Нужно ли согласие на обработку персональных данных: Как ужесточились требования к работе с персональными данными в 2021 году

Согласие на обработку персональных данных работника

❶ Согласие на обработку персональных данных по образцу, приведенному в статье, подойдет только для работника. Такое согласие не будет актуальным, например, для соискателя. Очевидная, но часто встречающаяся ошибка.

❷ За работника в некоторых случаях согласие должен подписывать представитель. Например, если работник — несовершеннолетний. Поэтому в шаблоне соответствующего документа рекомендуем предусмотреть графы, в которые можно было бы внести сведения о представителе.

❸ Прописывайте полное наименование работодателя и сведения о его местонахождении.

В качестве дополнительного идентификатора работодателя можно также указать ИНН или ОГРН (ОГРНИП), однако такая информация необязательна.

❹ Правильно сформулировать цель обработки персональных данных бывает сложно. Проблема в том, что в соответствии с текущей правоприменительной практикой в согласии на обработку персональных данных следует указывать именно одну цель.

В то же время нигде не сказано, насколько детально должна быть прописана такая цель. Так, основанием для большинства действий работодателя с персональными данными работника будет соблюдение закона путем осуществления прав и исполнения обязанностей сторон трудовых отношений. Например, выплата заработной платы не будет являться самостоятельной целью, ведь это лишь часть обязанностей.

Однако если появляется стороннее обстоятельство, то цель может оказаться уже другой. Довольно распространенный пример — предоставление работникам полиса ДМС.

С одной стороны, если предусмотреть предоставление полиса ДМС в трудовом договоре, это станет обязанностью работодателя.

С другой стороны, страховые компании по условиям договора страхования могут предусматривать использование персональных данных застрахованных лиц в маркетинговых целях. В этом случае одним стандартным согласием не обойтись.

❺ В согласии на обработку персональных данных указывайте конкретный перечень таких сведений. Он должен соответствовать цели обработки и фактическим обстоятельствам.

Чтобы не запутаться, рекомендуем в отдельном документе вести список обрабатываемых персональных данных по каждой категории субъектов с указанием целей обработки таких сведений.

Благодаря указанному списку сможете оперативно составлять шаблоны согласий на обработку персональных данных и иных документов.

Главное — отслеживайте изменения в за-конодательстве и поддерживайте список в актуальном состоянии.

❻ Пропишите сведения о лице, которое будет осуществлять обработку персональных данных по вашему поручению. В одном согласии указывайте только одно лицо, действующее по поручению работодателя.

Принцип «одна цель обработки — одно согласие» проверяющие используют по аналогии при указании лица, которому поручают обработку данных.

Кроме того, Роскомнадзор рекомендует указывать в согласии иных операторов, помимо работодателя, которым будете передавать персональные данные работников.

❼ В согласии на обработку персональных данных укажите способы обработки такой информации. Учтите, что с 1 марта 2021 года для распространения персональных данных может потребоваться отдельное согласие гражданина. Требования к содержанию такого согласия устанавливает Роскомнадзор.

❽ Срок действия согласия на обработку персональных данных должен соответствовать цели обработки данных. Такое согласие не может быть бессрочным, потому что основная цель обработки может считаться достигнутой вместе с увольнением сотрудника.

Поэтому пропишите, что согласие действует, пока стороны состоят в трудовых отношениях.

➒ Работник вправе подписать согласие собственноручно или с помощью электронной подписи.

Согласие на обработку персональных данных при заключении договора с физическим лицом

Подборка наиболее важных документов по запросу Согласие на обработку персональных данных при заключении договора с физическим лицом (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

Судебная практика: Согласие на обработку персональных данных при заключении договора с физическим лицом Открыть документ в вашей системе КонсультантПлюс:
Подборка судебных решений за 2019 год: Статья 7 «Конфиденциальность персональных данных» Федерального закона «О персональных данных»
(Р.Б. Касенов)Из системного толкования ст. ст. 3, 6, 7 Федерального закона от 27.07.2006 N 152-ФЗ следует, что сбор, обработка, передача, распространение персональных данных возможны только с согласия субъекта персональных данных, при этом согласие должно быть конкретным. Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. Вместе с тем обработка персональных данных допускается или с согласия субъекта персональных данных, или в случаях необходимости исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, то есть одной из сторон является лицо, осуществляющее в соответствии с заключенным договором в дальнейшем обработку персональных данных субъекта, а другой стороной договора (или выгодоприобретателем, поручителем) является субъект персональных данных. Таким образом, названные положения защищают субъектов персональных данных от несанкционированного доступа к их данным со стороны других граждан, криминальных структур, представителей государственных органов, служб, организаций и учреждений, не имеющих на то соответствующих полномочий, путем регулирования порядка доступа субъектов к персональным данным. Между тем, как установлено материалами дела, поставщик газа вправе запрашивать сведения о количестве зарегистрированных в жилом помещении лицах. Таким образом, суд отказал в иске о возмещении физического и морального вреда.

Статьи, комментарии, ответы на вопросы: Согласие на обработку персональных данных при заключении договора с физическим лицом

Открыть документ в вашей системе КонсультантПлюс:
Статья: Категории персональных данных
(Подготовлен для системы КонсультантПлюс, 2021)Согласие субъекта персональных данных на их обработку также не обязательно, если это осуществляется в рамках исполнения заключенного с ним договора. Так, суд отклонил довод истца о нарушении его прав на защиту персональных данных из-за звонка на его личный телефон со стороны ответчика, действующего по поручению кредитора истца. Истец не погасил задолженность перед кредитором, и тот поручил взыскание задолженности третьему лицу, сообщив персональные данные должника. Суд отметил, что в данном случае специально выраженного согласия не требуется (Кассационное определение Омского областного суда от 10.11.2010 N 33-7056 (2010 г.), Определение Девятого кассационного суда общей юрисдикции от 25.08.2020 N 88-6438/2020). Аналогичным образом и в другом деле ФАС Восточно-Сибирского округа отметил, что предоставление управляющей компанией физическим лицам, проживающим в обслуживаемых домах, платежных документов с указанием в них персональных данных последних является частью деятельности последней в рамках принятых на себя обязательств по управлению жилыми домами (Постановление от 12.05.2011 N А33-10809/2010). Открыть документ в вашей системе КонсультантПлюс:
Статья: Участие физических лиц без статуса индивидуального предпринимателя в закупках по Законам 44-ФЗ и 223-ФЗ
(Чагин К.Г.)
(«Прогосзаказ.рф», 2017, N 10)Однако существует и противоположное мнение. Так, если рассматривать реестр (контрактов) договоров как «общедоступный источник персональных данных», то персональные данные физического лица могут размещаться в таком источнике только с его письменного согласия . И тогда для соблюдения этого положения законодательства заказчикам необходимо включать в документацию о закупке требование о предоставлении физическим лицом в составе заявки на участие в закупке своего письменного согласия на обработку своих персональных данных. В частности, такого мнения придерживаются Минфин России и Минэкономразвития России . Поэтому во избежание возможных конфликтных ситуаций с контрольными органами заказчикам рекомендуется запрашивать у физических лиц без статуса ИП их письменное согласие на обработку персональных данных, если сведения о договоре, который заключается с ними как с единственным подрядчиком/исполнителем или может быть заключен с ними по результатам торгов, должны размещаться в реестре контрактов (договоров).

Нормативные акты: Согласие на обработку персональных данных при заключении договора с физическим лицом

Включение функции запроса согласия на обработку персональных данных

Мы упростили для вас работу по соблюдению требований федерального закона 152 «О персональных данных». Чтобы в окне чата появилась галочка, запрашивающая у посетителя согласие на обработку его персональных данных, нужно в Панели управления включить функцию «Запрос согласия на обработку персональных данных».

Чтобы это сделать, перейдите в приложение оператора > Управление > Каналы связи. Далее, под названием нужного из сайтов нажмите на кнопку «Настройки».

Затем откройте раздел «Согласие на обработку персональных данных»:

В этом разделе вы можете включить галочку «Включить окно запроса согласия на обработку персональных данных» для подключения опции. Настроить функцию вы можете одним из способов:

1. Использование нашего специально разработанного текста согласия на обработку персональных данных.

Для этого включите галочку «Использовать стандартный документ с пользовательским соглашением». Затем заполните поля «Название компании» и «Юридический адрес». Если вы являетесь физическим лицом, то в качестве названия компании указать ФИО или же подключить свое соглашение через п. 2 ниже.

