Содержание

Положение о персональных данных

Главная/Положение о персональных данных

Генеральный директор

Некоммерческого партнерства

«Ассоциация Европейского Бизнеса»

Положение о персональных данных

Некоммерческого партнерства «Ассоциация Европейского Бизнеса»

г. Москва

2016

1. Общие положения

1.1. Настоящее Положение разработано на основании Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

1.2. В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» под персональными данными (далее — «персональные данные») понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации лицу.

Персональными данными физического лица являются, в том числе, его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, расходы и другая информация.

1.3. Некоммерческое партнерство «Ассоциация Европейского Бизнеса» (далее –«Организация» или «АЕБ») является оператором, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных.

1.4. Работники, уполномоченные на обработку персональных данных, обеспечивают обработку персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», других нормативных правовых актов Российской Федерации и несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

1.5. Перечень лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Организации, утверждается настоящим Положением и приказом руководителя.

1.6. Целями настоящего Положения являются создание и определение условий для сбора, обработки, хранения и предоставления персональных данных.

1.7. Согласие лица, полученное Организацией, сохраняет силу в течение всего срока действия договорных отношений или иных юридически обязывающих отношений с данным лицом.

1.8. При получении, обработке, хранении и передаче персональных данных лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных, обязаны соблюдать следующие требования:

а) обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

б) персональные данные следует получать лично у субъектов персональных данных (далее – субъект или лицо), либо у надлежаще уполномоченных представителей субъектов персональных данных.

В случае возникновения необходимости получения персональных данных у третьей стороны следует известить лицо об этом заранее, получить письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных;

в) запрещается получать, обрабатывать и приобщать к личному делу персональные данные о политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;

г) при принятии решений запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

д) защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Организации в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации;

е) передача персональных данных третьей стороне не допускается без письменного согласия субъектов персональных данных, за исключением случаев, установленных федеральными законами;

ж) субъекты персональных данных и их представители должны быть ознакомлены под подпись с документами Организации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области;

з) субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны персональных данных;

и) при необходимости Организация, субъекты персональных данных и их представители должны совместно вырабатывать меры защиты персональных данных.

1.9. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Обработка персональных данных в Организации производится при непосредственном участии человека. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

2. Сохранение персональных данных в Организации

2.1. Организация гарантирует безопасность и конфиденциальность используемых персональных данных.

2.2. При необходимости Организация вправе проверять достоверность представленных сведений.

3. Получение, обработка, хранение персональных данных

3. 1. В Организации устанавливается следующий порядок получения персональных данных:

3.1.1. Организация не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, частной жизни.

3.2. Организация вправе обрабатывать персональные данные субъектов персональных данных только с их письменного согласия.

3.3. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать в себя:

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

  • наименование и адрес оператора, получающего согласие субъекта персональных данных;

  • цель обработки персональных данных;

  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

  • срок, в течение которого действует согласие, а также порядок его отзыва.

3.4. Согласие субъекта персональных данных на обработку персональных данных не требуется в следующих случаях:

  • персональные данные являются общедоступными;

  • обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Организации;

  • по требованию полномочных государственных органов — в случаях, предусмотренных федеральным законом;

  • обработка персональных данных в целях исполнения договора;

  • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно.

3.5. Организация обеспечивает безопасное хранение персональных данных, в т.ч.:

3.5.1. Хранение, комплектование, учет и использование содержащих персональные данные документов организуется в форме обособленного архива Организации. Такой архив ведется в электронном виде при непосредственном участии человека и на бумажных носителях. Обработка персональных данных не автоматизирована и ведется Организацией при непосредственном участии человека (сотрудника Организации).

3.5.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.5.3. Хранимые персональные данные подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их хранении обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

3.5.4. При хранении персональных данных Организация обеспечивает:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства обработки персональных данных или на бумажные документы, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

4. Передача персональных данных

4.1. Персональные данные передаются с соблюдением следующих требований:

  • запрещается сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью лица, а также в других случаях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;

  • не сообщать персональные данные в коммерческих целях без письменного согласия субъекта таких данных;

  • предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;

  • разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

  • не запрашивать информацию о состоянии здоровья субъекта персональных данных;

  • передавать персональные данные субъекта персональных данных его представителям в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их полномочий.

5. Доступ к персональным данным

5. 1. Право доступа к персональным данным имеют:

  • Генеральный директор АЕБ;

  • Исполнительный директор АЕБ;

  • лицо(а), назначенное приказом Генерального директора АЕБ;

  • работники, взаимодействующие с определенным субъектом персональных данных;

  • работники финансового отдела;

  • руководители структурных подразделений по направлениям их деятельности.

5.2. Субъекты персональных данных в целях обеспечения защиты персональных данных имеют следующие права:

  • на ознакомление с настоящим Положением;

  • на полную информацию об их персональных данных и обработке этих данных;

  • на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;

  • на определение своих представителей для защиты своих персональных данных;

  • на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федеральным законом от 27. 07.2006 N 152-ФЗ «О персональных данных». При отказе Организации исключить или исправить персональные данные субъект персональных данных имеет право заявить в письменной форме Организации о своем несогласии с соответствующим обоснованием такого несогласия;

  • на требование об извещении Организацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

  • на обжалование в суд любых неправомерных действий или бездействия Организации при обработке и защите персональных данных.

5.3. Копировать и делать выписки персональных данных разрешается исключительно уполномоченным лицам АЕБ в служебных целях.

6. Порядок получения согласия субъекта

на обработку персональных данных

6.1. При начале взаимодействия с субъектами персональных данных, включая получение информации субъекта персональных данных впервые, ответственный сотрудник АЕБ обязан получить предварительное письменное согласие субъекта персональных данных в письменной форме (далее – «согласие»), в соответствии с образцом, приведенным в Приложении № 1 к настоящему Положению.

6.2. В том числе согласия должны быть получены:

  • у членов Правления АЕБ;

  • у кандидатов в члены Правления АЕБ;

  • у членов Совета национального представительства АЕБ;

  • у членов Ревизионной комиссии АЕБ;

  • у членов и участников комитетов, подкомитетов, рабочих групп и иных временных и постоянных органов и групп, образуемых представителями членов АЕБ;

  • у индивидуальных участников мероприятий АЕБ – физических-лиц, самостоятельно (от своего имени) участвующих в мероприятии;

  • у любых физических лиц фото- и видеоизображения которых получаются и/или используются АЕБ, при этом изображение такого лица в данных материалах должно быть основным объектом;

  • у иных физических лиц, предоставляющих персональные данные АЕБ, включая родственников сотрудников АЕБ.

6.3. Согласие заполняется, распечатывается ответственным сотрудником АЕБ и подписывается субъектом персональных данных в одном экземпляре, после чего передается уполномоченному сотруднику АЕБ и хранится в порядке, установленном настоящим Положением.

6.4. В формах заявления на членство в АЕБ в обязательном порядке указывается:

«Настоящим компания ( наименование компании-члена ) заверяет и гарантирует, что компания обладает надлежащими полномочиями на получение, передачу, обработку, использование и хранение персональных данных, которые НП «АЕБ» получает от компании в рамках осуществления НП «АЕБ» данных полномочий, а также в рамках прав и обязанностей члена, с соответствии с положениями применимого законодательства.».

6.5. В формы договоров АЕБ с физическими лицами в обязательном порядке вносится следующий пункт:

«В соответствии с настоящим договором НП «АЕБ» имеет право на получение, передачу, обработку, использование и хранение полученных персональных данных физического(их) лица(ц). Настоящее согласие действует со дня его предоставления до даты отзыва в письменной форме.».

6.6. В формы договоров АЕБ с контрагентами в обязательном порядке вносится следующий пункт:

«В соответствии с настоящим договором Стороны обязуются соблюдать порядок получения, передачи, обработки, использования и хранения персональных данных в соответствии с применимым законодательством и обязуются получить надлежащие согласия физических лиц на обработку их персональных данных.».

