О защите персональных данных статья: Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция)

Статья 8. Права субъекта персональных данных Общий раздел О защите персональных данных | Нормативная база Украины

1. Личные неимущественные права на персональные данные, которые имеет каждое физическое лицо, являются неотъемлемыми и незыблемыми.

2. Субъект персональных данных имеет право:

1) знать об источниках сбора, местонахождении своих персональных данных, целях их обработки, местонахождении или месте проживания (пребывания) владельца либо распорядителя персональных данных или дать соответствующее поручение относительно получения данной информации уполномоченным им лицам, кроме случаев, установленных законом;

2) получать информацию об условиях предоставления доступа к персональным данным, в частности, информацию о третьих лицах, которым передаются его персональные данные;

3) на доступ к своим персональным данным;

4) получать не позднее чем за тридцать календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, обрабатываются ли его персональные данные, а также получать содержание таких персональных данных;

5) предъявлять мотивированное требование владельцу персональных данных с возражением против обработки своих персональных данных;

6) предъявлять мотивированное требование об изменении или уничтожении своих персональных данных любым владельцем и распорядителем персональных данных, если эти данные обрабатываются незаконно или являются недостоверными;

7) на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, которые являются недостоверными либо порочат честь, достоинство и деловую репутацию физического лица;

8) обращаться с жалобами на обработку своих персональных данных к Уполномоченному или в суд;

9) применять средства правовой защиты в случае нарушения законодательства о защите персональных данных;

10) вносить оговорки относительно ограничения права на обработку своих персональных данных во время предоставления согласия;

11) отозвать согласие на обработку персональных данных;

12) знать механизм автоматической обработки персональных данных;

13) на защиту от автоматизированного решения, которое имеет для него правовые последствия.

3. Часть третья статьи 8 исключена.

Ст. 6 ЗУ О защите персональных данных Общие требования к обработке персональных данных от 01.06.2010 № 2297-VI Закон Украины О защите персональных данных Статья 6 Комментарий

1. Цель обработки персональных данных должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных или иных документах, регулирующих деятельность владельца персональных данных, и соответствовать законодательству о защите персональных данных.

Обработка персональных данных осуществляется открыто и прозрачно с применением средств и способом, которые отвечают определенным целям такой обработки.

В случае изменения определенной цели обработки персональных данных на новую цель, которая несовместима с предыдущей, для дальнейшей обработки данных владелец персональных данных должен получить согласие субъекта персональных данных на обработку его данных в соответствии с измененной цели, если иное не предусмотрено законом.

2. Персональные данные должны быть точными, достоверными и обновляться по мере необходимости, определенной целью их обработки.

3. Состав и содержание персональных данных должны быть соответствующими, адекватными и ненадмирнимы относительно определенной цели их обработки.

{Абзац второй части третьей статьи 6 исключен на основании Закона № 5491-VI от 20.11.2012}

4. Первичными источниками сведений о физическом лице являются: выданные на его имя документы; подписанные им документы; сведения, которые лицо предоставляет о себе.

5. Обработка персональных данных осуществляется для конкретных и законных целей, определенных по согласию субъекта персональных данных или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством.

6. Не допускается обработка данных о физическом лице, являются конфиденциальной информацией, без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.

{Часть шестая статьи 6 с изменениями, внесенными согласно Закону № 1170-VII от 27.03.2014}

7. Если обработка персональных данных необходима для защиты жизненно важных интересов субъекта персональных данных, обрабатывать персональные данные без его согласия можно до времени, когда получение согласия станет возможным.

8. Персональные данные обрабатываются в форме, допускающей идентификацию физического лица, которого они касаются, не дольше, чем это необходимо для законных целей, в которых они собирались или в дальнейшем обрабатывались.

Дальнейшая обработка персональных данных в исторических, статистических или научных целях может осуществляться при условии обеспечения их надлежащей защиты.

{Часть девятая статьи 6 исключен на основании Закона № 383-VII от 03.07.2013}

10. Типовой порядок обработки персональных данных утверждается Уполномоченным.

Статья 19 меры по обеспечению безопасности персональных данных при их обработке федеральный закон РФ n 152-ФЗ о персональных данных (защита персональных данных) (2022).

Актуально в 2019 году

размер шрифта

Федеральный закон РФ N 152-ФЗ О персональных данных (защита персональных данных) (2022) Актуально в 2018 году