После этого вы можете нажать «Предпросмотр стандартного документа» и просто закрыть окно настроек, т. к. сохранение происходит автоматически.

1. Использование своего собственного документа

Для этого галочку «Использовать стандартный документ с пользовательским соглашением» нужно выключить и указать в поле «Ссылка на ваш документ с пользовательским соглашением» URL страницы или документа, где расположена ваша версия согласия на обработку ПД.

Затем можно просто закрыть окно настроек, сохранение происходит автоматически.

На этом все, теперь во всех формах чата, где у посетителя запрашиваются контакты в том или ином виде, после нажатия на кнопку отправки данных будет появляться подобное окно:

Контактные данные будут переданы только после установки галочки в форме. При этом посетитель сможет перейти по ссылке и посмотреть текст пользовательского соглашения или же отменить передачу данных.

Помимо требования к тому, чтобы посетитель выражал своё явное согласие на обработку персональных данных, в законе есть и другие пункты, которые должны быть соблюдены. Поэтому пожалуйста, внимательно ознакомьтесь с текстом ФЗ-152 «О персональных данных». Также министерство связи даёт ответы на часто задаваемые вопросы.

Согласие на обработку персональных данных

Пользователь, используя форму обратной связи и почтовую рассылку сайта www.transparency.org.ru, обязуется принять настоящее Согласие на обработку персональных данных (далее — Согласие). Принятием (акцептом) оферты Согласия является предоставление персональных данных при подписке на почтовую рассылку, при обращении через форму обратной связи, размещенную на сайте. Пользователь дает свое согласие Автономной некоммерческой организации «Центр антикоррупционных исследований и инициатив «Трансперенси Интернешнл-Р», которой принадлежит сайт www.transparency.org.ru, и которая расположена по адресу: 105005, г. Москва, ул. Радио, д. 24, к. 2, помещ. 1, (далее — Организация) на обработку своих персональных данных со следующими условиями:

1. Данное Согласие дается на обработку персональных данных как без, так и с использованием средств автоматизации.

2. Согласие на обработку персональных данных Пользователя дается только и исключительно с целью использования для информирования о новостях Организации, выходе новых антикоррупционных расследований и различных событиях в Организации, для ответов на обращения Пользователя через форму обратной связи на сайте, для отправки уведомлений об изменении положений, условий и политик Организации.

3. Основанием для обработки персональных данных являются: Ст. 24 Конституции Российской Федерации; ст. 6 Федерального закона №152-ФЗ «О персональных данных».

4. В ходе обработки с персональными данными будут совершены следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение — все упомянутые варианты только в целях, указанных в п. 2 настоящего Согласия.

5. Передача персональных данных третьим лицам осуществляется на основании законодательства Российской Федерации, договора с участием субъекта персональных данных или с его согласия.

6. Персональные данные обрабатываются до завершения всех необходимых процедур. Также обработка может быть прекращена по запросу субъекта персональных данных.

7. Согласие может быть отозвано субъектом персональных данных или его представителем путем направления письменного заявления в Организацию.

8. В случае отзыва субъектом персональных данных или его представителем Согласия на обработку персональных данных, Организация вправе продолжить обработку без разрешения субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 26.06.2006 г.

9. Настоящее Согласие действует все время до момента прекращения обработки персональных данных по причинам, указанным в п. 7 данного документа.

© Автономная некоммерческая организация «Центр антикоррупционных исследований и инициатив «Трансперенси Интернешнл-Р»

 

Согласие на обработку персональных данных субъекта персональных данных

Пользователь, заполняя форму обратной связи на сайте https://www.internauka.org/, а также заполняя заявку на публикацию научной статьи на указанном сайте принимает настоящее Согласие на обработку персональных данных (далее – Согласие). Действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, Пользователь дает свое согласие ООО «Интернаука», ИНН 7715986433 (далее — Оператор) на обработку своих персональных данных на следующих условиях:

1. Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
2. Давая данное согласие Пользователь подтверждает, что ознакомлен с Политикой обработки персональных данных:https://www.internauka.org/policy
3. Согласие дается на обработку следующих персональных данных:

фамилия, имя, отчество;

почтовый адрес, адрес электронной почты, номер телефона;

сведения об образовании;

сведения о научном звании и научной степени;

сведения о месте работы и занимаемой должности.

4. Пользователь соглашается с тем, что следующие персональные данные будут являться общедоступными:

— фамилия, имя, отчество;

— сведения о научном звании и научной степени;

— сведения о месте работы и занимаемой должности.

Указанные в настоящем пункте персональные данные используются при публикации Произведения (научной статьи) на сайте: https://www.internauka.org/, а также в печатном виде в соответствующем научном журнале.

5. Цель обработки персональных данных:

— использовать персональные данные Пользователя в целях направления ему предложений Оператора, информационных и рекламных сообщений об услугах Оператора, путем организации почтовых рассылок, рассылок SMS-сообщений, посредством телефонной связи, и рассылок по электронной почте в адрес Пользователя;

— в целях предоставления Пользователю информации, связанной с исполнением условий договора между Пользователем и ООО «Интернаука» путем направления SMS-сообщений и сообщений по электронной почте в адрес Пользователя, а также посредством телефонных звонков Пользователю.

— осуществлять хранение и обработку в различных базах данных и информационных системах, включения их в аналитические и статистические отчетности

— использовать при публикации Произведения (научной статьи) на сайте: https://www.internauka.org/, а также в печатном виде в соответствующем научном журнале.

— в иных целях для исполнения условий Оферты, размещенной на сайте: https://www.internauka.org/publichnaya-oferta

— с целью использования данных для взаимодействия Оператора с Субъектом персональных данных посредством онлайн-консультанта на сайте https://www.internauka.org/.

6. В ходе обработки с персональными данными будут совершены следующие действия: сбор, хранение, систематизацию, накопление, хранение, уточнение, использование, блокирование, обезличивание, распространение (в том числе передачу третьим лицам), уничтожение персональных данных
7. Согласие может быть отозвано субъектом персональных данных или его представителем путем направления заявления об отзыве согласия на обработку персональных данных на электронную почту: [email protected].
8. В случае отзыва субъектом персональных данных или его представителем согласия на обработку персональных данных ООО «Интернаука» вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г.
9. Настоящее согласие действует все время до момента прекращения обработки персональных данных, по основанию, указанному в 6 данного Согласия.

Срок действия согласия на обработку персональных данных

Субъектам хозяйствования, независимо от формы собственности, необходимо собирать, обрабатывать, хранить персональные данные (ПДн) работников, партнеров по бизнесу и других лиц. Получать согласия на обработку персональных данных нужно с соблюдением требований законодательства. Оператору также нужно знать, сколько может действовать такое согласие, чтобы при выполнении любых действий с ПДн не нарушать требования законодательных актов.

Срок действия согласия

Хранить и обрабатывать личные данные оператор может на протяжении некоторого срока. Для этого нужно получить у субъекта ПДн одобрение на их использование, в котором указывается период его действия. Но в законе о персональных данных № 152 не указываются эти граничные сроки (гл. 2 з-на). Соответственно, нужно установить этот срок, опираясь на взаимно подписанное соглашение.

Предусматривается три варианта фиксации срока такого разрешения:

1. Можно установить ограниченное время на использование и хранение ПДн, прописав конкретную дату, до которой разрешение будет юридически законным. В таком случае нужно учитывать, что по окончании этого срока может понадобиться применить личные сведения гражданина. Но до оформления нового разрешения воспользоваться ими не разрешается, поэтому можно потерять много времени на документальные проволочки, что иногда тянет за собой проблемы. Нужно постоянно контролировать граничные сроки действия разрешения и до окончания указанной в нем даты оформить новое одобрение.

2. Следующий способ: вписать в разрешение срок действия данного документа – до реализации условий, при которых обработка ПДн будет прекращена. В согласии гражданина на обработку его ПДн нужно указать какое-либо событие вместо конкретного числа. Это может быть дата увольнения сотрудника, выполнение какой-либо услуги. Такой формат срока действия разрешения более приемлем в плане уменьшения затрат времени на бумажную фиксацию этого разрешения. Пока сотрудник не уволился, не нужно контролировать его сведения, чтобы отслеживать срок действия полученного от него согласия. Также не требуется подписывать новое разрешение, если срок старого истек.

