг.
- Сформируйте отдельное соглашение между вашим бизнесом и третьей стороной, дополняющее основной договор.
Каков закон о раскрытии конфиденциальной информации третьими лицами?
Некоторые владельцы бизнеса в Великобритании полагают, что им не нужно соглашение о неразглашении информации либо потому, что они могут доверять стороне, которой они предоставляют коммерческую конфиденциальную информацию, либо потому, что они полагают, что закон защитит их бизнес без необходимости соблюдения конфиденциальности. соглашение.
Закон, регулирующий защиту конфиденциальной информации, исходит из принципа справедливости общего права. Справедливая доктрина доверия или конфиденциальности используется там, где конфиденциальная информация не может быть защищена правами интеллектуальной собственности, например патентами или авторским правом.
Тем не менее, рекомендуется использовать соглашение о неразглашении, а не полагаться на принципы общего права.
В дополнение к общему праву Великобритании существует некоторая защита от несанкционированного раскрытия коммерческой тайны третьей стороной посредством законодательного акта 2018 № 597 под названием The Trade Secrets (Enforcement, etc.Регламент 2018 г. Регламент 2018 г. ввел в действие Положение ЕС о коммерческой тайне для обеспечения соответствия правил между государствами-членами, таким образом, гармонизировав обращение с конфиденциальной деловой информацией в ЕС, включая Великобританию. Несмотря на Brexit, правила 2018 года остаются в силе и будут продолжать действовать, если правительство Великобритании не примет решение пересмотреть правила в рамках процесса отмены регуляризации после выхода Великобритании из ЕС и завершения процесса перехода.
Регламент 2018 года позволяет бизнесу подавать иск в соответствии с общим правом или Положением 2018 года.
Чтобы подать иск в соответствии с Правилами 2018 года, информация, которую ваш бизнес хочет защитить, должна:
- Секретная информация — например, это не могут быть учетные записи, опубликованные в компании, но это могут быть подробные управленческие счета, которые включают вашу прибыль или прогнозируемые прогнозы.
- Имеют коммерческую ценность — например, ваша норма прибыли может иметь коммерческую ценность для конкурента, который может использовать ее для снижения ваших цен.
- В данных обстоятельствах были приняты разумные меры для сохранения информации в секрете — в противном случае третья сторона могла бы сказать, что они не знали, что информация является секретной или коммерчески важной для бизнеса.
Чтобы удовлетворить претензию в соответствии с Правилами 2018, вы должны иметь возможность доказать, что:
- Информация не была известна общественности или экспертам или «, общеизвестная или легко доступная для лиц из кругов, которые обычно имеют дело с такой информацией» и
- Вы предоставили информацию третьему лицу конфиденциальная сторона , и вы сказали, что или разумное лицо могло бы понять, что информация была предоставлена конфиденциально, и
- Вы понесли убытки , потому что третье лицо предоставило конфиденциальную информацию или использовало ее таким образом, который вы не могли бы согласился с.
Правила 2018 действительно помогают из-за глобализации и использования данных и коммуникационных технологий, которые могут сделать конфиденциальную информацию легко переносимой. С Правилами 2018 года, гармонизирующими определение и обращение с коммерческой тайной в ЕС, это означает, что между государствами-членами существует согласованный подход, который полезен, если вы ведете бизнес с партнерами из ЕС или у вас есть бизнес в Великобритании с европейскими офисами.
Тем не менее, использование и использование Правил 2018 может оказаться затруднительным, если вы не сможете легко доказать, что информация была конфиденциальной.Вот почему рекомендуется использовать соглашения о неразглашении, чтобы всем сторонам было ясно, что информация носит конфиденциальный характер, и о договорных последствиях нарушения соглашения о сохранении конфиденциальности информации. Важно, чтобы содержание соглашения о конфиденциальности оговаривалось, чтобы идентифицировать конфиденциальную информацию и гарантировать, что получатель информации может соблюдать условия соглашения.
Как работает соглашение о неразглашении?
Соглашения о неразглашении работают, гарантируя, что обе стороны сделки или потенциального проекта (например, совместного предприятия) понимают конфиденциальный характер раскрываемой информации и последствия любого нарушения конфиденциальности.Например:
- Право раскрывающей стороны на получение компенсации или
- Право раскрывающей стороны на получение судебного запрета для предотвращения дальнейшего ущерба или убытков, возникающих в результате нарушения конфиденциальности.