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

—

Статья 8. Защита персональных данных

Часть II Права субъектов данных и других лиц
Раздел 7 Право доступа к персональным данным.
(1) В соответствии со следующими положениями этого раздела и разделами 8, 9 и 9A, физическое лицо имеет право —
(a) получать информацию от любого контроллера данных о том, собираются ли персональные данные, субъектом данных которых является это лицо. обрабатывается этим контролером данных или от его имени,
(b) если это так, контролер данных должен предоставить описание —
(i) персональных данных, субъектом данных которых является это физическое лицо,
(ii ) цели, для которых они обрабатываются или должны быть обработаны, и
(iii) получатели или классы получателей, которым они раскрыты или могут быть раскрыты,
(c) сообщить ему в понятной форме —
( i) информацию, составляющую любые персональные данные, субъектом данных которых является это физическое лицо, и
(ii) любую информацию, доступную контролеру данных, относительно источника этих данных, и
(d), если обработка автоматическими средствами персональных данные, субъектом данных которых является это физическое лицо цель оценки вопросов, касающихся его, таких как, например, его производительность на работе, его кредитоспособность, его надежность или его поведение, составляли или могут составлять единственное основание для любого решения, существенно затрагивающего его, быть проинформированным контроллер данных логики, участвующей в принятии этого решения.
(2) Контроллер данных не обязан предоставлять какую-либо информацию в соответствии с подразделом (1), если он не получил —
(a) письменный запрос и
(b), за исключением установленных случаев, такой сбор (не превышающий установленный Максимум) как он может потребовать.
(3) Если контролер данных —
(a) разумно требует дополнительную информацию, чтобы удостовериться в личности лица, делающего запрос в соответствии с настоящим разделом, и найти информацию, которую это лицо ищет, и
(b) проинформировал его об этом требовании, контролер данных не обязан выполнять запрос, если ему не будет предоставлена ​​эта дополнительная информация.
(4) Если контролер данных не может выполнить запрос, не раскрывая информацию, относящуюся к другому лицу, которое может быть идентифицировано по этой информации, он не обязан выполнять запрос, если только —
(a) другое лицо не дало согласия на раскрытие информации лицу, делающему запрос, или
(b) разумно при всех обстоятельствах выполнить запрос без согласия другого лица.
(5) В подразделе (4) ссылка на информацию, относящуюся к другому лицу, включает ссылку на информацию, идентифицирующую это лицо как источник информации, запрошенной в запросе; и этот подраздел не должен толковаться как освобождающий контролера данных от передачи такой части информации, запрашиваемой в запросе, которая может быть сообщена без раскрытия личности другого заинтересованного лица, будь то путем упущения имен или других идентифицирующих сведений или иным образом. .
(6) При определении для целей подраздела (4)(b) того, разумно ли во всех обстоятельствах выполнить просьбу без согласия другого заинтересованного лица, следует учитывать, в частности, —
(a) любую обязанность по соблюдению конфиденциальности перед другим лицом,
(b) любые действия, предпринятые контролером данных с целью получения согласия другого лица,
(c) способность другого лица дать согласие, и
(d) любой явный отказ от согласия другого лица.
(7) Лицо, подающее запрос в соответствии с настоящим разделом, может в случаях, которые могут быть предписаны, указать, что его запрос ограничивается личными данными любого предписанного описания.
(8) В соответствии с подразделом (4) контролер данных должен выполнить запрос в соответствии с этим разделом незамедлительно и в любом случае до окончания установленного периода, начинающегося с соответствующего дня.
(9) Если суд удовлетворен заявлением любого лица, подавшего запрос в соответствии с предыдущими положениями настоящего раздела, о том, что рассматриваемый контролер данных не выполнил запрос в нарушение этих положений, суд может распорядиться ему выполнить просьбу.
(10) В этом разделе —
• «предписанный» означает предписанный Государственным секретарем правилами;
• «установленный максимум» означает такую ​​сумму, которая может быть установлена;
• «установленный период» означает сорок дней или такой другой период, который может быть установлен;
• «соответствующий день» в отношении запроса в соответствии с настоящим разделом означает день, когда контролер данных получает запрос, или, если позже, первый день, когда контролер данных получает как требуемую плату, так и указанную информацию. в подразделе (3).
(11) В соответствии с данным разделом в отношении разных случаев могут быть установлены разные суммы или периоды.
Раздел 8 Положения, дополняющие раздел 7.
(1) Государственный секретарь может регламентом предусмотреть, что в таких случаях, которые могут быть предписаны, запрос информации в соответствии с любым положением подраздела (1) раздела 7 должен рассматриваться распространяется также на информацию в соответствии с другими положениями этого подраздела.
(2) Обязательство, налагаемое разделом 7(1)(c)(i), должно быть выполнено путем предоставления субъекту данных копии информации в постоянной форме, за исключением случаев—
(a) предоставление такой копии невозможно или потребует непропорциональных усилий, или
(b) субъект данных соглашается на иное; и если какая-либо информация, упомянутая в разделе 7(1)(c)(i), выражена в терминах, которые непонятны без объяснения, копия должна сопровождаться пояснением этих терминов.
(3) Если контролер данных ранее выполнил запрос, сделанный в соответствии с разделом 7 физическим лицом, контролер данных не обязан выполнять последующий идентичный или аналогичный запрос в соответствии с этим разделом от этого лица, если только не прошел разумный интервал между выполнение предыдущего запроса и выполнение текущего запроса.
(4) При определении для целей подраздела (3) того, делаются ли запросы в соответствии с разделом 7 через разумные промежутки времени, необходимо учитывать характер данных, цель, для которой данные обрабатываются, и частоту, с которой данные изменены.
(5) Раздел 7(1)(d) не должен рассматриваться как требующий предоставления информации о логике, связанной с принятием любого решения, если и в той мере, в какой эта информация составляет коммерческую тайну.
(6) Информация, которая должна быть предоставлена ​​в соответствии с запросом в соответствии с разделом 7, должна быть предоставлена ​​со ссылкой на данные, о которых идет речь, на момент получения запроса, за исключением того, что она может учитывать любые изменения или удаления, сделанные между этим временем и время предоставления информации, являющееся изменением или удалением, которое было бы сделано независимо от получения запроса.
(7) Для целей раздела 7(4) и (5) другое физическое лицо может быть идентифицировано по раскрываемой информации, если его можно идентифицировать по этой информации или по той и любой другой информации, которая, по разумному мнению контролер данных, вероятно, будет находиться во владении субъекта данных, направляющего запрос.
Раздел 9 Применение раздела 7, когда контролером данных является агентство кредитной информации.
(1) Если контролером данных является кредитно-справочное агентство, раздел 7 действует в соответствии с положениями этого раздела.
(2) Лицо, подающее запрос в соответствии с разделом 7, может ограничить свой запрос личными данными, относящимися к его финансовому положению, и считается, что он таким образом ограничил свой запрос, если запрос не свидетельствует об обратном намерении.
(3) Если контролер данных получает запрос в соответствии с разделом 7 в случае, когда персональные данные, в отношении которых лицо, подающее запрос, является субъектом данных, обрабатываются контролером данных или от его имени, обязательство по предоставлению информации в соответствии с этим Раздел включает обязательство предоставить лицу, подающему запрос, заявление в форме, которая может быть предписана Государственным секретарем постановлениями, о правах человека —
(a) в соответствии с разделом 159 Закона о потребительском кредите 1974 г. и
(b) в объеме, предусмотренном установленной формой, в соответствии с настоящим Законом.
Раздел 9A Неструктурированные персональные данные, находящиеся в распоряжении государственных органов.
(1) В этом разделе «неструктурированные персональные данные» означают любые персональные данные, подпадающие под пункт (e) определения «данные» в разделе 1(1), за исключением информации, которая записывается как часть или с намерением что он должен составлять часть любого набора информации, относящейся к отдельным лицам, в той мере, в какой этот набор структурирован по ссылкам на отдельных лиц или по критериям, относящимся к физическим лицам.
(2) Государственный орган не обязан соблюдать подраздел (1) раздела 7 в отношении любых неструктурированных персональных данных, если запрос в соответствии с этим разделом не содержит описание данных.
(3) Даже если данные описаны субъектом данных в его запросе, государственный орган не обязан соблюдать подраздел (1) статьи 7 в отношении неструктурированных персональных данных, если орган оценивает, что стоимость соблюдения запрос, поскольку он касается этих данных, превысит соответствующий предел.
(4) Подраздел (3) не освобождает государственный орган от его обязательства соблюдать пункт (а) раздела 7(1) в отношении неструктурированных персональных данных, за исключением предполагаемых затрат на соблюдение только этого пункта в отношении эти данные превысили бы соответствующий предел.
(5) В подразделах (3) и (4) «соответствующий предел» означает такую ​​сумму, которая может быть установлена ​​Государственным секретарем в соответствии с правилами, и разные суммы могут быть установлены в отношении разных случаев.
(6) Любая оценка для целей настоящего раздела должна производиться в соответствии с положениями раздела 12(5) Закона о свободе информации 2000 года.
Раздел 10 Право на предотвращение обработки, которая может причинить ущерб или дистресс.
(1) В соответствии с подразделом (2), физическое лицо имеет право в любое время, уведомив в письменной форме контролера данных, потребовать от контролера данных в конце такого периода, который является разумным в данных обстоятельствах, прекратить или не начинать , обработка или обработка с определенной целью или определенным образом любых персональных данных, в отношении которых он является субъектом данных, на том основании, что по указанным причинам —
(a) обработка этих данных или их обработка для эта цель или таким образом наносит или может причинить существенный ущерб или существенные страдания ему или другому лицу, и
(b) этот ущерб или страдания являются или будут необоснованными.
(2) Подраздел (1) не применяется —
(a) в случае, когда выполняется какое-либо из условий в пунктах 1–4 Приложения 2, или
(b) в таких других случаях, которые могут быть предписаны Государственный секретарь по приказу.
(3) Контроллер данных должен в течение двадцати одного дня после получения уведомления в соответствии с подразделом (1) («уведомление субъекта данных») направить лицу, которое его направило, письменное уведомление —
(a) о том, что он выполнил или намеревается выполнить уведомление субъекта данных или
(b) с указанием причин, по которым он считает уведомление субъекта данных в какой-либо степени необоснованным, и степени (если таковая имеется), в которой он выполнил или намеревается выполнить его.
(4) Если суд по заявлению любого лица, направившего уведомление в соответствии с подразделом (1), которое представляется суду обоснованным (или обоснованным в какой-либо степени), признает, что рассматриваемый контролер данных не выполнил уведомление, суд может приказать ему предпринять такие шаги для выполнения уведомления (или для выполнения его в той степени), которые суд сочтет целесообразными.
(5) Неиспользование субъектом данных права, предоставленного подразделом (1) или разделом 11(1), не влияет на любое другое право, предоставленное ему настоящей Частью.
11 Право на запрет обработки в целях прямого маркетинга.
(1) Физическое лицо имеет право в любое время, уведомив в письменной форме контролера данных, потребовать от контролера данных в конце такого периода, который является разумным в данных обстоятельствах, прекратить или не начинать обработку в целях прямого маркетинговые персональные данные, в отношении которых он является субъектом данных.
(2) Если суд по заявлению любого лица, направившего уведомление в соответствии с подразделом (1), удостоверится в том, что контролер данных не выполнил уведомление, суд может приказать ему предпринять такие шаги для соблюдения с уведомлением, как суд сочтет нужным.
(2A) Этот раздел не применяется в отношении обработки таких данных, которые упомянуты в пункте (1) правила 8 Положения о телекоммуникациях (защита данных и конфиденциальность) 1999 г. (обработка данных о счетах за телекоммуникации для определенных маркетинговых целей) для целей, указанных в пункте (2) этого правила.
(3) В этом разделе «прямой маркетинг» означает передачу (любыми средствами) любых рекламных или маркетинговых материалов, предназначенных для конкретных лиц.
12 Права в отношении автоматизированного принятия решений.
(1) Физическое лицо имеет право в любое время, уведомив в письменной форме любого контролера данных, потребовать, чтобы контролер данных гарантировал, что никакое решение, принятое контролером данных или от его имени, которое существенно влияет на это лицо, основано исключительно на обработка автоматическими средствами персональных данных, в отношении которых это физическое лицо является субъектом данных, с целью оценки вопросов, касающихся его, таких как, например, его производительность на работе, его кредитоспособность, его надежность или его поведение.
(2) Если в случае, когда уведомление в соответствии с подразделом (1) не имеет силы, решение, которое существенно влияет на физическое лицо, основано исключительно на такой обработке, как указано в подразделе (1) —
(a), контроллер данных должен как можно скорее уведомить физическое лицо о том, что решение было принято на этой основе, и
(b) физическое лицо имеет право в течение двадцати одного дня с момента получения такого уведомления от контролера данных путем письменного уведомления потребовать от контролера данных пересмотреть решение или принять новое решение иначе, чем на этом основании.
(3) Контролер данных должен в течение двадцати одного дня после получения уведомления в соответствии с подразделом (2)(b) («уведомление субъекта данных») направить физическому лицу письменное уведомление с указанием шагов, которые он намеревается предпринять для соблюдения с уведомлением субъекта данных.
(4) Уведомление в соответствии с подразделом (1) не имеет силы в отношении решения об исключении; и ничто в подразделе (2) не применяется к освобожденному решению.
(5) В подразделе (4) «исключающее решение» означает любое решение —
(a), в отношении которого выполняются условия подраздела (6) и условия подраздела (7), или
(b), которое является производится в таких других обстоятельствах, которые могут быть предписаны государственным секретарем в приказе.
(6) Условием этого подраздела является то, что решение —
(a) принимается в ходе предпринятых шагов —
(i) с целью рассмотрения вопроса о заключении договора с субъектом данных,
(ii ) с целью заключения такого договора, или
(iii) в ходе выполнения такого договора, или
(b) разрешено или требуется в соответствии с каким-либо законом.
(7) Условие в этом подразделе состоит в том, что либо —
(a) результатом решения является удовлетворение запроса субъекта данных, либо
(b) были предприняты шаги для защиты законных интересов субъекта данных. (например, позволяя ему делать представления).
(8) Если суд по заявлению субъекта данных признает, что лицо, принимающее решение в отношении него («ответственное лицо»), не выполнило требования подраздела (1) или (2)(b), суд может приказать ответственному лицу пересмотреть решение или принять новое решение, которое не основано исключительно на такой обработке, как указано в подразделе (1).
(9) Приказ в соответствии с подразделом (8) не затрагивает прав любого лица, кроме субъекта данных и ответственного лица.
Раздел 13 Компенсация за несоблюдение определенных требований.
(1) Лицо, которому причинен ущерб в результате любого нарушения контроллером данных любого из требований настоящего Закона, имеет право на компенсацию от контроллера данных за этот ущерб.
(2) Лицо, понесшее ущерб по причине любого нарушения контролером данных любого из требований настоящего Закона, имеет право на компенсацию от контролера данных за это бедствие, если —
(a) этому лицу также причинен ущерб по причине о правонарушении или
(b) правонарушение связано с обработкой персональных данных для специальных целей.
(3) В судебном разбирательстве, возбужденном против лица в соответствии с настоящей статьей, защитой является доказательство того, что оно приняло такие меры предосторожности, которые при всех обстоятельствах разумно требовались для выполнения соответствующего требования.
Раздел 14 Исправление, блокирование, стирание и уничтожение.
(1) Если суд по заявлению субъекта данных удостоверится в том, что личные данные, субъектом которых является заявитель, являются неточными, суд может приказать контролеру данных исправить, заблокировать, стереть или уничтожить эти данные и любые другие личные данные. данные, в отношении которых он является контролером данных и которые содержат выражение мнения, которое суд считает основанным на неточных данных.
(2) Подраздел (1) применяется независимо от того, точно ли данные отражают информацию, полученную или полученную контролером данных от субъекта данных или третьей стороны, но если данные точно отражают такую ​​информацию, тогда —
(a), если требования упомянутые в пункте 7 Части II Приложения 1, суд может вместо вынесения приказа в соответствии с подразделом (1) вынести приказ, требующий, чтобы данные были дополнены таким изложением подлинных фактов, касающихся вопросов с данными, которые может утвердить суд, и
(b) если все или какое-либо из этих требований не были соблюдены, суд может вместо вынесения приказа в соответствии с этим подразделом издать такой приказ, который он сочтет целесообразным для обеспечения соблюдения этих требований с дальнейшим распоряжением или без такового, требующим, чтобы данные были дополнены таким заявлением, как упомянуто в параграфе (а).
(3) Если суд —
(a) выносит постановление в соответствии с подразделом (1) или
(b) удовлетворяет по заявлению субъекта данных, что персональные данные, в отношении которых он был субъектом данных и которые были исправлены , заблокированы, стерты или уничтожены, были неточными, он может, если сочтет это целесообразным, приказать контролеру данных уведомить третьи стороны, которым данные были раскрыты, об исправлении, блокировании, удалении или уничтожении.
(4) Если суд удовлетворен заявлением субъекта данных —
(a) что ему был причинен ущерб по причине любого нарушения контролером данных любого из требований настоящего Закона в отношении любых персональных данных, при обстоятельствах, дающих ему право на компенсацию в соответствии с разделом 13 и
(b), если существует значительный риск дальнейшего нарушения в отношении этих данных при таких обстоятельствах, суд может распорядиться об исправлении, блокировании, удалении или уничтожении любых из этих данных. .
(5) Если суд издает приказ в соответствии с подразделом (4), он может, если сочтет это целесообразным, приказать контролеру данных уведомить третьи стороны, которым были раскрыты данные, об исправлении, блокировании, удалении или уничтожении.
(6) При определении целесообразности требования такого уведомления, как указано в подразделе (3) или (5), суд должен учитывать, в частности, количество лиц, которые должны быть уведомлены.
Раздел 15 Юрисдикция и процедура.
(1) Юрисдикция, предоставленная разделами с 7 по 14, может осуществляться в Англии и Уэльсе Высоким судом или окружным судом, или, в Северной Ирландии, Высоким судом или окружным судом, или, в Шотландии, Сессионным судом. или шериф.
(2) В целях определения любого вопроса о том, имеет ли заявитель в соответствии с подразделом (9) раздела 7 право на информацию, которую он ищет (включая любой вопрос о том, исключаются ли какие-либо соответствующие данные из этого раздела на основании Части IV) a суд может потребовать, чтобы информация, представляющая собой любые данные, обрабатываемые контролером данных или от его имени, и любая информация относительно логики, связанной с принятием любого решения, как указано в разделе 7(1)(d), была доступна для его собственной проверки, но не должен, до решения этого вопроса в пользу заявителя, требовать, чтобы информация, запрошенная заявителем, была раскрыта ему или его представителям путем обнаружения (или, в Шотландии, восстановления) или иным образом.