3. Можно воспользоваться комбинированным вариантом определения срока действия согласия, при котором устанавливается дата окончания и наступления конкретного события. Примером такого способа может служить оформление займа в банке. Кредитор рассчитывает использовать сведения о заемщике на протяжении трех лет после закрытия кредита. Соответственно, в соглашении указывается срок – на протяжении трех лет с даты окончания действия договора кредитования.

Содержание согласия

В законе о ПДн № 152-ФЗ прописан ряд обязательных требований в отношении оформления согласия на пользование личными сведениями, которые нельзя игнорировать. Во время формирования согласия важно тщательно проработать и внести следующую информацию:

• цель – не каждый гражданин хочет, чтобы его личные сведения были доступны всем. Нужно указать в одобрении, с какой целью требуется обрабатывать ПДн, кто будет иметь доступ к этой информации. К примеру, если работник будет выходить на пенсию, кадровик должен передать его документы Пенсионному фонду. От оперативности передачи данных будет зависеть своевременность назначения пенсии. Но если сотрудник рассчитывает на действия с его личными данными исключительно для работы, он может проявить свое недовольство тем, что его руководством переданы сведения о нем для действий, не связанных с работой;
• отрезок времени, на протяжении которого ПДн гражданина будут использоваться. Нужно прописывать срок действия согласия на обработку персональных данных. К примеру, работник два года назад прекратил трудовые отношения с компанией, а бывший работодатель предоставляет его личные сведения в целях оформления карты для зачисления заработной платы в определенном банке. Это может привести к недовольству бывшего сотрудника. Не нужно игнорировать необходимость установки периода обработки ПДн, чтобы избежать проблем с обращением работника в судебные органы или прокуратуру;
• срок хранения документов с ПДн. Если согласие на использование персональных данных было дано для каких-либо конкретных целей, то их уничтожение должно быть произведено на протяжении 1 месяца после того, как цель достигнута. Это требование регламентировано статьей 21 ФЗ № 152. Как только стороны выполнят свои обязательства в отношении друг друга, сведения хранить не имеет смысла.

Нужно знать, что законодательство требует хранить документацию, касающуюся сотрудника, на протяжении 75 лет. Это касается и личной информации.

Продление сроков

Если необходимо продлить срок действия согласия на какой-либо период после окончания указанной в нем даты, выполнить это можно следующим образом:

• заключить дополнительное соглашение;
• сделать новое разрешение;
• внести в его текст возможность автоматического продления на конкретный период.

Чтобы избежать конфликтов, недоразумений между сторонами, лицо, уполномоченное на обработку ПДн, должно владеть знаниями о требованиях актуального законодательства и обеспечить их выполнение.

Как отозвать согласие на обработку персональных данных

Отзыв согласия на обработку персональных данных позволяет наложить запрет на работу оператора с личными сведениями о человеке. Как запретить обработку индивидуальной информации и в каких случаях запрет невозможен, расскажем в статье.

Когда можно отозвать согласие

Порядок работы с личными сведениями установлен законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Из ст. 3 закона следует, что к индивидуальным данным лица относится любая информация о нем, позволяющая его идентифицировать.

В том числе к таким сведениям можно отнести:

• Ф. И. О.;
• адрес проживания;
• паспортные данные;
• сведения о месте рождения;
• прочие данные.

Полного перечня сведений закон не содержит, соответственно, в каждом конкретном случае необходимо анализировать, можно с помощью получаемой от человека информации его идентифицировать или нет. Часто отдельные данные не являются персональными, поскольку понять, кому конкретно они принадлежат, невозможно. Однако если совокупность сведений позволяет узнать, к какому человеку они относятся, то это персональные данные.

Работа с личной информацией осуществляется на основании письменного согласия гражданина, чьи сведения будут обрабатываться. Установленного бланка нет, каждая организация самостоятельно разрабатывает форму соглашения на обработку личных материалов, которое подписывает гражданин. Только после подписания субъектом такого бланка учреждение имеет право начать работу с информацией о клиенте.

Согласие на обработку может быть получено в электронном виде с применением простой электронной подписи.

Гражданин имеет право отозвать свое согласие на обработку личных сведений в любое время (п. 2 ст. 9 закона № 152-ФЗ). Причем законодатель не связывает отзыв персональных данных с какими-либо условиями или событиями. Из чего следует, что отказ от обработки персональных данных не требует обоснований.

Когда отзыв согласия не имеет значения для оператора персональных данных

Между тем оператор может продолжить работу с личными инфоматериалами субъекта даже при отзыве последним своего согласия. Перечень случаев, когда у него есть такое право, прописан в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ. В частности, использовать информацию о человеке могут:

• суды при участии гражданина в судопроизводстве;
• приставы при исполнении судебного акта;
• государственные органы при исполнении своих полномочий;
• стороны гражданско-правовых договоров, заключенных с субъектом персональных данных;
• любые субъекты при необходимости защиты жизни или здоровья носителя персональной информации;
• журналисты, если работа с личной информацией связана с их профессиональной деятельностью;
• субъекты, участвующие в реализации международных договоров;
• органы статистики, если личные данные обезличиваются.

Порядок отзыва индивидуальных данных

Поскольку с выдачей разрешения на работу с личной информацией граждане сталкиваются очень часто, закономерен вопрос, как отозвать согласие на обработку персональных данных.

Поэтапный порядок в законодательстве не прописан. Поскольку разрешение на обработку сведений дается письменно, то и отзывать согласие нужно, подав оператору письменное заявление.

Отказ от согласия на обработку персональных данных готовится в свободной форме. Передать заявление в учреждение можно:

1. Лично в канцелярию или приемную организации. В этом случае необходимо подготовить два экземпляра документа. На одном из них организация при приеме поставит отметку о получении.
2. Почтовой корреспонденцией (заказным письмом с уведомлением). В этом случае подтверждать получение будет уведомление, вернувшееся отправителю.
3. В электронной форме. Например, если отзывается согласие на использование личной информации, которую пользователь передал оператору через интернет (например, на сайте).

Подтвердить дату получения оператором обращения очень важно, так как с этого момента будет отсчитываться период, в течение которого оператор по обработке индивидуальных сведений должен будет прекратить работу с заявленной информацией.

Образец заявления на отзыв

Заявление на отзыв персональных данных составляется следующим образом:

1. В правом верхнем столбце указывается наименование получателя и его адрес, данные отправителя.
2. Ниже посередине — название документа.
3. С красной строки — основной текст.
4. В конце документа — дата и подпись.

Образец отзыва персональных данных из банка может выглядеть так:

Руководителю Центрально-Черноземного банка ПАО «Банк»

Воронеж, ул. 9 Января, 28

от Держаева Виктора Петровича

Воронеж, ул. Комарова, 28, 15

Заявление

Я, Держаев В. П., паспорт серия 0000 № 000 000, выдан РОВД Советского района г. Воронежа __ __ ___, в соответствии со ст. 9 закона № 152-ФЗ отзываю согласие на обработку персональных данных, данное мной при заключении кредитного договора № 377-2010 от __ __ ____.

Держаев В. П. /Держаев/

Дата: __ __ ____

Последствия отзыва

Согласно п. 5 ст. 21 закона № 152-ФЗ, если человек отозвал согласие на работу со своей индивидуальной информацией, оператор обязан прекратить это делать. На это ему дается 30 дней со дня получения обращения. В этот же срок оператор должен уничтожить или обеспечить уничтожение информации.

Однако закон разъясняет, что если дальнейшая работа с индивидуальными сведениями о человеке необходима для достижения целей, предусмотренных законодательством, то хранение информации может быть продолжено.

Например, выполнить требование субъекта персональных данных об отзыве согласия на их обработку не могут банки.

Так, в соответствии с п. 4 ст. 7 закона «О противодействии легализации (отмыванию) доходов…» от 07.08.2001 № 115-ФЗ банковские организации должны сохранять личную информацию о клиентах не менее 5 лет со дня прекращения отношений. Соответственно, если разрешение на работу с индивидуальными сведениями было отозвано, операции с информацией должны быть прекращены, но сами материалы не уничтожаются и могут быть выданы по запросу суда, прокуратуры и иных уполномоченных учреждений (апелляционное определение Московского городского суда от 14.06.2019 по делу № 33-25479).