6.7. В онлайн-системы АЕБ в случае получения персональных данных в обязательном порядке вносится следующая оговорка:

«Я подтверждаю, что ознакомился(ась) с Порядком работы с персональными данными НП «АЕБ» и согласен(на) на обработку и передачу моих персональных данных, в том числе, без ограничений, свободно, своей волей и в своем интересе даю согласие на обработку, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), в том числе третьим лицам, обезличивание, блокирование, удаление, уничтожение и иные действия в отношении моих персональных данных внесенных в ( приводится название системы ). Настоящее согласие действует со дня его предоставления до даты отзыва в письменной форме.».

7. Ответственность за нарушение норм, регулирующих

обработку персональных данных

7.1. Работники АЕБ, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами.

7.2. Возмещение ущерба, причиненного неправомерным использованием информации, содержащей персональные данные, производится в соответствии с законодательством РФ.

Приложение № 1

к Положению о персональных данных

Некоммерческого партнерства «Ассоциация Европейского Бизнеса»

Согласие

на обработку персональных данных субъекта

персональных данных

(образец)

г. Москва «__» ______________ 20__ г.

Я, __________________________________________________________ (Ф.И.О.),

зарегистрированный(ая) по адресу _________________________________________

__________________________________________________________________________,

паспорт (либо иной документ, удостоверяющий личность)

серия _______ N _________ выдан ______________, ___________________________

(дата) (кем выдан)

__________________________________________________________________________,

свободно, своей волей и в своем интересе даю Некоммерческому Партнерству «Ассоциация Европейского Бизнеса» (АЕБ), расположенному по адресу: Российская Федерация, 127473, г. Москва, ул. Краснопролетарская, д. 16 стр. 3, согласие на обработку, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение моих персональных данных, в том числе:

(указываются конкретные данные, которые будут обрабатываться, например «фамилия, имя, отчество, место работы, адрес, email , должность, фото- и/или видеоизображение» и т. п.)

_______________________________________________________________________

_______________________________________________________________________

_______________________________________________________________________

_______________________________________________________________________.

Свои персональные данные предоставляю для обработки в целях: (например «проведения мероприятий АЕБ» или «осуществления членства в АЕБ» или «осуществления прав и обязанностей члена Правления АЕБ»)

_______________________________________________________________________

_______________________________________________________________________

______________________________________________________________________.

С Положением о персональных данных Некоммерческого партнерства «Ассоциация Европейского Бизнеса» ознакомлен(а).

Настоящее согласие действует со дня его подписания до даты отзыва в письменной форме.

Дата начала обработки персональных данных:

____________________________

(дата)

____________________________

(подпись)

Деятельность / Управление государственного надзора за техническим состоянием самоходных машин и других видов техники Ростовской области

Содержание:

1. Общие положения

2. Правовое основание, цели и способы обработки персональных данных

2.1. Цели и способы обработки персональных данных

2.2. Состав обрабатываемых персональных данных.

2.3. Правовое основание обработки персональных данных

3. Принципы и условия обработки персональных данных

4. Права субъекта персональных данных

5. Обязанности управления.

6. Меры по обеспечению безопасности персональных данных

7. Заключительные положения

1. Общие положения

Настоящий документ «Политика в отношении обработки персональных данных» (далее по тексту Политика) Управления государственного надзора за техническим состоянием самоходных машин и других видов техники Ростовской области (далее по тексту Управление) разработана в соответствии с требованиями Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ и распространяется на все персональные данные, обрабатываемые в Управлении.

Целью настоящей Политики является доведение до сотрудников и лиц, являющихся потребителями услуг Управления (заявителей), необходимой информации, позволяющей понять, какие персональные данные и с какой целью собираются Управлением, каким образом они обрабатываются, какие требования к обеспечению их безопасности реализуются.

Настоящая Политика распространяется на персональные данные, полученные как до, так и после ее утверждения.

В дополнение к настоящей Политике, Управление может выпускать дополнительные нормативные документы, регламентирующие защиту и порядок обработки персональных данных.

Действие настоящего документа распространяется на все процессы Управления, в рамках которых осуществляется обработка персональных данных, а также на подразделения, принимающие участие в указанных процессах.

2. Правовое основание, цели и способы обработки персональных данных

2.1. Цели и способы обработки персональных данных

Цель обработки персональных данных субъектов – обеспечение исполнение функций и предоставления услуг, определенных Положением об Управления, выполнения договорных обязательств Управления.

Обработка (сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение) персональных данных в Управлении подразделяется на:

— обработку персональных данных в информационных системах персональных данных с использованием средств автоматизации;

— обработку персональных данных, осуществляемую без использования средств автоматизации.

2.2. Состав обрабатываемых персональных данных

Управление обрабатывает персональные данные различных субъектов. Для каждой ИСПДн определяется перечень персональных данных, и данный перечень утверждается руководителем Управления государственного надзора за техническим состоянием самоходных машин и других видов техники Ростовской области.

2.3. Правовое основание обработки персональных данных 

Обработка персональных данных в Управлении осуществляется на основании следующих нормативно-методических документов:

— Конституция Российской Федерации (статьи 23,24).

— Федеральный закон «О персональных данных» от 27 июля 2006 года № 152-ФЗ.

— Трудовой кодекс Российской Федерации (статьи 85-90).

3. Принципы и условия обработки персональных данных

Обработка персональных данных в Управлении осуществляется на основе следующих принципов:

— обработка персональных данных осуществляется на законной и справедливой основе;

— обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

— при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;

— обработке подлежат только персональные данные, которые отвечают целям их обработки;

— обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;

— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

— при обработке персональных данных обеспечивается раздельное хранение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой.

При обработке персональных данных в Управлении обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных. Управление принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных персональных данных.

Обработка персональных данных в Управлении осуществляется на основании письменного согласия субъекта персональных данных. Управление не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.

В случае отказа субъекта персональных данных предоставить свои персональные данные Управление в обязательном порядке разъясняет субъекту юридические последствия такого отказа.

Управление не осуществляет принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Поручение обработки персональных данных третьему лицу осуществляется Управлением только на основании договора, заключенного между Управлением и третьим лицом, либо ином основании, предусмотренном действующим законодательством, при наличии согласия субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

4. Права субъекта персональных данных

В соответствии с Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ субъект персональных данных имеет право:

1. Получить от Управления сведения, касающиеся обработки персональных данных Управлением, а именно:

— подтверждение факта обработки персональных данных Управлением;

— правовые основания и цели обработки персональных данных;

— способы обработки персональных данных, применяемые в Управлении;

— наименование и место нахождения Управления, сведения о лицах (за исключением работников Управления), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Управлением или на основании федерального закона;

— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

— сроки обработки персональных данных, в том числе сроки их хранения;

— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора (Управления), если обработка поручена или будет поручена такому лицу;- иные сведения, предусмотренные Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ или другими федеральными законами.

2. Потребовать от Управления уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

3. Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки персональных данных.

4. Отозвать согласие на обработку персональных данных в предусмотренных законом случаях (если такое предусмотрено законодательством РФ).

Получение вышеуказанных сведений, уточнение, блокирование или уничтожение Управлением персональных данных, а также выполнение Управлением иных правомерных требований субъекта персональных данных осуществляется на основании письменного запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Управление (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Управлением, подпись субъекта персональных данных или его представителя.

Если субъект персональных данных считает, что Управление осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Российской федерации.

5. Обязанности управления 

В соответствии с требованиями Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ Управление обязано:

1. Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить мотивированный отказ от предоставления такой информации в срок, предусмотренный Федеральным законом «О персональных данных».

2. По требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

3. Уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных. Исключение составляют следующие случаи:

— субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

— персональные данные получены Управлением на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

— персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

— Управление осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

4. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных Управление обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

5. В случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управление) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

6. В случае выявления неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты этого выявления, прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Управление в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

7. В случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Управлением и субъектом персональных данных либо если Управление не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ или другими федеральными законами.

8. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Управлением и субъектом персональных данных. Об уничтожении персональных данных Управление обязано уведомить субъекта персональных данных.