Что такое GDPR? В сводном руководстве по соблюдению GDPR в Великобритании

GDPR не говорится о том, как должны выглядеть передовые методы обеспечения безопасности, поскольку они разные для каждой организации. Банку придется защищать информацию более надежным способом, чем это может потребоваться вашему местному стоматологу. Однако в целом необходимо установить надлежащий контроль доступа к информации, веб-сайты должны быть зашифрованы, а использование псевдонимов должно поощряться.

«Ваши меры кибербезопасности должны соответствовать размеру и использованию вашей сети и информационных систем», — говорится в сообщении ICO.Если произойдет утечка данных, регулирующие органы по защите данных будут рассматривать настройку информационной безопасности компании при определении любых штрафов, которые могут быть наложены. Cathay Pacific Airways была оштрафована на 500 000 фунтов стерлингов в соответствии с законами до GDPR за раскрытие личной информации 111 578 своих клиентов из Великобритании. Было сказано, что у авиакомпании были «основные недостатки безопасности» в ее настройке.

[h4]Подотчетность /h4]

Подотчетность — это единственный новый принцип GDPR. Он был добавлен, чтобы компании могли доказать, что они работают в соответствии с другими принципами, из которых состоит регламент.Проще говоря, подотчетность может означать документирование того, как обрабатываются личные данные, и шаги, предпринятые для обеспечения того, чтобы только люди, которым необходим доступ к некоторой информации, могли это сделать. Подотчетность также может включать обучение персонала мерам защиты данных и регулярную оценку процессов обработки данных.

Об «уничтожении, потере, изменении, несанкционированном раскрытии или доступе» к данным людей необходимо сообщать в регулирующий орган по защите данных страны , если это может иметь пагубные последствия для тех, о ком идет речь.Это может включать, помимо прочего, финансовые потери, нарушение конфиденциальности, ущерб репутации и многое другое. В Великобритании ICO должны быть проинформированы об утечке данных через 72 часа после того, как организация узнает об этом. Организации также необходимо сообщить людям о последствиях взлома.

Для компаний, в которых работает более 250 сотрудников, необходимо иметь документацию о том, почему информация о людях собирается и обрабатывается, описание информации, которая хранится, как долго она хранится, а также описание технических мер безопасности.Статья 30 GDPR гласит, что большинству организаций необходимо вести учет обработки своих данных, того, как данные передаются, а также хранятся.

Кроме того, организации, осуществляющие «регулярный и систематический мониторинг» отдельных лиц в больших масштабах или обрабатывающие большое количество конфиденциальных персональных данных, должны нанимать сотрудника по защите данных (DPO). Для многих организаций, подпадающих под действие GDPR, это может означать необходимость найма нового сотрудника, хотя в крупных компаниях и государственных органах уже могут быть люди на эту должность. На этой работе человек должен отчитываться перед старшими сотрудниками, следить за соблюдением GDPR и быть контактным лицом для сотрудников и клиентов.

Принцип подотчетности также может иметь решающее значение, если организация находится под следствием на предмет потенциального нарушения одного из принципов GDPR. Наличие точной записи обо всех действующих системах, о том, как обрабатывается информация, и о мерах, предпринятых для устранения ошибок, поможет организации доказать регулирующим органам, что она серьезно относится к своим обязательствам GDPR.

Каковы мои права GDPR?

В то время как GDPR, возможно, возлагает самые большие потери на контролеров и обработчиков данных, законодательство призвано помочь защитить права отдельных лиц. Таким образом, GDPR предусматривает восемь прав. Они варьируются от предоставления людям более легкого доступа к данным, которые компании хранят о них, до их удаления в некоторых сценариях.

Полные права GDPR для физических лиц: право на получение информации, право на доступ, право на исправление, право на удаление, право на ограничение обработки, право на переносимость данных, право на возражение, а также права вокруг автоматизированного принятия решений и профилирования.

Большие данные, конфиденциальность и COVID-19: учимся на гуманитарном опыте в области защиты данных | Journal of International Humanitarian Action

За последние годы много было написано о балансе между безопасностью и личной свободой, особенно о ложном компромиссе между конфиденциальностью и безопасностью (Solove 2011). В то время как пандемия, такая как распространение COVID-19, требует комплексных мер, мы должны помнить, что использование данных о местоположении и других (потенциально) личных или демографических данных в таком масштабе приводит к созданию «исчерпания данных», что неизменно имеет последствия.То, что это может быть чрезвычайная ситуация, не означает, что все пройдет.

Возможно, недооцененное использование данных о местонахождении вызывает удивление на данном этапе, если подумать о непреднамеренном раскрытии местоположения и особенностей военных баз США посредством использования фитнес-приложения Strava военнослужащими (Liptak 2018) , или недавняя работа New York Times, основанная на анализе обширного набора псевдонимизированных записей мобильных телефонов, которые позволили идентифицировать нескольких известных и влиятельных лиц при более тщательном изучении (Thompson and Warzel 2019). Для получения этих наборов данных и проведения анализа не требовалось никаких исполнительных полномочий, закрепленных в нормативно-правовой базе, что само по себе показывает, что в нашем обществе отсутствуют соответствующие рамки управления для такой практики. Отсутствует не только эффективный надзор за использованием таких данных, но и то, как люди будут защищены от злоупотреблений и какие средства правовой защиты они могут использовать для защиты. Учитывая это неправомерное использование данных о местоположении, Федеральная комиссия по связи США 28 февраля 2020 года предложила штраф в размере 200 миллионов долларов для операторов сетей мобильной связи, переупаковывающих и перепродающих данные о местоположении (FCC предлагает более 200 миллионов долларов в виде штрафов за нарушение данных о местоположении в беспроводной сети 2020 г.) .

Кроме того, исследования последних лет снова и снова доказывают, что сочетание производства беспрецедентных объемов данных и совершенствования методов анализа больших наборов данных делает большинство, если не все, передовыми методами псевдонимизации/анонимизации. наборы данных бессмысленны, по крайней мере, с течением времени (Rocher et al. 2019). Специальный докладчик ООН по вопросу о праве на неприкосновенность частной жизни справедливо подчеркнул риски, связанные с сочетанием «закрытых» наборов данных с «открытыми» (Cannataci 2017).В нашей работе над мобильными устройствами как стигматизирующими датчиками безопасности мы предложили концепцию «технологической джентрификации», которая описывает нашу жизнь в среде, которая постоянно контролируется и где те, кто верит в преимущества вездесущих данных, делают выбор других де-факто устаревшим ( Гстрейн и ван Экк, 2018).

Хотя кризис, подобный пандемии коронавируса, требует целенаправленных, быстрых и эффективных мер, мы не должны забывать, что данные зависят от контекста. Один и тот же набор данных может быть конфиденциальным в разных контекстах, и нам нужны соответствующие структуры управления, чтобы гарантировать, что эти данные генерируются, анализируются, хранятся и передаются законным и ответственным образом. В свете пандемии COVID-19 данные о местоположении могут быть очень полезны для эпидемиологического анализа. В условиях политического кризиса одни и те же данные о местоположении могут угрожать верховенству закона, демократии и осуществлению прав человека.

К счастью, некоторые органы власти по всему миру уже отреагировали на потенциальные угрозы, возникающие в результате использования данных о местоположении, для борьбы с текущей пандемией (Закон о защите данных и вспышка COVID-19 n.d.). 16 марта 2020 года Европейский совет по защите данных опубликовал заявление, в котором председатель Андреа Елинек подчеркивает, что «[…] даже в эти исключительные времена контролер данных должен обеспечивать защиту персональных данных субъектов данных (Olbrechts 2020).Поэтому следует учитывать ряд соображений, чтобы гарантировать законную обработку персональных данных. […]».

Хотя эти усилия заслуживают похвалы, было бы предпочтительнее иметь специальную правовую базу, созданную посредством демократических процессов в парламентах, а также прозрачную политику. Учитывая необходимость действовать быстро, можно было бы, по крайней мере, ожидать правительственных постановлений или исполнительных актов, подробно описывающих средства, цели и предпринятые действия, основанных на надлежащей правовой базе и полномочиях, включая создание механизмов надзора.Вместо этого текущая картина предполагает, что специальные методы должны быть оправданы независимыми органами по защите данных, которые должны поставить под угрозу свои долгосрочные надзорные цели ради краткосрочной поддержки общего блага.

[Перевести на английский:] Datenschutz — Bundesgesundheitsm

Преамбула

Федеральное министерство здравоохранения очень серьезно относится к защите ваших личных данных. С этой целью мы приняли меры для обеспечения строгого соблюдения правил защиты данных как нами, так и внешними поставщиками услуг, с которыми мы работаем.

Персональные данные относятся ко всей информации, связанной с идентифицированным или идентифицируемым физическим лицом. Физическое лицо считается идентифицируемым, если его или ее можно прямо или косвенно идентифицировать, особенно путем присвоения идентификатора, такого как имя, идентификационный номер, данные о местонахождении или данные онлайн-идентификации.

Более подробная информация о типе собираемых данных, целях и основаниях, на которых они собираются, о том, как вы можете связаться с ответственным учреждением и уполномоченным по защите данных, а также о ваших правах в отношении обработки ваших личные данные, можно найти в этом заявлении о конфиденциальности данных.

Поскольку наш веб-сайт и другие используемые технологии продолжают развиваться, может потребоваться внести изменения в это заявление о конфиденциальности. Поэтому мы рекомендуем вам время от времени перечитывать заявление о конфиденциальности.

Доступ к веб-сайту

Запись о каждом посещении веб-сайта Федерального министерства здравоохранения, а также о каждом полученном файле хранится в файле журнала в течение ограниченного периода времени и обрабатывается исключительно в целях защиты веб-сайта и отслеживания доступа к нему. в целях безопасности.

Файл журнала содержит информацию о:

• используемый IP-адрес
• тип и версия вашего интернет-браузера
• используемая операционная система
• имя извлеченной страницы/файла
• дата и время
• количество переданных данных
• , был ли доступ/извлечение успешным.

В соответствии со статьей 6 (1) (e) Общего регламента ЕС по защите данных (GDPR) в сочетании с разделом 5 Закона о Федеральном управлении по информационной безопасности (Закон BSI) мы обязаны хранить данные после даты вашего визита.Это предназначено для защиты интернет-инфраструктуры BMG / коммуникационных технологий федерального правительства от атак. Данные анализируются и потребуются для принятия мер правового и уголовного преследования в случае атаки на коммуникационные технологии Министерства.