Каковы ключевые положения соглашения о неразглашении информации?
В соглашения о конфиденциальности рекомендуется включать следующие ключевые положения:
- Определение конфиденциальной информации, которая должна быть защищена соглашением о неразглашении .Определение должно быть достаточно широким, чтобы охватить все категории раскрываемой конфиденциальной информации, а также может содержать подробные сведения о типах раскрываемых данных и указывать, что любая работа, созданная или полученная из конфиденциального материала, также попадает под действие соглашения о неразглашении. В соглашении может быть сказано, что информация, раскрытая в устной форме, является конфиденциальной, хотя вам необходимо будет подтвердить это в письменной форме после устного раскрытия.
- Использование конфиденциальной информации в разрешенных целях. В соглашении необходимо указать, при каких обстоятельствах и для каких целей получатель может использовать конфиденциальную информацию.
- Передача конфиденциальной информации . Если получателю разрешено или не разрешено передавать конфиденциальную информацию какой-либо третьей стороне, то это должно быть указано в соглашении. Например, получателю может быть разрешено делиться информацией с ключевыми сотрудниками и консультантами, хотя может быть требование, чтобы эти люди также подписывали соглашения о неразглашении.
- Возврат конфиденциальной информации . В соглашении о неразглашении должно быть указано, что произойдет с конфиденциальной информацией. Если создается совместное предприятие или франшиза, третья сторона может по-прежнему нуждаться в конфиденциальной информации и подпадать под действие положений о конфиденциальности в основном совместном предприятии или соглашении о продаже или франшизе. Если проект или сделка не будут реализованы, в соглашении о неразглашении должно быть предусмотрено, что конфиденциальная информация будет возвращена раскрывающей стороне или уничтожена.
- Срок действия договора. В соглашении будет указан период времени, в течение которого оно будет действовать.
В соглашении может быть сказано, что информация, раскрытая в устной форме, является конфиденциальной, хотя вам необходимо будет подтвердить это в письменной форме после устного раскрытия.
Если проект или сделка не будут реализованы, в соглашении о неразглашении должно быть предусмотрено, что конфиденциальная информация будет возвращена раскрывающей стороне или уничтожена.- Отказ от привлечения сотрудников. Для предотвращения попыток получателя вашей конфиденциальной информации нанять ваших сотрудников на период времени, указанный в соглашении.
- Статья о средствах правовой защиты при нарушениях. Установить, что вы имеете право подать заявление о судебном запрете, чтобы предотвратить раскрытие или продолжение раскрытия другой стороной вашей конфиденциальной информации и ущерба.
- Нет обязательств по сделке . Чтобы прояснить, что вы не обязаны иметь дело с получателем только потому, что вы поделились с ним информацией.
- Оговорка о юрисдикции. Для определения закона и юрисдикции суда, которые будут применяться к контракту в случае любого спора или судебного дела.
Для определения закона и юрисдикции суда, которые будут применяться к контракту в случае любого спора или судебного дела.Какие существуют типы соглашений о неразглашении?
Различные типы соглашений о неразглашении:
- Одностороннее или «одностороннее» соглашение — с участием двух сторон, при котором только одна из них будет раскрывать конфиденциальную информацию другой.Эти односторонние соглашения о неразглашении чаще всего используются для защиты коммерческой тайны.
- Двустороннее, «взаимное» или «двустороннее» соглашение — с участием двух сторон, когда обе стороны намерены раскрыть конфиденциальную информацию друг другу. Эти двусторонние соглашения о неразглашении информации наиболее распространены, когда предприятия рассматривают возможность слияния или создания совместного предприятия.
- Многостороннее соглашение — с участием трех или более сторон. Эти типы соглашений о неразглашении обычно составляются, если в них участвует несколько сторон, и по крайней мере одна из сторон будет раскрывать конфиденциальную информацию другим. Это позволяет избежать необходимости заключать несколько соглашений о неразглашении.
Это позволяет избежать необходимости заключать несколько соглашений о неразглашении.Как долго длится соглашение о неразглашении?