6. Меры по обеспечению безопасности персональных данных

При обработке персональных данных Управление принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях обеспечивают сохранность носителей персональных данных и средств защиты информации, а также исключают возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Управление принимает следующие основные меры по обеспечению безопасности персональных данных при их обработке:

— определяет угрозы безопасности персональных данных при их обработке в информационных системах;

— применяет соответствующие технические и организационные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требования к защите персональных данных для установленных классов;

— применяет средства защиты информации, прошедшие в установленном действующим законодательством Российской Федерации порядке процедуру оценки соответствия;

— осуществляет хранение персональных данных, вне зависимости от типа носителя, в охраняемом помещении, оснащенном противопожарной сигнализацией;

— устанавливает правила доступа к персональным данным, обрабатываемым в информационных системах;

— при обработке персональных данных в информационных системах контролирует обеспечение уровня защищенности персональных данных и предотвращение несанкционированного доступа к ним и/или передачи их лицам, не имеющим права доступа к такой информации;

— оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных, в том числе до ввода в эксплуатацию новых информационных систем.

В целях координации действий по обеспечению безопасности персональных данных в Управлении назначены лица, ответственные за безопасность персональных данных.

В целях обеспечения соответствия требованиям Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ Управление не раскрывает информацию о конкретных применяемых средствах и методах обеспечения информационной безопасности персональных данных.

7. Заключительные положения

Внесение изменений в настоящую Политику должно производиться при изменении действующего законодательства Российской Федерации, по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, по результатам проведения внутренних аудитов информационной безопасности и других контрольных мероприятий.

Настоящая Политика и все изменения к ней утверждаются и вводятся в действие руководителем Управления.

Ответственность должностных лиц Управления, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Управления.

Законопроектная деятельность — Правительство России

Распоряжение от 29 июня 2019 года №1396-р. Законопроектом предлагается сведения, которые характеризуют генетические особенности человека, отнести к персональным данным, в отношении которых установлена дополнительная защита. Цель – обеспечить соблюдение конституционных прав граждан в сфере отношений, связанных с обработкой биометрических персональных данных.

Документ

  • Распоряжение от 29 июня 2019 года №1396-р

Проект федерального закона «О внесении изменений в статью 11 Федерального закона “О персональных данных” в части обработки биометрических персональных данных» (далее – законопроект) внесён Роспотребнадзором.

Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных» регулируются вопросы защиты информации физических лиц как субъектов персональных данных, определяется общий запрет на обработку отдельных категорий персональных данных без согласия на это субъекта персональных данных. В настоящее время в законодательстве имеется пробел в части защиты информации о человеке, полученной из его биоматериала, который содержит генетическую информацию, позволяющую получить о нём дополнительные сведения (о состоянии здоровья, образе жизни, поведенческих особенностях, чувствительности к фармакологическим препаратам или аллергенам и других индивидуальных характеристиках).

В целях устранения этого пробела законопроектом предлагается сведения, которые характеризуют генетические особенности человека, отнести к персональным данным, в отношении которых установлена дополнительная защита.

Цель – обеспечить соблюдение конституционных прав граждан в сфере отношений, связанных с обработкой персональных данных, содержащих информацию о генетических особенностях человека.

Законопроект рассмотрен и одобрен на заседании Правительства Российской Федерации 27 июня 2019 года.

Российская Федерация: новые изменения устанавливают правила сбора и распространения персональных данных

(21 апреля 2021 г. ) 30 декабря 2020 г. президент Российской Федерации Владимир Путин подписал Федеральный закон № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Закон вступил в силу 1 марта 2021 года.

Поправки предусматривают введение ограничений на основе согласия для любой организации («юридическое лицо») или физического лица, которые первоначально публикуют персональные данные, а также для тех, кто собирает и далее распространяет в публичной сфере персональные данные, которые были распространены на на основании согласия, включая социальные сети, блоги или любые другие источники.Согласно новым поправкам, публичный доступ к персональным данным и их использование после первоначальной публикации разрешены только в том случае, если субъект данных дает согласие на распространение. (Федеральный закон № 519-ФЗ, статья 1, § 1, вносящий изменения в статью 10.1 Закона о персональных данных.) Согласие должно быть «конкретным, утвердительным и полученным отдельно от субъекта данных, существование которого должно быть доказано в любой момент. указывать на использование и дальнейшее использование [данных] ». (Статья 1, § 1.) Физические лица имеют право не распространять свою информацию и разрешать обработку только своих личных данных.(§ 4.) Молчание или бездействие субъекта данных не может рассматриваться как свидетельство согласия на обработку персональных данных для распространения. (§ 8.)

Форма и содержание согласия устанавливаются федеральным органом по надзору в сфере связи, информационных технологий и средств массовой информации (Роскомнадзор). Роскомнадзор должен создать специальную централизованную информационную систему для регистрации полученного согласия. У каждого человека будет возможность в любой момент отказаться от распространения личных данных.(Статья 1 (5), изменяющая статью 10.1, § 1; статья 10.1, §§ 6, 7, 14.)

Среди требований к распространению персональных данных, установленных настоящим Законом, можно выделить следующие:

  • Субъект данных имеет право выбирать, какие типы персональных данных могут обрабатываться для распространения. (Статья 1 (5).)
  • Если личные данные были раскрыты их владельцем неопределенному кругу лиц до публикации и без выражения согласия, или были раскрыты в результате правонарушения, преступления или обстоятельств непреодолимой силы, лица, которые распространили или обработали данные иным образом, обязаны доказать законность своих действий.(§§ 2, 3.)
  • Операторы данных не могут игнорировать условия, ограничения или запреты на обработку и распространение данных, установленные субъектом данных. (§ 9.)
  • Ограничения на передачу, обработку и распространение данных, установленные субъектом данных, не распространяются на случаи, когда персональные данные обрабатываются в интересах государства или общественности, как это определено российским законодательством. (§ 11.)
  • Оператор данных должен опубликовать информацию об условиях обработки и наличии любых ограничений в течение трех рабочих дней с момента получения согласия.(§ 10.)
  • Оператор данных должен считать согласие субъекта данных на обработку и распространение его или ее персональных данных прекращенным и должен прекратить передачу персональных данных (то есть распространение, предоставление или доступ к данным) сразу после получения данных. отзыв субъектом согласия и его или ее просьба прекратить передачу данных. (§ 12.)

В пояснительной записке, подготовленной разработчиками Закона № 519-ФЗ, говорится, что целью закона является предотвращение «сбора, а впоследствии и неконтролируемого использования персональных данных, размещенных на интернет-сайтах, в целях, отличных от их целей. первоначальное распространение третьими сторонами.В пресс-релизе, выпущенном Хьюман Райтс Вотч, недавно принятые поправки были оценены как «часть более широких усилий по регулированию информации, передаваемой в Интернете, и ее доступности для общественности в Российской Федерации».

Смотри, но не трогай — Россия ограничивает обработку общедоступных данных — Конфиденциальность

Эта статья была впервые опубликована в IAPP Privacy Advisor.

С 1 марта 2021 года в России будут введены ограничения на обработка персональных данных, общедоступных в Интернете, и не в сети.Законодательные изменения направлены на борьбу с бесконтрольное распространение личной информации.

Изменение правовой основы

В соответствии с действующей статьей 6 (1) (10) Федерального закона «О Персональные данные »№152- ?? от 27.07.2006, любые данные оператор (русский эквивалент термина «контролер») может обрабатывать персональные данные, если субъект данных сделал это публично доступным или проинструктировал другое лицо сделать это. По сравнению с Статья 6 (1) Общего регламента ЕС по защите данных, есть нет необходимости обосновывать обработку законными интересами, выполнение контракта, согласия субъекта данных или других общеправовые основы.Когда »Внесены изменения в Федеральный закон о Персональные данные »№519- ?? от 30 декабря 2020 г. действие, это правило и термин общедоступные данные будут пропадать.