Данные сохраняются после даты вашего посещения в файлах журналов на внешних серверах наших поставщиков услуг: DIMDI, «Mittwald CM Service GmbH & Co. KG» и «Hundertserver GmbH».

Данные, записанные во время посещения веб-сайта Министерства, передаются третьим лицам, если мы обязаны это делать по закону, или в случае, если передача становится необходимой для целей правовых или уголовных мер преследования в связи с атаками по коммуникационным технологиям федерального правительства. В других случаях передача данных не происходит. Федеральное министерство здравоохранения не объединяет эти данные с другими источниками данных.

Министерство статистически оценивает информацию о пользователях как средство оптимизации своего веб-сайта для лучшего удовлетворения потребностей пользователя.Подробные пояснения по этому аспекту можно найти в разделе «Веб-отслеживание/веб-анализ» настоящей декларации о конфиденциальности данных.

Связаться с Федеральным министерством здравоохранения

Чтобы связаться с Федеральным министерством здравоохранения по электронной почте, используйте следующие центральные адреса электронной почты:

Если вы используете один из вышеупомянутых каналов для связи с нами, переданные вами данные (такие как ваша фамилия, имя, адрес), но, по крайней мере, ваш адрес электронной почты, а также информация, содержащаяся в вашем электронная почта (где это применимо, личные данные, которые вы передали) будет храниться для связи с вами и обработки вашего запроса.

Обращаем ваше внимание на то, что ваши данные обрабатываются на основании статьи 6 (1) (e) GDPR в сочетании с разделом 3 Федерального закона о защите данных ( Bundesdatenschutzgesetz — BDSG ) в рамках выполнения задачи, возложенные на это министерство. Для обработки вашего запроса необходимо обработать переданные вами личные данные.

Если вы решите использовать контактную форму для связи с нами, необходимо будет указать вашу фамилию, имя, почтовый индекс и адрес электронной почты.Запрос, переданный через контактную форму, не может быть обработан без этих данных. Раскрытие остальной части вашего адреса не является обязательным, но позволит нам, при желании, обработать ваш запрос по почте.

Мы хотели бы обратить ваше внимание на тот факт, что обработка данных и контента, передаваемых с помощью контактной формы, происходит на основании вашего согласия в соответствии со статьей 6 (1) (a) GDPR.

Вы можете отозвать свое согласие в любое время.Законность обработки на основании предоставленного вами согласия сохраняется до тех пор, пока не будет получен отзыв такого согласия.

Федеральное министерство здравоохранения пользуется услугами мультимедийного коммуникационного центра Telemark Rostock Kommunikations- und Marketinggesellschaft mbH (Telemark Rostock) для ответов на вопросы граждан, полученные по телефону, в электронной или письменной форме. Telemark Rostock собирает, обрабатывает и использует персональные данные только в пределах, установленных Общим регламентом ЕС по защите данных (GDPR) и Федеральным законом о защите данных.Компания приняла многочисленные технические и организационные меры для обеспечения соблюдения правовых норм.

Это также относится к другим поставщикам услуг, которые несут ответственность за обработку данных от имени Федерального министерства здравоохранения, указанных в следующем разделе.

Обработчики запросов

Мы используем внешних поставщиков услуг (обработчиков запросов), например, для отправки нашего информационного бюллетеня и других публикаций.С этими поставщиками услуг были заключены отдельные соглашения относительно обработки запросов, чтобы обеспечить защиту ваших личных данных.

Мы сотрудничаем со следующими поставщиками услуг:

• ДИМДИ

• Scholz & Friends GmbH

• Митвальд АГ

• БРЕТТИНГЕМС ГмбХ

• Хундертсервер ГмбХ

Добровольная личная информация

В некоторых разделах веб-сайта Министерства у вас есть возможность предоставить личную информацию на добровольной основе.Мы храним и используем переданные (персональные) данные исключительно в целях обработки вашего запроса. Данные не передаются третьим лицам.

Автоматически сохраняемые данные журнала (см. Доступ к веб-сайту) будут удалены по истечении определенного ограниченного периода времени.

Использование файлов cookie

Файлы cookie — это небольшие текстовые файлы, которые сохраняются при открытии определенных страниц или определенных функций на вашем компьютере.

Они могут быть сохранены только в том случае, если в вашем браузере включена функция «принимать файлы cookie» (например,г. Microsoft Edge, Internet Explorer, Mozilla Firefox, Opera, Apple Safari).

Веб-сайт Федерального министерства здравоохранения в большинстве случаев можно использовать без использования файлов cookie. Файлы cookie должны быть включены в вашем браузере только для того, чтобы использовать помощника по уходу или получить доступ к корзине покупок при заказе информационных материалов. Файл cookie, передаваемый в этом контексте, представляет собой так называемый файл cookie сеанса, который автоматически удаляется с вашего компьютера после завершения интернет-сеанса.Это происходит на основании статьи 6 (1) (e) GDPR в сочетании со статьей 3 Федерального закона о защите данных, чтобы облегчить ориентированное на спрос предоставление онлайн-информации о задачах Министерства.

Если файлы cookie включены в настройках вашего браузера, два файла cookie от нашего поставщика веб-аналитики (Siteimprove) будут автоматически сохраняться на вашем компьютере при посещении веб-сайта.

Информация, передаваемая файлами cookie, касается использования посетителями веб-сайта и хранится и обрабатывается Siteimprove на серверах, расположенных в Дании.

На этом веб-сайте используются следующие файлы cookie Siteimprove:

Название файла cookie: nmstat
Тип: Постоянный – срок действия истекает через 1000 дней
О файле cookie: Этот файл cookie используется для документирования поведения посетителя веб-сайта. Он используется для сбора статистики использования веб-сайта, например, когда посетитель в последний раз использовал веб-сайт. Файл cookie не содержит никаких персональных данных и используется исключительно для анализа веб-сайта.

Название куки: siteimproveses
Тип: Сеансовый куки
О куки: Этот куки используется для отслеживания последовательности страниц, открываемых посетителем во время его/ее посещения веб-сайта. Файл cookie не содержит никаких персональных данных и используется исключительно для анализа веб-сайта.

Используя этот веб-сайт, посетитель соглашается на обработку своих данных для вышеуказанных целей.

Вы можете возразить против сбора ваших данных службой Siteimprove Analytics, нажав на следующую ссылку. При нажатии на ссылку будет установлен файл cookie отказа, который предотвратит сбор любых ваших данных при каждом посещении этого веб-сайта в будущем.

Политика защиты и обработки персональных данных

СТАМБУЛЬСКИЙ ФОНД КУЛЬТУРЫ И ИСКУССТВА ПОЛИТИКА В ОТНОШЕНИИ ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Версия 0.2
21.09.2018

Содержимое

ВВЕДЕНИЕ

• ВВЕДЕНИЕ
  • Цель и сфера применения Политики
  • Правоприменение и поправка
  • Контроллер данных
  • Ваши личные данные, собранные до вступления в силу PDPL
• СУБЪЕКТЫ ДАННЫХ, ЧЬИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОБРАБАТЫВАЮТСЯ НАШИМ ФОНДОМ, ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, РАЗЛИЧНЫЕ КАТЕГОРИИ ОБРАБОТАННЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, МЕТОДЫ/КАНАЛЫ И ПРАВОВЫЕ ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
  • Субъекты данных
  • Цели обработки персональных данных
  • Категории персональных данных
  • Методы/каналы и законные цели сбора персональных данных
• ПЕРЕДАЧА ЛИЧНЫХ ДАННЫХ
• ИНФОРМИРОВАНИЕ СУБЪЕКТОВ ДАННЫХ И ИХ ПРАВ
• ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
• ЗАЩИТА ЛИЧНЫХ ДАННЫХ
• ДРУГИЕ ВЕБ-САЙТЫ / ТРЕТЬИ ЛИЦА И ИХ ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ
• КОНКРЕТНЫЕ ДЕЯТЕЛЬНОСТИ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМЫЕ İKSV
  • Пользователи, посещающие веб-сайты İKSV
  • Предоставление доступа в Интернет посетителям İKSV в помещениях İKSV
  • Мониторинг посетителей, входящих в помещения İKSV
  • Мониторинг здания İKSV и его окрестностей с помощью камер наблюдения
  • Поддержание профессиональных отношений с поставщиками, подрядчиками и деловыми партнерами İKSV
  • Управление запросами/жалобами

ОПРЕДЕЛЕНИЯ

Явное согласие	Конкретное, осознанное и добровольно данное согласие.
Анонимизация	Сделать невозможным отнесение персональных данных к какому-либо идентифицированному или идентифицируемому физическому лицу ни при каких обстоятельствах, в том числе сопоставление персональных данных с другими данными.
Сотрудник	Физическое лицо, являющееся работником İKSV.
Соискатель	Физическое лицо, не являющееся сотрудником İKSV, но кандидатом на получение им статуса различными способами.
Персональные медицинские данные	Любая медицинская информация, касающаяся идентифицированного или идентифицируемого физического лица.
Персональные данные	Любой тип информации, касающейся идентифицированного или идентифицируемого физического лица.
Субъект данных	Физическое лицо, персональные данные которого обрабатываются.
Обработка персональных данных	Любая операция, выполняемая с персональными данными, такая как сбор, запись, хранение, ведение, изменение, реорганизация, раскрытие, передача, получение, обеспечение возможности извлечения, классификация или ограничение доступа к персональным данным с использованием полностью или частично автоматических методов или других неавтоматических методов. методами при условии, что он является частью системы регистрации данных.
Право	Закон о защите персональных данных под номером 6698, опубликованный в Официальном вестнике Турции под номером 29677 от 7 апреля 2016 года.
Специальные категории персональных данных	Персональные данные, относящиеся к расе, этническому происхождению, политическим взглядам, философским или религиозным убеждениям, принадлежности к секте, другим убеждениям, стилю одежды, членству в ассоциации, фонде или профсоюзе, физическому или психическому здоровью, сексуальной жизни или сексуальная ориентация, судимость и меры безопасности, генетические или биометрические данные.
Полис	Стамбульский фонд культуры и искусства Политика защиты и обработки персональных данных
Фонд / İKSV	Стамбульский фонд культуры и искусства (İKSV) и İstanbul Kültür ve Sanat Vakfı Turizm Pazarlama Organizasyon ve Tanıtım İktisadi İşletmesi
Деловые партнеры	Лица, с которыми İKSV стала партнерами в договорных отношениях в рамках своей деятельности.
Субъект данных	Физическое лицо, персональные данные которого обрабатываются.
Процессор данных	Физическое или юридическое лицо, которое обрабатывает персональные данные на основании полномочий, предоставленных оператором данных и от его имени.
Контроллер данных	Лицо, определяющее цели и средства обработки персональных данных и являющееся распорядителем места систематического хранения данных.