Если вы раскрываете конфиденциальную информацию, возможно, вы захотите навсегда сохранить ее в секрете. Однако в соглашениях о неразглашении обычно устанавливается период времени, в течение которого получатель обязан сохранять конфиденциальность информации. Период времени может зависеть от характера коммерческого предприятия, поскольку в быстро развивающейся отрасли, такой как технологии, реальность такова, что информация может относительно быстро потерять свою коммерческую ценность.Обычно нереально ожидать, что получатель будет обязан хранить конфиденциальную информацию в течение неопределенного времени. Большинство получателей конфиденциальной информации захотят убедиться в наличии определенной даты, после которой они будут освобождены от своих обязательств.
Если срок действия соглашения о неразглашении истекает, вы все равно можете иметь права в соответствии с законом об интеллектуальной собственности, например, на защиту ваших авторских прав или патентов.
Можно ли расторгнуть соглашение о неразглашении?
NDA может быть расторгнуто поставщиком конфиденциальной информации, если это предусмотрено соглашением о неразглашении.Соглашение также может быть расторгнуто по обоюдному согласию. Обычно получатель информации не может расторгнуть соглашение о неразглашении, поскольку это противоречит его цели.
Являются ли соглашения о неразглашении юридически обязательными и имеющими исковую силу?
При условии, что соглашение о неразглашении информации было составлено компетентным коммерческим юристом и надлежащим образом оформлено, соглашение о неразглашении будет иметь обязательную юридическую силу. Главный вопрос для тех, кто подписывает соглашение о неразглашении, заключается в том, подлежит ли соглашение исполнению.
При рассмотрении возможности принудительного исполнения соглашения о неразглашении информации необходимо учитывать следующее:
- Действительно ли информация конфиденциальна? Если информация не является секретной, она не будет защищена.
- Конфиденциальная информация принадлежит вам? Если конфиденциальная информация не принадлежит вам, вы не можете контролировать ее распространение. Например, если идея была разработана поставщиком или подрядчиком, она может быть не вашей собственностью.
- Кто является контрагентом? Вы должны убедиться, что заключаете договор с правильным юридическим лицом, и что документ подписан соответствующим директором или должностным лицом в случае организации. Обратите внимание, что ваш получатель может работать под торговым названием, которое отличается от его официального имени.
- Находится ли информация в открытом доступе? Ваше соглашение может не защитить вас, если получатель конфиденциальной информации также получит конфиденциальную информацию о вашей компании от третьей стороны или может показать, что эта информация уже была общедоступной.
- Предварительная информация . Любая информация, которую вы передаете третьей стороне до подписания соглашения о конфиденциальности, не будет подпадать под его объем.
- Можете ли вы доказать нарушение конфиденциальности? Может быть сложно доказать, что получатель на самом деле нарушил условия соглашения о неразглашении и именно он предоставил информацию, а не, скажем, бывший сотрудник вашего бизнеса.
- Использование соглашения о неразглашении. Нецелесообразно использовать соглашение о неразглашении для предотвращения надлежащего раскрытия информации. Например, соглашение о неразглашении в отношении сотрудника не может быть применено, чтобы помешать сотруднику раскрыть информацию о нарушениях закона или незаконной деятельности, например о сексуальных проступках.
- Соглашение однозначное или далеко идущее? Определение того, какая информация является конфиденциальной, не должно быть настолько широким, чтобы соглашение было слишком расплывчатым, чтобы его можно было соблюдать, или означало, что его соблюдение было бы слишком обременительным или ограничительным.
- Может ли нарушившая сторона заплатить? Компания или частное лицо могут иметь ограниченные средства для возмещения убытков, которые могут вам понести.
- Ограничение торговли. Пункт о недопустимости конкуренции или ограничительное условие в соглашении о неразглашении может быть недействительным, поскольку считается антиконкурентным или необоснованным по своему охвату.
Какая информация не включена или не включена в NDA?
Соглашения о неразглашениине распространяются на информацию, которая:
- уже находится в общественном достоянии или
- был раскрыт вами получателю до подписания соглашения о неразглашении.
- Это уже известно им, потому что они получили его из другого источника.
Нужно ли нотариально удостоверять соглашение о неразглашении?