Итоги

Таким образом, отозвать свои индивидуальные сведения из обработки тем или иным учреждением несложно. Однако законодательство в некоторых случаях разрешает работу с такими инфоматериалами и без согласия гражданина.

Еще больше про защиту персональных данных — в онлайн-курсе Центра обучения «Клерка». На него как раз сейчас скидка.

«Клерк. Премиум» — закрытое сообщество бухгалтеров. Неограниченные консультации от экспертов «Клерка». Онлайн-курсы и вебинары.

До конца рабочей недели держим скидку в 20%. Успевайте подписаться.

Согласие субъекта данных

Согласие является одним из возможных правовых оснований для обработки персональных данных. Согласие дает субъектам данных возможность контролировать обработку своих персональных данных и влиять на нее, отозвав свое согласие.

Требования к согласию

Чтобы согласие было действительным, оно должно быть

• проинформирована,
• бесплатно и
• недвусмысленное указание на пожелания субъекта данных.

Субъекты данных могут давать свое согласие для заранее определенных, конкретных и законных целей. Если цель обработки персональных данных изменится, вам необходимо запросить новое согласие перед началом обработки.

Указание согласия

Когда вы запрашиваете согласие, вам необходимо указать цель, для которой собираются данные. Если вы обрабатываете персональные данные для нескольких целей, субъекты данных должны иметь возможность выбирать цели, для которых они хотят дать свое согласие.Вы должны запрашивать согласие отдельно для каждой цели. Как правило, вы всегда должны запрашивать согласие, когда начинаете обрабатывать личные данные для новой цели.

Свободно данное согласие

Согласие не дается действительно свободно, если субъект данных находится в уязвимом положении по отношению к контролеру. Субъекты данных могут оказаться в уязвимом положении, когда, например, контролер является их работодателем или органом власти.

Субъекты данных должны иметь возможность отказаться от согласия и отозвать его без каких-либо негативных последствий.Отозвать согласие должно быть так же легко, как и дать его.

Подотчетность и учет принципов защиты данных

Вы должны иметь возможность продемонстрировать, что субъекты данных дали свое согласие на обработку персональных данных и что полученное согласие соответствует требованиям закона.

Согласие никогда не отменяет принципы защиты данных. Например, вы не можете собирать данные шире, чем это необходимо для заявленной цели, или отклоняться от обязательств по защите личных данных.

Запрос согласия

Согласие — это недвусмысленное и ясное выражение пожеланий субъекта данных, которым он соглашается на обработку своих персональных данных. Субъекты данных не могут дать свое согласие молчанием, предварительно отмеченными флажками или бездействием.

Если вы запрашиваете согласие в электронном виде, запрос должен быть четким и кратким и не должен без необходимости нарушать использование службы. Например, установка галочки на сайте — это достаточно однозначное и ясное выражение желания.

Опишите согласие четко и отдельно от другой информации. Не связывайте и не вставляйте согласие в условия использования или соглашения, чтобы у субъекта данных не было реальной возможности дать согласие или отказаться от него.

Если, например, вы запрашиваете согласие в связи с условиями использования службы, запрос должен быть представлен

• отдельно от прочей информации
• ясным и понятным языком и
• в доступной форме.

Что нужно сообщить субъектам данных при запросе согласия?

При запросе согласия субъектов данных на обработку персональных данных вы должны сообщить им, как минимум,

• Контроллер или контроллеры (совместные контроллеры) и любые другие стороны, которым будут раскрыты данные
• все конкретные цели, для которых запрашивается согласие
• какие данные будут собираться от субъекта данных
• право субъекта данных отозвать согласие
• использование данных для автоматизированного индивидуального принятия решений и профилирования и
• риски передачи данных в страны за пределами ЕС, если не было принято решение об адекватном уровне защиты данных в стране и не были реализованы соответствующие меры безопасности.

Нет необходимости указывать обработчиков, которые будут обрабатывать персональные данные от имени контролера при запросе согласия. Однако в связи с запросом согласия вам также необходимо взять на себя более общее обязательство по предоставлению информации и информации, которую вы должны будете предоставить при сборе личных данных от субъектов данных. Общее обязательство по предоставлению информации требует указания получателей данных, включая процессоров, работающих от имени контролера.

Когда мне потребуется конкретное согласие субъекта данных на обработку персональных данных?

Конкретное согласие может использоваться в качестве законного основания, если

• вы обрабатываете особые категории персональных данных (например, медицинскую информацию или этническое происхождение)
• вы передаете личные данные в третьи страны или международные организации
• ваша обработка включает автоматизированное индивидуальное принятие решений или профилирование.

Требование конкретности относится к тому, как субъекты данных выражают свое согласие. Примеры конкретного согласия включают подписание письменного заявления, предоставление электронной подписи или двухфакторную аутентификацию. Например, субъект данных может сначала ответить на ваше электронное письмо, после чего ему или ей будет отправлена ​​ссылка для подтверждения или код по SMS.

Ваши обязанности как контролера возрастают с учетом рисков, связанных с обработкой персональных данных.

Отзыв согласия

Прежде чем субъект данных даст свое согласие, контролер должен сообщить субъекту данных

• право отозвать согласие; и
• , как согласие может быть отозвано на практике.

Отозвать согласие должно быть так же просто, как и дать его. Согласие можно отозвать в любое время бесплатно.

Если субъект данных отзывает свое согласие, вы должны будете прекратить обработку его или ее личных данных, поскольку обработка была основана на согласии.Сообщите субъектам данных обо всех основаниях для обработки, чтобы они знали, как отзыв согласия повлияет на обработку их персональных данных.

Если нет другой правовой основы для продолжения хранения данных, обработанных на основании согласия, удалите их после отзыва согласия. По окончании обработки персональных данных храните доказательство согласия только до тех пор, пока это необходимо для предъявления, исполнения или защиты судебных исков.

Обработка персональных данных детей на основании согласия

Согласно законодательству о защите данных, детям обычно требуется согласие или разрешение их опекуна или другого лица, несущего родительскую ответственность, чтобы пользоваться услугами информационного общества, такими как социальные сети и различные приложения.В Финляндии возрастное ограничение составляет 13 лет. Однако дети могут пользоваться услугами консультирования и поддержки, а также профилактическими услугами без согласия их опекунов.

Постарайтесь определить возраст ребенка и убедитесь, что согласие было дано ребенком старше установленного возраста или опекуном ребенка. Оцените меры аутентификации, связанные с предоставлением согласия, с точки зрения характера и рисков обработки. Если вы просите детей дать свое согласие, обращайте особое внимание на ясный и простой язык.

Согласие, данное опекуном ребенка, не прекращается автоматически, когда ребенок становится достаточно взрослым, чтобы дать свое согласие на использование услуг информационного общества. Однако ребенок может отозвать свое согласие по достижении возраста, указанного в законе, и вы, как контролер, обязаны проинформировать ребенка об этой возможности.

Соответствует ли полученное вами согласие требованиям нового законодательства о защите данных?

Если вы являетесь контролером и обрабатываете персональные данные на основе согласия, оцените, соответствует ли согласие, которое вы запрашивали в прошлом, требованиям Общего регламента защиты данных.

Обратите внимание, что согласие должно быть

• задокументировано для отчетности
• однозначно, поэтому предварительно поставленная галочка или отсутствие выбора не соответствуют требованиям согласия
• для заранее определенной, конкретной и юридической цели
• снять так же легко, как и отдать, и
• в соответствии с GDPR в отношении его администрирования.

Изменения в обязанности предоставлять информацию, внесенные GDPR, не делают автоматически ранее полученные выражения согласия недействительными.GDPR также требует от вас информировать субъектов данных об основах обработки.

Если согласие не соответствует требованиям GDPR, оцените

• , сможете ли вы запросить новое согласие, соответствующее требованиям GDPR и
• , может ли обработка быть основана на другой основе, предусмотренной GDPR.

Убедитесь, что принципы законности, справедливости и прозрачности соблюдаются, если вы продолжаете обработку на другой основе.Субъект данных должен быть проинформирован об изменениях в основе обработки. После вступления GDPR в силу больше нельзя будет изменить базу обработки.

Если вы не можете основывать обработку на другом правовом основании или запросить новое согласие в соответствии с требованиями GDPR, вам придется прекратить обработку персональных данных.