1. ВВЕДЕНИЕ

1.1 Цель и сфера применения Политики

Закон под номером 6698 («Закон» или «PDPL» ) о защите персональных данных был принят 7 апреля 2016 года. Настоящая Политика İKSV ( «Политика» ) о защите и обработке персональных Данные предназначены для установления принципов, которые должны соблюдаться для İstanbul Kültür ve Sanat Vakfı («İKSV» или «Фонд») и его дочернего коммерческого предприятия İstanbul Kültür ve Sanat Vakfı Tur.Пас. Орг. İktisadi İşletmesi («İKSV»), которая сама по себе не является юридическим лицом, , для выполнения обязательств, связанных с защитой и обработкой персональных данных , , и для информирования субъектов данных, чьи персональные данные подлежат обработке.

Настоящая Политика представляет условия и основные принципы, принятые İKSV для обработки персональных данных. В связи с этим Политика распространяется на всю деятельность по обработке данных İKSV, все персональные данные и всех субъектов данных, данные которых İKSV обрабатывает, в рамках Закона.

Определения терминов, используемых в настоящей Политике, доступны в начале этого документа.

1.2. Правоприменение и поправки

İKSV опубликовала первую версию Информационной записки об обработке персональных данных 7 октября 2016 года на своем веб-сайте. Настоящая Политика является второй версией вышеупомянутого текста, опубликованного ранее İKSV и опубликованного на веб-сайте 21 сентября 2018 года.

İKSV оставляет за собой право вносить изменения в настоящую Политику в соответствии с правовыми нормами.

1.3. Контроллер данных

İKSV, включая дочернее коммерческое предприятие İstanbul Kültür ve Sanat Vakfı Turizm Pazarlama Organizasyon ve Tanıtım İktisadi İşletmesi, которое само по себе не является юридическим лицом, в соответствии с PDPL, является контролером данных в отношении обработки ваших персональных данных.

1.4. Ваши персональные данные, собранные до вступления в силу PDPL

Ваши личные данные, собранные на законных основаниях путем создания членства, разрешения на получение коммерческих электронных сообщений, посещения мероприятий, покупки билетов или другими способами до вступления в силу PDPL 7 апреля 2016 г., должны обрабатываться и храниться в соответствии с положениями настоящей Политики , а также могут быть переданы за границу — в страны, в которых приняты достаточные меры по защите персональных данных и/или в страны, в которых такие меры отсутствуют, при условии соблюдения условий, предусмотренных Законом о защите персональных данных. удовлетворены — при условии, что они будут обрабатываться в Турции или обрабатываться и храниться за пределами Турции.

2. СУБЪЕКТЫ ДАННЫХ, ЧЬИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОБРАБАТЫВАЮТСЯ НАШИМ ФОНДОМ, ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, РАЗЛИЧНЫЕ КАТЕГОРИИ ОБРАБОТАННЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, МЕТОДЫ/КАНАЛЫ И ПРАВОВЫЕ ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

2. 1. Субъекты данных

Субъектами данных, охватываемыми настоящей Политикой, являются физические лица, кроме сотрудников İKSV, чьи персональные данные обрабатываются İKSV. В рамках этой структуры различаются следующие категории субъектов данных:

КАТЕГОРИИ СУБЪЕКТОВ ДАННЫХ		ОПРЕДЕЛЕНИЕ
1	Участник	Физическое лицо, которое посещает мероприятие, проводимое İKSV.
2	Член электронного бюллетеня	Физическое лицо, заинтересованное в мероприятиях и мероприятиях İKSV, которое хотело бы получать информацию о таких мероприятиях и мероприятиях.
3	Посетитель	Физическое лицо, которое посещает здания, сооружения, помещения и веб-сайт İKSV.
4	Соискатель	Физическое лицо, которое претендует на должность в İKSV, отправив резюме или иным образом.
5	Третьи лица	Физические лица, не являющиеся сотрудниками IKSV и не подпадающие ни под одну из категорий субъектов данных, упомянутых в настоящем документе, в том числе лица и работники учреждений, с которыми İKSV поддерживает деловые отношения.
6	Художник	Художник, который посещает мероприятия, фестивали и биеннале İKSV, выступает с речью, выступает, выставляет свою продукцию или принимает участие в комитетах и ​​т. д., с которым İKSV может общаться с помощью различных средств.
7	Владелец карты Tulip	Владелец карты Tulip, которая представляет собой индивидуальную программу пожертвований, предназначенную для поддержки мероприятий и мероприятий İKSV.
8	Заявитель/держатель карты культуры и искусства	Лицо, участвующее в розыгрыше Карты культуры и искусства и выигравшее Карту культуры и искусства в рамках этого розыгрыша, организованного İKSV для поощрения молодежи к посещению культурных и художественных мероприятий.
9	Участник	Лицо, которое подает заявку или выигрывает призовые конкурсы и стипендиальные программы, поддерживаемые / организуемые İKSV.
10	Исследователь архива	Физическое лицо, которое проводит исследования в архивах İKSV.

Вышеуказанные категории субъектов данных предназначены для общих информационных целей. Как указано в Законе, не попадание ни в одну из вышеуказанных категорий в качестве субъекта данных не означает, что указанное лицо не может быть квалифицировано как субъект данных.

2.2. Цели обработки персональных данных

Ваши персональные данные и персональные данные особой категории могут быть обработаны İKSV для следующих целей в соответствии с условиями обработки персональных данных, установленными Законом и соответствующим законодательством:

• Осуществление деятельности İKSV, планирование и осуществление институциональных отношений,
• Разработка и осуществление предприятий, работ, операций Фонда
• Осуществление отчетной деятельности, направленной на контроль, управление данными, анализ, общественную деятельность, развитие процессов и т. д.
• Осуществление операций, направленных на начало или возобновление договорных отношений, деятельность по исследованию, анализу и отчетности
• Выполнение требуемых законом процедур/записей/деклараций, ведение и сопровождение юридических операций; предоставление юридических заключений, иски и судебные разбирательства, осуществление законного права на защиту
• Планирование, разработка и осуществление институционального управления и коммуникационной деятельности
• Планирование, организация и проведение встреч, вечеринок и мероприятий
• Организация и осуществление операций и мероприятий, направленных на управление договорными и постконтрактными отношениями, такими как продажи, спонсорство, закупка услуг, консультирование; проведение и контроль операций и мероприятий, направленных на выполнение договорных обязательств
• Ведение учета деловых партнеров Фонда; планирование и проведение листинговых операций
• Содействие общению со всеми юридическими лицами İKSV, такими как деловые партнеры, поставщики, поставщики услуг, консультанты, спонсоры, субподрядчики, которые находятся в деловых отношениях с İKSV, для поддержания отношений между Фондом и его учреждениями,
• Ведение учета участников организаций и мероприятий
• Планирование, контроль и осуществление финансовой и бухгалтерской деятельности,
• Управление, развитие, планирование и осуществление профессиональных отношений с поставщиками/дилерами/деловыми партнерами
• Развитие отношений с посетителями, жертвователями и участниками мероприятия
• Начало и поддержание спонсорских отношений,
• Мониторинг, планирование и проведение мероприятий, направленных на получение аутсорсинговых услуг/консультаций
• Осуществление деятельности, направленной на обеспечение точности и актуальности данных
• Выполнение всех операций, необходимых для предоставления Пользователям таких возможностей, как членство, приглашения, мероприятия; принятие мер, чтобы сделать такие возможности доступными для Пользователей
• Проведение аналитической и надзорной деятельности для объявления о предоставляемых услугах и содержании этих услуг, повышения качества таких услуг и разработки новых услуг,
• Поддержание связи с держателями карт Tulip, информирование их о новых возможностях,
• Установление контактов и приглашение артистов на концерты, мероприятия, фестивали и биеннале, а также предоставление им транспорта и жилья,
• Запись событий İKSV на камеры видеонаблюдения
• Установление контактов с поставщиками и поставщиками услуг для мероприятий İKSV и поддержание деловых отношений с ними
• Рассылка приглашений на церемонии открытия и мероприятия,
• Прием заявок на розыгрыши, конкурсы и программы поддержки; ведение соответствующих юридических процессов по мере необходимости; связаться с победителями и передать им приз или льготу
• Выполнение законодательных обязательств, особенно учредительного законодательства
• Проведение необходимых исследований и операций в Фонде для рассмотрения запросов и жалоб, полученных İKSV
• Разработка культурной политики и стратегий Фонда,
• Ведение списков Архивных исследователей, изучающих и выполняющих анализ в архивах İKSV; обработка данных, таких как уровень образования, возрастная группа и направляющее учреждение архивных исследователей, для статистических целей.
• Поддержание развития бизнеса, финансирование и маркетинговая деятельность,
• Планирование и проведение операций, направленных на рекламу, продажу и маркетинг
• Планирование и проведение мероприятий, направленных на популяризацию учреждения, его деятельности и ценности его бренда
• Проведение опросов и анализов лояльности, профилирования и удовлетворенности; планирование и проведение исследований рынка
• Планирование и проведение действий, направленных на настройку рекламных акций и объявлений путем анализа привычек и тенденций
• Разработка и планирование мероприятий и мероприятий İKSV на основе предпочтений и личных интересов посетителей
• Установление требований к участию в мероприятиях İKSV, конкурсах и т. д.и поощрение участия,
• Уведомление об общих или эксклюзивных акциях, рекламе, скидках и т. д., а также рассылка поздравительных открыток или открыток с добрыми пожеланиями
• Оценка персональных данных в рамках статистического обследования для улучшения услуг без раскрытия личности лиц и реструктуризации и реорганизации предоставляемых услуг исходя из интересов Пользователей
• Планирование и организация промо-акций и рекламы мероприятий İKSV, включая карту Tulip
• Планирование, управление и выполнение контрактов и поддержание отношений со зрителями, участниками мероприятия и посетителями
• Осуществление деятельности по стратегическому планированию
• Осуществление деятельности, направленной на обеспечение точности и актуальности данных.
• Обеспечение безопасности помещений İKSV и цифровых носителей
• Планирование и осуществление деятельности в области информационных технологий и безопасности данных
• Планирование и выполнение действий/улучшений и анализа, направленных на доступ к системам
• Обеспечение безопасности физической и цифровой среды Фонда и его помещений
• Запись на камеры видеонаблюдения
• Планирование и выполнение процессов, касающихся безопасности и гигиены труда
• Предоставление интернет-услуг в помещениях İKSV, хранение записей о доступе согласно соответствующему законодательству
• Ведение учета всех посетителей, прибывающих и покидающих Фонд
• Создание резервных копий данных для предотвращения потери данных
• Организация, планирование, проведение и контроль действий, направленных на обеспечение коммерческой безопасности деловых партнеров Фонда.
• Планирование и выполнение операций и мероприятий для кандидатов на работу и бывших сотрудников İKSV
• Проведение мероприятий по оценке квалификации кандидатов на работу
• Выполнение и регистрация необходимых операций по набору и ведение учета новых наборов
• Обращение к кандидатам на работу, когда открывается подходящая вакансия
• Установление контактов с бывшими сотрудниками и планирование мероприятий, направленных на бывших сотрудников.