Соглашение о неразглашении не требует нотариального заверения. Однако возможно оформить NDA как акт, что означает, что вы можете подать иск о нарушении на срок до двенадцати лет после его прекращения, в отличие от обычных шести.
Как работают взаимные соглашения о неразглашении?
Взаимные соглашения о неразглашении работают, возлагая обязательства конфиденциальности на обе стороны соглашения, своего рода «око за око» о конфиденциальности.
Ваш получатель не сможет раскрыть вашу конфиденциальную информацию, а вы не сможете раскрыть их. Такие типы соглашений распространены в сценариях слияний и поглощений и в инвестиционных сценариях, когда обе стороны будут делиться конфиденциальными аспектами своего бизнеса.
Как работают односторонние соглашения о неразглашении?
Односторонние соглашения о неразглашении информации содержат обязательства только одной из сторон. Этот тип соглашения распространен, когда вы разрабатываете новый продукт или услугу и ищете потенциальных поставщиков или партнеров.
Следует ли сотрудникам подписывать соглашения о неразглашении информации в рамках своих трудовых договоров?
Можно попросить сотрудников подписать соглашение о неразглашении информации в рамках их трудового договора. Тем не менее, вы не должны использовать NDA для предотвращения разоблачения или предотвращения раскрытия сотрудником информации о незаконной деятельности или для избежания юридического требования о направлении в регулирующий орган, государственный орган или полицию.
Использование соглашений о неразглашении информации между работодателями и работниками получило широкую огласку.В 2020 году ACAS опубликовала руководство по использованию соглашений о неразглашении информации в условиях занятости, которое можно найти здесь. Руководство охватывает соглашения о неразглашении в соглашениях об урегулировании, трудовых договорах и других договоренностях, таких как назначение заемных работников, соглашения о волонтерстве, а также схемы увольнения и увольнения.
Надлежащее использование соглашений о неразглашении информации, вытекающих из трудовых отношений, является законным при условии, что информация, предоставленная сотруднику, является действительно конфиденциальной.Деловые мелочи не являются конфиденциальными. Информация, которая может иметь какой-то конфиденциальный аспект, может быть защищена, но не на неопределенный срок. Тем не менее, действительно конфиденциальная коммерческая тайна может оставаться конфиденциальной даже после того, как сотрудник уволился с работы с постоянным требованием конфиденциальности.
Наша команда по трудовому праву специализируется на консультировании по соглашениям о неразглашении информации и консультированию сотрудников, и в этой статье рассматривается, как бороться с нарушением конфиденциальности сотрудником.
Положения о недопустимости обхода в соглашениях о неразглашении информации
Положение о недопустимости обхода в NDA — это положение, которое направлено на ограничение получателя конфиденциальной информации от ее использования, кроме как в узко определенных целях.Его цель — помешать получателю продвинуться вперед по сделке или контракту без вас, например, путем прямого обращения к вашим поставщикам и исключения вас из сделки.
Положения о недопустимости привлечения представлений в соглашениях о неразглашении информации
Положения о запрете на вымогательство в соглашениях о неразглашении информации направлены на то, чтобы не допустить, чтобы третья сторона, например поставщик, потенциальный партнер или инвестор, склоняла ваших сотрудников работать на них.
Оговорки о недопустимости конкуренции в соглашениях о неразглашении информации
Если вы хотите запретить сотруднику или другому третьему лицу конкурировать с вашим бизнесом на время действия соглашения о неразглашении информации или в течение определенного периода после того, как они уволятся с вашей работы или соглашение закончится, можно защитить ваши интересы путем включая пункт о недопустимости конкуренции.Эти пункты могут быть недействительными или не имеющими исковой силы, если они не:
- Предназначен для защиты законных деловых интересов. Например, коммерческие тайны или списки поставщиков и клиентов или конфиденциальная информация о финансовом состоянии вашего бизнеса, которую вы не хотели бы передавать в руки конкурентов.
- Не шире, чем это разумно необходимо для защиты этого интереса . Это означает, что ограничение должно быть ограничено по продолжительности или географическому охвату и не должно распространяться на действия, не связанные или не связанные с вашими основными деловыми интересами. В случае трудовых договоров было бы неразумно препятствовать кому-либо зарабатывать на жизнь в выбранной ими области, особенно если количество предприятий, работающих в этой области, невелико.