Подробнее:
Права субъекта данных, когда обработка основана на контракте
Статьи 4 (11), 6 (1.a), 7 и 9 (2. a), подробные описания 32–33 и 42–43 (EUR-Lex)
Руководство по согласию в соответствии с Регламентом 2016/679 (pdf)

Об Общем регламенте по защите данных

Эта страница теперь доступна на других языках.

английский Español Français Português Deutsch

Вы, наверное, слышали об Общем регламенте защиты данных (GDPR), и у вас может возникнуть несколько вопросов по этому поводу.Вот некоторая информация о законе и его влиянии на Mailchimp и наших пользователей.

Эта статья предназначена для использования в качестве ресурса, но не является юридической консультацией. Мы рекомендуем вам поговорить с юрисконсультом, чтобы узнать, как GDPR может повлиять на вашу организацию.

Что и кто

GDPR — это закон Европейского Союза (ЕС) о конфиденциальности, который распространяется на предприятия по всему миру. Он регулирует, как любая организация, подпадающая под действие Регламента, обрабатывает или использует личные данные людей, находящихся в ЕС.Персональные данные — это любые данные, которые при использовании отдельно или вместе с другими данными могут идентифицировать человека. Если вы собираете, изменяете, передаете, стираете или иным образом используете или храните личные данные граждан ЕС, вам необходимо соблюдать GDPR.

GDPR заменяет старую директиву о конфиденциальности данных, Директиву 95/46 / EC, и вводит несколько важных изменений, которые могут повлиять на пользователей Mailchimp.

О согласии

У вас должно быть правовое основание, например согласие, для обработки личных данных резидента ЕС.Если вы полагаетесь на согласие, оно должно быть добровольным, конкретным, информированным и недвусмысленным.

Чтобы убедиться, что вы получили адекватное согласие, вам потребуется письменная запись о том, когда и как кто-то дал согласие на обработку своих персональных данных. Согласие также должно быть недвусмысленным и включать четкие позитивные действия. Это означает ясный язык и отсутствие предварительно отмеченных полей согласия.

О правах личности

GDPR также определяет права людей в отношении их личных данных.Граждане ЕС будут иметь право запрашивать подробную информацию о том, как вы используете их личные данные, и могут попросить вас сделать определенные действия с этими данными. Вы должны быть готовы своевременно поддержать эти запросы. Физические лица имеют право потребовать, чтобы их личные данные были исправлены, предоставлены им, запрещены для определенных видов использования или полностью удалены.

Вы также должны иметь возможность, помимо прочего, сообщить кому-либо, как используются его личные данные. Если они попросят, вы обязаны поделиться личными данными, которыми вы владеете, или предложить им способ доступа к ним.

Что делает Mailchimp, чтобы соответствовать требованиям?

• Назначил сотрудника по защите данных (DPO) для надзора за нашей программой соблюдения нормативных требований.
• Постоянно пересматривать наши меры безопасности, чтобы обеспечить надлежащую защиту любых персональных данных, которые мы собираем и обрабатываем в наших системах.
• Убедитесь, что наша Политика конфиденциальности четко объясняет приверженность Mailchimp GDPR, прозрачна в отношении того, как мы используем личные данные, и предоставляла людям информацию о том, как они могут реализовать свои права субъектов данных.
• Включите Стандартные договорные положения ЕС в наше Дополнение по обработке данных, которое автоматически является частью наших Стандартных условий использования (наш договор с вами) и применяется к данным клиентов, защищенным законами ЕС.
• Предоставьте нашим клиентам условия GDPR в нашем Дополнении по обработке данных и обновите наши контракты со сторонними поставщиками, чтобы убедиться, что они соответствуют GDPR.
• Поддерживайте формальные процессы в отношении прав субъектов данных, чтобы гарантировать, что мы можем помочь клиентам выполнять получаемые ими запросы.
• Отвечать на запросы прав субъектов данных и выполнять их в нашей роли контролера.
• Полная оценка воздействия на защиту данных для выявления и минимизации любых рисков, связанных с нашей деятельностью по обработке.
• Вести точный учет нашей деятельности по обработке как обработчика, так и контролера персональных данных.
• Обращайте пристальное внимание на нормативные требования в отношении соблюдения GDPR и вносите изменения в функции наших продуктов и контракты, когда это необходимо.
• Ежегодно проходить сертификацию в ЕС-США / Швейцарии. Privacy Shield Frameworks и продолжаем защищать данные из ЕЭЗ, Великобритании и Швейцарии в соответствии с Принципами Privacy Shield. Вы можете просмотреть нашу сертификацию Privacy Shield здесь.

Что я могу сделать, чтобы подчиниться?

Mailchimp предлагает инструменты, связанные с согласием и индивидуальными правами, чтобы помочь вам соблюдать GDPR. Мы рекомендуем вам проконсультироваться с юридическим или другим профессиональным консультантом о соблюдении вами GDPR.

Собрать согласие

Прозрачная обработка данных является обязательной, и это также возможность укрепить ваши маркетинговые отношения. Мы обновили формы регистрации Mailchimp, чтобы помочь вам соблюдать последние законы.

Если вы собираетесь полагаться на согласие на обработку персональных данных граждан ЕС, GDPR говорит, что вы должны получить конкретное согласие от своих контактов и четко объяснить, как вы планируете использовать их персональные данные. Наши поля, удобные для GDPR, включают флажки для согласия на включение и редактируемые разделы, которые позволяют вам объяснить, как и почему вы используете данные.

Mailchimp хранит ваши формы и контактные данные на случай, если они вам понадобятся в будущем. Если кто-то подписался на вашу аудиторию через размещенную на Mailchimp форму, вы можете экспортировать эту аудиторию и просматривать информацию, связанную с подпиской. Для получения дополнительных доказательств согласия вы можете включить двойную подписку.

Если вы полагаетесь на согласие на обработку персональных данных контактов, дважды проверьте, соответствует ли полученное вами согласие стандартам GDPR. Например, проверьте сторонние интеграции, чтобы убедиться, что они не добавляют людей в вашу аудиторию Mailchimp автоматически без флажка, в котором четко указано, как вы будете использовать данные этого человека.Вам также следует ознакомиться с условиями, связанными с любыми надстройками Mailchimp или сторонними интеграциями, которые вы используете.

Чтобы узнать больше о данных разрешений, ознакомьтесь с Экспортным подтверждением согласия

.

Чтобы узнать больше об использовании форм, адаптированных к GDPR, ознакомьтесь с разделом «Получение согласия с помощью форм GDPR

».

Понимание прав личности

Все пользователи Mailchimp могут получить доступ к своей аудитории Mailchimp для исправления или обновления информации по запросу своих контактов. Ваши контакты могут продолжать обновлять свои собственные данные, связавшись с нами или обновив свои настройки в любом электронном письме, которое они получат от вас.

ресурсов

Мы хотим помочь нашим пользователям, но важно отметить, что положения GDPR могут повлиять на ваш бизнес за пределами того, как вы используете Mailchimp. Вот несколько дополнительных ресурсов.

Ваши права в соответствии с GDPR

Защита данных является основным правом, изложенным в статье 8 Хартии основных прав ЕС, которая гласит:

1. Каждый имеет право на защиту своих личных данных.
2. Такие данные должны обрабатываться справедливо для указанных целей и на основе согласия заинтересованного лица или на каком-либо другом законном основании, установленном законом.Каждый имеет право доступа к собранным в отношении него данным и право на их исправление.
3. Соблюдение этих правил подлежит контролю со стороны независимого органа.

Это означает, что каждый человек имеет право на защиту своей личной информации, ее справедливое и законное использование и предоставление к ней доступа, когда они запрашивают копию. Если человек считает, что его личная информация неверна, он имеет право попросить исправить эту информацию.

Для обработки персональных данных организации должны иметь законное основание. Законные основания для обработки персональных данных изложены в статье 6 GDPR. Шесть законных причин для обработки персональных данных:

1. Согласие.
2. Для выполнения договора.
3. Для того, чтобы организация выполняла юридические обязательства.
4. Если обработка персональных данных необходима для защиты жизненно важных интересов человека.
5. Если обработка персональных данных необходима для выполнения задачи, выполняемой в общественных интересах.
6. В законных интересах компании / организации (за исключением случаев, когда эти интересы противоречат интересам или правам и свободам человека или наносят им ущерб).

Любая одна из шести причин, указанных выше, может служить законным основанием для обработки персональных данных.