Поправки вводят новый термин «персональные данные. разрешено к распространению субъектом данных «, и определите это как личные данные, доступ к которым предоставляется общественности субъект данных, дающий свое согласие на обработку этого данные. Проще говоря, согласие субъекта данных станет единственное законное основание, согласно которому личные данные могут быть размещены в общедоступных источниках и впоследствии используются любыми заинтересованный оператор данных.

Согласно пояснительной записке к изменениям, их цель — предотвратить «сбор и неконтролируемое использование такие личные данные на веб-сайтах для целей, отличных от первоначальная цель, для которой он был распространен «. Однако правовой текст поправок не исключает их применения к офлайн-публикации данных (например, указание профессиональных биографий в печатные маркетинговые бюллетени).

Составление согласия субъекта данных

В соответствии с изменениями, согласие на обработку персональных данных разрешено к распространению субъектом данных, должно быть задокументировано отдельно от других форм согласия, если оператор данных запрашивает несколько согласий одновременно.Согласие должно быть составлено таким образом что субъекты данных могут:

Четко выражают готовность предоставить личные данные общественные.

  • Выберите конкретные категории данных для распространение.
  • Ограничить методы распространения, кроме предоставления доступа к данным.
  • Установить условия и запреты для обработка распространенных данных операторами данных, имеющими доступ такие данные в открытых источниках.

Указанные ограничения, условия и запреты не применяются. к обработке данных в государственных и иных общественных интересах.

Роскомнадзор имеет разработали более конкретные требования к содержанию согласия, но они еще не приняты.

Получение согласия субъекта данных

Субъект данных может либо лично дать согласие на оператор данных, стремящийся распространить или отправить личные данные через специальную ИТ-систему Роскомнадзора. Пока неясно как будет работать ИТ-система. Роскомнадзор должен внести это в операция 1 июля 2021 г.

Согласно новой статье 10.1 (10) Закона о персональных данных, данные оператор должен публиковать ограничения, условия и запреты указанные в согласии в течение трех рабочих дней с момента получения Это. Поправки не уточняют, как должна выглядеть публикация. лайк и нужно ли ставить его рядом с опубликованными данными (например, на той же странице). Операторы данных, имеющие публичный доступ к личным данным источники должны искать указанные ограничения, условия и запреты и соблюдайте их.Они несут бремя доказательства того, что они законно обрабатывать данные.

Информирование субъектов данных

В отличие от статьи 14 GDPR, текущая редакция Статья 18 (4) (3) Закона о персональных данных не требует, чтобы данные операторы информируют субъектов данных об обработке их данных из общедоступные источники. После вступления поправок в силу операторы данных будут освобождены от этой обязанности только в том случае, если они будут подчиняться условия и запреты на обработку распространяемых данных определяется в согласии.

Прекращение распространения данных

Поправки устанавливают право субъекта данных на отзыв согласие в любое время и с немедленным вступлением в силу путем направления уведомления оператору данных без объяснения причин. В этой ситуации Оператор данных может продолжить обработку, за исключением раскрытия данных категории, указанные в уведомлении. Поправки не объясняют кому субъекты данных могут адресовать свои уведомления — к данным оператор, впервые опубликовавший данные, последующие операторы или все они.

Кроме того, новая статья 10.1 (14) Закона о персональных данных заявляет, что субъекты данных могут связываться с любым, кто обрабатывает их данных и запретить им распространение, передачу, предоставление и доступ к их данным или даже подать в суд на такой запрет в в случае нарушения требований законодательства, введенных поправки. Оператор данных, получивший запрещающее уведомление должен прекратить эти действия в течение трех рабочих дней. Юридическая текст не дает никаких подсказок о принципиальной разнице между этим процедура и упомянутый отзыв согласия.Вероятный случай закон сделает его более ответственным.

Что делать?

Новые правила касаются онлайн-бизнеса, особенно больших данных компании и социальные сети, рекрутеры, собирающие резюме в Интернете, компании размещают биографии и профили своих сотрудников на корпоративные сайты, маркетинговые агентства и другие предприятия распространение личных данных или использование любых общедоступных источников. Это таким компаниям представляется разумным поступить следующим образом:

  • Аудит их перерабатывающей деятельности связанных с общедоступными данными, включая операции с их корпоративные сайты.
  • Проект новых шаблонов согласия, когда Роскомнадзор утверждает требования к их содержанию.
  • Сопроводить все публикации персональные данные с описанием условий обработки, ограничения и запреты, указанные в соответствующих согласие.
  • Проинструктировать сотрудников соблюдать условия обработки, ограничения и запреты, если они используют личные данные из открытых источников.
  • Обновить ответ субъекта данных процедуры с акцентом на поправки.
  • Обновить другие процедуры конфиденциальности и документы, если в них упоминается обработка общедоступных данные основаны на устаревшем законодательстве.
  • Подать обновленное уведомление о личных данных с Роскомнадзором, если в предыдущем уведомлении упоминалась обработка общедоступных данных.
  • Продолжать мониторинг Роскомнадзора обновления новой ИТ-системы для обработки согласий и ожидайте развертывание около 1 июля 2021 года.

Данная статья предназначена для ознакомления с общими сведениями. руководство по предмету. Следует обратиться за консультацией к специалисту. о ваших конкретных обстоятельствах.

Защита персональных данных в России

6.2.1 Правовая база

Статьи 23 и 24 Конституции России (1993 г.) уже показывают, что основными субъектами, на которые направлено законодательство о защите данных, являются субъекты данных и операторы данных. Эти же идеи нашли отражение в законодательстве.

Статья 23 гласит: «Каждый имеет право на неприкосновенность частной жизни, личные и семейные тайны, защиту чести и доброго имени». Конфиденциальность — это право контролировать информацию о себе. Право на неприкосновенность частной жизни является универсальным правом человека и признано таковым во Всеобщей декларации прав человека и Европейской конвенции о правах человека. Это основа права на защиту данных. Право на защиту данных проистекает из конфиденциальности, но не является универсальным правом человека.Он нацелен на операторов персональных данных, чтобы обеспечить их справедливую обработку. Соответственно, статья 24 Конституции РФ касается операторов персональных данных. Он требует, чтобы «сбор, хранение, использование и распространение информации о частной жизни не разрешались без согласия человека». До принятия специального законодательства в декабре 2005 г. Россия ратифицировала Конвенцию 1981 г. о защите физических лиц в отношении автоматической обработки персональных данных (Конвенция Совета Европы).Конвенция Совета Европы — это фундамент, на котором несколько стран построили свое законодательство о защите данных.

В июле 2007 года Государственная Дума приняла два закона, посвященных защите данных: Федеральный закон № 149-ФЗ « Об информации, информационных технологиях и загрузите информацию » (Об информации, информационных технологиях и защите данных, Закон о защите данных) и Федеральный закон № 152-ФЗ « О персональных данных » (Закон о персональных данных). Положения этих законов были обычными и аналогичными положениям Европейской директивы о защите данных 1995 г. (Garrie and Byhovsky 2017, 239).Закон о персональных данных является основным законом, регулирующим эту сферу в России. Он устанавливает цель защиты персональных данных — обеспечение прав и свобод человека и гражданина при обработке своих данных (статья 2).

До 2014 года российские правила защиты данных не отличались от Конвенции Совета Европы. После террористических актов в Волгограде в 2013 году Государственная Дума приняла антитеррористический пакет законов. Частью этого пакета стал Федеральный закон от 21 июля 2014 г.242-ФЗ (Закон о локализации), который ввел требование о локализации (подробнее об этом в разделе 6.3). Помимо российского законодателя, несколько органов власти уполномочены создавать положения о защите данных. Активную роль в этой сфере играют президент России, правительство России и федеральные службы (подробнее см. Гл. 3).