- Не противоречит общественным интересам.
В случае трудовых договоров было бы неразумно препятствовать кому-либо зарабатывать на жизнь в выбранной ими области, особенно если количество предприятий, работающих в этой области, невелико.Влияет ли GDPR на соглашения о неразглашении?
Общий регламент по защите данных (GDPR) влияет на соглашения о неразглашении, поскольку они должны быть составлены (или обновлены, если они уже существуют), чтобы гарантировать, что положения отражают требования правил.Наши юристы по защите данных могут проконсультировать вас по этому поводу.
Учитывая, что раскрывающая сторона в соответствии с NDA может предоставлять личные данные получателю, они могут быть контроллерами данных и обработчиками данных соответственно в соответствии с GDPR. Статья 28 налагает на операторов данных обязанность контролировать использование этих данных в письменном договоре, в котором указывается:
- Предмет обработки
- Продолжительность обработки
- Характер и цель обработки
- Тип обрабатываемых персональных данных
- Категории субъектов данных
- Обязанности и права контролера
- То, что процессор действует в соответствии с документированными инструкциями контроллера
- Необходимость для процессора удалить или вернуть личные данные в конце контракта
- Требование к процессору реализовать соответствующие технические и организационные меры для защиты данные
- Право контролера на аудит процессора
Что произойдет, если вы нарушите соглашение о неразглашении?
Если вы нарушите условия соглашения о неразглашении, против вас могут быть запрошены следующие средства правовой защиты:
- Судебный запрет — судебный запрет обычно является первым средством правовой защиты, если ваше предприятие обнаруживает намерение нарушить конфиденциальную информацию. Заявление о судебном запрете может быть выдано для предотвращения раскрытия или использования информации ответчиком. Для получения дополнительной информации прочитайте нашу статью о том, как подать судебный запрет против бизнеса.
- Убытки для компенсации потерпевшей стороне их убытков.
- Сбор для покрытия суммы, которую получатель конфиденциальной информации в противном случае заплатил бы за лицензию на использование информации.
- Учет любой прибыли получателя, полученной от использования полученной информации.
Заявление о судебном запрете может быть выдано для предотвращения раскрытия или использования информации ответчиком. Для получения дополнительной информации прочитайте нашу статью о том, как подать судебный запрет против бизнеса. Хорошо составленное соглашение о неразглашении информации детализирует все средства правовой защиты, доступные сторонам (в случае двустороннего NDA) или раскрывающей стороне в одностороннем NDA. В соглашении о неразглашении может быть предпринята попытка заранее количественно оценить размер убытков, которые лицо, раскрывающее информацию, получит в случае нарушения, но такие конкретные положения не всегда имеют исковую силу.
Стоит ли соглашение о неразглашении?
Если вам необходимо раскрыть конфиденциальную информацию в рамках потенциальной бизнес-операции или перед сотрудниками, то соглашение о неразглашении информации является важным бизнес-инструментом для защиты ваших интересов.Соглашение о конфиденциальности обеспечивает юридическое обоснование защиты вашей информации. Более того, даже если отдельный пункт в соглашении будет признан недействительным, оставшаяся часть соглашения о неразглашении должна иметь полную исковую силу.
Кроме того, соглашение о неразглашении информирует третьи стороны о том, что вы намерены защищать свои торговые интересы и что после заключения соглашения о неразглашении у вас есть для этого средства.
Когда и как использовать NDA
Соглашения о неразглашении информации (NDA) налагают обязательства воздерживаться от раскрытия информации, принимать меры для защиты конфиденциальности информации и / или использовать информацию только для определенной цели или целей.
В этом посте я рассмотрю проблемы, связанные с использованием соглашений о неразглашении в ИТ-индустрии, и рассмотрю некоторые типичные ситуации, в которых они могут использоваться.