Вкладки сбоку на этой странице приведут вас к более подробной информации о:

• ваши личные права при защите данных;
• , как реализовать эти права для себя; и
• , как сообщить о проблеме в Комиссию по защите данных в случаях, когда вы считаете, что ваши права не соблюдаются.

Важно помнить, что большинство организаций очень серьезно относятся к защите данных, и большинство проблем решаются без необходимости подачи жалобы в DPC. Информация на следующих страницах предназначена для того, чтобы помочь вам реализовать свои личные права и обеспечить быстрое и удовлетворительное решение, а также объясняет, как подать жалобу в тех случаях, когда это было безуспешно.

GDPR и исключение для исследований: соображения относительно необходимых мер безопасности для исследовательских биобанков

Хотя GDPR предоставляет ряд прав субъектам данных (и одновременно отнимает их для исследовательских целей), другие инструменты фокусируются на гарантии, которые должны быть на месте для данных участников исследования.Два исключения — это право на информацию и право доступа.

Право на информацию

Требования к информации в проверенных инструментах обычно связаны с требованиями согласия. Все инструменты, за исключением Руководящих принципов ОЭСР 2007 г., содержат требования в отношении согласия. Из рассмотренных инструментов ясно, что предпочтение отдается конкретному, информированному и письменному согласию, где это возможно. Информация требуется во всех руководствах и должна быть предоставлена ​​простым языком.

Все юридически обязательные инструменты указывают на важность информированного согласия, но не обязательно устанавливают его в качестве обязательного предварительного условия для вторичного исследования. Кроме того, GDPR предоставляет возможность электронного онлайн-согласия в качестве жизнеспособного варианта при условии, что согласие является четким и кратким (Recital 32). В соответствии с GDPR субъект данных должен быть проинформирован (среди прочего) о личности и контактных данных контроллера данных, сотрудника по защите данных, целей, для которых данные будут обрабатываться, получателей данных, продолжительности хранения. и право отозвать согласие, если согласие является законным основанием для обработки (статья 13).Рекомендация Совета Европы 2016 года требует, чтобы участники были проинформированы об условиях, применимых к хранению материалов, включая правила доступа и возможной передачи, а также любые соответствующие условия, регулирующие использование материалов, включая повторный контакт и обратную связь (статья 10). Конвенция Совета Европы 2018 требует от субъектов данных сообщать правовую основу и цели предполагаемой обработки, категории обрабатываемых персональных данных, получателей или категории получателей персональных данных, а также их права как субъектов данных (статья 8).

Выдающееся руководство исходит от Всемирной медицинской ассоциации (WMA), которая исторически была одной из первых организаций, разработавших этические правила для исследований. Его инструменты устанавливают профессиональные стандарты для врачей и играют важную роль в регулировании исследований в области здравоохранения во всем мире. Хельсинкская декларация требует, чтобы участники были проинформированы о целях исследования, методах, источниках финансирования, любых возможных конфликтах интересов, выгодах и рисках, институциональной принадлежности исследователей и любой другой соответствующей информации (Принцип 26).Тайбейская декларация WMA направлена ​​на регулирование баз данных о здоровье и биобанков и предоставляет более подробную информацию о требованиях к согласию: участники должны быть проинформированы о цели, рисках и трудностях, хранении и использовании данных и материалов, характере данных или материала. подлежащие сбору, процедуры возврата результатов, включая случайные выводы, правила доступа к базе данных здравоохранения или биобанку, защиту конфиденциальности, механизмы управления, процедуры информирования участников о влиянии анонимности данных, их основных правах и гарантии, установленные в Декларации, и, когда это применимо, коммерческое использование и совместное использование выгод, вопросы интеллектуальной собственности и передача данных или материалов другим учреждениям или третьим странам (статья 12).

С этим обширным правом на информацию связаны положения о праве отзыва согласия и обязанности информировать субъектов данных об этом праве. В статье 7 (3) GDPR говорится, что субъекты данных могут отозвать свое согласие в любое время и что «отозвать согласие должно быть так же легко, как и дать согласие». В Декларации ЮНЕСКО о биоэтике (статья 6 (1)), Тайбэйской декларации (статья 15) и Рекомендации ОЭСР 2017 г. (статья 5 (2)) говорится, что должны существовать процедуры, позволяющие отозвать согласие.CIOMS заявляет, что участники должны быть проинформированы об их праве отозвать свое согласие, должны быть введены процедуры, любой отзыв должен быть оформлен в письменном виде, а дальнейшее использование данных после этого отзыва не разрешается.

Большинство инструментов признают ограничения на отзыв согласия. В Руководстве ОЭСР 2009 г. говорится, что во время получения согласия участники должны быть проинформированы о пределах отзыва согласия (Принцип 4.G), как и Рекомендация Совета Европы 2016 г. (Статья 13).В частности, это может быть сделано только для идентифицированных генетических данных (Декларация ЮНЕСКО о генетических данных, Рекомендация Совета Европы 2016 г.). Неясно, выходят ли эти ограничения за рамки практического ограничения невозможности удаления анонимных данных. Таким образом, отзыв согласия считается важным как в юридически обязательных, так и в других документах, где законная обработка данных основана на согласии, но ограничения на этот отзыв признаются. В документах, имеющих убедительную ценность, говорится, что участникам следует сообщить об ограничениях на отзыв согласия.

Право на доступ

GDPR, Рекомендация Совета Европы 2018 г., Тайбэйская декларация, Конвенция Овьедо, Декларация ЮНЕСКО о генетических данных и Рекомендация Совета Европы обсуждают право человека на доступ к своим данным, но есть тонкие различия. В соответствии с GDPR субъект данных имеет право на доступ к информации о своих персональных данных, включая подтверждение того, обрабатывает ли контроллер данных их персональные данные и цель, других получателей их персональных данных, в том числе в третьи страны (и действующие меры предосторожности. ), когда контроллер данных получил данные, когда данные не были собраны от субъекта данных, и ожидаемый период хранения или критерии для определения срока хранения (статья 15).Статья 15 (3) также дает субъекту данных право на доступ к копии обрабатываемых личных данных. Конвенция Овьедо гласит, что люди «имеют право знать любую собранную информацию о своем здоровье» (статья 10 (2)).

Тайбейская декларация WMA предусматривает, что люди имеют право запрашивать и получать информацию о своих данных, а также требует, чтобы базы данных здравоохранения принимали меры, чтобы они могли информировать людей о своей деятельности (статья 14).

В Руководстве ОЭСР 2017 года говорится, что физическим лицам должна быть предоставлена ​​«информация об обработке их личных медицинских данных, включая возможный законный доступ третьих сторон, основные цели обработки, преимущества обработки». Совет Европы также указывает, что управление и использование данных должны быть доступны «заинтересованным лицам», но это относится к сбору данных в целом, а не к отдельным данным (статья 6 (7)).В Декларации ЮНЕСКО 2006 года говорится, что никому не должно быть отказано в доступе к своим данным «за исключением случаев, когда национальное законодательство ограничивает такой доступ в интересах общественного здравоохранения, общественного порядка или национальной безопасности» (статья 13).

Есть ограничения на это право доступа. GDPR заявляет, что право на доступ не применяется, когда данные являются анонимными, и право на доступ действительно подпадает под одно из возможных национальных отступлений в соответствии со статьей 89 (2). Конвенция Овьедо просто заявляет, что право доступа может быть ограничено в «исключительных» случаях без каких-либо дополнительных разъяснений.В Декларации ЮНЕСКО о генетических данных также говорится, что право на доступ не применяется, когда данные являются анонимными, и что право на доступ может быть ограничено законом в «интересах общественного здравоохранения, общественного порядка или национальной безопасности» (статья 13). .

Некоторые инструменты также касаются обратной связи с участниками в отличие от доступа к данным. Как правило, там, где это обсуждается, требуется политика обратной связи, но не обязательно, чтобы обратная связь имела место. Обсуждение отзывов о выводах ограничено необязательными документами.В Руководстве OCED 2009 обсуждается «обратная связь» с участниками. Он не требует обратной связи с участниками, только наличие действующей политики (Принцип 4.9) и результатов, по которым может быть получена обратная связь (Принцип 4.14). В аннотациях к Руководству указывается, что участникам должна быть предоставлена ​​информация о типе исследования, которое может проводиться с данными, будут ли они использоваться для коммерческих исследований и будут ли они переданы за границу. В Рекомендации Совета Европы от 2016 г. также указывается, что должна существовать политика в отношении обратной связи с выводами и важности консультирования (статья 17).

Право на исправление и право на удаление

GDPR — единственный, кто обсуждает право на исправление и право на удаление. Ни в одном из других рассмотренных инструментов эти права не обсуждались. Право на удаление может быть связано с правом на отказ от участия в исследовании, поскольку отказ от участия в любом исследовании может включать стирание данных участников, но любое признанное право на удаление будет шире, чем право на отказ. Право на отзыв, возможно, ограничено текущими и будущими исследованиями, тогда как право на удаление будет включать удаление из будущих, текущих и прошлых исследований, включая потенциально опубликованные исследования.

Право на переносимость данных и право на возражение.

Статья 20 GDPR дает субъектам данных право переносить свои данные от одного контроллера данных к другому. Рекомендация ОЭСР 2017 года — это единственный другой рассмотренный нормативный акт, который предусматривает, что субъектам данных должно быть разрешено запрашивать совместное использование их данных в целях, связанных со здоровьем, и, если это будет отклонено, им должно быть предоставлено правовое основание для такого решения (Раздел 5 (ii) (a) и (b)).

Статья 21 GDPR предоставляет субъектам данных право возражать против обработки их персональных данных, в том числе в исследовательских целях.Еще раз, Рекомендация ОЭСР 2017 года является единственным пересмотренным нормативным актом, который гласит, что, если согласие не является законным основанием для обработки, люди должны иметь возможность возражать против обработки своей личной информации. Если это не может быть выполнено, им должна быть предоставлена ​​соответствующая правовая основа для принятия решения (Раздел 5 (ii) (a) и (b)).

Меры предосторожности для защиты субъектов данных

Статья 89 (1) GDPR гласит, что меры безопасности «должны обеспечивать наличие технических и организационных мер, в частности, для обеспечения соблюдения принципа минимизации данных».Эти меры «могут включать псевдонимизацию», но не дают никакого представления о том, чем они могут быть.

Если посмотреть на рассмотренные инструменты, то важность четких процедур управления (и, как следствие, прозрачности) имеет важное значение для надзора за использованием и повторным использованием данных. Это особенно важно, когда субъект данных не дал конкретного согласия на использование данных. Это может быть в порядке, предусмотренном законом, требованием институционального надзора, которое может включать одобрение комитета по этике или каким-либо другим органом, требование мер безопасности или их сочетание.Как показано в Таблице 4, в инструментах обсуждаются три уровня надзора или защиты: законодательная база, институциональный надзор, который включает независимую этическую проверку и обеспечивает другие гарантии.

Таблица 4 Управление, необходимое для вторичного использования

Согласие на обработку персональных данных

1. Нажимая кнопку «Следующий шаг» , я выражаю свое добровольное, недвусмысленное и осознанное согласие с тем, что мои персональные данные, которые я предоставил, Sum and Substance Limited , зарегистрированная и зарегистрированная в Англии под номером 09688671, зарегистрированный офис которой находится по адресу: 30 St.Mary Axe, Лондон, Великобритания, EC3A 8BF, будет обрабатываться Sum and Substance Limited в целях проведения процедур «Знай своего клиента» (KYC) и противодействия отмыванию денег (AML).
2. Мое имя и другие средства идентификации для целей получения этого согласия должны быть установлены в процессе обработки моих персональных данных, осуществляемой в соответствии с этим согласием.
3. Настоящим я подтверждаю и согласен с тем, что Sum and Substance Limited будет обрабатывать мои личные данные от имени, средствами и для целей, определенных организацией, с которой я хочу установить деловые отношения после завершения процедур KYC и AML. , я.е. контролером данных, если только Sum and Substance Limited не является единственным контролером данных. В любом случае я подтверждаю и соглашаюсь, что мне известны данные и адрес контроллера данных.
4. Настоящим я подтверждаю и согласен с тем, что обработка должна выполняться с целью идентификации и соблюдения требований осмотрительности клиента в соответствии с законами, регулирующими предполагаемые деловые отношения .
5. Я подтверждаю и согласен с тем, что Sum and Substance Limited будет обрабатывать мои личные данные посредством автоматического считывания, проверки подлинности и другой автоматической обработки фотографий и сканированных копий документов, а также с дальнейшей проверкой данных в нескольких базах данных, включая, в частности, международных политически значимых лиц (PEP) и санкции, списки санкций для конкретных стран, списки преступников и финансовые списки.
6. Я подтверждаю и соглашаюсь с тем, что Sum and Substance Limited будет обрабатывать мои личные данные только на серверах, физически расположенных на территории Европейского Союза.
7. Я подтверждаю и соглашаюсь, что личные данные могут быть раскрыты организациям, связанным с Sum and Substance Limited , для достижения цели обработки в соответствии с настоящим Согласием. Подрядчики, которым Sum и Substance Limited раскрывают личные данные, принимают соответствующие технические и организационные меры для обеспечения безопасности личных данных.
8. Согласие на обработку, выраженное настоящим документом, распространяется на следующие операции: сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультация, использование, раскрытие путем передачи, распространения или иного предоставления, согласование или комбинация, ограничение, стирание или разрушение.
9. Согласие на обработку, выраженное настоящим документом, включает следующие личные данные: имя и фамилию, паспорт или любые данные удостоверения личности, зарегистрированный адрес, банковские реквизиты, изображение лица .
10. Настоящим подтверждаю, что я был проинформирован о том, что мои биометрические личные данные, то есть мое изображение лица, будут обработаны, и я даю свое добровольное, недвусмысленное и осознанное согласие на это.
11. Настоящим подтверждаю, что меня проинформировали о моем праве на:

• отозвать согласие на обработку персональных данных;
• доступ и изменение моих личных данных;
• предъявить обоснованное письменное требование о блокировке обработки моих данных в связи с конкретной ситуацией;
• возражать против обработки моих персональных данных;
• возражать против передачи моих личных данных, включая право возражать против привлечения любого из подрядчиков Sum and Substance к обработке моих личных данных;
• возражать против принятия решения, основанного исключительно на автоматизированной обработке / профилировании
• предъявить обоснованное требование в письменной форме удалить мои личные данные в соответствии с действующим законодательством,
• , все эти права можно реализовать, связавшись с Sum and Substance Limited , направив соответствующее уведомление по адресу [электронная почта защищена].

12. Настоящим подтверждаю, что я внимательно ознакомился со всеми вышеуказанными положениями и добровольно и безоговорочно согласен с ними.

Шесть законных оснований GDPR для обработки

Согласно GDPR (Общий регламент по защите данных), при обработке персональных данных организациями должно быть задокументировано законное основание.

Но что является законным основанием для обработки? Всегда ли вам нужно согласие отдельных лиц на обработку их данных? И что такое «законные интересы»?

Мы отвечаем на эти и другие вопросы в этом блоге.

Что такое законное основание?

Согласно статье 6 GDPR, когда организация обрабатывает персональные данные, необходима законная основа.

В нем описаны шесть баз, из которых организации могут выбирать в зависимости от обстоятельств:

1) Если субъект данных дает свое явное согласие или если обработка необходима

2) Для выполнения договорных обязательств , взятых на себя субъектом данных

3) Для соблюдения юридических обязательств контроллера данных

4) Для защиты жизненно важных интересов субъекта данных

5) Для задач, выполняемых в общественных интересах или осуществления полномочий, предоставленных контроллеру данных

6) Для целей законных интересов , преследуемых контролером данных

Давайте теперь рассмотрим каждый из них более подробно.

---

1. Согласие

Сольный концерт 32 состояния:

«Согласие должно быть выражено в форме четкого утвердительного акта, устанавливающего свободно данное, конкретное, информированное и недвусмысленное указание согласия субъекта данных на обработку относящихся к нему персональных данных, например, в виде письменного заявления, в том числе с помощью электронных средств. , или устное заявление ».

• «Подтверждающее действие» означает, что субъект данных должен дать согласие — вы не можете предполагать его согласие, например, используя предварительно отмеченные поля на своем веб-сайте.
• «Бесплатно предоставлено» означает, что субъект данных должен иметь реальный выбор: он не должен пострадать, если откажется от согласия.
• «Конкретный и информированный» означает, что вы должны четко объяснить, на что они соглашаются: расплывчатый или непонятный запрос согласия будет недействительным.