6.2.2 Органы исполнительной власти

Среди органов государственной власти Роскомнадзор играет наиболее активную роль. Дмитрий Медведев учредил Роскомнадзор в 2008 г.1715). Роскомнадзор подчиняется Министерству цифрового развития, связи и массовых коммуникаций (Минкомсвязи). У него много важных компетенций, таких как мониторинг средств массовой информации и ведение реестров операторов данных и запрещенных веб-сайтов (Постановление правительства о Роскомнадзоре). Что касается конкретных полномочий Роскомнадзора, то вектор деятельности этой Федеральной службы отклоняется от того направления, в котором нацелена защита персональных данных — обеспечение прав и свобод личности.В соответствии со статьей 23 Закона о защите данных Роскомнадзор может проводить расследования и инициировать контроль и надзор за операторами данных без учета нарушения личных прав физических лиц. Он действует независимо от того, имеют ли лица, чьи данные обрабатываются, какие-либо претензии к операторам данных. В результате деятельность Роскомнадзора направлена ​​на защиту данных как таковых, а не на защиту индивидуальных прав, затрагиваемых обработкой данных (Терещенко, 2018, 146).

Помимо Роскомнадзора, несколько других органов власти осуществляют свои полномочия по обеспечению соблюдения политики защиты данных в России. Прокуратура отвечает за преследование уголовных дел, связанных с нарушением защиты данных. Федеральная служба по техническому и экспортному контролю отвечает за надзор за безопасностью персональных данных в информационной инфраструктуре России.

6.2.3 Основные категории законодательства о защите данных

Основными категориями, определяющими законодательство о защите данных в России, являются данные, персональные данные, операторы данных, обработка данных и передача персональных данных.Статья 2 (1) Закона о защите данных определяет информацию как любые данные независимо от формы их представления. Согласно статье 3 (1) Закона о персональных данных, персональные данные — это любая информация, прямо или косвенно связанная с определенным или идентифицируемым физическим лицом (субъектом данных). Закон не защищает данные, не относящиеся к идентифицируемому физическому лицу (анонимные данные). Следуя этому определению, может быть трудно провести различие между техническими данными и личными данными, поскольку почти любая транзакция, совершенная в Интернете, будет представлять собой личные данные (Bauer et al.2015, 2).

Когда дело доходит до установления критериев того, что считается идентифицируемым лицом, практика Роскомнадзора может создать некоторую двусмысленность. Например, в 2017 году из Пенсионного фонда России произошла утечка информации, содержащей полные имена и фамилии его клиентов, их номера налогоплательщиков и информацию об их пенсионных накоплениях. Согласно ответу Пенсионного фонда, это не является утечкой данных, поскольку такие данные не позволяют идентифицировать личность (Терещенко, 2018, 152).Роскомнадзор никакими действиями не отреагировал на это нарушение. Как бы ни старался Пенсионный фонд обезопасить взлом, информация, содержащая имена, фамилии и идентификационные номера, без сомнения, является личными данными. В комментарии к Закону о персональных данных от 2015 года высокопоставленные должностные лица Роскомнадзора заявили, что индивидуальный номер налогоплательщика позволяет однозначно идентифицировать физическое лицо (Гафурова и др. 2015, 16).

Закон о персональных данных различает категории персональных данных.Согласно статье 10 закона, особые правила применяются к данным, касающимся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни. Обработка таких данных может производиться только в случаях, предусмотренных законом, например, если субъект данных дает письменное согласие на обработку данных.

В соответствии со статьей 3 (2) Закона о персональных данных, оператор — это орган, компания или физическое лицо, которое организует и (или) выполняет обработку персональных данных.Оператор также определяет цель обработки персональных данных и состав обрабатываемых персональных данных, а также действия в отношении персональных данных. Законодательство о защите данных применяется ко всем операторам данных и третьим лицам, уполномоченным операторами. Общее правило заключается в том, что операторы данных должны уведомить Роскомнадзор о своем намерении обработать данные до того, как приступить к обработке данных (статья 22). Есть определенные случаи, когда в таком уведомлении нет необходимости, например, когда обработка данных осуществляется в соответствии с трудовым законодательством, если данные включают только фамилию, имя и отцовское имя субъекта данных или если субъект данных раскрыл данные в открытый доступ.

При сборе персональных данных операторы должны информировать субъектов об определенных требуемых аспектах обработки данных. Например, согласно статье 18.1 (1) (2) операторам необходимо опубликовать политику обработки данных. Закон применяет разумный подход, возлагая эту обязанность на операторов, которые являются юридическими лицами. На практике это означает, что физическим лицам, а также индивидуальным предпринимателям не нужно публиковать свою политику обработки.

Операторам данных необходимо установить меры безопасности.Согласно статье 18.1 закона операторы данных вправе выбирать меры, которые им необходимо принять в соответствии с законом. В соответствии с законом рекомендуемые меры включают назначение сотрудника по защите данных, реализацию определенных организационных и технических мер, направленных на защиту данных, а также выполнение внутреннего контроля и аудита.

Интересно, что в перечень таких мер не входит обязательство уведомлять об утечке данных ни Роскомнадзор, ни субъекты данных.Была попытка внести поправки в законодательство и ввести обязанность уведомлять Роскомнадзор, МВД и даже соответствующих субъектов данных об утечках данных, но законопроект не принимается Госдумой с 2017 года (Законопроект № 416052 -6).

Обработка данных — это любое действие или комбинация действий, связанных с персональными данными (со средствами автоматизации или без них), включая сбор, запись, систематизацию, хранение, извлечение и передачу.Обработка должна быть адекватной, актуальной и не чрезмерной по отношению к цели, для которой обрабатываются данные. В соответствии со статьей 5 (7) Закона о персональных данных одним из принципов обработки данных является то, что после достижения цели, для которой была обработана информация, оператору необходимо анонимизировать или уничтожить данные, если не было договоренности об обратном. . На данный момент нет подробных правил уничтожения данных. Однако соответствующие поправки, разрешающие Роскомнадзору устанавливать такие подробные правила, находятся на рассмотрении Госдумы (законопроект «О прекращении действия персональных данных»).

Согласие субъектов данных является неотъемлемой частью обработки персональных данных. Согласно статье 9 Закона о защите данных, физическое лицо должно дать письменное согласие на обработку данных. Согласие должно быть конкретным, информированным и преднамеренным. Его можно получить в любой форме, подтверждающей его получение, включая заполнение онлайн-форм. Субъект данных может позже передумать и отозвать согласие на обработку данных. Операторы данных несут бремя доказательства того, что субъект данных дал свое согласие.

В соответствии со статьей 9 (4) (4) закона, в некоторых случаях, в том числе при обработке данных, касающихся политических взглядов, религиозных убеждений, состояния здоровья и интимной жизни, согласие должно быть дано в письменной форме. Письменная форма согласия должна включать цель обработки данных. Закон конкретно не требует, чтобы обработчик данных запрашивал у субъекта данных отдельное согласие для каждой цели обработки данных. Обработчики данных часто толкуют это положение таким образом, чтобы перечислить различные цели обработки данных в одной форме.Однако, поскольку толкование закона в обратном направлении возможно, существует существенный риск того, что Роскомнадзор потребует письменного согласия от субъекта данных для каждой цели обработки данных. Так было в споре между обществом с ограниченной ответственностью (ООО) «Скартел» и Роскомнадзором ( ООО «Скартел» против Управления Роскомнадзора Центрального федерального округа ). Арбитражный суд города Москвы, а затем апелляционный суд подтвердили позицию Роскомнадзора. Клиенты «Скартел» подписали условия, в которых перечислены определенные цели обработки данных.После этого некоторые клиенты заключили дополнительные соглашения онлайн. Такие соглашения включали больше целей обработки данных. Суды согласились с Роскомнадзором в том, что согласие на такие дополнительные цели обработки данных после дословного прочтения закона также должно быть дано в письменной форме на бумажных носителях. Чтобы исправить эту ситуацию, Минкомсвязи подготовило поправки к закону о защите данных, которые, среди прочего, позволят получить единое согласие человека на несколько целей обработки данных (Законопроект «О единой форме согласия»).Это один из примеров, когда целью поправок является облегчение бремени для операторов данных, в отличие от создания множества новых правил, вводящих ограничения и обязательства в сфере защиты данных, как будет показано в следующих разделах этой главы.