Закон о конфиденциальности
Обязательства о конфиденциальности могут возникать в соответствии с законом о конфиденциальности даже при отсутствии контракта. Однако, как признала Юридическая комиссия, закон о доверии полностью определяется судьями, и судебный процесс о нарушении конфиденциальности является ненадежным и ненадежным способом защиты коммерческой тайны (Отчет Юридической комиссии No.110 (1981)). Отчасти по этой причине предприятиям не следует полагаться только на закон о доверии, и им следует рассмотреть возможность использования NDA всякий раз, когда они раскрывают конфиденциальную деловую информацию другим лицам. Конфиденциальность — это особенно важная форма защиты активов в компьютерной индустрии, где любое технологическое конкурентное преимущество не продержится долго.
Конфиденциальность и интеллектуальная собственность
Закон о защите конфиденциальной информации тесно связан с законом об интеллектуальной собственности.Есть много неопределенностей и пробелов в защите, которую закон об интеллектуальной собственности предоставляет процессам, методам, идеям и информации в ИТ-индустрии — например, компьютерные программы, как правило, не патентоспособны в ЕС. Использование соглашений о неразглашении для создания обязательств по неразглашению информации можно использовать для дополнения законов об интеллектуальной собственности и, таким образом, для прояснения некоторых неопределенностей и заполнения некоторых пробелов.
NDA: вопросы разработки
Прежде чем рассматривать конкретные ситуации, в которых могут быть использованы NDA, я рассмотрю несколько ключевых редакционных вопросов, влияющих на NDA: различие между односторонними и взаимными соглашениями, способы определения конфиденциальной информации, вопрос о том, кто связан NDA, продолжительность обязательств и влияние закона о защите данных.
Когда заключать договор
Как правило, лучше подписать NDA до раскрытия конфиденциальной информации, а не после. Тем не менее, надлежащим образом составленный NDA может защитить информацию, которая была раскрыта до исполнения.
Односторонний или двусторонний?
Взаимное (иногда называемое взаимным или двусторонним) соглашение накладывает обязательства о неразглашении на обе стороны и уместно, когда обе стороны раскрывают конфиденциальную информацию.Если только одна сторона раскрывает конфиденциальную информацию, уместным будет одностороннее соглашение (также называемое односторонним).
Определение конфиденциальной информации
Важно внимательно рассмотреть определение конфиденциальной информации в NDA. Вы должны убедиться, что соответствующая информация включена, и что нерелевантная информация исключена. Вам следует подумать, следует ли включать в определение информацию, предоставленную устно.
Хотя информация не обязательно должна быть «совершенно секретной», чтобы ее можно было защитить, а соглашения о неразглашении могут защитить информацию, которая не будет защищена законом о конфиденциальности, обязательство о неразглашении может по-прежнему не иметь исковой силы по соображениям государственной политики, если определение конфиденциальности информация слишком широка — например, если она относится к тривиальной информации. Если посмотреть на этот вопрос с другой стороны забора, если вы собираетесь быть объектом обязательств по конфиденциальности в соответствии с соглашением о неразглашении информации, вы должны позаботиться о том, чтобы эти обязательства не создавали чрезмерных препятствий для вашей деловой активности.Это особенно важно, если обязательства о неразглашении сохраняются в течение длительного или неопределенного периода времени (см. Ниже).
Кто связан?
В соглашении о неразглашении информации должны быть указаны лица, которым может быть раскрыта информация, и, если они не подписаны всеми этими лицами, должны быть указаны средства, с помощью которых будет предотвращено дальнейшее раскрытие информации.
Например, основное лицо, раскрывающее информацию, может быть обязано обеспечить, чтобы все лица, которым раскрывается информация, заключили соглашения о неразглашении с основным лицом, раскрывающим информацию, на определенных условиях, которые подлежат исполнению лицом, раскрывающим информацию, как сторонним бенефициаром.
Срок действия обязательств
Обязательства по соблюдению конфиденциальности в рамках NDA могут иметь фиксированный или неопределенный срок. Деловые круги должны быть особенно осторожны, давая согласие на неопределенный срок.
Защита данных
Информация, раскрытая в соответствии с NDA, может включать личные данные, и такие личные данные могут подпадать под действие закона о защите данных. Обычно в этих обстоятельствах лицо, раскрывающее информацию, является «контроллером данных» в соответствии с Законом о защите данных 1998 г., а лицо, раскрывающее информацию, — «обработчиком данных».Положение об обработке данных может использоваться в рамках NDA для предотвращения незаконного раскрытия информации.