Если вы полагаетесь на согласие, важно вести надлежащий учет, как это предусмотрено статьей 7 (1):

«Если обработка основана на согласии, контролер должен иметь возможность продемонстрировать, что субъект данных дал согласие на обработку его или ее личных данных.”

Это особенно важно, поскольку субъекты данных имеют право отозвать свое согласие в любое время.

Для них должно быть так же легко отозвать свое согласие, как и предоставить его в первую очередь.

Если они действительно отзовут свое согласие, вы должны удалить их данные «без неоправданной задержки», если только вы не представите законную причину для их сохранения.

Многие люди и организации сосредотачиваются на согласии, но это, пожалуй, самая слабая законная основа для обработки, поскольку его можно отозвать в любой момент.

Поэтому всегда стоит определить, может ли применяться другое законное основание для обработки.

Например, когда вы обрабатываете данные о персонале для целей расчета заработной платы, будут применяться договорных обязательств , поскольку персонал подписал трудовой договор.

---

2. Договорные обязательства

Вы можете рассчитывать на договорные обязательства, если:

• У вас есть контракт с кем-то, и вам необходимо обрабатывать его личные данные для выполнения ваших обязательств в рамках этого контракта; или
• У вас еще нет контракта с кем-то, но они попросили вас сделать что-то в качестве начального шага (например, предоставить расценки), и для этого вам необходимо обработать их личные данные.

В этом контексте контракт не обязательно должен быть официальным юридическим документом, если он соответствует требованиям договорного права. Устное заявление также имеет значение.

Обработка, которую вы выполняете, должна быть необходима для выполнения ваших договорных обязательств. Это законное основание не будет применяться, если есть другие способы выполнения этих обязательств.

Если необходимо обрабатывать конфиденциальные данные в рамках контракта, вам также необходимо указать отдельное законное основание.

---

3. Юридические обязательства

Вы можете полагаться на юридические обязательства, если вам нужно обрабатывать личные данные в соответствии с общим правом или обязательством по закону. (Это не относится к договорным обязательствам .) Из соответствующего закона должно быть ясно, необходима ли обработка для соблюдения.

Опять же, важно вести учет: вы должны иметь возможность определить конкретное правовое положение, которое вы соблюдаете, или подготовить документ, в котором излагаются ваши юридические обязательства.

---

4. Жизненные интересы

Это основание применяется, если необходимо обрабатывать личные данные для защиты чьей-либо жизни. (Это применимо к любой жизни, а не только к жизни субъекта данных.)

В декларации 46 GDPR уточняется, что:

Обработка личных данных, основанная на жизненных интересах другого физического лица, в принципе должна осуществляться только в тех случаях, когда обработка не может быть явно основана на другом правовом основании.

Вряд ли применимо, кроме случаев неотложной медицинской помощи.

---

5. Государственные интересы

Это законное основание применяется, когда вы должны обрабатывать личные данные «для выполнения задачи, выполняемой в общественных интересах» или «при исполнении служебных полномочий».

Для обработки персональных данных вам не нужны определенные законодательные полномочия, но у вас должна быть четкая юридическая основа, которую вы должны задокументировать.

DPA 2018 поясняет, что сюда входит обработка, необходимая для:

• Отправление правосудия;
• Выполняет функции любой из палат парламента;
• Выполнение функции, возложенной на лицо законодательным актом или верховенством закона;
• Осуществление функций короны, министра короны или правительственного ведомства; или
• Деятельность, которая поддерживает или продвигает демократическое участие.

Права субъектов данных на удаление и переносимость данных не применяются, если вы обрабатываете данные на этом основании. Однако у них есть право на возражение.

---

6. Законные интересы

Наиболее гибкая из шести законных оснований для обработки, законные интересы теоретически могут применяться к любому типу обработки, выполняемой для любой разумной цели.

Статья 6 (1f) гласит, что обработка является законной, если и в той мере, в какой:

Обработка

необходима для целей законных интересов, преследуемых контролером или третьей стороной, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных, в частности, когда данные предмет — ребенок.

С одной стороны, это дает много возможностей для интерпретации.

С другой стороны, определение является бесполезно расплывчатым, и вы должны определить, являются ли ваши интересы в обработке персональных данных законными.

ICO (Управление Комиссара по информации) опубликовало тест из трех частей, охватывающий цель, необходимость и баланс.

Разнообразные интересы могут быть законными, включая ваши собственные интересы, интересы третьих лиц и коммерческие интересы.Это может включать:

• Обработка данных клиента или сотрудника;
• Обработка осуществляется в маркетинговых целях;
• Процессинг, помогающий предотвратить мошенничество;
• Внутригрупповая передача персональных данных; и
• Обработка в целях ИТ-безопасности.

Как правило, вы можете определить, применимы ли законные интересы, если вы используете данные отдельных лиц таким образом, который они ожидают или иным образом считают разумным, и где обработка оказывает минимальное влияние на их конфиденциальность.

И, как и в случае с GDPR, крайне важно вести учет. Если вы можете продемонстрировать, что вы выполнили полную LIA (оценку законных интересов), надзорный орган должен быть удовлетворен.

Следует отметить, что когда законные интересы используются для маркетинговой деятельности, право субъектов данных на возражение является абсолютным: вы должны прекратить обработку, если кто-либо возражает.

Вам также следует проверить свое соответствие PECR (Правила конфиденциальности и электронных коммуникаций, 2003 г.).

Если вы полагаетесь на законные интересы, право на переносимость данных не применяется.

DPO как услуга

Если вам нужна помощь в выполнении требований DPO, вам следует рассмотреть наш DPO как услугу.

GDPR дает организациям возможность передать свои DPO на аутсорсинг, и с нашим решением это никогда не было проще.

Один из наших экспертов по защите данных выполнит все необходимые задачи удаленно, работая с вами, чтобы понять вашу организацию и ее нормативные требования.

Услуга, предлагаемая нашей дочерней компанией GRCI Law, также идеально подходит для организаций, которые не обязаны по закону назначать DPO, но все же хотят, чтобы кто-то дал экспертную консультацию.

---

Версия этого блога была первоначально опубликована 17 июля 2018 года.

Когда вам разрешено собирать личные данные?

Фильм: Что такое правовая основа?

(Продолжительность: 1:37 мин.)

Содержание фильма соответствует тексту на этой странице.

Персональные данные могут быть собраны только для «конкретных, прямо заявленных и обоснованных целей и не могут впоследствии обрабатываться способом, несовместимым с этими целями». Таким образом, данные, которые собираются для определенной цели, не могут быть использованы позже для совершенно других целей.

Например, компания может оборудовать свои автомобили специальным оборудованием GPS, которое используется для электронной записи о вождении, чтобы упростить ее заявление в Налоговое управление Швеции. Однако работодателю не разрешается использовать данные, которые собирает GPS, для проверки того, как долго сотрудники делают перерывы.

Для обработки личных данных необходимо иметь поддержку в регулировании защиты данных. Это называется имеющим правовое основание. Существуют разные типы юридических оснований, которые может использовать компания. Наиболее важные из них:

Юридическое обязательство

В определенных случаях компании обязаны регистрировать личные данные, например, для выполнения своих бухгалтерских обязательств в соответствии с Законом о бухгалтерском учете.

Контракт

Трудовые договоры, договоры с клиентами и договоры с поставщиками являются примерами договоров, в соответствии с которыми компания обязана регистрировать и обрабатывать личные данные.Однако компания может зарегистрировать только те данные, которые необходимы для выполнения контракта.

Согласие

Еще одним правовым основанием является согласие, что означает, что вы спрашиваете человека, о котором идет речь, можете ли вы зарегистрировать информацию, касающуюся его / ее. Согласие в соответствии с положением о защите данных — это «любое свободно данное, конкретное, информированное и недвусмысленное указание на пожелания субъекта данных, посредством которого он или она посредством заявления или четкого позитивного действия означает согласие на обработку персональных данных, относящихся к его или ее».

Если ваша компания собирается собирать информацию, лицо должно сначала получить четкую информацию о том, какие данные будут собираться и для какой цели они будут использоваться, чтобы затем дать свое согласие.

Уравновешивание интересов

Также возможно обрабатывать личные данные после так называемого баланса интересов. Это тот случай, если компания может показать, что она имеет законный интерес в обработке данных и что этот интерес имеет больший вес, чем право отдельного лица на защиту данных.

No related posts.