Персональные данные могут обрабатываться без согласия субъекта данных в определенных случаях (статья 6). Например, согласие не требуется, если обработка данных необходима для профессиональной журналистской деятельности или когда это необходимо для исполнения решения суда или государственного органа.

6.2.4 Передача за пределы России

Операторы данных могут передавать личные данные за пределы России. Перед осуществлением такой передачи оператор должен убедиться, что права субъекта персональных данных получат адекватную защиту в стране-получателе перевода. Статья 12 (1) Закона о персональных данных предусматривает, что все стороны, подписавшие Конвенцию Совета Европы, обеспечивают надлежащую защиту персональных данных. Кроме того, Роскомнадзор ведет регулярно обновляемый список стран, обеспечивающих такую ​​защиту (Приказ Роскомнадзора о списке стран с адекватной защитой персональных данных).

6.2.5 Территориальная сфера применения

Интернет распространяется за пределы национальных границ. Граждане России могут получить доступ к сайтам операторов, расположенных по всему миру (кроме заблокированных Роскомнадзором). Это не означает, что все эти операторы должны соответствовать требованиям русской локализации. Закон о защите данных конкретно не устанавливает территориальную сферу его применения. При этом при определении операторов персональных данных закон не ограничивает операторов только компаниями, зарегистрированными в России.По мнению Роскомнадзора, Закон о персональных данных является обязательным для иностранных компаний, обрабатывающих персональные данные в России (Роскомнадзор, 2019a). Территориальный охват определяется обработкой данных, которая (1) либо имеет место, либо направлена ​​на Россию, либо (2) касается данных российских граждан. Важно не место нахождения компании / лица, а территория, на которую направлены действия такой компании или лица. Тем не менее, компании, зарегистрированные за пределами России, могут подпадать под действие российского законодательства о защите данных.Аналогичным образом статья 3 GDPR устанавливает, что ее требования к защите данных являются обязательными не только для компаний, учрежденных в государствах-членах ЕС, но также и для компаний, расположенных в любой точке мира, если они обрабатывают данные граждан ЕС. Важность территориального аспекта российских правил защиты данных усиливается с принятием требования о локализации для операторов данных.

Новый законопроект о повышении штрафов за нарушение правил защиты российских данных

Текущая редакция законопроекта устанавливает максимальный штраф для юридических лиц по закону о локализации данных в размере 6 миллионов рублей (прибл.93 690 долларов США). Неоднократные нарушения закона о локализации данных могут повлечь увеличение штрафов до 18 миллионов рублей (около 281 070 долларов США) для юридических лиц.

Российский закон о локализации данных, вступивший в силу с 1 сентября 2015 года, устанавливает, что операторы данных, обрабатывающие данные российских граждан, собранные онлайн или офлайн, обязаны обрабатывать эти персональные данные в базах данных, расположенных на территории Российской Федерации (см. прошлое освещение здесь).При относительно низком нынешнем уровне штрафов на сегодняшний день основным риском несоблюдения требований является риск блокировки веб-сайта в России. Правоприменительная практика может изменить расчет риска, если законопроект будет принят в соответствии с предложением.

Законопроектом также вводятся повышенные штрафы за неоднократные нарушения Федерального закона РФ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации», в частности:

  1. Отсутствие регистрации в Роскомнадзоре в качестве организатора распространения информации в сети Интернет может повлечь наложение административного штрафа до 1 миллиона рублей (прибл.15 615 долларов США) для юридических лиц;
  2. непредоставление российским государственным органам информации о пользователях и их сообщениях или ключах дешифрования, которые необходимы для расшифровки сообщений пользователей, может привести к административному штрафу до 6 миллионов рублей (приблизительно 93 690 долларов США) для юридических лиц;
  3. Неустановка оборудования, необходимого для проведения уголовных расследований органами государственной власти РФ, может повлечь наложение административного штрафа в размере до 6 миллионов рублей (прибл.93 690 долларов США) для юридических лиц;
  4. невыполнение обязательств по услуге видео по запросу может привести к административному штрафу до 5 миллионов рублей (около 78 075 долларов США) для юридических лиц;
  5. невыполнение обязательств, возложенных на службы обмена мгновенными сообщениями, может повлечь административный штраф до 2 миллионов рублей (около 31 230 динаров) для юридических лиц;
  6. Невыполнение обязательств, возложенных на поисковые системы, может повлечь административный штраф до 5 миллионов рублей (прибл.78 075 долларов США) для юридических лиц.

Во время недавнего Петербургского международного экономического форума Александр Жаров, глава российского органа по защите данных (Роскомнадзор) упомянул, что увеличение штрафов будет направлено на повышение соблюдения компаниями российского законодательства о защите данных.

Еще только законопроект, это, конечно, не имеющий обязательной силы закон. На наш взгляд, окончательные максимальные штрафы, вероятно, будут уменьшены после слушаний по законопроекту, в частности, из-за признания того, что соблюдение правила локализации данных в России осуществляется в основном на основе неофициальных указаний соответствующих регулирующих органов, и все еще — это ряд ключевых вопросов, оставшихся без ответа Роскомнадзора о том, как соблюдать требования.Тем не менее, Роскомнадзор, похоже, очень заинтересован в том, чтобы законопроект стал обязательным законом, поскольку он повысит его влияние на расследования.

Для принятия законопроект должен пройти три слушания в Государственной Думе, в ходе которых есть большая вероятность, что в закон будут внесены поправки. После того, как законопроект будет принят Государственной Думой, он также должен пройти высшую палату российского парламента и подписаться президентом.

Тем временем компании, ведущие бизнес в России, могут захотеть проверить соблюдение ими российского закона о защите данных и локализации, чтобы снизить риски увеличения штрафов, если законопроект будет включен в российское законодательство.

Авторы Наталья Гуляева, Алла Горбушина и Брет Коэн

Новая база данных угрожает праву на конфиденциальность в России

Обновление: 8 июня президент Путин подписал законопроект. Закон вступит в силу поэтапно с 1 января 2022 года.

Новый закон о создании «единой федеральной базы данных» в России нарушает право на неприкосновенность частной жизни и ослабляет защиту личных данных всех, кто проживает в стране.Нижняя палата парламента приняла законопроект 21 мая, и он вступит в силу после одобрения верхней палатой и президентом.

Федеральная база данных, которая должна быть полностью функциональна к 2025 году, будет содержать персональные данные всего населения России, включая свидетельства о рождении, паспортные данные, семейное положение, любое изменение пола, образование, разрешения на проживание за рубежом, трудоустройство и т. Д. и информация о налогоплательщиках. Также будут включены ссылки на профили родителей и детей.

База данных будет находиться в ведении Федеральной налоговой службы, и другие государственные органы будут использовать ее. Данные могут быть переданы избирательным комиссиям, судам, прокуратуре и другим правоохранительным органам. По мнению законодателей, законопроект направлен на обеспечение достоверности и согласованности данных по всей стране.

Российский закон «О персональных данных» запрещает объединение баз данных, собранных для разных целей. Он также запрещает чрезмерный сбор и хранение данных — это означает, что все, что собирается, должно иметь прямое отношение к тому, для чего эти данные будут использоваться.Эти принципы перекликаются с Конвенцией 108+ Совета Европы о защите физических лиц в отношении обработки персональных данных, участником которой является Россия.

Глава Федеральной налоговой службы отметил, что единая база данных позволит создать «идеальный золотой профиль» для каждого, который можно использовать, в том числе, для принятия решений о выплате социальных пособий путем расчета доходов семьи на основе информация из профилей. Однако в соответствии с Конвенцией 108+ каждый человек имеет право не подвергаться решению, которое может существенно повлиять на него, на основании исключительно автоматизированной обработки данных.

Концепция единой базы данных позволяет правительству хранить чрезмерные объемы данных на неопределенный срок, а также передавать их государственным органам без явного согласия человека. Это также ставит под угрозу безопасность личных данных, собирая их все в одном месте, а не храня децентрализованно.

Предлагая систему, которая противоречит принципам защиты данных, закрепленным как в национальном законодательстве, так и в международных соглашениях, участником которых является Россия, закон о «единой федеральной базе данных» может принести больше вреда, чем пользы.