Соглашения о неразглашении: где они используются
Я рассматриваю здесь четыре ситуации, в которых соглашения о неразглашении широко используются в ИТ-индустрии: когда обсуждаются новые возможности для бизнеса; когда компания передает программное обеспечение на аутсорсинг или занимается веб-разработкой; когда разработчик заключает субподрядные работы, чтобы привлечь дополнительные ресурсы или опыт; и когда нанимают сотрудника.
Новые предприятия
Процесс обсуждения нового делового предложения (будь то в форме совместного предприятия, компании, партнерства или иного рода) почти неизбежно будет включать раскрытие конфиденциальной информации, такой как финансовые показатели, списки клиентов, бизнес-идеи и информация о технических процессах. Обычно имеет смысл защитить информацию, раскрытую во время переговоров, с помощью взаимного соглашения о неразглашении.
Программное обеспечение и веб-разработка
Большая часть веб-разработки и разработки программного обеспечения передается разработчикам на аутсорсинг.
Для некоторых видов работ клиенты захотят наложить на разработчиков обязательства о неразглашении. Например, если проект основан на новой технологии, новой бизнес-концепции или конфиденциальных деловых отношениях, то NDA будет иметь большое значение.
Субподряд
Разработчик может передать внештатным сотрудникам субподрядные работы по проектированию и разработке, будь то доступ к дополнительным ресурсам или опыту. В этой ситуации разработчик захочет убедиться, что, во-первых, передача работ субподрядчикам не будет связана с нарушением каких-либо обязательств по неразглашению, наложенных на разработчика клиентом, а во-вторых, что на него возложены соответствующие обязательства о неразглашении лица, которым работа передается по субподряду.Как правило, обязательства, возлагаемые разработчиком на субподрядчика, будут такими же или более строгими, чем обязательства, налагаемые клиентом на разработчика.
Сотрудники
Сотрудники могут иметь доступ, по крайней мере, к некоторой конфиденциальной информации компании.
На таких сотрудников всегда должны возлагаться обязательства о неразглашении информации в форме, одобренной юристом по трудоустройству.
Выводы: один инструмент среди множества
Соглашения о неразглашении информации являются важной частью юридического инструментария любого бизнеса.Тем не менее, они бесполезны в отношении раскрытия конфиденциальной информации теми, кто не подписался на их условия. Соглашения о неразглашении информации должны дополнять практические меры защиты информации (которые в основном основаны на здравом смысле). Например: ограничить доступ к конфиденциальной информации по служебной необходимости; по возможности предоставляйте клиентам только объектный код; более крупным организациям следует установить политику информационной безопасности — такую, которая включает регулярные проверки; запирать двери, окна и шкафы для документов; и так далее.Практики и процессы многих предприятий в отношении информационной безопасности далеко не идеальны.
Соглашения о неразглашении информации часто содержат положение, требующее, чтобы лицо, раскрывающее информацию, защищало конфиденциальную информацию лица, раскрывающего информацию, «с той же степенью тщательности, с которой лицо, раскрывающее информацию, защищает свою конфиденциальную информацию». Для некоторых предприятий это не очень высокий стандарт!
Эта статья была исследована и написана Гаретом Симсом.
Вопросы защиты данных при создании совместного предприятия | Глобальная юридическая фирма
Введение
В рамках транзакции совместного предприятия личные данные могут передаваться между сторонами, в том числе в рамках процесса комплексной проверки.Отправной точкой должно быть предоставление только минимального количества личных данных, необходимого для осуществления этого процесса. Эта концепция известна как «минимизация данных». Однако вполне вероятно, что определенное раскрытие личных данных будет необходимо, особенно если один из партнеров по совместному предприятию хочет воспользоваться опытом или ресурсами сотрудников другого партнера по совместному предприятию.
В этих обстоятельствах раскрывающая сторона должна будет убедиться, что соответствующие сотрудники были проинформированы о том, что их личные данные раскрываются для этой цели.Это сделано для того, чтобы соответствовать требованиям прозрачности статьи 13 Общего регламента ЕС по защите данных (GDPR), который требует, чтобы организации были прозрачны по отношению к отдельным лицам в отношении того, как они используют свои личные данные. Также необходимо будет продемонстрировать «правовое основание» для «обработки» персональных данных. Эти основания изложены в статье 6 GDPR. Часто наиболее подходящим основанием для опоры в этом контексте будет основание «законные интересы». Но на это можно полагаться только в том случае, если раскрытие личных данных необходимо, соразмерно и не влияет отрицательно на права людей на конфиденциальность.Поэтому важно, чтобы были доступны только ограниченные наборы данных.