2.3. Категории персональных данных

Ваши персональные данные, классифицированные следующим образом, обрабатываются İKSV в соответствии с условиями обработки персональных данных, установленными Законом и соответствующим законодательством:

КАТЕГОРИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ	ОПРЕДЕЛЕНИЕ
Идентификация	Вся информация о личности субъекта данных, доступная в таких документах, как водительские права, удостоверение личности, свидетельство о проживании, паспорт, свидетельство о браке
Контактная информация	Информация, такая как номер телефона, адрес и адрес электронной почты, для связи с субъектом данных
Данные об образовательной, деловой и профессиональной жизни	Вся информация, касающаяся образования и деловой жизни субъекта данных
Информация об Участнике Мероприятия	Информация о субъекте данных, который посетил, купил билеты на фестивали, биеннале, концерты и аналогичные мероприятия İKSV, которые показывают участие в мероприятиях, привычки покупки билетов и предпочтения членства в Tulip card
Платежная информация	Платежная информация и записи, необходимые для покупки товаров в İKSV, таких как билеты, карты Tulip и т. д.
Информация о безопасности физического объекта	Видеозаписи и записи отпечатков пальцев, снятые на входе или внутри физических объектов, а также персональные данные, относящиеся к этим документам
Информация о безопасности процесса	Персональные данные, обрабатываемые для того, чтобы мы могли обеспечить техническую, административную, юридическую и коммерческую безопасность при осуществлении нашей деятельности
Финансовая информация	Персональные данные, обрабатываемые в отношении любой информации, документов и записей, которые показывают любой тип финансового результата, полученного в зависимости от типа правовых отношений между Фондом и субъектом данных
Информация о кандидатах на работу	Персональные данные, обрабатываемые в отношении лица, подавшего заявку на должность в Фонде или прошедшего оценку в качестве кандидата на должность в соответствии с общепринятой практикой или добросовестностью, в соответствии с потребностями нашего Фонда в человеческих ресурсах, или лица, которое профессиональные отношения с нашим Фондом
Информация о судебных разбирательствах и соблюдении требований	Персональные данные обрабатываются в отношении расчета и отслеживания наших законных прав и дебиторской задолженности в соответствии с нашими юридическими обязательствами и политиками нашего Фонда
Информация об аудите и инспекции	Персональные данные обрабатываются в соответствии с нашими юридическими обязательствами и политиками Фонда
Данные специальной категории	Данные, относящиеся к расе, этническому происхождению, политическим взглядам, философским или религиозным убеждениям, принадлежности к секте, другим убеждениям, стилю одежды, членству в ассоциации, фонде или профсоюзе, физическому или психическому здоровью, сексуальной или сексуальной жизни ориентация, судимость и меры безопасности, генетические или биометрические данные
Маркетинговая информация	Персональные данные, обработанные в отношении маркетинга мероприятий и концертов İKSV, путем их настройки в соответствии с предпочтениями и личными интересами подписчиков İKSV; предпочтения в социальных сетях, отчеты и оценки, собранные в результате такой обработки данных
Чтение информации о состоянии	Информация о доступе к электронной почте, отправленной субъекту данных; квитанции о прочтении, IP-адрес, имя пользователя, последнее место чтения электронной почты, уведомления о выходе из членства и спам
Информация об управлении запросами/жалобами	Персональные данные, касающиеся получения и оценки любого запроса или жалобы, адресованной нашему Фонду
Данные об использовании цифровых носителей Данные файлов cookie	Любой тип данных, собираемых путем отслеживания действий пользователей на цифровых носителях, таких как время навигации, подробные сведения и данные о местоположении. Данные об использовании веб-сайта, такие как всплывающие окна

2.4. Методы/каналы и законные цели сбора персональных данных

Персональные данные могут собираться в устной, письменной или электронной форме на физической или виртуальной платформе от лиц, которые передают свои персональные данные İKSV лично или удаленно. Ниже приведены основные методы сбора таких данных:

• веб-сайты / приложения İKSV; Веб-сайты / приложения Biletix в случае, если субъекты данных, которые покупают билеты İKSV у Biletix, дают свое явное согласие или без такого согласия при выполнении любого из условий обработки персональных данных,
• Карта Tulip или членство в электронном бюллетене,
• Формы подготовлены İKSV,
• Электронные письма, отправленные субъектами данных, и общение, установленное с субъектом данных в информационных киосках, стендах или по телефону,
• Социальные сети (Facebook, Twitter, Instagram и т. д.)) сообщений,
• Согласие на получение коммерческих электронных сообщений, SMS, E-mail,
• Обмен личными данными путем отправки резюме в İKSV для установления деловых отношений или подачи заявки на должность и т. д.,
• Видеонаблюдение,
• Журналы посетителей,
• Заявки на участие в конкурсах, розыгрышах, программах поддержки İKSV,
• Через спонсорские и организационные компании, турагентов, страховые фирмы и т.д.которые имеют деловые отношения с İKSV в связи с работой в таких компаниях,
• Обмен визитками,
• Файлы cookie и аналогичные технологии отслеживания.

İKSV также может собирать анонимные аналитические данные через свой веб-сайт, Biletix, Google Analytics и Facebook. Согласие на передачу персональных данных, данное пользователями сайта соответствующим третьим лицам, является основанием для использования таких данных.

İKSV оставляет за собой право добавлять новые методы и каналы в дополнение к вышеупомянутым методам сбора персональных данных, а также отказываться от любого из вышеуказанных методов и каналов и вносить изменения в настоящую Политику. Любая такая поправка будет объявлена ​​через обновление Политики. Поэтому мы рекомендуем вам регулярно посещать веб-сайт, на котором публикуется Политика, чтобы проверять наличие каких-либо обновлений политики.

Юридические цели сбора персональных данных могут варьироваться от случая к случаю. Упоминаются они в статье 5 Закона следующим образом:

• Явное согласие субъекта данных: При отсутствии других условий обработки данных İKSV может обрабатывать персональные данные субъекта данных с добровольно данного согласия субъекта данных, который достаточно информирован об обработке персональных данных деятельности, не оставляющей места для сомнений и ограниченной конкретной рассматриваемой деятельностью.
• Явное разрешение, предусмотренное законодательством: В случае, если это прямо разрешено законодательством, İKSV может обрабатывать персональные данные без явного согласия субъекта данных. Соответственно, İKSV обрабатывает персональные данные в рамках соответствующего законодательства.
• Когда субъект данных физически не способен дать прямое согласие и необходимо обрабатывать персональные данные, İKSV может обрабатывать персональные данные субъекта данных, который физически или юридически не способен дать явное согласие, при условии, что это необходимо для защиты жизни или физической неприкосновенности субъекта данных или третьего лица.
• В случае, если обработка персональных данных непосредственно связана с заключением или исполнением договора , обработка персональных данных осуществляется в случае необходимости обработки персональных данных сторон действующего или нового договора между субъектом данных и ИКСВ.
• Когда обработка персональных данных необходима для выполнения юридических обязательств, которым подчиняется контролер данных, İKSV может обрабатывать персональные данные для выполнения юридических обязательств, предусмотренных действующим законодательством.
• Когда субъект данных обнародует свои личные данные, İKSV может обрабатывать персональные данные, которые уже были обнародованы, в той мере, в какой это намерение такой публикации, без явного согласия субъекта данных,
• Когда необходимо установить, реализовать или защитить право, İKSV может обрабатывать персональные данные без явного согласия субъекта данных в контексте такой необходимости.
• Когда это необходимо для законных интересов контролера данных и при условии, что основные права и свободы субъекта данных не должны нарушаться, İKSV может обрабатывать персональные данные с учетом баланса между İKSV и интересы субъекта данных. В этих рамках İKSV в первую очередь устанавливает свои законные интересы, которые он должен соблюдать при такой обработке данных. İKSV также оценивает потенциальное влияние обработки данных на права и свободы субъекта данных, и, соответственно, персональные данные должны обрабатываться, если İKSV считает, что баланс преимуществ сохраняется.
• İKSV может обрабатывать специальные категории персональных данных , обеспечив выполнение дополнительных мер, указанных Советом по защите персональных данных, при условии, что субъект данных дает явное согласие или это прямо предусмотрено законом.

3. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

İKSV может конфиденциально делиться личными данными с физическими или юридическими лицами, проживающими в Турции или за ее пределами, принимая необходимые меры безопасности для достижения целей обработки личных данных, указанных выше в статье 2.2. При этом İKSV обращает особое внимание на правила, изложенные в статьях 8 и 9 Закона, и выполняет дополнительные требования, установленные Советом по защите персональных данных.

В рамках общих принципов и условий обработки данных, указанных в статьях 8 и 9, изложенных в Законе, İKSV может передавать персональные данные сторонам, указанным ниже, при условии принятия всех необходимых технических и административных мер, включая выполнение соглашение о неразглашении и обмене данными:

КАТЕГОРИИ СТОРОН, ОБМЕНЯЮЩИХСЯ ДАННЫМИ	ОБЛАСТЬ ПРИМЕНЕНИЯ	ЦЕЛЬ ПЕРЕДАЧИ (например,г. ) ​​
Деловой партнер	Стороны, с которыми İKSV развивает деловое партнерство для осуществления своей деятельности	Обмен персональными данными, ограниченный выполнением целей создания делового партнерства, о котором идет речь
Поставщик / поставщик услуг / консультант	Компании-разработчики программного обеспечения, поставщики посреднических услуг, страховые компании, туристические агентства и т. д., которые предоставляют свои услуги в соответствии с инструкциями IKKSV и в соответствии с их договорами с İKSV, направленными на поддержание деятельности İKSV	Передача персональных данных, ограниченная выполнением цели получения услуг, таких как отправка коммерческих электронных писем, обработка, хранение и защита данных, программное обеспечение и консультационные услуги, которые предоставляются поставщиком из-за рубежа
Государственный орган, уполномоченный законом	Государственные органы и учреждения, уполномоченные законом получать информацию и документы от İKSV	Обмен персональными данными, ограниченный целью удовлетворения информационных запросов соответствующих государственных органов и учреждений
Юридически уполномоченное частное лицо	Частные лица, уполномоченные законом получать информацию и документы от İKSV	Обмен персональными данными, ограниченный целью удовлетворения информационного запроса, направленного частными лицами в рамках их законных полномочий
Другие лица	Другие лица, которым могут быть переданы ваши персональные данные	Например, предоставление личных данных членам жюри, созданного для выбора победителя конкурса İKSV

4. ИНФОРМИРОВАНИЕ СУБЪЕКТОВ ДАННЫХ И ИХ ПРАВ

В соответствии со статьей 10 Закона субъекты данных должны быть уведомлены об обработке их персональных данных не позднее, чем в ходе такой обработки. В соответствии с соответствующей статьей İKSV создала необходимую внутреннюю структуру, чтобы иметь возможность уведомлять субъектов данных в каждом случае, когда данные будут обрабатываться контроллером данных, то есть İKSV.

Мы хотели бы заявить, что как субъекты данных вы имеете следующие права в соответствии со статьей 11 Закона:

• Чтобы узнать, обрабатываются ли ваши персональные данные,
• В случае обработки ваших персональных данных для запроса информации
• Чтобы узнать цель обработки ваших данных и используются ли они по назначению или нет,
• Чтобы узнать о третьих лицах в стране или за границей, которым передаются ваши личные данные,
• Если ваши персональные данные обрабатываются не полностью или неточно, запросить исправление и, соответственно, потребовать, чтобы третьи лица, которым были переданы ваши персональные данные, были уведомлены о таком действии,
• Даже если ваши персональные данные обрабатываются в соответствии с Законом № 6698 и другими применимыми положениями, если причины, требующие обработки данных, более недействительны, запросить удаление или уничтожение ваших персональных данных и, соответственно, потребовать, чтобы третья стороны, которым были переданы ваши персональные данные, должны быть уведомлены о таком действии,
• Выдвигать возражения против анализа ваших обрабатываемых данных исключительно автоматическими средствами, если это приводит к неблагоприятным последствиям для вас, и
• Требовать возмещения ущерба, причиненного неправомерной обработкой ваших персональных данных.

Как субъект данных, вы можете предъявить свои претензии в отношении вышеупомянутых ваших прав в Фонд, заполнив форму заявления субъекта данных, которую вы найдете здесь. Ваш запрос будет рассмотрен как можно скорее или, самое позднее, в течение 30 (тридцати) дней, в зависимости от характера претензии; однако, если эта транзакция влечет за собой дополнительные расходы, от вас будет запрошена компенсация в соответствии со ставками, установленными Советом по защите персональных данных.

İKSV сначала определяет, является ли заявитель реальным бенефициаром во время оценки заявок. Однако İKSV может запросить подробную и дополнительную информацию, чтобы лучше понять запрос, когда сочтет это необходимым.

İKSV предоставляет ответы субъектам данных в письменной форме или посредством электронных сообщений. В случае, если такая претензия может быть отклонена, субъекту данных будет предоставлена ​​информация о причинах отказа.

5. ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Персональные данные будут храниться в течение периода времени, предусмотренного соответствующим законодательством. В случае, если период времени не указан, İKSV хранит персональные данные с учетом цели обработки данных для каждого действия по обработке данных.

Персональные данные удаляются, уничтожаются или анонимизируются İKSV ex officio или по запросу субъекта данных в соответствии с инструкциями, опубликованными Советом, в случае, если причины для обработки таких персональных данных больше не существуют, независимо от тот факт, что он был обработан в соответствии со статьей 7 Закона.

6. ЗАЩИТА ЛИЧНЫХ ДАННЫХ

İKSV, как одно из ведущих предприятий культуры и искусства в Турции, придает большое значение конфиденциальности и безопасности личных данных и принимает все необходимые технические и административные меры в соответствии с руководящими принципами, опубликованными Советом в отношении конфиденциальности данных и безопасность. В рамках этого İKSV хранит личные данные с высокой конфиденциальностью в своей базе данных в соответствии со статьей 12 PDPL и не передает такие данные третьим лицам вопреки правилам и договорным соглашениям, а также положениям настоящей политики.

İKSV, в соответствии со статьей 12 PDPL, принимает все необходимые меры, такие как хеширование, шифрование, управление доступом и меры физической безопасности для хранения персональных данных, а также для защиты от любого незаконного доступа к своим информационным системам, содержащим персональные данные, и для предотвращения обработка персональных данных. İKSV предотвращает незаконную обработку персональных данных третьими лицами. В случае доступа третьих лиц к персональным данным незаконными методами, İKSV уведомляет об этом в соответствии со статьей 12 ЗЗПЗ в соответствии с действующим законодательством.

7. ДРУГИЕ ВЕБ-САЙТЫ / ТРЕТЬИ ЛИЦА И ИХ ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

İKSV не несет ответственности за политику конфиденциальности и персональных данных, практику или содержание других веб-сайтов, доступ к которым осуществляется по ссылке, указанной на ее веб-сайте, а также за политику и практику конфиденциальности и персональных данных третьих лиц. Мы настоятельно рекомендуем вам ознакомиться с политикой и практикой конфиденциальности и персональных данных таких третьих лиц.

8. КОНКРЕТНЫЕ ДЕЯТЕЛЬНОСТИ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМЫЕ İKSV

В дополнение к действиям по обработке данных, упомянутым выше в статье 2, İKSV обрабатывает персональные данные в следующих случаях, когда другие положения настоящей Политики также применяются соответствующим образом.

8.1. Пользователи, посещающие веб-сайты İKSV

Навигационные действия пользователей, посещающих веб-сайты İKSV, отслеживаются и анализируются анонимно с использованием средств, предоставляемых третьими сторонами, такими как Biletix, Google и Facebook.Согласие, данное этими пользователями веб-сайта таким третьим лицам на передачу личной информации, устанавливает основу для использования таких данных.

8.2. Предоставление доступа в Интернет посетителям İKSV в помещениях İKSV

Собираемые персональные данные и цели обработки:

İKSV предоставляет услуги беспроводного интернета в своих помещениях, где к ним могут получить доступ посетители. İKSV считается интернет-провайдером массового использования в соответствии с Законом № 5651, Положением о провайдерах массового использования и соответствующим законодательством и, следовательно, обязан вести определенные записи доступа и хранить их в течение 2 лет.

В рамках этого İKSV запрашивает у своих посетителей имена и номера телефонов, чтобы выполнить свои юридические обязательства в качестве поставщика услуг массового использования Интернета и предоставить своим посетителям доступ к беспроводному соединению. В то же время İKSV получает IP-адреса своих посетителей, MAC-адреса, время начала и окончания использования интернет-соединения и другую информацию, предусмотренную законодательством. Эти данные хранятся в течение ограниченного срока, предусмотренного законодательством.Ваши личные данные также могут обрабатываться для обеспечения программного обеспечения, оборудования и кибербезопасности для İKSV.

Методы и юридические основания для сбора персональных данных: :

Персональные данные собираются через портал, облегчающий доступ к беспроводному соединению, и могут обрабатываться, когда это прямо предусмотрено законодательством в соответствии со статьей 5/2/а; когда İKSV необходимо иметь возможность выполнять свои юридические обязательства в соответствии со статьей 5/2/ç; в случае, если обработка данных является обязательной для установления, осуществления или защиты любого права в соответствии со статьей 5/2/e; и в случае, если обработка данных является обязательной для законных интересов контроллера данных, при условии, что эта обработка не должна нарушать основные права и свободы субъектов данных в соответствии со статьей 5/2/f.

Обмен личными данными:

İKSV передает такие персональные данные уполномоченным государственным органам и учреждениям по запросу.

8.3. Мониторинг посетителей, входящих в помещения İKSV

Собираемые персональные данные и цели обработки данных:

İKSV ведет журналы с информацией, такой как полное имя, идентификационные номера Турецкой Республики своих посетителей, которых они посещают в İKSV, какую компанию они представляют, а также часы входа и выхода посетителей, чтобы обеспечить безопасность учреждения и своих сотрудников, а для предотвращения несанкционированного доступа в помещения выдавать входные билеты, открывающие двери для посетителей, и вести учет безопасности.Такие личные данные будут храниться в течение определенного периода времени, чтобы предотвратить любые юридические споры, которые потенциально могут возникнуть после посещения.

Методы и юридические основания для сбора персональных данных:

Персональные данные собираются уполномоченным персоналом на стойке регистрации на входе в здание, и, кроме того, камеры видеонаблюдения наблюдают за зданием и его окрестностями в течение дня для обеспечения безопасности. Такая информация может обрабатываться, когда это прямо указано в законах в соответствии со статьей 5/2/а; когда İKSV необходимо выполнять свои юридические обязательства, такие как защита и обеспечение безопасности своих сотрудников в соответствии со статьей 5/2/ç; для установления, осуществления или защиты любого права в соответствии со статьей 5/2/e; и в случае, если обработка данных является обязательной для законных интересов контроллера данных, при условии, что эта обработка не должна нарушать основные права и свободы субъектов данных в соответствии со статьей 5/2/f.

Обмен личными данными:

Такая информация, принадлежащая посетителям, хранится в системах, доступных только специально обученному персоналу частного охранного предприятия, оказывающего услуги İKSV, и сотрудникам службы безопасности İKSV. Помимо указанной охранной компании, оказывающей услуги İKSV, эта информация также может быть передана уполномоченным государственным органам и учреждениям по запросу.

8.4. Мониторинг здания İKSV и его окрестностей с помощью камер наблюдения

Собираемые персональные данные и цели обработки данных:

Здание İKSV и его окрестности контролируются камерами видеонаблюдения, чтобы обеспечить безопасность учреждения, его сотрудников и посетителей.Записи камер видеонаблюдения доступны только специально обученному персоналу частного охранного предприятия, оказывающего услуги İKSV, и сотрудникам службы безопасности İKSV. İKSV уделяет пристальное внимание тому, чтобы такие записи с камер не нарушали конфиденциальность посетителей. Места, где расположены камеры, показаны посетителям с помощью специальных вывесок. Записи камер хранятся в течение 1 (одного) месяца и впоследствии периодически уничтожаются.

Методы и юридические основания для сбора персональных данных:

Персональные данные собираются с помощью камер наблюдения, расположенных вокруг помещений İKSV, и могут обрабатываться, когда это необходимо İKSV для выполнения своих юридических обязательств, таких как защита и обеспечение безопасности своих сотрудников в соответствии со статьей 5/2/ç; для установления, осуществления или защиты любого права в соответствии со статьей 5/2/e; и в случае, если обработка данных является обязательной для законных интересов контроллера данных, при условии, что эта обработка не должна нарушать основные права и свободы субъектов данных в соответствии со статьей 5/2/f.

Обмен личными данными:

Записи камер должны передаваться уполномоченным государственным органам и учреждениям только по запросу, за исключением частного охранного предприятия, оказывающего услуги İKSV.

8.5. Поддержание профессиональных отношений с поставщиками, подрядчиками и деловыми партнерами İKSV

Собираемые персональные данные и цели обработки данных:

İKSV получает услуги от многочисленных корпораций и физических лиц, поддерживает деловые партнерские отношения и сотрудничество и вступает в ряд договорных отношений, включая спонсорство, чтобы иметь возможность вести свою деятельность.İKSV обрабатывает персональные данные таких физических лиц и корпоративных сотрудников, чтобы иметь возможность управлять этими договорными / профессиональными отношениями.

İKSV получает контактную информацию, такую ​​как полное имя, идентификационные номера Турецкой Республики, адреса электронной почты, номера телефонов, адреса проживания и, при необходимости, платежные данные, такие как реквизиты банковского счета, от указанных физических лиц и сотрудников. İKSV может также собирать у сотрудников поставщиков, при необходимости, персональную информацию, такую ​​как полное имя, идентификационные номера Турецкой Республики, судимости, платежную ведомость по социальному страхованию и информацию о гигиене труда и технике безопасности, а также другую информацию, такую ​​как отчет о состоянии здоровья, гигиена труда. и свидетельство о прохождении инструктажа по технике безопасности.

Такие собранные данные обрабатываются для таких целей, как выполнение, заключение или возобновление договора между IKKSV и физическими лицами, которые предоставляют услуги или сотрудничают с IKKS, спонсорство или аналогичные договорные отношения; планирование институционального управления и коммуникационной деятельности; планирование, управление и проведение организаций, встреч, вечеринок и мероприятий; осуществление деятельности по управлению и анализу данных; ведение записей о сторонах, поддерживающих деловые отношения с İKSV, и проведение листинговой работы; ведение учета участников мероприятия и рассылка приглашений и уведомлений. Персональные данные хранятся до истечения срока давности после прекращения договорных отношений с İKSV.

Методы и юридические основания для сбора персональных данных:

Персональные данные собираются через такие каналы связи, как электронная почта и телефон, учреждения, с которыми İKSV имеет профессиональные отношения, циркуляры подписей, доверенности (POA) и контракты. Все персональные данные обрабатываются в системе регистрации данных İKSV.Юридические основания для сбора персональных данных следующие:
Когда это прямо предусмотрено в законах в соответствии со статьей 5/2/а и статьей 6/3; когда необходимо заключить, исполнить и расторгнуть договор с субъектом данных или его/ее зарегистрированной компанией в соответствии со статьей 5/2/c; для İKSV для выполнения своих юридических обязательств в соответствии со статьей 5/2/ç; когда персональные данные уже были обнародованы субъектом данных в соответствии с 5/2/d; и в случае, если обработка данных является обязательной для законных интересов контроллера данных, при условии, что эта обработка не должна нарушать основные права и свободы субъектов данных в соответствии со статьей 5/2/f. При отсутствии законной причины, указанной в настоящем документе или в Законе, ваши персональные данные будут обрабатываться с вашего явного согласия в соответствии со статьями 5/1 и 6/2.

Обмен личными данными:

Персональные данные должны передаваться только уполномоченным юридическим лицам и учреждениям, судебным инстанциям и третьим лицам, с которыми İKSV сотрудничает или получает услуги, и только в целях выполнения юридических обязательств, вытекающих из соответствующего законодательства, в частности, трудового законодательства и охраны труда. и здоровья или выполнение контракта, или установление правовой безопасности İKSV и других прав.

8.6. Управление запросами/жалобами

Посетители İKSV могут сообщать свои пожелания, предложения, просьбы и жалобы по контактным данным İKSV в устной или письменной форме. İKSV может обрабатывать персональные данные таких субъектов данных, такие как их имена, данные для связи и предмет запросов/жалоб, чтобы иметь возможность отвечать на их запросы и жалобы и гарантировать удовлетворение своих посетителей. Такая информация должна храниться с момента разрешения сообщения или с момента получения сообщения в случае неразрешенного сообщения до окончания срока его исковой давности.

законов ЕС о конфиденциальности данных | Векс | Закон США

1. Договоры и хартии ЕС

Основополагающее положение европейских ценностей в отношении конфиденциальности в отношении электронных коммуникаций, телекоммуникаций и коммерческих предложений изложено в статьях 7 и 8 Хартии основных прав Европейский Союз. Статья 7 предусматривает европейский аналог американского «права быть оставленным в покое»: «Каждый человек имеет право на уважение его или ее частной и семейной жизни, жилища и связи.В статье 8 изложены основные права, касающиеся защиты личных данных. Таким образом, в Хартии закреплены сильные права на защиту личных данных и «уважение частной жизни» в рамках всеобъемлющих концепций личного достоинства и свободы. Это «уважение частной жизни» также закреплены в статье 8 Европейской конвенции о защите прав человека и основных свобод

Согласно Договору о функционировании Европейского Союза (Лиссабонский договор), вступившему в силу 1 декабря 2009 г. данные признаются основным правом.Статья 16 Договора о функционировании Европейского Союза предусматривает, что:

(1) «Каждый человек имеет право на защиту касающихся его персональных данных. (2) Европейский парламент и Совет, действуя в соответствии с обычным законодательная процедура, устанавливает правила, касающиеся защиты физических лиц в отношении обработки персональных данных учреждениями, органами, учреждениями и агентствами Союза, а также государствами-членами при осуществлении деятельности, подпадающей под действие права Союза, и правила, касающиеся свободного перемещения таких данных.Соблюдение этих правил подлежит контролю со стороны независимых органов».

Лиссабонский договор знаменует собой новый подход к политике конфиденциальности ЕС, поскольку в качестве основного права осуществление его основных элементов не может быть заблокировано ни при каких обстоятельствах.

2. Директивы ЕС о конфиденциальности

Этим основополагающим ценностям были приданы дополнительные юридические и административные черты в ряде европейских директив, две из которых имеют особое значение:

• Директива 95/46/EC о защите Физические лица в отношении обработки персональных данных и свободного перемещения таких данных («Директива о конфиденциальности данных»)

• Директива 2002/58/EC об обработке персональных данных и защите конфиденциальности в электронных сообщениях Sector («Директива об электронной конфиденциальности»)

Директива о конфиденциальности данных устанавливает основные правовые рамки для защиты конфиденциальности данных. в ЕС, включая требование по умолчанию о согласии на обмен данными и «требование адекватности» для обмена данными с компаниями, не входящими в ЕС.В ответ на это последнее требование США договорились о создании «безопасной гавани» для американских компаний, ведущих бизнес в Европе или с европейскими компаниями. Директива о конфиденциальности данных также отражает основной принцип, согласно которому защита конфиденциальности ЕС должна быть сбалансирована с четырьмя «фундаментальными свободами» европейского «внутреннего рынка»: свободное перемещение людей, товаров, услуг и капитала.

Директива об электронной конфиденциальности дополняет Директиву о конфиденциальности данных, заменяя Директиву о конфиденциальности в сфере телекоммуникаций 1997 г. и устанавливая минимальный стандарт для регулирования государствами-членами ЕС коммерческих предложений с помощью электронной почты и телекоммуникационных технологий.В нем есть особые положения, касающиеся нежелательных сообщений. Статья 13 Директивы об электронной конфиденциальности устанавливает основное правило согласия на «незапрошенные сообщения»: автоматические телефонные звонки, факсы, текстовые сообщения и электронную почту. Что касается незапрошенных коммерческих электронных писем, в статье 13(2) предусмотрено исключение для случаев, когда компания ранее предоставляла товар или услугу физическому лицу, физическое лицо предоставило свой адрес электронной почты, и нежелательное электронное письмо отправляется для рекламы. «аналогичные» товары или услуги.Однако нежелательные электронные письма, отправляемые в соответствии с этим исключением, должны предоставлять клиенту возможность «отказаться» от будущих электронных писем. Статья 13(4) запрещает отправку коммерческих электронных писем, которые маскируют или скрывают личность отправителя. См. также веб-сайт Европейской комиссии: Нежелательные сообщения — борьба со спамом.

Директива об электронной конфиденциальности адресована государствам-членам ЕС, что означает, что она была реализована в соответствии с законодательством государств-членов ЕС. Нажмите здесь, чтобы увидеть диаграмму, сравнивающую реализацию в каждом государстве-члене ЕС.

В 2006 и 2009 годах в Директиву об электронной конфиденциальности были внесены поправки в рамках широкомасштабной инициативы по созданию «Телекоммуникационного пакета»: комплексной нормативно-правовой базы для электронной связи и телекоммуникаций. Частью этого телекоммуникационного пакета было создание Органа европейских регуляторов электронных коммуникаций («BEREC»). См. Регламент (ЕС) от 25 ноября 2009 г., учреждающий Орган европейских регуляторов электронных коммуникаций (BEREC) и его офис. Целью BEREC является содействие институциональной координации «национальных регулирующих органов» (НРО) — т.е.е. регулирующими органами государств-членов ЕС, и поэтому он призван дополнить нормативную базу для электронных коммуникаций, установленную Директивой 2002/21/ЕС (нормативная «Рамочная директива»).

3. Дальнейшие разработки

В 2012 году Европейская комиссия начала масштабную реформу правовой базы ЕС в отношении защиты персональных данных. Цель состоит в том, чтобы обеспечить более полную защиту прав личности, сталкиваясь с проблемами новых технологий.Новая структура унифицирует правила защиты данных в Европейском Союзе посредством Общего регламента по защите данных, который планируется принять в 2014 году и который должен вступить в силу в 2016 году после двухлетнего переходного периода.

Одним из основных улучшений является тот факт, что будет только один набор правил по защите данных, и компании должны будут подчиняться только одному органу по защите данных. Все это позволит сэкономить значительную сумму денег, особенно для малого и среднего бизнеса.Эта реформа также должна дать европейским гражданам гарантию того, что всякий раз, когда согласие человека требуется для обработки его личных данных, оно всегда дается явно. Узнайте, как реформа защиты данных в ЕС принесет пользу европейскому бизнесу.

Последняя редакция: Родика Туртой, декабрь 2013 г.

Принципы защиты данных | Комиссар по защите данных

Статья 5 Общего регламента по защите данных (GDPR) устанавливает ключевые принципы, лежащие в основе общего режима защиты данных. Эти ключевые принципы изложены в самом начале GDPR, и они как прямо, так и косвенно влияют на другие правила и обязательства, содержащиеся в законодательстве. Таким образом, соблюдение этих основополагающих принципов защиты данных является первым шагом для контролеров в обеспечении выполнения ими своих обязательств в соответствии с GDPR. Ниже приводится краткий обзор принципов защиты данных, изложенных в статье 5 GDPR:

.

Законность, справедливость и прозрачность : Любая обработка персональных данных должна быть законной и справедливой.Для отдельных лиц должно быть ясно, что персональные данные, касающиеся их, собираются, используются, консультируются или обрабатываются иным образом, а также в какой степени персональные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любая информация и сообщения, связанные с обработкой этих персональных данных, были легко доступны и понятны, а также чтобы использовался ясный и простой язык.

Ограничение цели : Персональные данные должны собираться только для определенных, явных и законных целей и не должны обрабатываться в дальнейшем способом, несовместимым с этими целями. В частности, конкретные цели, для которых обрабатываются персональные данные, должны быть четкими и законными и определяться во время сбора персональных данных. Однако дальнейшая обработка в целях архивирования в общественных интересах, научных или исторических исследованиях или статистических целях (в соответствии со статьей 89(1) GDPR) не считается несовместимой с первоначальными целями.

Минимизация данных : Обработка персональных данных должна быть адекватной, актуальной и ограничиваться тем, что необходимо в связи с целями, для которых они обрабатываются.Персональные данные должны обрабатываться только в том случае, если цель обработки не может быть разумно достигнута другими способами. Это требует, в частности, обеспечения того, чтобы срок хранения персональных данных был ограничен строгим минимумом (см. также принцип «Ограничение хранения» ниже).

Точность : Контроллеры должны обеспечить точность персональных данных и, при необходимости, их актуальность; принятие всех разумных мер для обеспечения того, чтобы персональные данные, которые являются неточными с учетом целей, для которых они обрабатываются, были удалены или исправлены без промедления. В частности, контролеры должны точно регистрировать информацию, которую они собирают или получают, а также источник этой информации.

Ограничение хранения : Персональные данные должны храниться только в форме, позволяющей идентифицировать субъектов данных, до тех пор, пока это необходимо для целей, для которых обрабатываются персональные данные. Чтобы гарантировать, что персональные данные не хранятся дольше, чем это необходимо, контролер должен установить сроки для удаления или периодического просмотра.

Целостность и конфиденциальность : Персональные данные должны обрабатываться таким образом, чтобы обеспечить надлежащую безопасность и конфиденциальность персональных данных, включая защиту от несанкционированного или незаконного доступа или использования персональных данных и оборудования, используемого для обработки, а также от случайной потери , уничтожение или повреждение с применением соответствующих технических или организационных мер.