Политика обработки персональных данных Сайт гостиницы «Савой Москва»

Политика обработки персональных данных в ИНФА-ОТЕЛЬ, зарегистрированное торговое название Гостиница «Савой»

1.1. Этот документ определяет политику INFA-HOTEL (Отеля) в отношении обработки и безопасности персональных данных.

1.2. Настоящая Политика предназначена для реализации требований законодательства в области обработки и безопасности персональных данных и направлена ​​на обеспечение полной защиты прав и свобод человека и гражданина при обработке его персональных данных в Отеле. .

1.3. Положения настоящей Политики являются обязательными для всех сотрудников Отеля.

1,4. Положения настоящей Политики являются основой для организации в Отеле всех процессов, связанных с обработкой и защитой персональных данных.

1,5. Настоящая политика разработана в соответствии с Федеральным законом РФ:

.
  • Конституция Российской Федерации;
  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • Трудовой кодекс Российской Федерации от 30 декабря 2001 г. №197-ФЗ;
  • Федеральный закон от 24 ноября 1996 г. № 132-ФЗ «Об основах туристской деятельности в Российской Федерации»;
  • «Правила оказания гостиничных услуг на русском языке», утвержденные Постановлением Правительства от 09 октября 2015 г. № 1085;
  • и в соответствии с другими действующими федеральными законами и подзаконными актами Российской Федерации, которые определяют правила и особенности обработки персональных данных и обеспечивают безопасность и конфиденциальность такой обработки.

1,6. Политикой установлено:

  • целей обработки персональных данных;
  • общие принципы и правила обработки персональных данных;
  • классификация персональных данных и субъектов персональных данных;
  • права и обязанности субъектов персональных данных и Отеля по их обработке;
  • , как обрабатываются личные данные.

1,7. Настоящая Политика подлежит размещению на общедоступном ресурсе — официальном сайте гостиницыhttps: // eng.savoy.ru — в неограниченном доступе.

1,8. Политика вступает в силу в день утверждения.

1.9. Настоящая Политика подлежит пересмотру в связи с изменениями законодательства Российской Федерации в области обработки и защиты персональных данных, исходя из оценки актуальности, адекватности и эффективности принятых мер безопасности обработки персональных данных в Отель.

1.10. Настоящая Политика распространяется на действия (операции) или набор действий (операций), совершаемых с использованием или без использования таких инструментов с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование , передача (распространение, предоставление, доступ), обезличивание, блокировка, удаление, уничтожение персональных данных.

2. Основные термины и определения

Автоматическая обработка персональных данных — обработка персональных данных с помощью компьютеров.

Персональные биометрические данные — информация, характеризующая физиологические и биологические характеристики человека, на основании которых может быть установлена ​​его личность и которые используются оператором для установления личности субъекта персональных данных.

Блокировка персональных данных — временное прекращение обработки персональных данных (кроме случаев, когда обработка необходима для уточнения персональных данных).

Безопасность персональных данных — состояние безопасности персональных данных, характеризующееся способностью пользователей, технических средств и информационных технологий обеспечивать конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Информационная система персональных данных — совокупность персональных данных, содержащихся в базах данных, технических средств и информационных технологий, обеспечивающая их обработку.

Конфиденциальность персональных данных — обязательное требование к Отелю или любому другому лицу, имеющему доступ к персональным данным, не разглашать и не распространять их без согласия субъекта персональных данных или наличия иных правовых оснований.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), осуществляемых с использованием или без использования таких инструментов с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Публичные персональные данные — персональные данные, к которым имеет доступ неограниченное количество лиц с согласия субъекта персональных данных или на которые не распространяется требование конфиденциальности в соответствии с федеральным законом.

Обезличивание персональных данных — действия, которые делают невозможным определение принадлежности персональных данных конкретному лицу без использования дополнительной информации.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими организует и / или обрабатывает персональные данные, а также определяет цели обработки персональных данных, состав персональных данных. обрабатываемые данные, действия (операции), совершаемые с персональными данными.

Обмен персональными данными — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных).

Особые категории персональных данных — персональные данные, касающиеся расы, национальности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.

Субъект персональных данных — физическое лицо, которое прямо или косвенно определяется данными.

Прочая информация — информация, которая не идентифицирует личность или не относится к ней напрямую.

Уничтожение персональных данных — действия, которые делают невозможным восстановление содержания персональных данных в информационной системе и / или в результате которых уничтожаются материальные носители персональных данных.

3.Цели обработки персональных данных

3.1. Отель обрабатывает персональные данные в целях:

  • оказание гостиничных и / или дополнительных услуг в отеле «Савой» в соответствии с Правилами отеля «ИНФА-ОТЕЛЬ», утвержденными Приказом Генерального директора от 28.12.2018 № 14-ДИР, по гражданскому праву Российской Федерации и категории гостиницы;
  • предоставление субъекту персональных данных подтверждения бронирования гостиницы «Савой»;
  • заключение договоров с субъектом персональных данных на оказание гостиничных и дополнительных услуг в отеле «Савой» и их дальнейшая реализация;
  • организация и ведение кадрового делопроизводства в Отеле;
  • привлечение и подбор кандидатов в Гостиницу;
  • формирование статистической отчетности, в том числе для предоставления в органы государственной власти РФ;
  • предоставление субъекту персональных данных информации о предоставляемых услугах, текущих маркетинговых акциях и новых услугах;
  • и другие цели, не запрещенные федеральными законами, международными договорами Российской Федерации.

4. Классификация персональных данных и категорий Субъектов, персональные данные которых обрабатываются в Гостинице

4.1. Персональные данные включают в себя любую информацию, относящуюся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), обрабатываемую Отелем для достижения этих целей.

4.2. Отель не обрабатывает особые категории персональных данных, касающихся расы, национальности, политических взглядов, религиозных и философских убеждений, если иное не установлено законодательством Российской Федерации.

4.3. Отель обрабатывает персональные данные в следующих категориях субъектов персональных данных:

  • физических лиц, работающих в Отеле;
  • физических лиц, являющихся кандидатами на должность сотрудников Отеля;
  • физических лиц, выполняющих работы и оказывающих услуги по гражданско-правовым договорам, заключенным с Гостиницей;
  • физических лиц, которые являются клиентами Отеля (гостей) и / или юридически представляют интересы клиентов Отеля или намереваются стать таковыми;
  • физических лиц, которые приобретают или намереваются приобрести сторонние услуги через отель, при условии, что их персональные данные включены в автоматизированные системы отеля в связи с предоставлением отеля и / или дополнительных услуг;
  • лиц, которые дали согласие на обработку Отелем их персональных данных или чьи персональные данные требуются Отелю для выполнения обязанностей, выполнения функций или полномочий, возложенных и / или предусмотренных международным договором Российской Федерации или законом. Российской Федерации.

5. Основные принципы обработки персональных данных

5.1. Обработка персональных данных в Отеле основывается на следующих принципах:

  • законность целей и способов обработки персональных данных;
  • соответствие цели обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
  • соблюдение состава и объема обрабатываемых персональных данных, а также того, как персональные данные обрабатываются для заявленных целей обработки;
  • достоверность персональных данных, их достаточность для обработки;
  • недопустимость обработки персональных данных, избыточных по отношению к целям, указанным при сборе персональных данных;
  • недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых целях;
  • обеспечение хранения персональных данных не дольше, чем это требуется целью обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных;
  • уничтожение или обезличивание персональных данных при достижении целей обработки или в случае достижения целей обработки более не требуется, если иное не предусмотрено законодательством Российской Федерации или договором, стороной которого является субъект персональных данных;
  • обеспечивает конфиденциальность и безопасность обрабатываемых персональных данных.

6. Обработка персональных данных

6.1. Обработка персональных данных осуществляется в соответствии с принципами и правилами, установленными Федеральным законом от 27.07.2006 № 152 «О персональных данных».

6.2. Отель обрабатывает персональные данные как с помощью средств автоматизации, так и без использования средств автоматизации.