Перед завершением сделки по совместному предприятию стороны часто заключают соглашение о конфиденциальности (также именуемое Соглашением о неразглашении информации (NDA)), прежде чем вступать в какие-либо серьезные обсуждения.
Хотя основной целью NDA является защита конфиденциальной информации, если личные данные будут раскрыты на этапе, предшествующем закрытию, положения о защите данных также должны быть включены в это соглашение. Положения должны ограничивать то, как потенциальный партнер использует и сохраняет личные данные.Другие положения могут включать: (i) не объединять данные с другими данными; (ii) не повторно идентифицировать анонимные данные; (iii) сотрудничать с продавцом в случае нарушения данных или выполнения запросов прав физических лиц; (iv) удалить / вернуть данные в случае прекращения транзакции; и (v) для возмещения ущерба в случае утечки данных.
Если основной движущей силой для СП является дальнейшее использование личных данных, например, если план состоит в объединении данных клиентов каждой стороны для аналитических, исследовательских и / или маркетинговых целей, то необходимо обсудить последствия для защиты данных. является приоритетным на ранней стадии.Сторонам необходимо установить, что предлагаемое использование данных не является несовместимым с целями, для которых персональные данные были первоначально собраны.
Им необходимо убедиться, что существует прочная правовая основа в соответствии со статьей 6 GDPR и что обязательства по уведомлению не окажутся непреодолимыми.
Запуск СП
Если в рамках СП акционеры совместно определяют цели и способы обработки персональных данных, они будут «совместными контролерами» для целей GDPR.Это влечет за собой определенные обязанности в соответствии с GDPR.
Сторонам необходимо будет решить, кто несет ответственность за выполнение различных обязательств в соответствии с GDPR. Хотя GDPR конкретно не указывает, что совместные контролеры должны иметь договор, должен быть прозрачный механизм, который устанавливает согласованные роли и обязанности. Например, стороны должны решить, как соблюдать обязательства по обеспечению прозрачности в соответствии со статьей 13 GDPR. Какая сторона будет составлять и предоставлять информацию о прозрачности физическим лицам? Кому люди должны направлять свои запросы или запросы прав? Как стороны будут сотрудничать в случае утечки личных данных?
Важно отметить, что независимо от того, что согласовано, каждый контроллер данных останется ответственным за соблюдение всех соответствующих обязательств в соответствии с GDPR.
Физические лица могут требовать компенсации от обеих сторон, и каждая из них будет нести ответственность за весь причиненный ущерб, если только не докажет, что она никоим образом не несет ответственности за событие, повлекшее за собой ущерб. Кроме того, каждый из совместных контролеров подотчетен органу по защите данных.
Прекращение деятельности СП
Если сложные проблемы, описанные выше, могут быть решены, основной вопрос, связанный с прекращением деятельности, обычно является коммерческим: кто будет владеть отношениями с отдельными лицами и, следовательно, будет требовать сохранения данных при прекращении деятельности СП?
Если личные данные собираются на начальном этапе создания совместного предприятия обеими сторонами совместно, с соответствующим согласием и информацией о прозрачности, то может случиться так, что обе стороны смогут продолжать использовать данные для своих собственных независимых целей после завершения совместной работы.Однако картина становится более сложной, когда, например, речь идет о данных о ранее существовавших клиентах каждой стороны, которые затем были объединены или утратили свою отдельную идентичность в рамках совместного предприятия.
Если вначале было сложно утверждать, что данные могут быть законно использованы для предполагаемых целей СП, будет еще труднее утверждать, что стороны могут законно использовать все данные независимо после создания СП. к концу.
Конечно, могут быть обязательства по свертыванию СП, которые необходимо соблюдать в течение периода после прекращения СП.Однако, как только эти обязательства будут выполнены, по большей части данные необходимо будет соответствующим образом проанализировать и очистить.
.