6.3. Отель может включать персональные данные субъектов в общедоступные источники персональных данных, в этом случае Отель принимает письменное согласие субъекта на обработку его персональных данных.

6.4. Биометрические персональные данные в Отеле не обрабатываются.

6.5. Отель может осуществлять трансграничную передачу личных данных (как в страны, которые обеспечивают соответствующий уровень защиты личных данных, так и в другие страны, которые могут не обеспечивать надлежащий уровень защиты личных данных) в целях соблюдения договор, стороной которого является субъект персональных данных и / или с его согласия.

6.6. Решения, основанные на исключительно автоматической обработке персональных данных, которые влекут за собой юридические последствия для субъекта персональных данных или иным образом затрагивают его права и законные интересы, не принимаются.

6.7. При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных согласие субъекта может быть дано субъектом персональных данных или его представителем любым способом, позволяющим получить факт получения им формы.

6,8. Отель вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключенного с этим лицом договора (распоряжения оператора).

При этом Отель обязывает лицо, обрабатывающее персональные данные от имени Отеля по договору, соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.

6.9. Предоставление доступа к персональным данным, обрабатываемым Отелем, органам государственной власти (в том числе контролирующим, надзорным, органам общественной безопасности) осуществляется в объеме и порядке, установленном соответствующим законодательством Российской Федерации.

6.10. Сбор и обработка прочей информации

Для целей Политики «Прочая информация» относится к данным, которые не идентифицируют напрямую посетителя веб-сайта Hotel eng.savoy.ru, но используются Отелем с его согласия. Эти данные представляют собой фрагмент информации, которую сервер использует для обмена статусом с браузером пользователя Интернета, в частности, информацию о браузере и устройстве, используемом посетителем, историю посещений сайта и просмотренных страниц.Эта информация собирается Отелем с использованием файлов cookie, пиксельных тегов и других аналогичных технологий. Эта информация используется Отелем для проведения веб-анализа и сбора статистики, отслеживания потока посетителей и оценки их способа работы с сайтом, оптимизации сайта для посетителей, обмена данными со сторонними веб-сайтами и перенаправления пользователей в Отель. Веб-сайт.

Поскольку Другая информация не идентифицирует вас лично, такая информация может быть раскрыта для любых целей, если это разрешено законом.В некоторых случаях (например, при подписке на информационный бюллетень, использование форм обратной связи) мы можем объединить Прочую информацию с личной информацией. Если мы объединяем любую Прочую информацию с личной информацией, объединенная информация будет рассматриваться нами как личная информация в соответствии с настоящей Политикой.

7. Права субъекта персональных данных

7.1. Субъект персональных данных имеет право:

  • для получения информации, касающейся обработки персональных данных, в порядке, форме и сроках, установленных законом о персональных данных;
  • требовать уточнения личных данных, их блокирования или уничтожения в случае, если личные данные являются неполными, устаревшими, неточными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются для целей, ранее не заявленных, когда Субъект ранее предоставил согласие субъекта персональных данных на обработку персональных данных;
  • обратиться в суд для защиты своих прав;
  • отозвать согласие на обработку персональных данных.

7.2. Субъект персональных данных обязан предоставить полную, точную и достоверную информацию о своих персональных данных.

7.3. Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено в соответствии с федеральными законами.

8. Права и обязанности отеля при обработке персональных данных

8.1. Гостиница имеет право:

  • для обработки персональных данных субъекта персональных данных в соответствии с заявленной целью;
  • требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора и оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законом о персональных данных;
  • для ограничения доступа субъекта к персональным данным, если это нарушает права и законные интересы третьих лиц, а также в других случаях, предусмотренных законодательством Российской Федерации;
  • для обработки общедоступных персональных данных физических лиц;
  • для обработки персональных данных, подлежащих публикации или связанных с обязательным раскрытием в соответствии с законодательством Российской Федерации;
  • для уточнения обрабатываемых персональных данных, блокировки или удаления, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • для учета обращений субъектов персональных данных;
  • поручить обработку персональных данных другому лицу с согласия субъекта персональных данных.

8.2. В соответствии с требованиями Федерального закона «О персональных данных»

Гостиница обязана:

  • предоставлять субъекту персональные данные по запросу информации, касающейся обработки его персональных данных, или законно отклонять;
  • по запросу субъекта персональных данных уточнить обрабатываемые персональные данные, заблокировать или удалить, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не необходимыми для заявленной цели обработки;
  • для учета обращений субъектов персональных данных;
  • для уведомления субъекта персональных данных об обработке персональных данных, если персональные данные не были получены от субъекта, за исключением случаев, предусмотренных законодательством Российской Федерации;
  • , если цель обработки персональных данных достигнута — немедленно прекратить обработку персональных данных и уничтожить соответствующие персональные данные, если иное не предусмотрено договором, стороной которого является субъект персональных данных, или иным соглашением между Отелем и персональными данными предмет;
  • в случае отзыва субъектом согласия на обработку персональных данных о прекращении обработки персональных данных и уничтожении персональных данных в срок, установленный законодательством Российской Федерации.Отель обязан уведомить субъекта персональных данных об уничтожении персональных данных;
  • Гостиница обязуется и обязывает других лиц, получивших доступ к персональным данным, не разглашать их третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
  • назначить лицо (лиц), ответственное за организацию обработки персональных данных.

9. Меры по обеспечению безопасности персональных данных при их обработке

9.1. При обработке персональных данных Отель принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, редактирования, блокировки, копирования, предоставления, распространения персональных данных, а также других неправомерных действий. в отношении личных данных.

9.2. Безопасность личных данных достигается за счет:

  • Выявление угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных, реализация которых обеспечивает уровни защиты персональных данных, установленные Правительством Российской Федерации;
  • Оценка эффективности принятых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • Бухгалтерские носители персональных данных;
  • Обнаружение несанкционированного доступа к персональным данным и принятие мер;
  • Восстановление персональных данных, измененных или уничтоженных в результате несанкционированного доступа к ним;
  • Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • Обучение персонала Отеля, занимающегося обработкой персональных данных, по вопросам безопасности персональных данных;
  • Мониторинг принимаемых мер по обеспечению безопасности персональных данных и уровня безопасности информационных систем персональных данных.

10. Ответственность за гостиницу

10.1. Правила и требования настоящей Политики, которые применяются при обработке персональных данных в Отеле, контролируются лицами, назначенными Приказом Администрации Отеля.

10.2. Отель, а также его должностные лица и сотрудники несут уголовную, гражданско-правовую, административную и дисциплинарную ответственность за несоблюдение принципов и условий обработки персональных данных, а также за разглашение или незаконное использование персональных данных в соответствии с право РФ.

Новые правила обработки персональных данных

С 1 марта 2021 года вступил в силу Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон« О персональных данных »*» (далее — «Закон»).

Термин «общедоступные персональные данные» заменен на «персональные данные, разрешенные субъектом данных для распространения». Это информация, к которой имеет доступ неограниченное количество лиц. Как правило, он публикуется в социальных сетях или различных банках данных.Теперь, чтобы обрабатывать такую ​​информацию и предоставлять ее широкому кругу людей, необходимо получить согласие субъекта данных. Он оформляется отдельным документом, а требования к его содержанию устанавливает Роскомнадзор, который также разрабатывает информационную систему для получения согласия в электронном виде. Система начнет работать с 1 июля 2021 года. Правила ее работы будут установлены в постановлении Роскомнадзора, которое сейчас находится на стадии общественного обсуждения.

В течение 3 рабочих дней с момента получения соответствующего согласия оператор должен опубликовать информацию об условиях обработки и запретах, которые третьи лица должны учитывать при обработке данных.

Новые правила коснутся владельцев сайтов, социальных сетей и других интернет-ресурсов, а также тех, кто использует информацию из этих источников. Цель изменений — исключить неконтролируемое использование персональных данных пользователями Интернет-ресурсов, чтобы гарантировать соблюдение прав граждан на неприкосновенность частной жизни.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *